桌面和移动互联网信息安全研讨

黄斐一+孔繁盛

回顾了桌面互联网和移动互联网的发展历史，介绍了以web网站为核心的桌面互联网业务的信息交互方式和以手机App为核心的移动互联网业务的信息交互方式。分析了桌面互联网和移动互联网面临的安全风险，并提出了相应的解决方案和思路。

桌面互联网    移动互联网    信息安全

1   引言

当我们探讨安全问题的时候，一般会将安全放在某一个业务或者某一种场景下讨论。换句话说，抛开业务和场景讨论安全是毫无意义的。所以，当探讨桌面互联网安全和移动互联网安全的时候，我们需要先充分了解桌面互联网和移动互联网的业务形态和应用场景[1]。

桌面互联网最重要的特点是web网站是其信息组织和交互的核心载体，它兴起于上个世纪90年代。人们最初熟悉桌面互联网是从门户网站开始的，如雅虎、搜狐、新浪等。那时的互联网是一个海量信息的集合，人们可以从互联网上获取大量的、实时的信息。我们称之为Web 1.0时代。当互联网引入了用户参与，包括评论、互动等，互联网用户就可以在线地参与到这些业务中去了。这时，桌面互联网进入了Web 2.0时代。博客就是这个时代最典型的产品。随着互联网的发展，用户不再满足线上精神层面的交流，他们的互动从线上延伸到了线下。互联网从单纯的信息交互融入到了人们的实际生活当中。我们称之为Web 3.0时代。这个时代典型的业务包括电子商务（如淘宝、京东）、婚恋网站（如百合网、珍爱网）、招聘网站（如智联招聘）。除了上述场景外，桌面互联网的典型业务场景还包括以腾讯QQ为代表的即时通讯业务和以Google、百度为代表的搜索引擎业务。

移动互联网最重要的特点是手机App是其信息组织和交互的核心载体。在移动互联网发展的初期，桌面互联网的应用被简单的迁移到了手机终端，形成了Wap网站。但是由于带宽和终端的限制，这些业务始终难以得到真正的发展。苹果推出的iPhone开创了智能手机的先河，是全世界第一款能够非常轻松简易访问移动互联网的智能终端。苹果手机的出现和移动超宽带网络的部署（3G、4G）为移动互联网带来了大发展的契机。大量的手机App随之涌现出来，它们利用运营商提供的带宽和手机终端的各种功能（音＼视频、通话等），为用户提供各种各样的服务，我们称之为OTT（Over the Top）业务。它们能够直接在互联网上部署，并通过智能手机客户端的App为用户提供服务。

桌面互联网和移动互联网业务有一个相同的必争山头：流量。无论是web网站也好、手机App也好，用户的流量是业务能否盈利的决定性因素。所以互联网（这里泛指桌面和移动互联网）业务的运营团队最重要的工作目标是为业务带来流量，而流量又是靠入口来实现的。在桌面互联网时代，当我们遇到一个自己不了解的事物，第一选择就是搜索引擎（Google、百度）;当我们希望购买一样东西的时候，第一选择就是电商网站（亚马逊、淘宝）;当我们需要使用某种手机App的时候，一般会选择一个手机应用商城去下载这些应用（App Store、Google Play、中国移动MM）。这些都是用户使用互联网业务的典型入口。

2   互联网信息安全

互联网信息安全涉及的领域非常广泛，它背后涉及学科包括计算机、网络、通信、密码、数学、社会科学等。由于互联网业务主要的承载方式是计算机代码，所以互联网信息安全产生的根源是计算机代码的各种漏洞。这些漏洞存在于互联网业务、数据库软件、操作系统、中间件，甚至是通信网络协议中，可以说无处不在。但是安全漏洞和风险即使存在，也未必会被利用并造成不良后果，那是因为几乎所有利用安全漏洞的行为一般都不会仅仅由于攻击者的兴趣而发动，其背后必有利益作为推动[2]。打个比方，一个攻击者利用DoS/DDoS攻击让某一个网站无法对外提供服务。实际上这个攻击并不是免费的，它需要大量的肉鸡、需要好的攻击软件、需要发起攻击的服务器和带宽。这个攻击者一般都会通过某种途径回收投入、获取利益。当然，这些行为都是非法的。

在互联网中，业务运营方和用户手中都握有非常有价值的数据和信息，所以他们都可能成为互联网恶意用户攻击的对象。以业务运营方为目标的攻击一般通过利用业务和系统的漏洞“非正常”的进行访问，窃取关键数据或致盲业务;而以用户为目标的攻击一般通过欺骗、数据包截获等方式获取用户的关键信息，如信用卡信息、虚拟储值账户信息、隐私信息等。所以从这个角度看，互联网信息安全治理的关键点是对一些高价值的数据和业务做好信息安全防护。

3   桌面互联网的安全风险

由于桌面互联网以Web网站作为信息组织和交互的载体，所以桌面互联网业务面对的最直观风险是攻击者“非正常”访问网站的风险。攻击者的目的不同，“非正常”访问的手段也有所区别。

3.1  DoS/DDoS攻击

DoS/DDoS（Deny of Service/Distributed Deny of Service）是以致盲业务为目的的攻击手段。它通过大量的肉鸡发送无效数据包，使得Web业务繁忙以至于最终无法提供正常服务。无效的数据包可以通过各种协议发送，如SYN、ICMP、UDP。但是当Web服务安装了防火墙后，这些攻击都能够被有效的阻挡在防火墙外而不能对业务造成影响。目前比较有效的攻击手段是CC（Challenge Collapsar）攻击[3]。它利用模拟多个用户并发访问的方式，耗尽服务器和数据库的资源。因为已模拟成正常的web访问，所以此类攻击能够有效穿透防火墙。

在DDoS攻击领域，目前已经有了一个完整的黑色产业链。只为兴趣不为利益的攻击几乎已经不存在了。在该链条中，有人负责提供肉鸡、有人负责编写攻击软件、有人负责选取对象开展攻击、有人负责讹诈收钱。一些流量敏感型业务或者Web页面电子商务依赖性较大的业务往往最容易成为被攻击的对象，如视频网站、电商网站等。

3.2  Web页面漏洞

典型的Web页面漏洞包括SQL注入漏洞和XSS（cross site scripting）跨站漏洞。SQL注入风险产生的原因是Web页面没有过滤用户的URL输入。这样一来，攻击者通过向服务器提交恶意的SQL查询语句，应用程序接收后错误地将攻击者的输入作为原始的SQL查询语句的一部分执行，导致改变了原始的SQL查询逻辑，额外的执行了攻击者构造的SQL查询。常用的SQL注入语句如：$username=1'or'1'='1、$password=1'or'1'='1。通过多次输入这些语句并依据服务端返回值（“正确”或“错误”），就可以猜解出Web端数据库的用户名和密码，达到非法访问的目的。解决SQL注入一般是通过URL过滤的方式，防止用户通过http协议提交一些非法的查询请求。

XSS（cross site scripting）跨站漏洞只存在于包括动态内容的页面上，而静态站点则完全不会受到其影响。所谓动态内容，是指根据用户环境和需要，Web应用程序能够输出相应的内容。所以这些网站往往允许用户发表包含HTML或Javascript脚本的内容。如果用户发表的内容包含了恶意脚本，那么其他用户在浏览这些内容的时候，恶意脚本就会执行，盗取他们的信息，包括用户帐户、cookie等。跨站攻击又分为持久型跨站和反射型（非持久型）跨站2种。根据应用安全国际组织OWASP[4]的建议，对XSS最佳的防护应该结合以下2种方法：验证所有输入数据，包括输入数据的长度、类型、语法以及业务规则;对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。

3.3  越权访问漏洞

越权访问漏洞是指用户无需通过Web服务的用户名和密码匹配校验鉴权就能直接访问服务的漏洞。这往往是由于Web服务开发者的疏忽而造成。用户在登陆Web服务的时候，需要输入用户名和密码来鉴权确认用户身份。但是当用户登陆后，在进行某些需要判定用户身份的操作时，在Web服务中判断用户身份的字段往往不会在客户端和服务器之间传递，而是调用一个session文件来确认用户的身份。该session文件往往是在用户登陆系统的时候创建的，是用户的身份证明。越权访问是在某些Web服务未关联session文件，且未对用户的身份进行鉴权就授予访问权限时发生的。解决越权访问漏洞主要需要开发人员对所有的网站代码做较为仔细的审计，对所有需要校验用户名密码的服务都需要确认要么调用session文件，要么直接向客户端获取用户名密码展开相关鉴权。

3.4  其他风险

Web服务的安全风险其实远不止上述几种。在Web业务开展的过程中可能会有注册、登陆、登出、注销、使用业务等诸多步骤。每一个步骤都可能有因逻辑漏洞或者代码漏洞而产生的安全风险。除此之外，承载Web服务的平台（如IIS、Apache等）、数据库（如SQL）也可能因为补丁未打等为题存在内网漏洞。这些都需要具体问题具体分析。

4   移动互联网时代的安全

在移动互联网领域，由于手机App是信息组织和交互的载体和核心，安全风险主要在手机App上体现。更重要的是，和PC相比，手机终端是更贴近用户的终端设备，上面存储了更加重要和隐私的信息。所以在移动互联网时代，以用户为目标的攻击远比桌面互联网时代更为常见。

4.1  常见的安全威胁[5]

（1）资费消耗：恶意应用在用户不知情的情况下拨打电话、发送短彩信、开启网络连接发送用户数据，导致用户的资费损失。例如某恶意应用伪装为手机壁纸应用诱导用户下载安装，安装后在开机或重启时自动运行某恶意进程。该恶意进程会联网获取返回链接，并不断尝试访问这些链接，通过频繁链接这些网址消耗用户大量流量。

（2）隐私窃取：恶意应用可在用户未确认或不知情的情况下读取用户电话本数据、通话记录、短彩信数据，或者在用户不知情的情况下进行通话录音、拍照、摄像、定位等操作，随后上传收集到的隐私数据。近两年，窃取用户个人隐私正成为恶意应用的主要目标之一。除了用户隐私信息之外，高价值的用户账户信息也是被窃取的主要目标。例如利用某恶意应用，通过淘宝“忘记密码”这一功能重置手机用户的支付宝登陆密码，而重置期间所提示的手机短信，都会被屏蔽，转发给黑客手机服务器。若重置成功，则可盗取用户的淘宝和支付宝账户信息，并将用户账户资金偷走。

（3）恶意扣费：恶意代码通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失。例如恶意扣费应用可以通过在代码内嵌业务订购地址，或通过在线访问的方式，在用户不知情的情况下发起订购。由于被访问的订购业务是蓄意构造的，可能不具备一系列的认证、二次确认步骤，用户会不知不觉的“被订购”和“被扣费”。

（4）远程控制：一些恶意应用可将安装了该软件的终端变成一部“傀儡机”，在用户不知情或未授权的情况下，接受远程控制指令并执行相应的操作。

（5）流氓行为：恶意应用可能会在后台运行，强制驻留系统内存，额外占用CPU资源，使手机终端运行缓慢，并且用户不能禁止该类软件的开机自启动，或者不能删除、卸载该软件。

4.2  恶意手机应用泛滥的原因

恶意手机应用泛滥问题的根源来自多个方面。1）手机用户：在现阶段，国内很多手机用户使用手机应用尚无付费习惯。庞大的受众群体使得免费应用成为恶意程序扩散的主要手段。2）应用开发者：除了开发收费应用之外，一部分开发者为了生存，可能不择手段的寻找各种盈利手段，比如以各种手段诱骗、吸引用户下载并安装应用，利用其内嵌的广告盈利。3）软件下载渠道：下载渠道主要盈利方式是建立在吸引大量开发者发布应用的基础上的。若对应用进行严格的检测，可能导致该渠道的软件来源减少进而影响收入。这导致渠道商没有进行严格安全检测的动力和积极性，甚至可能采取纵容的态度。4）安全厂商：为手机用户提供了免费杀毒软件，并可以为软件下载渠道提供软件安全检测服务。但是免费杀毒的模式与其他软件开发者的生存模式一致，都是靠用户数量盈利，无法保证其权威性与公正性。5）电信运营商：为软件下载提供网络连接，通过流量收取费用。目前运营商已开始在网络侧对恶意应用进行监测，不过尚在起步阶段。6）国家监管机构：因目前我国在手机应用安全监管方面的工作刚刚起步，没有统一的政策、标准等监管要求，也缺乏相关监管手段进行支撑，对手机恶意应用泛滥的现状有心无力。

4.3  移动互联网手机应用的安全管控

既然移动互联网时代用户的入口是手机App，那么对手机App安全性的保障是移动互联网安全治理的重要举措。首先，对手机应用商城的治理刻不容缓。作为手机App的分发渠道，应用商城应该像超级市场对上架货品检测一样对第三方手机App的安全性做准入性检测。这些检测需要从代码、内容等多个方面保证这些在其应用商城上线的应用不能包含恶意的代码、违规的内容，不能在用户未授权的情况下获取用户手机上的隐私和关键信息。其次，政府的行业指导单位需要对手机应用进行合理监管。例如以抽检的方式对业务进行上线前、上线后的安全评估，对未达标的应用责令下线和整改。

5   结论

本文体系化地探讨了桌面互联网和移动互联网业务面临的安全风险，并提出了一些解决问题的思路和方法。实际上，互联网信息安全风险层出不穷，只要业务在不断的发展，新的风险和漏洞也会不断的涌现。只要有利可图，攻击者就会不断的发起攻击，获取数据，并利用黑色产业链兑现相关利益。“没有买卖，就没有杀害”在互联网领域同样适用：没有黑色产业链为攻击者非法获得的数据买单，也就不会有层出不穷的安全事件发生。所以无论是对桌面互联网还是移动互联网，其安全治理不单单是要从技术层面解决安全漏洞，还要从根本上打击黑色产业链为攻击者提供的销赃渠道。

参考文献：

[1] 吴倚天. 从桌面互联网到移动互联网[J]. 信息化建设， 2009（5）： 16-17.

[2] 唐鑫. 网络入侵攻击黑色产业链分析[J]. 网络安全技术与应用， 2014（6）： 174-175.

[3] 计算机与网络. WEB服务器被CC攻击的症状以及防护[J]. 计算机与网络， 2013（10）： 42-43.

[4] OWASP中国：The Open Web Application Security Project[EB/OL]. [2014-11-23]. http：//www.owasp.org.cn/.

[5] 梁宏，解万永，秦博. 手机安全现状及发展趋势[J]. 信息网络安全， 2013（10）： 75-77.