对移动业务安全防范技术研究与开发的探讨
2018-11-09杜林明迟云强金涛
杜林明 迟云强 金涛
一、引言
在移动网络信息化时代背景下,人们的互联网行为习惯发生了重大改变,手机已经成为最主要的网络登录设备,同时,在IOS与安卓系统的基础上,一批又一批的应用产品被开发出来,使人们的日常生活与移动网络间的距离进一步缩小。与此同时,网络安全问题也接踵而至,对移动业务安全构成了严重威胁,虽然各大运营商已经对此采取了杀毒、防火墙、IDS等方式进行抵御,但是仍然存在各种漏洞,需要研制和开发出新一代防范技术,保障移动网络安全。
二、移动业务安全隐患分析
(一)网络开放性带来信息隐患
移动网络的开放性在为人们提供便捷服务的同时,也带来了较大的信息隐患。在无线网络传输过程中,借助协议认证、信令、私钥等方式,便能够使攻击者获取到数据包,通过对数据包的分析便获得了其中的信息,然后对内容进行删除或者篡改后,继续传输下去。另外,攻击者还可以利用物理手段截取通话信息,甚至通过远程操作删除用户信息,使用户业务无法顺利开展。如若攻击者能够掌握加密算法,便能够通过用户设置的网络认证,对其手机SIM卡中的内容进行非法复制与窃取。
(二)核心网络IP化降低信息安全度
现阶段,VoIP语言业务在移动通信中得到了广泛应用,从安全角度来看,安全通信服务水平不足,无法实现对通话来源的有效跟踪与控制。例如,在VoIP应用过程中,通信将会以多样化的方式与网络中心、数据库等频繁连接,由此导致许多威胁因素被引入到网络当中,使传统IP网络安全受到较大威胁,如针对移动业务系统的CC攻击、Synflood攻击等等。随着TCP/IP协议技术的不断更新,攻击者可以通过网络通信对数据包进行拦截,任由其改造后转发,对用户接收到信息的安全性受到影响。在我国目前主干网络中,主要采用国外生产的IP路由设备,但是这些设备也并非完美无缺,或多或少的存在一些Bug,依然无法使网络安全问题得到彻底解决。
(三)业务类型多样,泄密渠道增加
在移动4G/5G网络运行背景下,各种应用程序的数量也在逐渐增加,极大的丰富了网络业务种类,如微信、彩信、语音短信等等。但是多样化的业务类型也导致泄密渠道增加,一旦在信息传递过程中发生信息泄露,则用户信息将在较短的时间以其他方式被传播出去,为用户带来重大损失。这将要求移动通信运营商在保障服务时效性的基础上,还应加强对用户身份的验证,做到可信、可控。然而,要想让通信运营商对每个用户身份、会话等进行严格控制几乎不太可能,目前现有技术还难以实现用户权限的分离。
(四)定位服务泄漏个人隐私
随着移动通信技术的不断发展,管理功能也在不断的丰富,推出了业务切换、定位跟新等功能,需要对用户的位置进行实时跟踪。目前,用户定位功能能够使用户获取到的信息变得更加精确,达到2m以内。然而这一功能也为用户带来较大的安全隐患。攻击者采用非法手段对用户手机中的隐私进行获取后,便能够对用户进行实时跟踪,对用户的人身安全构成极大威胁。
三、移动业务安全防范技术开发
(一)开发目标
随着智能手机逐渐普及,由于在操作、防范等方面存在不科学操作,为网络攻击者的入侵提供可乘之机,对移动业务安全防范技术的开发成为大势所趋,开发的主要目标有两个,一是实现企业对移动设备的统一管理;将移动终端的状态数据以动态的方式展现出来,远程监控终端信息;对系统管理中的全部移动终端进行集中管理,包括密码复杂度、自动锁定、清空密码等;一旦移动终端丢失以后,能够远程删除应用、设备锁定、清空设备等等。二是提高移动设备安全性,能够防止越狱、远程修复系统安全漏洞;对用户登录进行权限控制,当不同用户在相同设备上登录时,不能对其他用户的文件进行读取;在使用杀毒软件之前,先对当前环境安全性进行检测,一旦出现异常,则立即提示用户,避免设备受到恶意软件的攻击。
(二)开发手段
1.终端接入方式
主要采用WIFI接入、运营商网络接入两种方式,为了提高终端接入安全性,需要通过强认证的方式,对用户授权接入访问,利用WIFI开启身份认证;采用公网接入时,利用数字证书对用户身份进行认证。同时,还可以采用链路加密方式,对移动终端接入进行审计,设立操作日志,并将内容传输到远程服务端中,开展集中审计,指定一台设备专门用于审计工作,进一步保障终端接入安全,还能够为事后追踪提供便利。
移动终端接入网络认证的流程为:首先,用户通过AD域账号与WLAN连接,分配到隔离VLAN中;然后,对访问文件服务器的Sep插件进行修复,通过JUNOS PULSE软件进行认证,如若认证成功,则SSL VPN将用户名与密码转送到IC设备中,完成用户认证;最后,终端用户将会获取到一个新的IP地址,SA对终端地质进行检查,看其是否属于授权用户,如若“是”,则能够正常上网。
2.移动终端管理
企业通过构建移动终端管理体系的方式,实现对移动办公设备的统一管理,能够充分实现终端资产跟踪、数据备份、下达策略等管理功能。从终端管理生命周期来看,分为预配阶段、使用阶段与停用阶段三个方面;在终端管理方面分为终端设备管理与终端安全管理,下面将分别针对三个阶段的安全管理进行分析:
終端设备管理:在预配阶段的管理内容主要包括划分成员、制定策略、设备配置与连接、初始化应用等;在使用阶段的管理主要是对资产数据进行跟踪、更新文件信息与设备配置、计划活动、远程控制设备等;在停用阶段的管理工作中,包括用户设备更换、软件重新部署、转变设备用途、设备丢失后进行数据复原等等;
终端安全管理:在预配阶段的安全方面,构建移动业务安全策略、远程发布与保护数据、对终端密码的强制管理等等;在使用阶段,对设备中的数据信息进行备份,安装补丁、强化安全策略与用户身份认证、日志审计、跟踪与监视违法行为、杜绝一切威胁网络安全的因素等;在停用阶段,安全管理包括数据删除、远程关机与上锁、禁止设备、网络、应用等功能的使用等等。
3.本地数据安全
通过设备安全管理系统来保障本地数据安全,采用移动终端杀毒软件对病毒进行扫描与查杀,及时更新和优化病毒库,高效查杀各类木马病毒,保护用户的个人隐私与人身安全。采用IOS、Android平台对漏洞与病毒进行扫描,严格把控终端安全风险。通过垃圾信息过滤功能,可以对彩信、短信、电话等设置黑(白)名单,使垃圾短信、骚扰电话被隔离掉;终端防盗功能可以在设备丢失后,自动隐藏个人隐私数据,并且锁定、报警,还可以远程取回、销毁、定位、强制关机等;备份功能支持一键备份,将设备中的相关数据、短信、照片、通讯录等均加密后传送到服务器当中。
四、结论
综上所述,随着智能手机逐渐普及,由于在操作、防范等方面存在不科学操作,为网络攻击者的入侵提供可乘之机,对移动业务安全构成较大威胁。对此,应积极开发和研制出完整的体系,并且在商用过程中取得良好的反馈。在4G/5G时代背景下,移动网络的构建应加大对安全方面的重视程度,确保传输端、用户端、应用端能够形成安全的防控体系,从而提高新一代网络安全防护水平。