陈 霖
(中国移动通信集团湖南公司,湖南长沙 410015)
4G时代移动互联网信息安全分等级防护策略探讨
陈 霖
(中国移动通信集团湖南公司,湖南长沙 410015)
进入4G时代,移动互联网“路”更宽了,从移动互联网威胁的来源来看,其不但来源于传统的互联网,越来越多的威胁将出现在移动互联网内部。基于4G时代移动互联网面临的信息安全风险、威胁,对移动互联网信息安全防护体系进行分析,提出了分等级防护的防护策略。
4G;移动互联网;信息安全;分等级防护
随着国家向国内三大运营商发放4G牌照,中国电信业正式进入4G时代。由于4G网络具有速度快、带宽高、服务多、融合强的特点,将能更好地将智能手机的功能发挥出来,真正进入前所未有的网络时代[1]。
跨入4G的移动互联,一是带来了高品质的日常生活。除了更方便看视频和打游戏,智能家电、物联网、可穿戴式电子设备等都是题中之意。二是促进了经济发展。这是互联网意义上的“要想富先修路”,至少视频制作和手游开发企业将面临更大的空间。三是助力改革。从早期的电子商务到今年以来红透半边天的互联网金融,互联网的发展在推动社会公平、开放方面的作用日益突出。中国互联网络信息中心《第33次中国互联网络发展状况统计报告》数据显示,截至2013年底,中国手机网民有5亿,占网民数量的80%以上,手机超越台式电脑成为第一大上网终端,4G时代带来了移动互联网的蓬勃发展[2]。
然而,在新一代4G移动网络中,潜在的信息安全威胁也将更加令人担忧[3]。迈进4G的移动互联网,第一个被关注的话题就是大数据。通过将碎片化的信息整合起来,洞察消费者的行为轨迹和模式,获得与客户的互动,并在此基础上进行知情决策来帮助企业发展,这就是大数据的意义。大数据带来的商业价值和利益显而易见,刺激着企业开始注重搜集客户的个人信息,进行数据挖掘、分析,使得整个移动互联网都进入了疯狂的数据采集时代。这也就带来了第二个更加被大家所关注的问题:用户隐私的保护。智能终端上的大量应用,如聊微信、刷微博、手机支付,让越来越多用户贡献了越来越多的数据,姓名、住址、电话、消费记录等重要生活信息泄露越来越普遍。在手机、电脑、信用卡、视频监控等各种信息系统里,都能找到用户留下的“数据脚印”[4]。
在手机隐私泄露问题突出的同时,用户在4G时代也更容易受到手机病毒、恶意程序和广告程序攻击。普华永道在2014年全球信息安全状况调查中发布相关数据,全球被检测到的信息安全事件总数同比增长了25%,其中在金融服务业信息安全事件的增长高达170%。信息安全问题已经成为制约4G时代移动互联网发展的重要因素之一。
进入4G时代,移动互联网“路”更宽了,不但在移动互联网与互联网之间修建起了“高速公路”,移动互联网内部不同的设备之间也架起了“高速公路”的桥梁[5]。从移动互联网威胁的来源来看,其不但来源于传统的互联网,越来越多的威胁将出现在移动互联网内部。
综合分析4G时代移动互联网面临的各类信息安全风险,4G时代移动网络安全威胁主要来源于以下方面:
1)4G时代催生出更加丰富的手机接口和应用,GPS、NFC、指纹等统统搬到了手机上,支付、网上交易、即时通信、博客等应用几乎成了手机的标准配置,这使得手机成为了整合个人信息最多的终端,风险无疑也是最大的。很多移动互联网应用(尤其是支付类商务应用),都会捆绑用户手机号码等隐私信息,这些信息在交易过程中和交易过后被泄露或者滥用的安全风险很大。
2)网络层面面临更大的网络安全风险。从移动通信角度看,与互联网的融合完全打破了其相对平衡的网络安全环境,大大削弱了通信网原有的安全特性。IP化后的移动通信网作为移动互联网的一部分,需面对来自互联网的各种安全威胁,其安全防护能力明显降低。另一方面,移动互联网中IP化的电信设备、信令和协议,大多存在各种可以被利用(如拒绝服务和缓冲区溢出等)的软硬件漏洞,一个恶意构造的数据包就可以很容易地引起设备宕机,导致业务瘫痪。
3)终端层面面临的威胁更加复杂。一是移动终端的恶意代码传播途径更多样化,业务应用环节更复杂,而且移动终端存储和计算能力相对PC成本高很多,相应安全防护技术的开发就存在很大的局限性。二是移动通信永远在线的特性使得窃听和监视行为更加容易。三是移动终端存储的私密、位置、金融信息,也使攻击诱惑性更大。
4)用户远未形成良好的安全习惯。在智能手机快速普及的4G时代,用户对信息安全的了解仍处于一个低级的水平,无法采取准确、有效的措施防护终端的安全,保护自己的隐私,更远未形成良好的安全习惯。
4G时代移动网络安全威胁主要来源如图1所示。
图1 4G时代移动网络安全威胁主要来源
从构成威胁的主体来看,主要由以下三个方面:
1)不法分子
不法分子是移动互联网信息安全最大的安全威胁。其主要表现形式是不法分子通过各种渠道传播移动恶意软件,窃取用户信息,获取非法利益。移动恶意软件的传播渠道主要有:通过蓝牙传播、通过APP植入、通过固件刷机植入、通过短彩信连接传播。移动恶意软件的破坏性主要表现在以下方面:一是窃取移动终端的私密信息,如银行卡卡号和密码,游戏账号和密码等;二是恶意订购SP业务;三是发送垃圾短彩信等。此类威胁具有一定的隐蔽性,普通用户较难以发现,且由于目前移动终端安全防护措施较弱(大部分移动终端不会安装防病毒软件),移动恶意软件有愈演愈烈之势。
2)不良商家
不良商家主要移动互联网最具欺骗性的安全威胁。其主要表现形式有二:一是在山寨机中植入后门,商家可操纵用户终端进行不知情订购SP业务、窃取用户个人信息等行为,给用户造成损失;二是在APP中留下后门,悄悄收集用户个人信息谋取利益。这类威胁往往披着合法的外衣,偷偷干着不为人知的勾当,最具有迷惑性,用户往往陷入其中而不自觉。
3)服务提供商
包括APP服务提供商和通信服务提供商等,其本身遵循着合法的经营方式,用户对服务提供商信任度较高。但由于服务提供商在业务运营、提供服务的过程中,难免出现漏洞和控制不到位的情况,往往会导致其收集的用户信息泄露,或者用户在使用其服务时遭受不必要的损失。比如2014年3月份携程网漏洞门,泄露用户的信用卡信息,可直接导致用户信用卡资金被盗刷。此类威胁发生的可能性较小,但由于用户的信任度高,如若出现问题,可能导致的损失也会较大。
面对纷繁复杂的安全威胁,既要全面防范各类风险,又要重点解决突出问题,需要从政策、法律、防护等各方面采取措施:
1)在政策方面,要对信息安全进行规范,且行业要自律;行业链条中的每个环节,可由第三方互相监控。国家政府部门要加强对通信运营商、终端生产商、APP应用商场、重点APP服务提供商等关键风险点的监管。
2)在法律方面,要对信息安全违法行为进行准确定义,对信息安全违法人员建立严格的惩处机制;同时,要加大对相关违法行为的专项打击,对不良商家、不法分子营造高压氛围。
3)在防护方面,要充分利用新技术来规避风险,培养优秀移动互联网终端安全防护企业,在APP大规模爆发的4G时代,安全防护的重点要从系统、网络层面的防护,转移到业务层面的防护和对用户数据的保护上面来。
另外还要用户培养自身的安全习惯,安全地使用移动互联网应用。
按照国家信息安全分等级保护的总体工作思路,4G时代移动互联网的信息安全可以按照信息和信息载体按照重要性等级分级别进行保护,对信息系统中使用的产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
4G时代移动互联网应按照以下基本原则开展信息安全分等级保护:
1)自主保护原则:信息系统运营、使用单位按照国家相关法规和标准,自主组织实施安全保护。通信运营商要对网络安全负责,APP运营商要对APP安全负责,终端生产商要对终端硬件/操作系统/预装软件负责,APP应用商场应该对其发布的所有APP软件进行检测。
2)重点保护原则:通过划分不同安全保护等级,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。对通信网络、终端、较大用户规模的APP和APP应用商场进行重点保护。
3)同步建设原则:移动互联网相关信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
4)动态调整原则:当信息系统的变化情况时,如某个新APP用户大规模增长时,应及时调整信息系统的安全保护等级,根据调整情况,重新实施安全保护。
根据信息系统的安全保护等级划分方法,4G时代移动互联网中各类主要信息系统可分为以下五级:
1)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。主要适用于规模较小的APP。
2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。主要适用于规模中等的APP。
3)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。主要适用于通信网络、大规模APP、大规模APP应用商场、手机终端等。
4)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。主要适用于规模特别大的支付、社交APP等。
5)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。移动通信网络基本上不会对国家安全造成特别严重损害。各类信息系统的主要安全防护策略见表1。
表1 各类信息系统的主要安全防护策略
4G时代移动互联网是移动通信网与互联网深度结合的产物,其用户规模和网络规模急剧增长,内容和功能极大丰富。随之而来的信息安全问题,也越来越复杂。在此情形下,必须准确识别移动互联网中的主要安全风险和相关信息、信息载体的重要程度,根据信息系统遭受攻击可能对企业、对社会、对国家造成的危害程度,对信息系统实行分等级防护,才能有效保证整个移动互联网在4G时代健康发展。
[1] 黄宁,李玉龙,陕永飞,周强. 数据挖掘在网络入侵检测系统中的应用[J]. 计算机安全,2010(10).
[2] 葛慧. 云计算的信息安全[J]. 硅谷,2009(2).
[3] 郑昌兴. 云模式下的信息安全探讨[J]. 信息网络安全,2011(10).
[4] 李彦宾,孙松儿. 云计算时代的信息安全防护方案设计研究[J]. 信息网络安全, 2011(10).
[5] 刘东山,周显春. 云计算核心技术及安全问题[J]. 电脑知识与技术, 2011(7).
Exploration on graded protection strategies of mobile internet information security in 4G era
CHEN Lin
(China Mobile Group Hunan Co. Ltd., Changsha, Hunan, China 410015)
In the 4G era, the “road” of mobile internet has become wider. The mobile internet threats come from not only the traditional internet but also the internal of the mobile internet. Based on the information security risks and threats of mobile internet in the 4G era, this paper analyzes the information security protection system of the mobile internet and puts forward the graded protection strategies.
4G; mobile internet; information security; graded protection
10.3969/j.issn.2095-7661.2014.02.004】
TN929.5
A
2095-7661(2014)02-0017-04
2014-05-06
陈霖(1979-),男,湖南浏阳人,通信工程师,硕士,研究方向:信息安全。