移动手机软件项目实施信息安全分析
2018-09-20张健陈尚浩李莲珠
张健 陈尚浩 李莲珠
摘要:随着国家移动互联网基础设施的建设及移动终端的科技发展,如今在大中小城市居民基本上达到了人手一部移动手机的水平,个人可以通过手机进行通信、娱乐、教育、支付等活动,基于移动手机的各类应用软件如百花齐放、百家争鸣,各类用户存储在手机中的数据的重要性越来越大,价值越来越高、范围越来越广,随着用户数量的增加、应用场景的丰富直接将对信息安全保护提出了更高的要求。文章对移动手机软件项目实施信息安全进行了分析。
关键词:应用场景;移动互联网;移动手机;信息安全
随着国务院关于加快推进“互联网+政务服务”工作的指导意见的推行,国家移动互联网基础设施的建设及移动终端的科技发展都有了长足的进步,如今在城市居民基本上达到了人手一部移动手机的水平,个人可以通过手机进行通信、医疗娱乐、教育、支付等活动,个人用户存储在手机中的数据的重要性越来越高、范围越来越广、价值越来越大,用户所面临的网络空间安全问题也越来越多。随着用户数量的增加、应用场景的丰富直接将对信息安全保护提出了更高的要求,了解、熟悉移动手机软件项目实施信息安全问題就显得尤为重要。
1 移动互联网手机软件技术架构分析
移动互联网手机应用技术架构主要分为以下3类。
1.1 基于第三方应用软件的移动手机软件
此类移动手机软件主要基于移动浏览器或支持扩展开发的应用程序,移动浏览器如Chrome,Firefox,UC等,直接在浏览器中输入手机软件的服务地址,访问后进行相关的操作,另外基于支持扩展开发的应用程序,如微信小程序、支付宝服务号等,用户通过主程序检索相应的应用名称进行访问操作,此类应用程序不需要针对多种手机操作系统平台做独立开发,多采用HTML5技术即可完成跨平台的互联网的应用,开发复杂度相对较小,但此种方式业务处理都需要与服务器交互,降低了业务处理的效率,用户需要先启动浏览器然后再输入网址,或安装第三方主程序,才能使用应用,比较繁琐且需要用户记忆或收藏应用的入口。
1.2 基于移动操作系统的移动手机私:件
目前主流的移动操作系统包括3种Android, IOS,Windows Phone,考虑到应用的执行效率和应用本身的特点,开发者会针对移动操作系统开发独立的应用,此类应用的主要特点是可以直接访问、调用手机硬件操作系统的资源,应用仅在关键节点上与服务器通信,或者是单机版工具类软件,类似于计算器、秒表或一些阅读器软件。
1.3 基于浏览器插件与本地应用相结合的移动手机软件基于某一种移动操作系统开发的应用程序,应用程序加载HTML解析模块插件进行相关操作,此种方式较第一种的优点在于在移动终端上具有了一个单独入口,默认了浏览的地址,用户启动应用程序可直接访问到相关的服务系统,较第二种开发难度较小,只需要提供加载浏览器插件功能即可,软件升级在服务端完成,升级快捷方便。
2 移动互联网个人手机应用面临的信息安全威胁
通过对移动互联网手机软件技术架构分析,我们可以清楚地认识到针对不同的应用场景,我们会选择相应的技术架构,不同的技术架构所面临的安全问题也不尽相同,但抽象出来移动互联网手机软件面临的信息安全威胁主要来自于以下3个方面,需要我们在手机软件项目实施的过程中加以关注。
2.1 移动手机本身的安全
移动手机本身的安全威胁主要来自于数据的保密性、完整性、真实性和可用性,主要体现在用户存储在移动手机的视频、照片、短信等数据的保密性,访问应用账号、密码的完整性及真实性。移动互联网的数据更多的是个人数据,如通讯录数据、短信数据、通话记录、用户上网行为记录数据,手机网上银行信息数据、个人电子文档等,这些数据的安全性及可用性尤为重要。
2.2 互联网信息传输的安全
互联网信息传输的安全威胁,主要体现在数据传输过程中数据被监听、窃取、修改、破坏。移动应用需要传输信息,必然要借助某种传输通道,针对传输通道的攻击,势必造成了相关安全隐患。
2.3 互联网应用服务器的安全
互联网应用服务器的安全,对外体现在攻击者对数据资料的窃取、修改和破坏3个方面,对内体现在内部人员监守自盗,业务不熟练、服务器设备损坏等方面,造成数据的完整性、保密性、可行性的特征遭到损坏,在此外患内忧的情况下,急需寻找一个可靠的解决方案。
3 针对移动互联网手机软件项目实施面临的信息安全威胁采取的措施
3.1 移动手机本身的安全防护措施
3.1.1 引入密码技术
密码算法[1]主要分为3种算法类型,对称算法、非对称算法和杂凑算法,针对不同的应用场景可以选择相应的算法。国家商用密码管理办公室推行了相关国产密码算法,可以引入到互联网个人信息的保护中去,针对需要保护的信息进行加密处理,从而在一定程度上增加了软件被攻击的难度,达到了安全防护的目标。
3.1.2 发挥国家监管机关的作用
目前移动应用软件以商业运作为主,国家对移动互联网的发展还在鼓励促进的层面,让软件企业发挥自身特长自由竞争,但这样势必会存在软件中的安全[2]得不到保证的情况,建议重点发挥可信第三方检测机构的作用,丰富移动软件产品的检测范围,规范业务流程,联合重点软件企业对用户常用类别软件进行安全保密的规范起草,促进行业协会的发展,做好宣传工作,让用户了解安全问题、提高安全意识,用户使用的重要软件通过可信第三方的相关检测,这样就能够更好地保障用户的信息安全。
3.1.3 构建可信的互联网环境
对移动应用程序的使用者及发布者都进行实名认证,移动互联网世界是虚拟的,针对使用者,用户大部分是通过虚拟账户进行登录,这样无疑给用户不正当的上网行为提供了温床,各类音频、影像文件随意传输、电子图书任意共享。对用户实名认证后再进行相关的操作,这样做到操作溯源、人与账号关联会大大规范用户的上网行为,个人的信息也会得到一定程度的保障;针对发布者,引入公信的电子认证服务机构[3]发布认证证书,将每一个应用程序都加上数字签名,用户在安装的过程中查看是否具有可信的数字签名,从而选择是否安装,这样就能够为软件溯源提供依据,一定程度上规范软件提供商的行为。
3.2 互联网信息传输的安全
目前针对互联网传输的信息安全的保护最有效直接的
办法是通过3个机制来操作,首先是加密机制,引入密码技术、将互联网传输的信息进行加密处理,比较常用的技术手段是架设加密套接字协议层(Security Socket Layer,SSL)通道,SSL通道目前国际上是基于RSA密钥算法,我国推行的非對称性商用密码算法SM2[4]近几年在我国使用得也比较多;其次是安全认证机制,通过数字证书、人脸识别、动态口令等技术手段达到身份认证的作用;最后是访问控制机制,严格控制授权用户访问相应的资源,并分析用户访问的时间、地点及时常周期等数据,从这3个点出发可以对互联网传输的安全做到很好的保护。
3.3 互联网应用服务器的安全
互联网应用服务器的安全应做到:(1)规范机房管理制度,安装监控摄像头及相关监测软件,达到规范管理、安全保密的目的。(2)丰富技术安全保障手段,通过密码算法、磁盘阵列、异地备份等技术手段保障信息的完整性及可用性。(3)及时升级服务器系统软件、修补发现的漏洞,配备专业防护软硬件,提高系统的抗攻击能力。应用服务器是移动互联网应用的数据中心,是移动互联网的信息安全的重要组成部分,保障好移动互联网应用软件的各个环节才能达到全面保护的目的。
4 结语
移动互联网的发展是广阔的、长远的,移动手机在一定的时间内也会是人们生活用品的重要组成部分,移动手机软件的种类也会越来越多,我们需要了解移动手机软件的相关信息安全问题,在享受移动手机软件带来的方便快捷之时,也要考虑到个人及他人的信息安全,这样才能用得舒心,用得放心。没有十全十美的保护,信息安全是一条长远的路,我们只有增强意识,不断完善保护的范围,提高抗攻击的能力,才能在信息安全的激流中站稳脚跟。
[参考文献]
[1]安德森.信息安全工程[M].2版.齐宁,韩志文,刘国萍,译北京:清华大学出版社,2012.
[2]斯坦普.信息安全原理与实践[M].张戈,译北京:清华大学出版社,2013.
[3]高富平.电子合同与电子签名法研究报告[M].北京:北京大学出版社,2005.
[4]冯登国.可信计算:理论与实践[M].北京:清华大学出版社,2013.