移动互联网信息安全技术体系浅析

2014-08-08 06:32邓青殷黄兆敏洪真忠
无线互联科技 2014年6期
关键词:移动互联网信息安全

邓青殷++黄兆敏++洪真忠

摘要:随着科技的不断发展,移动互联网在改变人们的生活同时,移动互联网的信息安全也面临巨大的挑战,本文介绍了互联网信息安全技术体系,结合信息方法分析移动互联网信息安全,根据终端、网络和业务应用3个方面,信息内容安全、信息自身安全、业务应用安全、设备/环境安全4个层次对移动互联网信息安全进行阐述。

关键词:移动互联网;信息安全;技术体系1引言

在科技迅猛发展的今天,无线互联网得到广泛的应用,时刻影响着我们的工作和生活。根据CNNIC(中国互联网络信息中心)发布的第33次《中国互联网络发展状况统计报告》称,截至2013年12月,手机网民继续保持良好的增长态势,规模达到5亿,年增长率为19.1%,手机继续保持第一大上网终端的地位。而新网民较高的手机上网比例也说明了手机在网民增长中的促进作用。2013年中国新增网民中使用手机上网的比例高达73.3%,远高于其他设备上网的网民比例,手机依然是中国网民增长的主要驱动力。中国网民中使用手机上网比例保持较快增长,从74.5%上升至81.0%,提升6.5个百分点。

2移动互联网概述

移动互联网已成为业界共同关注的热点,但学术界对其的定义还没有达成共识。比较有代表性的定义由中国工业和信息化部电信研究院在2011年的《移动互联网白皮书》中给出:“移动互联网是以移动网络作为接入网络的互联网及服务,包括3个要素:移动终端、移动网络和应用服务。”以上概念阐述了移动互联网两方面的含义:一方面,移动互联网是移动通信网络与互联网的融合,用户以移动终端接入无线移动通信网络(2G网络、3G网络、WLAN、WiMax等)的方式访问互联网;另一方面,移动互联网还产生了大量新型的应用,这些应用与终端的可移动、可定位和随身携带等特性相结合,为用户提供个性化的、位置相关的服务。

3移动互联网信息安全

3.1 移动互联网信息安全威胁

安全是移动互联网所面临的一大问题,传统互联网中的安全问题在移动互联网环境下同样存在,同时还出现了一些新的安全问题,一般认为移动互联网安全与信息保护研究涉及移动互联网终端安全、移动互联网网络安全和移动互联网应用安全3个方面。

3.1.1 移动互联网终端安全

移动互联网终端是通常是指手机、PDA、平板电脑以及其他便携式计算机等。移动互联网业务对于用户的体现形式以及用户存储用户个人信息的载体,移动互联网终端拥有大量的短信、通话记录、电话号码、位置信息、文件、用户账号和密码等隐私信息。常见的病毒、木马、钓鱼网站程序等都可能对移动互联网终端构成安全威胁。

3.1.2 移动互联网网络安全

移动互联网网络分两部分,接入网以及IP承载网/互联网。网络服务主机可能面临针对漏洞发起的攻击;而网络设备可能存在弱口令,路由器、防火墙可能存在认证和授权等安全漏洞,RIP、BGP和OSPF等路由协议中存在安全漏洞;而网络服务可能存在DNS拒绝服务攻击等。

3.1.3 移动互联网应用安全

移动互联网业务分为3类:传统互联网在移动互联网上的复制、移动通讯业务在移动互联网上的移植、移动通讯网和互联网相互结合产生的移动通讯应用新业务。包括移动浏览、移动搜索、移动电子邮件、移动即时通讯、移动在线游戏、移动电子商务、移动支付、移动音视频、移动导航和移动地图等。特别近期随着余额宝、理财通等一大批移动互联网金融产品的壮大发展,移动互联网金融交易带来便捷的同时也带来了安全隐患,这种隐患已经不仅仅是威胁了用户的隐私信息安全,而且还威胁了用户的资金财产安全。所以必须研究分析相应的技术和策略,确保移动互联网信息安全。

3.2 利用信息方法分析移动互联网信息安全

所谓信息方法,就是运用信息学的观点,把系统的运动过程看作信息传递和信息转换的过程,通过对信息流程的分析和处理,获得对某一复杂系统运动过程的规律性认识的一种研究方法。用信息概念作为分析和处理问题的基础,撇开研究对象的具体结构和运动形态,把系统的有目的性的运动抽象为一个信息变换过程,就移动互联网信息安全问题而言,我们把移动互联网运作的过程看作信息传递和信息转换的过程,即信息的输入、存储、处理、输出、反馈过程(如图1所示),那么移动互联网安全的核心目标就是保护移动互联网的信息安全,包括信息的存储安全、传输安全和处理安全。我们可以把移动终端看作是移动互联网信息的存储载体,把应用服务看作是移动互联网信息的处理载体,把接入网络看作是移动互联网信息的传输载体,分析移动互联网信息安全主要就是研究分析移动终端、接入网络和应用服务的安全。

3.3 利用ITU-T X.805通信安全协议分析移动互联网信息安全

国际电信联盟的标准化部门ITU-T一直积极参与网络和信息技术安全研究,在其建议书X.805中,为提供端对端的网络安全而规定了一种通信安全协议模型(如图2所示),包含三个平面、三个层次和八个维度。根据网络管理活动、网络控制或信令活动和用户特定安全等需求分为管理、控制和用户三个安全平面;根据网络元素和系统要求,将端对端网络安全划分为基础设施层、服务层和应用层三个层次;而八个安全维度包括访问控制、认证、不可抵赖、数据保密性、通信安全、数据完整性、可用性、隐私。

3.4 移动互联网信息安全框架

移动互联网既涉及移动通信网络,又涉及传统互联网,安全问题相对复杂,应分层研究,通常基础网络安全研究可分为4层,包括信息内容安全、信息自身安全、业务应用安全、设备/环境安全,结合互联网安全与信息保护研究涉及移动互联网终端安全、移动互联网网络安全和移动互联网应用安全的3个方面,可构建一个移动互联网信息安全框架(如图3所示)。

3.4.1 信息内容安全

信息内容安全通常是指传播的信息不违反国家相关法律法规;不违背社会主义精神文明;不违背社会公德;不违背中华民族优良文化传统;不侵犯公民个人隐私和敏感信息;不散发垃圾信息等。

3.4.2 信息自身安全

信息自身安全包括信息完整性、保密性和不可抵赖性。信息完整性可以依靠报文鉴别机制如哈希算法来保障;信息保密性可以依靠加密机制以及密钥分发来保障;信息不可抵赖性可以依靠数字签名等技术来保障。

3.4.3 业务应用安全

业务应用安全通常是指业务应用正常提供、用户可靠接入、计费等管理信息安全、信令等控制信息安全,防止非授权使用、服务滥用、服务盗用、DDos攻击、服务否认、信令干扰。

3.4.4 设备/环境安全

设备/环境安全物理安全通常是指网络、主机、终端等设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求;操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力;保障设备稳定可靠运行。

4结语

中央国家安全委员会目前已正式成立,信息安全作为国家安全委员会提出的“11种安全”之一已提升为国家安全战略,而移动互联网信息安全作为重要的组成部分,虽在相关科学技术的研究开发上取得了长足的进步,但还需要继续加大人力物力对此进行深入研究,确保人民安家乐业和国家长治久安。

[参考文献]

[1]中国互联网络信息中心.第33次中国互联网络发展状况统计报告.2014.1.

[2]工业和信息化部电信研究院.移动互联网白皮书.2011.5.

[3]罗军舟,吴文甲,杨明.移动互联网:终端、网络与服务[J].计算机学报.2011(11).

[4]岳剑波.信息管理基础[M].清华大学出版社.1999.

[5]魏亮.移动互联网安全框架[J].中兴通讯技术.2009(8).

[6]王永斌.移动互联网网络安全探析[J].现代电信技术.2008(8).

[7]段伟希,周智,张晨,李刚.移动互联网安全威胁分析与防护策略[J].电信工程技术与标准化.2010(2).

摘要:随着科技的不断发展,移动互联网在改变人们的生活同时,移动互联网的信息安全也面临巨大的挑战,本文介绍了互联网信息安全技术体系,结合信息方法分析移动互联网信息安全,根据终端、网络和业务应用3个方面,信息内容安全、信息自身安全、业务应用安全、设备/环境安全4个层次对移动互联网信息安全进行阐述。

关键词:移动互联网;信息安全;技术体系1引言

在科技迅猛发展的今天,无线互联网得到广泛的应用,时刻影响着我们的工作和生活。根据CNNIC(中国互联网络信息中心)发布的第33次《中国互联网络发展状况统计报告》称,截至2013年12月,手机网民继续保持良好的增长态势,规模达到5亿,年增长率为19.1%,手机继续保持第一大上网终端的地位。而新网民较高的手机上网比例也说明了手机在网民增长中的促进作用。2013年中国新增网民中使用手机上网的比例高达73.3%,远高于其他设备上网的网民比例,手机依然是中国网民增长的主要驱动力。中国网民中使用手机上网比例保持较快增长,从74.5%上升至81.0%,提升6.5个百分点。

2移动互联网概述

移动互联网已成为业界共同关注的热点,但学术界对其的定义还没有达成共识。比较有代表性的定义由中国工业和信息化部电信研究院在2011年的《移动互联网白皮书》中给出:“移动互联网是以移动网络作为接入网络的互联网及服务,包括3个要素:移动终端、移动网络和应用服务。”以上概念阐述了移动互联网两方面的含义:一方面,移动互联网是移动通信网络与互联网的融合,用户以移动终端接入无线移动通信网络(2G网络、3G网络、WLAN、WiMax等)的方式访问互联网;另一方面,移动互联网还产生了大量新型的应用,这些应用与终端的可移动、可定位和随身携带等特性相结合,为用户提供个性化的、位置相关的服务。

3移动互联网信息安全

3.1 移动互联网信息安全威胁

安全是移动互联网所面临的一大问题,传统互联网中的安全问题在移动互联网环境下同样存在,同时还出现了一些新的安全问题,一般认为移动互联网安全与信息保护研究涉及移动互联网终端安全、移动互联网网络安全和移动互联网应用安全3个方面。

3.1.1 移动互联网终端安全

移动互联网终端是通常是指手机、PDA、平板电脑以及其他便携式计算机等。移动互联网业务对于用户的体现形式以及用户存储用户个人信息的载体,移动互联网终端拥有大量的短信、通话记录、电话号码、位置信息、文件、用户账号和密码等隐私信息。常见的病毒、木马、钓鱼网站程序等都可能对移动互联网终端构成安全威胁。

3.1.2 移动互联网网络安全

移动互联网网络分两部分,接入网以及IP承载网/互联网。网络服务主机可能面临针对漏洞发起的攻击;而网络设备可能存在弱口令,路由器、防火墙可能存在认证和授权等安全漏洞,RIP、BGP和OSPF等路由协议中存在安全漏洞;而网络服务可能存在DNS拒绝服务攻击等。

3.1.3 移动互联网应用安全

移动互联网业务分为3类:传统互联网在移动互联网上的复制、移动通讯业务在移动互联网上的移植、移动通讯网和互联网相互结合产生的移动通讯应用新业务。包括移动浏览、移动搜索、移动电子邮件、移动即时通讯、移动在线游戏、移动电子商务、移动支付、移动音视频、移动导航和移动地图等。特别近期随着余额宝、理财通等一大批移动互联网金融产品的壮大发展,移动互联网金融交易带来便捷的同时也带来了安全隐患,这种隐患已经不仅仅是威胁了用户的隐私信息安全,而且还威胁了用户的资金财产安全。所以必须研究分析相应的技术和策略,确保移动互联网信息安全。

3.2 利用信息方法分析移动互联网信息安全

所谓信息方法,就是运用信息学的观点,把系统的运动过程看作信息传递和信息转换的过程,通过对信息流程的分析和处理,获得对某一复杂系统运动过程的规律性认识的一种研究方法。用信息概念作为分析和处理问题的基础,撇开研究对象的具体结构和运动形态,把系统的有目的性的运动抽象为一个信息变换过程,就移动互联网信息安全问题而言,我们把移动互联网运作的过程看作信息传递和信息转换的过程,即信息的输入、存储、处理、输出、反馈过程(如图1所示),那么移动互联网安全的核心目标就是保护移动互联网的信息安全,包括信息的存储安全、传输安全和处理安全。我们可以把移动终端看作是移动互联网信息的存储载体,把应用服务看作是移动互联网信息的处理载体,把接入网络看作是移动互联网信息的传输载体,分析移动互联网信息安全主要就是研究分析移动终端、接入网络和应用服务的安全。

3.3 利用ITU-T X.805通信安全协议分析移动互联网信息安全

国际电信联盟的标准化部门ITU-T一直积极参与网络和信息技术安全研究,在其建议书X.805中,为提供端对端的网络安全而规定了一种通信安全协议模型(如图2所示),包含三个平面、三个层次和八个维度。根据网络管理活动、网络控制或信令活动和用户特定安全等需求分为管理、控制和用户三个安全平面;根据网络元素和系统要求,将端对端网络安全划分为基础设施层、服务层和应用层三个层次;而八个安全维度包括访问控制、认证、不可抵赖、数据保密性、通信安全、数据完整性、可用性、隐私。

3.4 移动互联网信息安全框架

移动互联网既涉及移动通信网络,又涉及传统互联网,安全问题相对复杂,应分层研究,通常基础网络安全研究可分为4层,包括信息内容安全、信息自身安全、业务应用安全、设备/环境安全,结合互联网安全与信息保护研究涉及移动互联网终端安全、移动互联网网络安全和移动互联网应用安全的3个方面,可构建一个移动互联网信息安全框架(如图3所示)。

3.4.1 信息内容安全

信息内容安全通常是指传播的信息不违反国家相关法律法规;不违背社会主义精神文明;不违背社会公德;不违背中华民族优良文化传统;不侵犯公民个人隐私和敏感信息;不散发垃圾信息等。

3.4.2 信息自身安全

信息自身安全包括信息完整性、保密性和不可抵赖性。信息完整性可以依靠报文鉴别机制如哈希算法来保障;信息保密性可以依靠加密机制以及密钥分发来保障;信息不可抵赖性可以依靠数字签名等技术来保障。

3.4.3 业务应用安全

业务应用安全通常是指业务应用正常提供、用户可靠接入、计费等管理信息安全、信令等控制信息安全,防止非授权使用、服务滥用、服务盗用、DDos攻击、服务否认、信令干扰。

3.4.4 设备/环境安全

设备/环境安全物理安全通常是指网络、主机、终端等设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求;操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力;保障设备稳定可靠运行。

4结语

中央国家安全委员会目前已正式成立,信息安全作为国家安全委员会提出的“11种安全”之一已提升为国家安全战略,而移动互联网信息安全作为重要的组成部分,虽在相关科学技术的研究开发上取得了长足的进步,但还需要继续加大人力物力对此进行深入研究,确保人民安家乐业和国家长治久安。

[参考文献]

[1]中国互联网络信息中心.第33次中国互联网络发展状况统计报告.2014.1.

[2]工业和信息化部电信研究院.移动互联网白皮书.2011.5.

[3]罗军舟,吴文甲,杨明.移动互联网:终端、网络与服务[J].计算机学报.2011(11).

[4]岳剑波.信息管理基础[M].清华大学出版社.1999.

[5]魏亮.移动互联网安全框架[J].中兴通讯技术.2009(8).

[6]王永斌.移动互联网网络安全探析[J].现代电信技术.2008(8).

[7]段伟希,周智,张晨,李刚.移动互联网安全威胁分析与防护策略[J].电信工程技术与标准化.2010(2).

摘要:随着科技的不断发展,移动互联网在改变人们的生活同时,移动互联网的信息安全也面临巨大的挑战,本文介绍了互联网信息安全技术体系,结合信息方法分析移动互联网信息安全,根据终端、网络和业务应用3个方面,信息内容安全、信息自身安全、业务应用安全、设备/环境安全4个层次对移动互联网信息安全进行阐述。

关键词:移动互联网;信息安全;技术体系1引言

在科技迅猛发展的今天,无线互联网得到广泛的应用,时刻影响着我们的工作和生活。根据CNNIC(中国互联网络信息中心)发布的第33次《中国互联网络发展状况统计报告》称,截至2013年12月,手机网民继续保持良好的增长态势,规模达到5亿,年增长率为19.1%,手机继续保持第一大上网终端的地位。而新网民较高的手机上网比例也说明了手机在网民增长中的促进作用。2013年中国新增网民中使用手机上网的比例高达73.3%,远高于其他设备上网的网民比例,手机依然是中国网民增长的主要驱动力。中国网民中使用手机上网比例保持较快增长,从74.5%上升至81.0%,提升6.5个百分点。

2移动互联网概述

移动互联网已成为业界共同关注的热点,但学术界对其的定义还没有达成共识。比较有代表性的定义由中国工业和信息化部电信研究院在2011年的《移动互联网白皮书》中给出:“移动互联网是以移动网络作为接入网络的互联网及服务,包括3个要素:移动终端、移动网络和应用服务。”以上概念阐述了移动互联网两方面的含义:一方面,移动互联网是移动通信网络与互联网的融合,用户以移动终端接入无线移动通信网络(2G网络、3G网络、WLAN、WiMax等)的方式访问互联网;另一方面,移动互联网还产生了大量新型的应用,这些应用与终端的可移动、可定位和随身携带等特性相结合,为用户提供个性化的、位置相关的服务。

3移动互联网信息安全

3.1 移动互联网信息安全威胁

安全是移动互联网所面临的一大问题,传统互联网中的安全问题在移动互联网环境下同样存在,同时还出现了一些新的安全问题,一般认为移动互联网安全与信息保护研究涉及移动互联网终端安全、移动互联网网络安全和移动互联网应用安全3个方面。

3.1.1 移动互联网终端安全

移动互联网终端是通常是指手机、PDA、平板电脑以及其他便携式计算机等。移动互联网业务对于用户的体现形式以及用户存储用户个人信息的载体,移动互联网终端拥有大量的短信、通话记录、电话号码、位置信息、文件、用户账号和密码等隐私信息。常见的病毒、木马、钓鱼网站程序等都可能对移动互联网终端构成安全威胁。

3.1.2 移动互联网网络安全

移动互联网网络分两部分,接入网以及IP承载网/互联网。网络服务主机可能面临针对漏洞发起的攻击;而网络设备可能存在弱口令,路由器、防火墙可能存在认证和授权等安全漏洞,RIP、BGP和OSPF等路由协议中存在安全漏洞;而网络服务可能存在DNS拒绝服务攻击等。

3.1.3 移动互联网应用安全

移动互联网业务分为3类:传统互联网在移动互联网上的复制、移动通讯业务在移动互联网上的移植、移动通讯网和互联网相互结合产生的移动通讯应用新业务。包括移动浏览、移动搜索、移动电子邮件、移动即时通讯、移动在线游戏、移动电子商务、移动支付、移动音视频、移动导航和移动地图等。特别近期随着余额宝、理财通等一大批移动互联网金融产品的壮大发展,移动互联网金融交易带来便捷的同时也带来了安全隐患,这种隐患已经不仅仅是威胁了用户的隐私信息安全,而且还威胁了用户的资金财产安全。所以必须研究分析相应的技术和策略,确保移动互联网信息安全。

3.2 利用信息方法分析移动互联网信息安全

所谓信息方法,就是运用信息学的观点,把系统的运动过程看作信息传递和信息转换的过程,通过对信息流程的分析和处理,获得对某一复杂系统运动过程的规律性认识的一种研究方法。用信息概念作为分析和处理问题的基础,撇开研究对象的具体结构和运动形态,把系统的有目的性的运动抽象为一个信息变换过程,就移动互联网信息安全问题而言,我们把移动互联网运作的过程看作信息传递和信息转换的过程,即信息的输入、存储、处理、输出、反馈过程(如图1所示),那么移动互联网安全的核心目标就是保护移动互联网的信息安全,包括信息的存储安全、传输安全和处理安全。我们可以把移动终端看作是移动互联网信息的存储载体,把应用服务看作是移动互联网信息的处理载体,把接入网络看作是移动互联网信息的传输载体,分析移动互联网信息安全主要就是研究分析移动终端、接入网络和应用服务的安全。

3.3 利用ITU-T X.805通信安全协议分析移动互联网信息安全

国际电信联盟的标准化部门ITU-T一直积极参与网络和信息技术安全研究,在其建议书X.805中,为提供端对端的网络安全而规定了一种通信安全协议模型(如图2所示),包含三个平面、三个层次和八个维度。根据网络管理活动、网络控制或信令活动和用户特定安全等需求分为管理、控制和用户三个安全平面;根据网络元素和系统要求,将端对端网络安全划分为基础设施层、服务层和应用层三个层次;而八个安全维度包括访问控制、认证、不可抵赖、数据保密性、通信安全、数据完整性、可用性、隐私。

3.4 移动互联网信息安全框架

移动互联网既涉及移动通信网络,又涉及传统互联网,安全问题相对复杂,应分层研究,通常基础网络安全研究可分为4层,包括信息内容安全、信息自身安全、业务应用安全、设备/环境安全,结合互联网安全与信息保护研究涉及移动互联网终端安全、移动互联网网络安全和移动互联网应用安全的3个方面,可构建一个移动互联网信息安全框架(如图3所示)。

3.4.1 信息内容安全

信息内容安全通常是指传播的信息不违反国家相关法律法规;不违背社会主义精神文明;不违背社会公德;不违背中华民族优良文化传统;不侵犯公民个人隐私和敏感信息;不散发垃圾信息等。

3.4.2 信息自身安全

信息自身安全包括信息完整性、保密性和不可抵赖性。信息完整性可以依靠报文鉴别机制如哈希算法来保障;信息保密性可以依靠加密机制以及密钥分发来保障;信息不可抵赖性可以依靠数字签名等技术来保障。

3.4.3 业务应用安全

业务应用安全通常是指业务应用正常提供、用户可靠接入、计费等管理信息安全、信令等控制信息安全,防止非授权使用、服务滥用、服务盗用、DDos攻击、服务否认、信令干扰。

3.4.4 设备/环境安全

设备/环境安全物理安全通常是指网络、主机、终端等设备所处环境温度、湿度、电磁、防尘、防火、门禁、访问控制等条件符合必要的标准要求;操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力;保障设备稳定可靠运行。

4结语

中央国家安全委员会目前已正式成立,信息安全作为国家安全委员会提出的“11种安全”之一已提升为国家安全战略,而移动互联网信息安全作为重要的组成部分,虽在相关科学技术的研究开发上取得了长足的进步,但还需要继续加大人力物力对此进行深入研究,确保人民安家乐业和国家长治久安。

[参考文献]

[1]中国互联网络信息中心.第33次中国互联网络发展状况统计报告.2014.1.

[2]工业和信息化部电信研究院.移动互联网白皮书.2011.5.

[3]罗军舟,吴文甲,杨明.移动互联网:终端、网络与服务[J].计算机学报.2011(11).

[4]岳剑波.信息管理基础[M].清华大学出版社.1999.

[5]魏亮.移动互联网安全框架[J].中兴通讯技术.2009(8).

[6]王永斌.移动互联网网络安全探析[J].现代电信技术.2008(8).

[7]段伟希,周智,张晨,李刚.移动互联网安全威胁分析与防护策略[J].电信工程技术与标准化.2010(2).

猜你喜欢
移动互联网信息安全
《信息安全与通信保密》征稿函
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
微美学
智能手机在大学生移动学习中的应用研究
基于Android的一键智能报警系统设计与实现 
O2O电子商务模式发展问题及对策研究
大数据环境下基于移动客户端的传统媒体转型思路
基于移动互联网的心理健康教育初探