移动互联网对信息安全的影响
移动互联网作为移动智能终端、移动通信网络、互联网的一种融合性网络,不可避免地继承了传统互联网技术与移动通信网技术的脆弱性,再加上用户的上网模式和使用习惯与固网时代存在很大不同,这就使得移动互联网的信息安全问题要远甚于传统的互联网。主要表现在以下几个方面:
一是终端智能化,安全漏洞层出不穷。智能终端的广泛应用是移动互联网区别于传统互联网的一大特点,也是移动互联网发展过程中非常关键的因素。智能终端通常具备上网、办公、通信、娱乐等功能,将来可能发展成为用户的资讯中心、办公中心、交易中心、娱乐中心。由于智能终端将保存更多的个人隐私和有价值的信息,所以其安全问题值得关注。然而,由于智能终端的推广刚刚启动,终端本身操作系统、防病毒软件等并不成熟,安全漏洞可谓层出不穷,这就使得智能终端更容易受到病毒的攻击,出现比传统计算机更为严峻的信息安全问题。
二是没有明显的网络边界,传统的安全机制难以适用。传统互联网中最有效的安全机制是等级保护和边界防护,而移动互联网由于没有明显的网络边界,因此像安全域划分、防火墙部署这样的等级保护和边界防护机制将不再适用。由于移动互联网采用的是IP开放式架构,采取无线空中接口的接入方式,从而导致非法接入网络、攻击者身份隐藏、空中接口传送的信息易被跟踪窃听等新威胁。同时,移动互联网网络边界向智能终端延伸,使移动互联网对用户透明,网络拓扑易被得到。黑客可以直接利用终端对网络发起“匿名电话”、“电话洪水”等攻击。
三是承载的业务丰富多样,存在安全隐患。移动互联网承载的业务类型多种多样,部分业务还可由第三方的终端用户直接提供。移动互联网固有的随身性、身份可识别等特性,使其业务形态更加便捷、更加独特,这为用户带来了极为丰富的业务体验。随着位置信息、彩信、微信、微视等移动特色的各种服务不断涌现,移动互联网所承载的业务逐渐向应用类和行业信息化的方向发展。虽然移动互联网业务丰富了手机应用,但也带来了更多的安全隐患。由于移动互联网业务的大幅度增加,业务提供商以及通信对端变得更加不可信,由此可能引发非法访问系统、非法访问数据、付费网站、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。如2011年,苹果、谷歌等多家厂商就因涉嫌非法使用用户隐私信息而遭到起诉。
四是运营不成熟,安全策略不完善。当前,由于移动互联网终端移动性大、业务种类繁多、用户多重身份等因素制约,移动互联网的运营还不是很成熟。如运营统计分析数据、网管数据收集等,在传统互联网运营中原本很简单,而在现有的移动互联网中却非常复杂。同时,移动互联网的安全策略也不够完善。就目前而言,如何在网络扁平化、业务多样化、终端智能化的情况下,发掘移动互联网的安全威胁,进一步研究完善移动互联网的安全策略,从而保证移动互联网中信息的机密性、完整性、可用性,抵抗各种恶意攻击,提供容侵容错能力,是关系到移动互联网是否推广的一个关键性问题。
移动互联网的信息安全应对策略
在人类发展的历史长河中,我们曾经通过建城堡、修长城的方式来进行国土防御。随着人类社会的发展、人口的增加,以及社会经济活动范围的扩大,原来建城堡、修长城的方式已经无法提供良好的安全保障。同理,面对移动互联网在信息安全上的新挑战,传统的安全防护措施似乎已经无济于事,我们应当寻求一些新的应对之策。
一是在安全防范机制构建方面,要环环相扣。移动互联网安全问题涉及其产业链上的每个环节,我们应当从安全防范机制上打造一把环环相扣的“环形锁”,彻底清除移动互联网在运行方面的安全隐患。为此,首先,要建立一个专门的监管机构。应借鉴国际监管经验,融合我国电信、文化、广电、工商等众多部门,组建专门监管移动互联网的独立机构,集体会商、科学决策、共同监管。其次,强化网络运营商在移动互联网服务中的管理职责。应着眼长远,建立健全内部监控机制,规范管理流程,特别要强化网络运营商在移动互联网服务中的管理职责,使其能够配合相关管理部门针对一些不良信息、软件和功能等及时进行过滤。再次,加强对内容服务商和平台运营商的监管。由内容服务商提供并经平台运营商所集成的新闻、出版物、视听内容等应用,应当经过相关部门的审批许可,以确保应用提供者和消费者的合法权益。然后,设立举报机制。应在内容提供、网络分发和终端接入环节部署监管力量,争取全社会的支持。最后,建立和完善行业自律机制。应将获得相关许可的各类运营主体纳入行业协会组织,制定利用移动互联网提供服务的行业自律规范,坚决抵制不良信息内容,营造文明健康的网络环境。此外,还应完善相关法律法规。移动互联网安全问题是随着移动互联网的发展而产生的新问题,目前国际国内尚未出台相关法律法规,现有的安全防治工作尚无标准可以遵循。为此,应针对移动互联网技术发展和业务管理,尽快制定出台相应的法律法规条文,明确安全的界定范围、责任主体、防治要求等词条的法理内涵,确保移动互联网安全防治工作有法可依、有章可循。
二是在安全防护意识方面,要警钟长鸣。我国有数亿移动互联网用户,这些人在年龄、学历、工作等方面构成复杂,从而导致我国移动互联网用户群体在安全意识、使用习惯等方面参差不齐。如,仅41.1%的用户在移动智能终端上安装了安全防护软件,大多数用户没有安装甚至不清楚是否安装。在安装安全防护软件的用户中,仅有42%的用户是出于安全考虑主动安装的,其他用户要么是系统预装,要么是朋友或广告推荐的原因。据统计,我国目前超九成的移动互联网用户对病毒及恶意软件的传播、危害还不是十分了解,安全防护意识非常薄弱。鉴于移动互联网安全问题的极端重要性,应努力提高全民的安全防护意识,确保警钟长鸣。为此,应及时安装和升级安全软件,不随意打开短信、彩信发来的链接,防止联入“陷阱”网站;应及时关闭蓝牙、WiFi等无线传输功能,不接收陌生的蓝牙设备请求,以免收到病毒文件;养成良好的上网习惯,避免浏览不正规网站或下载软件;坚持在正规的通信运营商处维修、维护手机,防止被植入病毒木马程序等。
三是在技术防范方面,要无缝相连。俗话说,苍蝇不叮无缝的蛋。移动互联网病毒和恶意软件的扩散不是凭空产生的,需要一定的土壤和环境。因此,我们可以从技术机理出发,对移动互联网的技术安全漏洞加以“扼杀”,构建一个浑然一体、无缝相连的技术防范“蛋壳”。首先,提供统一的身份管理及认证。在移动互联网中,可以把身份管理和认证作为网络提供的安全服务之一,实现对多种类型ID的统一分配、存储和管理,提出适合于移动互联网的节点认证服务模型以及相关的流程和协议,实现单点登录以及节点间认证信息的安全传递。其次,组织分等级的数据安全传输。应建立提供不同安全等级、可满足移动互联网要求的数据通信安全通道,并在机密性、消息认证、完整性等方面予以保证。再次,加强访问控制。应综合考虑时间、地点、终端能力、网络流量等因素,通过统一的策略管理与权限分配方案,加强对移动互联网的访问控制。最后,终端节点自免疫。应通过技术手段,使终端节点具有自动发现网络中异常状态和事件、并自动避免这种状态和事件进一步扩散的能力,实现自免疫功能。
总的来说,虽然移动互联网在信息安全方面面临许多新的挑战,但安全从来不可能成为阻碍各种应用和技术发展的理由。我们应当做的就是积极采取有效措施加以应对,确保移动互联网科学、有序、健康发展。
(转自《保密工作》 2014年第七期)