王月帅
摘要:日益增多的智能手机正在改变人们对于网络的使用习惯,随着我国4G用户平均下载速率提高、手机流量资费下降、移动应用程序越来越丰富,我国网民使用手机上网的比例已达97.5%。移动互联网给人们日常生活带来了极大便利,但移动互联网领域的安全状况不容乐观,对公众个人信息安全和财产安全造成危害。
关键词:移动互联网;网络安全;安全威胁;安全防护
一、移动互联网概念
移动互联网是相对传统互联网的一种概念,是通过移动终端,采用移动无线通信方式获取业务和服务的新兴网络形态[1],是互联网的技术、平台、商业模式和应用与移动通信技术结合并实践的活动的总称。
二、我国移动互联网发展现状
2018年1月中国互联网络信息中心发布第41次《中国互联网络发展状况统计报告》,报告显示,截止2017年12月,我国网民规模达到7.72亿,手机网民规模达到了7.53亿,使用手机上网的网民比例达97.5%。根据《中国移动互联网发展报告(2018)》,2017年中国移动互联网基础设施建设成就突出,组建了全球最大的4G通信网络,开始5G第三阶段试验并着手部署6G网络研发;移动互联网用户结构优化,数据流量倍增,形成全球最大移动互联网应用市场。
三、移动互联网安全现状
2018年4月,国家互联网应急中心发布了《2017年我国互联网网络安全态势综述》,报告显示:2017年,国家互联网应急中心通过自主捕获和厂商交换获得移动互联网恶意程序数量253万余个,同比增长23.4%,仍保持高速增长趋势。
针对移动互联网相关的安全威胁与案例进行分析,当前移动互联网面临的网络安全问题主要包括以下方面:
1.应用程序自身的安全问题。移动互联网能够快速发展最重要的原因要归功于各类移动端应用程序的极大丰富,移动互联网带动了大批具有明显个性化特征,并且带有移动特色的创新型和融合型移动端应用程序的快速发展。这些移动端应用程序面临各种各样的网络攻击威胁,按照攻击类型,移动端应用程序面临的安全威胁主要包括:SQL 注入、分布式拒绝服务攻击、敏感信息泄漏等。
2.网络传输过程的安全问题。移动互联网具有的开放性、融合化以及无线传输的特性,使其在网络边界安全防护、网络传输安全防护及安全计算环境等方面面临更大的威胁[2]。但是受限于现有技术能力,移动互联网尚缺乏对隐藏在所传输信息中的恶意攻击进行识别与限制的能力。按照攻击类型,移动互联网的网络面对的威胁方式有网络窃听、伪装、破坏完整性、拒绝服务、非授权访问/使用、行为抵赖等。
3.移动终端的安全问题。移动终端自身的安全问题体现在设备自身的软硬件漏洞或缺陷,包括CPU芯片、移动端操作系统、底层应用程序、中间件等存在的安全漏洞[3]。由于漏洞所在网络层面低、涉及终端数量众多、责任厂商反应迟钝或不作为等原因,其中很多漏洞从发现到修复会持续很长时间,甚至无法进行修复,从而造成更大的损害。
4.移动互联网用户安全防护意识薄弱。我国移动互联网用户数量众多,具有知识水平差距大、认知水平差别大、年龄跨度大等特点。很多用户在使用网络的过程中不注重保护个人隐私信息,有意无意的将自己的姓名、身份信息甚至密码泄露到网络中,这就给入侵者提供了一个入侵的良好机会。更多的用户在进行各种账号注册时都使用相同的密码,一旦密码泄露,则所有账号就都会处于风险之中,还有些用户设置弱密码或空密码,这样的方式无疑更加危险。
5.个人信息、隐私信息保护的安全问题。移动互联网的很多使用场景中,移动端应用程序都需要收集用户的个人信息、隐私信息,这其中存在过度收集信息的情况,且很多移动应用程序收集的个人信息或存储的隐私信息没有得到很好的保护,导致个人信息的泄露[4]。利用移动互联网进行的诈骗活动能够成功很大一部分原因在于诈骗分子获取了受害用户的个人信息,再通过一步步诱导实施诈骗的,因此对移动互联网中个人信息的保护尤为重要。
6.相关法律法规需进一步完善。近年来我国针对移动互联网安全已加强了立法工作,如《电信和互联网用户个人信息保护规定》、《中华人民共和国网络安全法》、《网络安全等级保护条例(征求意见稿)》等,通过一系列网络安全方面的法律法规的实行,破除了网络是“法外之地”的错误思想。但目前仍存在立法相对滞后、法律条文落地难、执法难、缺少实施细则、缺少配套政策等问题。
四、移动互联网安全防护措施
移动互联网的使用越来越广,但是其安全问题层出不穷,传统的有线网络防护技术已经不再适用移动互联网,因此需要更先进的网络安全技术和管理措施。实现移动互联网络安全可以从以下方面展开。
1.加强个人信息和重要数据保护力度。应从技术和管理两个方面对用户个人信息和重要数据进行保护,技术方面采用数据防泄漏技术、数据脱敏技术、防拖库、撞库技术、数据安全交换技术等,还可采用访问控制、安全审计和备份恢复等常规技术手段进行保护;管理方面,大数据时代下个人信息是非常重要的数据资源,应采取措施防止移动互联网各从业主体对个人信息的过度收集、滥用、保护不足、非法交易等行为。应设立个人信息收集准入门槛,不具有保护能力的从业主体禁止收集个人信息。
2.加大宣传力度,培养移动互联网用户安全意识。为提高网络安全保障,经过长期摸索,作为互联网的发源地和网络技术强国的美国,最终将提高公共网络安全意识作为工作重点。我们应通过公开宣传教育、公益广告、安全讲座、定期发布执法案例等方式警示教育用户,使用户逐步养成良好的网络使用习惯,如:重要文档加密、識别恶意网站、定期杀毒、清理旧手机信息、重要数据定期备份等。
3.完善相关法律法规和配套政策。以《中华人民共和国网络安全法》为依据,加快出台移动互联网网络安全保护法律法规,推动移动互联网领域关键信息基础设施保护的落地。建立移动互联网网络安全审查制度,对网络产品、网络技术、网络应用和服务等进行审查[5]。推动完善个人信息保护法律法规落地实施,筑牢个人信息保护的法律防线。
4.加大自主可控核心技术研究,推动移动互联网安全产业发展。在移动互联网领域我国一直存在着“核心技术受制于人”的问题,关键技术依赖于国外、自主可控能力差是制约我国移动互联网安全产业发展的重要因素。一方面,我国应在相关法律法规支持和政策的引导下加强关键技术的研发,逐步实现移动互联网关键技术的自主可控性,进而建立安全可信的移动互联网。另一方面,要创造移动互联网安全技术自主创新的良好环境,通过产学研紧密结合打造自主创新平台,加快科学研究成果产业化步伐。
五、结语
综上所述,在移动互联网时代,无论是个人、企业国家都面临着无法回避的网络安全威胁,因此需要认清形势,认真分析移动互联网时代的网络安全问题,就移动互联网时代的网络安全问题的发展趋势进行详细的分析,并且针对性的采取策略,保障移动互联网络安全,使移动互联网更好的为国家发展贡献力量。
参考文献
[1] 吴启宗,江辉明. 移动互联网发展趋势演进及热点业务浅析[J]. 电子世界,2014(21).
[2] 王学强,雷灵光,王跃武. 移动互联网安全威胁研究[J]. 信息网络安全,2014(9):30-33.
[3] 李勇辉,王晓箴,贾亦辰. 移动互联网安全威胁及策略研究[J]. 邮电设计技术,2013(10):10-13.
[4] 尤吉华. 移动互联网的信息安全研究[J]. 移动信息,2015(9):00008-00008.
[5] 马欣,王胜开. 对建立网络安全审查制度的分析[J]. 互联网天地,2014(6):45-46.
(作者单位:河南天祺信息安全技术有限公司)