移动互联网时代电子信息的安全及防护措施研究

（武汉纺织大学，武汉 430200）

1 移动互联网的迅猛发展

移动互联网是将互联网与移动通信二者结合起来的产物，是一种采用智能终端设备，通过移动通信的方式获取电子信息和服务的网络。移动互联网包含智能终端、系统软件和应用软件几个方面，其中智能终端包括智能手机、平板电脑、电子书等；系统软件包括操作系统、安全软件等，应用软件包括休闲娱乐类、工具媒体类、教育学习类、商务财经类等广泛的应用服务。

随着智能手机、平板电脑等移动终端价格的不断下降和3G、4G网络通信技术的迅猛发展，移动互联网以一种前所未有的速度渗透到人们工作、生活、学习的各个方面，如移动电子商务（购物、支付、电子钱包、广告）；移动电子政务（移动办公、移动服务、通信、智能搜索、云计算服务）；移动电子娱乐（视频、音乐、影视、游戏）；移动电子社区（社交、社区互动）；移动电子生活（智能家居、导航）；移动电子学习（虚拟课堂、课件、讨论）等。人们对网络的移动性和及时获取信息的需求快速上升，移动互联网正在深刻改变当前社会人们的生活。数据显示，截至2013年底，我国手机网民已超过5亿，占比达81%。2015年李克强总理的政府工作报告中，首次写入了“制定‘互联网+’行动计划”，提出要“推动移动互联网、云计算、大数据、物联网等与现代制造业的结合”，预计移动互联网未来将快速深入到社会生产、生活的方方面面，其应用前景将更加广阔。

2 电子信息面临的威胁

移动互联网顾名思义是通过无线传输，一方面，暴露在公共场所的信号很容易被非法分子窃取；另一方面，受经济利益的驱动，以信息窃取、流量攻击、网络钓鱼为代表的黑客活动十分猖獗，黑客利用移动互联网的特性，对电子信息安全构成巨大潜在威胁。近几年来，国内外互联网安全事件时有发生，在国外，有多个国家的重要网站遭受黑客袭击，在国内，携程网用户信息泄露等事件，全年因网络电子信息泄密导致的经济损失高达上千亿元。移动互联网时代电子信息的安全威胁通常来自如下几个方面。

（1）网站的安全漏洞。据调查，目前我国超过37%的网站存在漏洞隐患，利用网站安全漏洞进行的攻击以近5倍速度增长。2014年全年，360网站安全卫士共拦截各类网站漏洞攻击达7.0亿次，与2013年的1.21亿次相比，增长了约4.8倍，由网站的安全漏洞导致的信息泄漏的风险越来越大。

（2）破解加密算法或窃取口令。除上述网站的安全漏洞导致电子信息安全威胁外，有些攻击者也会通过破解移动互联网无线接入设备的口令、密码或者加密算法等，从而获得对攻击对象访问权限，或通过破解加密算法来窃取移动终端的电子信息。

（3）木马病毒。木马病毒是PC时代电子信息安全的主要威胁之一，它是指通过一段特定的程序（木马程序）来控制另一台计算机，严重危害着网络的安全运行。随着移动互联网智能终端的普及，这些恶意软件也有了新的生存空间。如上亿智能手机被曝光植入了手机间谍软件而秘密上传用户信息。从传播途径来分析，智能终端的木马病毒来源主要包括蓝牙接口、播放攻击构造的恶意多媒体文件、互联感染恶意软件的PC终端以及存在安全隐患的二维码等。

（4）伪AP欺骗。接入点AP伪装是目前威胁等级较高的一种黑客手段，其威胁具有一定隐蔽性，黑客一般伪装成一个看似可靠的接入点，由于移动终端用户的配置不当或者疏忽，就有可能会在未察觉时或者在贪图免费WiFi想法驱使下连接到伪装接入点。攻击者通过在接入点截获受害人的电子信息，进一步分析识别其智能终端上的账号、口令等认证数据，从而达到窃取用户电子信息的目的。

（5）WiFi无线网络劫持。WiFi无线网络劫持指攻击程序利用芯片制造商驱动程序上的安全漏洞，或通过技术手段来截获移动互联网的无线信号并分析出相关有用数据的过程。一般用于无线劫持和窃听设备与用于无线接入的设备类似，这些设备经过稍微的改进就可被设置成一种专门用来捕获特定无线信道或者频率的黑客设备。由于攻击手段隐蔽，这种攻击行为通常很难被普通移动终端用户发现。

（6）业务漏洞。业务漏洞主要是指利用业务应用系统的逻辑缺陷而造成的漏洞来突破安全控制行为。由于设计系统时的逻辑控制缺陷，导致攻击者可以绕过现有的安全控制机制而非法窃取用户信息和权限，如越权查看其它用户业务信息、非法修改他人账号密码、绕过有效性验证非法提交信息，导致交易限度失效或者提交的金额被篡改等。目前这类漏洞主要针对的是数据库与Web程序、用户控制界面之间的数据交换过程等。

3 电子信息的安全防护措施

电子信息安全是移动互联网健康快速发展的前提，随着移动互联网应用的日益普及，电子信息安全问题显得尤为重要，信息安全问题已经成为一个关乎社会稳定、公众安全、经济秩序和移动互联网未来发展的全局性问题。

3.1 完善相关法规

目前，我国已经建立了对信息和信息载体按照重要登记分级保护的信息安全等级保护制度，但由于缺少相关法律依据，这个机制尚未及时启动和发挥应有的作用。对追责措施，制定了相关规定，但是由于还没有量化措施，给管理带来较大困难。因此，针对我国移动互联网快速发展的现状，为了移动互联网的健康发展，使移动互联网真正成为我国经济发展新的引擎，需要加快信息安全立法，针对移动互联网普及应用过程中已经出现或将来可能出现新情况，新问题，制定完善电子信息安全的相关法规，规范网络技术的合法应用，为移动互联网的健康快速发展提供有效的法规保障。

3.2 加强信息认证

移动互联网的发展可以借鉴以前PC互联网发展过程中的经验和教训，避免重蹈桌面互联网时期在信息安全方面不足的覆辙。回顾互联网的发展历程，不难发现互联网在多数情况下只传输信息，不认证信息，在信息传输的同时，也为病毒、黑客等恶意软件作案提供了机遇，给电子信息安全带来很多问题。因此，移动互联网不能仅仅感知、传输信息，必须对感知和传输的信息进行认证，阻止恶意信息的传输，确保信息的真实，保障网络的诚信有序，保护信息源及信息使用者的合法权益。加强信息认证是移动互联网时代电子信息安全防护的重要措施之一。

3.3 移动终端设备管理

对接入移动互联网的终端设备进行全面管控，也是保护电子信息安全的有效措施。移动终端设备的管控主要采取以下措施：①对移动终端采用网络准入的技术方法和控制措施；②在应用程序方面，对个人数据与企业数据进行隔离，切实保障关键数据的完整性和安全性；③对移动互联网存储信息进行加密，或者采用加密软件提供虚拟加密盘，实现数据的加密存储，以保障信息的安全；④移动终端设备之间的通信方式采用端到端的安全加密协议；⑤对业务软件一律使用强制代码签名，为用户提供可信的应用程序下载源；⑥采取有效措施及时对远程数据进行删除，不在本地或浏览器内保留重要的口令信息。

3.4 移动互联网接入的安全防护措施

目前普遍采用移动终端接入网络，主要采用 WiFi或者3G、4G网络，访问的目标可分为互联网应用信息系统和局域网业务信息系统，对这些访问方式和目标都需要采取相应的安全防护措施。①移动终端接入网络采取双向认证与访问授权，在移动互联网环境下，移动终端在接入过程中不仅网络要对移动终端进行可信认证，终端也需要对接入的网络是否可信采取认证。②移动互联网与终端通讯需采用加密机制；③在传统的入侵检测手段的基础上，需要进一步强化对移动网络建立特别入侵攻击行为的检测机制。

3.5 应用系统的安全防护措施

在移动互联网时代，知识与信息技术的更新速度不断加快，应用系统和APP的生命周期相应缩短，受开发周期的限制，软件开发人员在应用系统的开发过程中，很难全面深入开展应用代码的安全检测工作，由于逻辑设计上可能存在安全漏洞，从而给电子信息安全带来潜在隐患。因此，在应用系统的设计阶段，需引入代码的安全检查机制，对应用系统的源代码进行全面的安全检查和评估测试，从而提高应用系统的安全防护能力，从源头消除电子信息的安全隐患。

通过在移动互联网的终端、网络和系统的不同层面构筑安全防护体系，将对保护电子信息安全和移动互联网服务的有效性发挥重要作用，从而进一步促进移动互联网的广泛应用，为移动互联网的健康快速发展提供保障。

[1]张 波.移动互联网时代的商业革命[M].北京：北京机械工业出版社，2014.

[2]王红凯，等，移动互联网安全问题及防护措施探讨[J].信息网络安全，2014（9）：207-210.

[3]樊昌信，曹丽娜.通信原理[M].北京：国防工业出版社，2006.