◆万 轶

（中移铁通有限公司青岛分公司 山东 266001）

浅论如何加强移动网络安全建设

◆万 轶

（中移铁通有限公司青岛分公司 山东 266001）

随着人们生活水平的日益提高及信息化应用能力的不断提升，移动网络已渗透至人们的日常生活中，如今几乎每个人都在使用移动通信网络。移动网络在带给人们便利的同时，也存在诸多安全隐患，本文就如何加强移动网络安全建设做一简要论述，并提出解决方法及建议。

移动网络；网络安全；风险感知；安全防控

0 引言

通过对移动网络安全建设体系的深入研究，进一步了解掌握移动网络安全先进防控技术和抵御入侵手段，通过开展移动网络的安全防御手段革新与体系建设，以充分利用网络安全技术来抵御非法入侵者对移动网络的恶意破坏，并提升人们在日常通信中对移动网络的安全风险防范能力。

1 网络安全定义

网络安全是指网络系统的硬件、软件及其系统中的数据信息不因恶意或突发的原因而遭受到破坏、更改、泄漏。信息系统可以持续稳定地运行，网络通信不被中断。

网络安全具有保密性、完整性、可用性、可控性、可审查性。即移动网络中用户或数据信息不可泄漏给未授权用户、过程或实体，或供给非法用户使用。数据信息在存放或传输过程中能够保证不被破坏、不被非法修改或丢失，在网络遭受破坏时，可对出现的安全漏洞或安全问题提供可审查的数据与依据。

2 移动网络存在的主要问题

2.1 移动网络容易被木马、病毒入侵

随着互联网的高速发展，全球信息化进程不断推进，纯粹的计算机病毒时代已经一去不复返，代替而来的是破坏强度呈指数倍增加的新型恶意木马病毒。此类木马病毒具有基础的网络特性及功能，能够迅速找到全局移动网络内个别计算机存在的安全漏洞，并根据具体漏洞进行攻击。虽然目前绝大多数计算机操作系统都装有杀毒软件和防火墙程序，但仍然抵挡不了恶意病毒的入侵和攻击。

对于绝大多数的恶意病毒程序，用户只要将其删除，破坏的危险就算过去了，威胁也不复存在。但有些顽固性木马病毒情况特殊，和电脑病毒、蠕虫等恶意破环程序一样，也具有随意删除或修改用户文件、私自上传和下载文件、格式化硬盘数据等恶意功能。譬如常见的有攻击者利用木马程序入侵并霸占用户计算机、控制U盘、将用户磁盘剩余空间侵占殆尽、破坏或卸载杀毒软件等，此外还有木马病毒特有的“远程控制”、“盗取被入侵计算机文件”等功能。

2.2 用户和控制中心容易被入侵

有线通信网络曾经为人类信息传递事业做出了巨大贡献，随着科技的发展，有线网络将逐渐被无线网络取而代之。如果将有线网络和无线网络进行对比的话，最显著的不同之处就在于无线网络的移动终端和控制中心之间没有物理线路连接，而是利用无线通信信道进行数据传输，而有线网络通常由数据光纤进行连接。因此，移动终端的身份验证信息在无线传输过程中将更容易被非法入侵者截取，继而用户的私人信息被窃取，甚至进一步控制中心也被入侵控制，导致控制中心设备及数据遭到破坏，无法保证正常使用运行，用户的访问信息泄漏后将严重威胁到其信息及财产安全。

2.3 移动网络传输的信息容易被窃取

移动网络存在着致命的弊端就是无线传输信号非常容易被发现，为了能让使用者发现无线网络信号的存在，移动网络必须以特定参数的信标帧进行发送，这样就给入侵者提供了可加以利用的信号信息。攻击者通过使用高灵敏度的天线在高楼顶、公路旁或其他任何信号强度大的地方对移动网络进行攻击而不需要传统意义上的物理线路侵入。

据RSA Security调查结果显示，目前有67%的无线局域网络并未采取安全防护措施。由于个人的计算机都可以通过购买非法的AP，不必经过授权就可接入移动网络，很多下属部门未经过单位网络中心允许，私自建设WLAN网络，入侵者通过非法AP，便可轻而易举的接入该网络，给单位整体网络带来巨大的安全隐患。在美国经常发生这样的事情，入侵者只需要一块802.11b的无线上网卡便可进入一些疏于防范的公司网络，做他们想做的一切。

3 加强移动网络安全对策及建议

3.1 加强风险感知能力

网络风险感知系统往往是结合杀毒软件、防火墙、安全审计系统、入侵监控系统（IDS）等手段的安全防御数据体系。系统可对全局网络当前的状况进行快速评测，对接下来的变化趋势进行预测，对APT攻击及未知流量进行感知，达到网络信息安全预警功能。

为了保证移动网络的信息安全可靠，应注重加强大规模的网络风险感知能力建设。深度的威胁态势感知能力对移动网络减少网络攻击造成的危害、预防潜在的恶意破坏入侵行为、提高应急响应能力都有着重要意义。

3.2 加强安全防御能力

移动网络安全防御应为纵深防御，数据终端是创建和存放数据的源头，大部分的入侵事件都是从数据终端引发而来的。如果移动网络中每一个数据终端都经过正规的授权和认证，并且其日常的使用操纵符合网络安全规范，那么我们就可以认为移动网络系统是安全可信的。目前主流的终端保护方式分为两种：一种为基于终端设备可信度的安全防护，二是从终端对病毒的防护与查杀。

除此之外，保证用户端的身份认证信息、数据的机密性和完整性也十分重要。用户端的安全威胁主要来自互联网，如果用户端设备是可信的，那么用户端设备上就不能安装未经授权的软件。换句话说，只要是在用户端设备上安装和运行软件一定要获得安全服务的认证及授权使用许可，做到这点，网络上的病毒才能不被植入到移动终端中。

3.3 加强监测溯源能力

由于当前的TCP/IP协议对IP包的源地址没有验证机制，导致想要追溯数据包的真实发送地址十分困难，而要查找部分经过多个反射器后进行攻击的真实源地址就更加困难。已有的监测溯源技术分为以下三类：主动询问类，该方法基于主动访问数据流可能经过的全部路由器，确认其流向路径的机制，此方法较为低端，通过路由器进行逐级查询追溯，需要大量人力物力，且无法实现事后追溯的要求。数据检测类，该方法通过建立覆盖全局网络的监测点对全局网络中数据流进行监测，如访问产生的日记记录技术，如果移动网络被入侵，由被入侵端发起查询信息，以获得入侵者的路径信息，此方法需要大量的资源存储空间，若使用HASH算法的日志类方法，则可大大减少数据储存空间。路径重构类，该类方法是目前较为成熟的追踪溯源方法，其核心思想是通过在网络中单独发送含路径信息的数据包或传输数据包时编入路径信息，接收方通过接收储存这些含有路径信息的数据包，并依据重构算法找出攻击数据包路径的目的。

3.4 加强全局管控能力

网络接入安全问题的防范依赖于网络整体安全策略的全面有效实施，安全综合管控平台可以统一对策略进行定义、下发并在每个终端设备上进行统一实施，提高了集中管控能力，此外全局的安全管控还可以对安全事件的集中管理分析和应急响应提供支持，对全局的网络安全风险及威胁进行评估，提供安全决策。

4 结语

随着移动网络与互联网的高度融合，网络多元化、设备智能化、信息开放性等特点也随之在移动互联网中体现出来。与这些技术特点的变化相伴的，移动网络安全问题也相应出现了新的特点。本文对移动互联网频繁出现的安全技术问题进行了简要分析，并提出四点解决策略及建议，希望对移动网络安全技术问题的研究工作提供有益的借鉴。

[1]周学广等.信息安全学.北京：机械工业出版社，2003.

[2][美]William Stallings.网络安全基础应用与标准（第4版）[M].北京：清华大学出版社，2011.

[3][美]Douglas Jacobson.网络安全基础-网络攻防、协议与安全.北京：电子工业出版社，2011.

[4]（美）Mandy Andress著.杨涛等译.计算机安全原理.北京：机械工业出版社，2002.

[5]王达.网管员必读——网络安全.电子工业出版社，2007.

[6]曹天杰等编著.计算机系统安全.北京：高等教育出版社，2003.

[7]石志国等编著.计算机网络安全教程.北京：清华大学出版社，2004.