融媒体背景下移动互联网安全研究
2017-08-22陈芳
陈芳
摘 要 当今时代,移动互联网技术为融媒体的创新和发展提供了无限可能。无处不在的新闻资讯,随处可得的视听产品已经与大众生活息息相关。在享受丰富便利的人文关怀同时,用户及应用的安全风险也日益凸显。作者对当下移动互联系统存在的网络及信息安全问题进行了研究分析,提出了自己的观点,具有现实意义和实用价值,供媒体同仁交流参考。
关键词 移动互联网;安全;防护
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)191-0081-03
当今时代,移动互联网技术为融媒体的创新与发展提供了无限可能。媒介之间的边界变得越来越模糊,打通成为融媒体创新的关键模式。图文、声像整合利用以媒资的形式,开启了数据库营销的大门。网络作为广播、电视资源的延伸,轻而易举地突破传统覆盖区域边界。移动则使得资讯获取无限时空唾手可得。与传统互联网追求流量价值变现相比,移动互联网更追求用户价值变现。结合大数据分析、定位算法的应用,移动互联网不仅呈现出技术复杂的特性,其网络与信息安全风险也在加大,隐患更为突出。
一方面,移动互联网技术使得媒体传播路径通向具有划时代意义的巅峰,另一方面相关系统的保密性、完整性、可用性威胁逐步加大,其安全问题随之进入公众视野,不可小觑。在利用好移动互联网这个工具的同时又要兼顾安全,成为摆在我们面前的迫切问题。开展安全威胁与防护对策研究,具有现实意义和实用价值。
1 移动互联网安全形势
1.1 概念理解
移动互联网泛指基于移动通信技术,广域网、局域网及各种移动信息终端按照一定的通讯协议组成的互联网络[1]。作为移动通信技术和互联网技术的融合产物,移动互联网继承了传统互联网开放协作的功能,又兼具移动网络的准确性、隐私性、可便携、可定位、实时性的特点[2]。用户利用所属便携智能设备,依靠移动无线通讯的方式,随时接入互联网,获取相关资讯和服务。其安全域范围涵盖网络、终端、软件、应用和数据等多个层面。
1.2 发展现状
根据中国互联网协会的最新统计,2016年中国境内活跃的手机上网号码数量达12.47亿[3],移动智能终端使用率不断挤占台式电脑、笔记本等其他个人上网设备。毋庸置疑,中国已成为全球最大的移动互联网用户群。伴随带宽、资费及终端产品的成本降低和用户参与内容创作的兴盛,移动互联网催生出媒体产业和商业模式新形态。用户碎片化行为特征明显,即时通信、网络直播、微博社交、综合资讯已经成为移动互联网高频基础应用。伴随手机应用的快速普及,手机木马病毒感染用户也是创下历年新高,到达5亿[4],且病毒攻击和感染方式不断向操作系统底层渗透。由于移动应用发布推广平台安全审核薄弱,预装软件绑架个体消费行为,造成修改用户数据、流量耗费、计费欺骗、信息泄露等损失,给个人财产和生命带来威胁,甚至侵犯国家关键基础设施,影响恶劣。
2 移动互联网安全威胁
移动互联网是一种结合了多种网络的统一整体,不仅是一个灵活性强且具有可扩展性的通信平台,更兼具IP承载网的一切特性,网络威胁变得更加普遍、持续和复杂,突出问题如下。
2.1 伪基站威胁
伪基站被利用,是网络安全的一个重大隐患。我国目前的伪基站都是GSM伪基站[5]。GSM制式下,基站和手机终端单向认证,信息可被伪基站容易截获。尽管双向鉴权的4G网络越来越普及,但目前的4G是个兼容网络,当进行语音,短信通信时,4G手机回落到2G模式,伪基站就有了可乘之机。它的危害一是影响了用户的正常通信业务、导致网络拥塞,二是群发垃圾广告,甚至是欺诈信息,给国家和个人安全带来了威脅。
2.2 信息篡改威胁
移动智能终端设备可以通过应用层实施对流量的管理,诸如实现广告屏蔽功能。如果该设备遭遇非法入侵,将正常网站进行劫持,则想要推送的信息不仅不能呈现,甚至还可以推送非法内容,对政府新闻网站和机构官方网站而言,风险隐患巨大。
2.3 数据泄露威胁
不安全的App应用,已经成为数据泄露的重要渠道。终端用户的各种小失误,加剧了这一安全威胁,弱口令、默认口令或被盗口令的利用比比皆是。数据在产生、通信、传输、存储的过程中,都有可能被遭受篡改、劫持、钓鱼攻击等。保护敏感信息、防范数据泄露不仅需要权限管理、访问控制、密文传输等技术手段,还需要用户提高安全防范能力和意识。
2.4 移动僵尸网络
移动互联网时代,僵尸网络也历经重大演化,从PC向手机等移动设备蔓延。以智能手机为主要载体的僵尸网络近年来发展迅猛,成为移动通信和网络安全的重大威胁。僵尸网络集病毒、木马、蠕虫技术,感染一个系统之后能够重新编程或更新网络节点,随着自身发展而扩大以伺机执行隐藏深处的攻击任务。由于智能手机是游走于个人与企业安全边界的移动设备,个人在外部网络使用移动终端可能会被恶意程序感染,在接入企业内部网络环境时,恶意程序继续传播并适时发作,引发网络安全事件。
2.5 DDoS攻击
在视频、直播、游戏类行业,利用智能手机、平板、甚至是智能电视、和其它基于云的终端设备发动超高流量的DDoS攻击越来越成为可能。区别于传统的DDoS,新型攻击不再针对网络层和传输层,攻击形式由无实质性目的的数据暴力泛滥方式到向关键性基础设施转变,攻击者针对具体应用,瞄准Web服务器或数据库,将关键服务彻底淹没。尽管基于云技术提供的安全服务可以提供最快、最便捷的安全服务,但是基于云的安全服务仍会因为其互联网本质而受到局限,因为云安全策略,要求使用者必须时刻保证自己互联网的畅通。例如当遭遇最新的应用层DDoS进攻后,网络拥堵或网络处于瘫痪状态时,云安全策略就变得迟缓了。
2.6 安全漏洞
根据国家信息安全漏洞共享平台(CNVD)数据显示,2016年收录通用软硬件漏洞共计10 822个,较2015年增长33.9%。从影响对象类型分类来看,包括应用程序漏洞,Web应用漏洞,操作系统漏洞,网络设备(如路由器、交换机)漏洞,数据库漏洞,安全产品漏洞(如防火墙、入侵检测系统)等。安全漏洞这一先天缺陷以不同形式广泛存在于网络与信息系统的各个层面。安全漏洞作为一种战略资源,已经成为网络攻防双方的博弈焦点。不难想象,安全漏洞被恶意利用,势必危害信息系统,影响网络空间秩序,影响国家安全。
2.7 其他威胁
移动互联网因其组网接入的多样性以及与个人应用密切联系的私密性,其安全威胁也是多种多样。黑色产业链日臻成熟。黑客通过刷机、应用市场、预装等多种方式传播恶意软件,数据丢失、隐私被窃取、账户和服务被劫持、钓鱼欺诈、恶意扣费、锁屏勒索等层出不穷。一种威胁方式或许引发多种不良后果。移动互联网网络环境安全、终端设备安全、App应用安全与现实世界安全问题相互交织引发的安全威胁更为复杂,产生的后果也更为严重。
3 防范应对
针对移动互联网的安全威胁,需要开展相应的安全防护措施。移动互联网作为网络与信息系统,仍然遵循等级保护体系,其安全等级划分、安全重点保护内涵和意义没有发生根本变化[6]。在继承传统信息等保的基础上,根据移动互联系统的安全控制范围,将其风险因素嵌套至等保体系中,通过对其中控制项进行细粒度分析,将移动互联系统从物理安全、网络安全、终端安全、应用安全以及安全管理等方面进行安全防护[7]。
3.1 确定等级保护对象
移动互联系统是采用了移动互联网技术的信息系统,智能终端以无线方式接入由运营商提供的网络或自主搭建网络,完成既定应用业务。根据系统所处物理环境、网络拓扑结构和硬件设备部署情况,等级保护对象应作为一个整体对象定级,移动终端、自建无线网络、无线网关等与固定终端和服务端业务系统视为整体定级对象,一并纳入等级保护范围。
3.2 物理环境安全
保障IT机房物理环境安全及计算机系统运行环境安全。移动互联系统承载国家关键信息基础设施和重要信息系统,其机房、服务器、存储设备等应位于中国境内。机房温度、湿度、空气净度、供电、电磁干扰、关键备份等环境设施安全,遵循GB/T 22239《基本要求》。
3.3 网络安全防范
移动通信接入网和互联网是移动互联网网络的两个重要组成部分。网络安全不仅要保证网络中的服务器、交换机、路由器等硬件设备安全,还要保证网络节点之间的传输安全,能够对端口扫描、非法入侵、漏洞攻击等网络攻击行为作出防范,特别注意以下几方面。
3.3.1 认证鉴权
对所有接入移动互联网的终端进行准入控制,确保只有合法设备才能接入网络。在网络安全中,身份认证技术起到最基础的防护作用,可以保证物理操控与数字身份的吻合。
3.3.2 传输加密
为避免窃听、数据注入、会话劫持等攻击行为,链路传输过程中需要对数据进行加密处理。
3.3.3 网络审计
通过部署安全防护和审计监控等安全产品,对网络活动进行监测和响应,屏蔽突出信息的干扰,检测异常连接尝试,以及识别网络攻击和妥协的指标。
3.3.4 漏洞扫描
基于漏洞数据库,对防火墙、交换机、网络路由器等关键设备进行漏洞扫描,及时进行补丁升级,封堵网络不受保护的入口点,防范黑客攻击和病毒入侵。
3.3.5 渗透测试
从内网或外网等位置模拟黑客手段,对移动互联系统网络设备和主机进行攻击,查找系统安全隐患和薄弱环节。
3.3.6 数据备份
及时进行数据备份,做好容灾基础性工作,一旦发生系统崩溃或存储故障,可以马上进行数据恢复,降低损害。
3.4 终端安全防范
移动智能终端是移动互联系统的核心组件。因其移动通信能力,终端与用户身份具有较强关联。非法入侵往往从终端入手,进而在网络层面和应用层面蔓延扩散。有关终端的安全防护可从以下几个方面着手。
3.4.1 硬件安全防范
移动智能终端硬件设计应保障基带芯片具有抵抗物理类攻击、电气类攻击以及逻辑分析类攻击的能力。另一方面终端的调试端口要被限制使用,防止通过该端口泄露重要参数和安全数据。
3.4.2 操作系统安全防范
操作系统作为系统软件,它的安全是决定终端安全的重要因素。首先,要满足系统程序的一致性检测,防止非法刷机,确保操作系统调用系统资源行为可控,且自身升级操作可控。其次还要具有身份鉴别、访问控制、存储安全、进程隔离、安全审计等安全功能策略,实现对移动智能终端软、硬件管理。此外,还要满足对拨打电话、三方通话、短信彩信、网络连接等通信业务和定位功能、录音拍照、用户数据操作等敏感类业务行为可控。
3.4.3 应用层安全要求
移动智能终端可以对安装在其上的应用软件进行来源识别,具有签名认证和非签名认证应用响应机制,能确保预置应用软件安全,不侵犯个人利益,禁止未经授权的修改、删除、向外传送个人数据或调用终端通信功能等行为,并可对第三方应用开机自启动程序进行监控和管理。
3.4.4 有线无线接口安全
外围接口安全是要求终端设备在充电或进行设备连接及数据传输时具有受控机制和确认机制,能够提供必要的访问控制。
3.4.5 数据安全保护能力
移动智能终端应支持开机及锁定状态下的密码保护,图文、音视频等文件类数据的第三方调取需鉴权认证,防止未经授权的任何操作恢复加密存储信息。同时为了保证用户已删除数据的不可恢复,可对数据存储区进行全“1”或全“0”的多次填充。移动智能终端用户数据迁移及备份应符合有关标准。此外,终端设备应具有数据远程保护功能,一旦终端失落或被窃,仍能确保用户信息可控。
3.5 安全管理
移动互联网安全除了在网络、终端、应用等方面采取必要的技术防范措施,还要在信息安全管理方面下功夫。管理是信息安全工作的重中之重,建立完善的信息安全保障体系,健全安全管理制度,是保障安全有效实施的关键,涉及下面几个方面:
3.5.1 安全管理机构
通过设立安全管理机构,对相关网络与信息安全活动进行组织管理。在机构运作下,岗位设置、人员配备、组织协调运转、授权审批流程控制、审核检查整改等方面可以得到有效管理。安全管理机构职责则是对安全战略方针的把握及具体工作的部署。
3.5.2 安全管理制度
针对移动互联网业务制定出安全工作的总体目标、具体工作制度、以及日常操作規程等。安全制度的出台和发布需经过组织论证,与业务目标趋于一致,能够协调配置人员、资金及设备,安全制度可以在机构上下得到贯彻,并且随着安全隐患和技术架构的变更,安全制度和操作规程能及时作出修订。
3.5.3 系统建设运维
移动互联系统安全建设贯穿系统的整个生命周期。从定级、设计、采购、开发、实施、测评、验收、备案等环节加以控制。系统运维则可以从环境、资产、设备、监控、安全管理中心、网络安全、系统安全、故障管理、应急处置、灾备恢复等方面具体深入。
3.5.4 人员安全管理
所有的制度、流程、操作、处置都靠人来最终实施。人员管理到位是实现移动互联系统安全的重要保障。考核、录用、培训、授权、离职的规范管理一要满足业务安全的需要,二要保障安全意识的始终贯穿。
4 结论
移动互联网是当下科技发展的核心和趋势。媒体行业,国家也在主张“移动优先”的策略。移动互联网技术必然会在节目采集、制作、传输、播发领域得到广泛应用,其网络与信息安全问题需要重视,需要新的安全防御思维,新的安全防护技术,才能在新形势下,为国民经济发展和人民生活服务。
参考文献
[1]亓胜田.基于移动互联网安全的框架研究和设计思想[J].计算机光盘软件与应用,2013(4):7-8.
[2]金晶.移动互联网创新业务模式分析[J].科技创新导报,2014(6):37-38.
[3]中国互联网协会,国家互联网应急中心.中国移动互联网发展状况及其安全报告(2017)[EB/OL].2017.
[4]2016年度互联网安全报告[EB/OL].腾讯安全联合实验室,2017.
[5]叶爱萍.“伪基站”设备的危害性和监管问题研究[J].现代电信科技,2015(5):36-40.
[6]李明.云计算安全等级保护标准研读[J].网络空间安全,2016(11-12):7-8.
[7]范红,杜大海,王冠.移动互联网安全测评关键技术研究[J].中兴通讯技术,2015(3):38-40.