文/郝江波洪志国

对移动互联网的安全问题分析及对策

文/郝江波洪志国

随着互联网的发展，尤其是商务类应用的快速发展，许多不法分子纷纷将牟利黑手伸向互联网，导致近年来网络安全威胁和诚信危机事件频发。虽然近年来政府不断加大对网络安全问题的集中治理力度，网络安全诚信问题有了明显的改善，但形势依旧严峻，问题仍不容忽视。在移动互联网中的安全主要可以分为网络安全，移动终端安全，业务安全，信息内容安全。

一、安全分析

1.网络安全。移动互联网打破了传统互联网的网络安全环境，同时也大大削弱了通信网原有的安全特性。原有通信网具有网络封闭性高，信息传输和控制管理分离，终端类型单一和终端可溯源性，这使得原有通信网具有高安全性。而IP化后的移动通信网络作为移动互联网的一部分，大大降低了原有通信网的安全性。IP网络使用的信令和协议，通常存在大量的可被利用的各类漏洞(如拒绝服务和缓冲区溢出等)，且大多数信令和协议的设计对于安全问题没有进行审慎的考虑，也未曾进行系统的安全评估和模拟测试，一个恶意构造的数据包就可以很容易引起设备死机，导致业务瘫痪。

融合后的互联网，增加了无线空口接入，从而使互联网产生了一些新的安全威胁。例如通过破解空口接入协议非法访问网络，对空口传递信息进行监听和盗取，对无线资源和设备的服务滥用攻击等。

2.移动终端安全。移动终端设备安全，尤其是手机安全已经引起了人们的广泛关注。恶意软件、恶意骚扰、隐私泄露等，在用户不知情的情况下定购业务、按照手机通信录中的名单群发垃圾短信或是转发病毒、窃取手机上用户有用信息，有的甚至可以损坏手机软硬件，造成手机运行缓慢、死机或者是硬件损坏。随着智能终端的普及和操作系统的统一，智能终端操作系统存在的安全漏洞，将导致手机在接收彩信、手机浏览网页、下载安装软件等情况下可能感染病毒或遭到入侵，造成用户隐私泄露、信息丢失、话费损失等危害，并对通信网的运行安全造成一定威胁。

3.业务安全。业务安全主要包括非法访问业务、非法访问数据、拒绝服务攻击等。移动互联网的发展带动了大批具有移动特色的新型融合性移动应用的繁荣，例如移动电子商务、定位业务，以及飞信、QQ等即时或短信业务。这些应用和移动通信传统业务充分融合，业务环节和参与设备相对增加很多。同时由于移动业务带有明显的个性化特征，且拥有如用户位置、通信录、交易密码等用户隐私信息，因此这类业务应用一般都具有很强的信息安全敏感度。正是由于以上特征，再加上移动互联网潜在的巨大用户群，移动业务应用将面临的安全威胁会具有更强的攻击目的、更多样化的攻击方式和更大的攻击规模。

4.信息内容安全。移动互联网的信息不仅可来自互联网，而且可以来自移动网以及移动网与互联网结合所得的创新业务。包括移动浏览、移动 Web2.0、移动搜索、移动地图、移动Mashup在内的多数信息属于公众信息而不是端到端通信。这使得移动互联网上的违法信息、不良信息以及侵犯公民隐私的敏感信息等得不到有效的过滤和检查，给社会和人们的生活带来了极大危害。

二、安全解决方案

1.网络安全保护。在网络安全保护方面，要加强移动互联网的无线空口接入安全、移动互联网IP承载网络运营环境和安全防护。针对3G网络的无线空口接入可以采用双向认证鉴权，无线空口采用加强型加密机制，增加抵抗恶意攻击的安全特性等，大大增强了移动互联网的接入安全能力。针对移动互联网IP承载网络，可以部署异常流量监控和清洗技术，部署网络溯源技术，利用设置业务网关/代理/平台的方式，规范用户对网络侧系统和设备的访问行为等，提高承载网络安全。

2.移动终端安全保护。移动终端安全保护方面，针对终端数据保护，可以通过手机锁定、输入密码等方式对用户身份进行认证；通过终端数据自动擦除或远端服务器擦除等方式对丢失手机上的数据进行保护；通过在移动终端上安装杀毒软件、防火墙等防护软件，遏制手机病毒和垃圾邮件的泛滥；对恶意代码的遏制则可采用数字签名认证机制，通过对API的调用进行签名认证，禁止未获得签名的应用软件在移动终端上加载和运行。移动终端厂商要从移动互联网整体建设角度出发，加强设备安全性能研究，利用集成防火墙或其他技术保障设备安全，同时也要与软件厂商等其他厂商合作，通过对终端安全性的把控提高移动互联网的安全程度。

3.业务安全保护。在业务安全方面，需要对服务提供方进行严格认证。3GPP和3GPP2都有相应业务标准的机制。比如有WAP安全机制、Presenee业务安全机制、定位业务安全机制等，其他方面还包括垃圾短消息的过滤机制，对于版权有OMA的DRM的标准等。目前正在标准化的GBA/GAA是一种对业务服务器进行认证的有效解决办法。移动互联网业务纷繁复杂，需要通过多种手段，不断健全业务方面的安全机制。

4.信息内容安全保护。在信息内容安全的保护方面，政府相关监管部门要协调各监管部门利益，建立并完善移动互联网的安全监管机制。要建立完备的移动互联网信息服务许可证、备案制度和信息发布制度。建立完备的移动互联网新闻登载业务的审批制度，同时要严格监管移动互联网传播禁载内容，建立和完善相应的法律、法规。对各类移动互联网犯罪行为进行追踪惩戒，加大执法力度。作为政府部门，同时要开展深入广泛的移动互联网安全宣传教育工作，强调用户的自我安全保护。

随着3G网络的进一步建设、智能终端的进一步普及，人们对互联网需求和依赖性的进一步增强，移动互联网用户规模和网络规模都将呈现爆炸性增长，因此移动互联网是摆在人们面前亟待解决的一个问题，需要通过网络安全，移动终端安全，业务安全和信息内容安全来全面保护移动互联网。移动互联网的安全不仅仅是技术问题，还应该重视管理，强化政府监管部门的监管力度，要从整个产业链协同发展的角度来保障移动互联网的安全。当前正处在移动互联网发展初期，完全有机会依据移动互联网安全框架，通盘考虑安全需求与技术，使移动互联网乃至未来整个互联网都变得更安全。

中国传媒大学工科规划项目(XNG1126)

（作者单位：中国传媒大学计算机学院）

（责任编辑：古伟锋）

国家高技术研究发展计划资助项目(2011AA01A107)；