移動互聯(lián)網(wǎng)安全問習題分析

1、PAGE4PAGE4移動互聯(lián)網(wǎng)安全問題分析泰爾網(wǎng) 2009-12-10 08:38:30 來源 電信網(wǎng)技術 作者 蔣曉琳 黃紅艷摘要 隨著移動互聯(lián)網(wǎng)技術的快速發(fā)展、智能手機的普及及其開放的趨勢，移動互聯(lián)網(wǎng)的安全問題已經(jīng)成為其發(fā)展的最重要的因素之一。本文通過分析移動互聯(lián)網(wǎng)的安全模型，比較移動互聯(lián)網(wǎng)與固定互聯(lián)網(wǎng)安全問題的區(qū)別，提出了若干建議。 1 引言移動互聯(lián)網(wǎng)融合了傳統(tǒng)的蜂窩移動網(wǎng)絡業(yè)務和互聯(lián)網(wǎng)業(yè)務，因此在不同的領域對于移動互聯(lián)網(wǎng)的理解有所不同，目前仍沒有統(tǒng)一的定義，這些差異不僅僅體現(xiàn)在技術及其標準方面，其商業(yè)模式、思想理念也有著一定的區(qū)別。僅從業(yè)務形態(tài)方面來劃分，可以將移動互聯(lián)網(wǎng)分為以下模式：

2、（1）手機以WAP方式接入運營商的WAP網(wǎng)絡以及公共WAP網(wǎng)絡來使用特定的移動互聯(lián)網(wǎng)業(yè)務。（2）采用移動終端（手機/PDA，便攜式PC）通過移動網(wǎng)（包括2G，2.5G，3G，E3G，4G）接入互聯(lián)網(wǎng)使用開放的互聯(lián)網(wǎng)業(yè)務，這些業(yè)務與固定互聯(lián)網(wǎng)相比最明顯的特點在于終端的移動性和業(yè)務的個性化。支持移動互聯(lián)網(wǎng)業(yè)務的設備有手機，PDA，便攜計算機等多種形態(tài)。移動互聯(lián)網(wǎng)將把信息通信業(yè)兩個發(fā)展最快、創(chuàng)新最為活躍的領域連接在一起，它絕不僅僅是接入手段的改變，或是對固定互聯(lián)網(wǎng)的簡單復制，而是一種新的能力、思想和模式，并將不斷催生出新的產(chǎn)業(yè)形態(tài)、業(yè)務形態(tài)和商業(yè)模式。近年來，移動通信技術的飛速發(fā)展，網(wǎng)絡帶寬的不斷提

3、高，終端處理能力也越來越強，眾多互聯(lián)網(wǎng)業(yè)務向移動互聯(lián)網(wǎng)滲透。據(jù)統(tǒng)計，搜索，SNS，門戶，即時消息等在移動互聯(lián)網(wǎng)業(yè)務中使用量最大。從移動互聯(lián)網(wǎng)業(yè)務的發(fā)展趨勢可以看出，IM類業(yè)務和Facebook等SNS類業(yè)務的發(fā)展速度較快，移動互聯(lián)網(wǎng)業(yè)務也越來越體現(xiàn)出交互性、即時性和群體性的特征。與日、韓等移動互聯(lián)網(wǎng)普及率較高的國家相比，我國的移動互聯(lián)網(wǎng)仍處于發(fā)展的初期階段，但由于2008年3G牌照的發(fā)放和運營商的宣傳力度加大，現(xiàn)階段我國的移動互聯(lián)網(wǎng)業(yè)務無論在用戶數(shù)量上還是創(chuàng)新能力上都有著大幅度的提高。截至2009年7月的調(diào)查顯示，中國手機網(wǎng)民規(guī)模為1.55億元，占整體網(wǎng)民的45.9%；在2009年上半年手機網(wǎng)

4、民增長超過3700萬。調(diào)查顯示，手機作為上網(wǎng)設備使用比例增幅較大，從2008年末的39.5%到2009年6月的46%，相比較下，PC上網(wǎng)使用比例在下降。隨著移動互聯(lián)網(wǎng)的快速發(fā)展及其用戶群的不斷增大，隨之而來的安全問題也開始引起業(yè)界的重視，現(xiàn)階段安全問題已經(jīng)初露端倪，針對手機的病毒，垃圾郵件和惡意代碼正呈現(xiàn)出不斷增多的態(tài)勢，威脅形式也多樣化，除了竊取用戶的私人信息之外，網(wǎng)絡和服務被攻擊實現(xiàn)也出現(xiàn)了。國外的統(tǒng)計數(shù)據(jù)表明，已經(jīng)有86%的移動互聯(lián)網(wǎng)用戶開始擔心終端的安全問題，如欺詐賬單、信息盜用等；34%的用戶開始對目前的終端及其服務的安全質(zhì)疑；59%的用戶希望運營商能夠把保障終端和業(yè)務安全放在首位。

5、可以說，移動互聯(lián)網(wǎng)的安全問題已經(jīng)成為保證其發(fā)展的最重要因素之一。現(xiàn)階段我國的移動互聯(lián)網(wǎng)業(yè)務目前大多以“圍墻花園”的模式在運營，另外由于智能手機的普及率不高，因此現(xiàn)階段移動互聯(lián)網(wǎng)的安全性較好。但是隨著移動互聯(lián)網(wǎng)的進一步開放，其安全問題也會逐漸顯現(xiàn)。因此，如何保證移動互聯(lián)網(wǎng)的安全可以說是建設移動互聯(lián)網(wǎng)的重中之重。2 移動互聯(lián)網(wǎng)安全問題分析與固定互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)的特征可以總結為3個方面，即移動性、私密性和融合性。（1）移動性移動性帶來接入便捷、無所不在的連接以及精確的位置信息，而位置信息與其他信息的結合蘊育著巨大的業(yè)務潛力。（2）私密性與固定互聯(lián)網(wǎng)不同，移動互聯(lián)網(wǎng)業(yè)務的用戶一般對應著一個具體的

6、移動話音用戶，即移動話音、移動互聯(lián)網(wǎng)業(yè)務承載在同一個個性化的終端上。而移動通信終端的私密性是與生俱來的，因此移動互聯(lián)網(wǎng)業(yè)務也具有一定的私密性。（3）融合性首先，移動話音和移動互聯(lián)網(wǎng)業(yè)務的一體化導致了業(yè)務融合；其次，手機終端趨向于變成人們隨身攜帶的唯一的電子設備，其功能集成度越來越高。移動互聯(lián)網(wǎng)畢竟是在固定互聯(lián)網(wǎng)的基礎上發(fā)展的，其安全問題存在相似性，但在每個環(huán)節(jié)上又有所區(qū)別，這些區(qū)別具體體現(xiàn)在其終端、網(wǎng)絡、業(yè)務和應用幾個環(huán)節(jié)。根據(jù)互聯(lián)網(wǎng)的安全模型，可以相應地建立移動互聯(lián)網(wǎng)的安全模型，具體參見圖1。圖1 移動互聯(lián)網(wǎng)安全模型移動互聯(lián)網(wǎng)的安全包括終端安全、信息和內(nèi)容安全、應用和平臺安全及其網(wǎng)絡安全4個

7、部分。其區(qū)別于固定互聯(lián)網(wǎng)的特點具體如下：終端安全作為“無所不在”的服務，個人信息和業(yè)務創(chuàng)新的載體，終端是移動互聯(lián)網(wǎng)區(qū)別于固定互聯(lián)網(wǎng)的最重要環(huán)節(jié)，其安全問題貫穿并影響了移動互聯(lián)網(wǎng)安全的各個環(huán)節(jié)。總的來說，由于移動互聯(lián)網(wǎng)終端軟、硬件技術的局限，總體來說安全性比固定互聯(lián)網(wǎng)好。主要表現(xiàn)在移動終端的平臺不統(tǒng)一，因此平臺的不兼容性限制了惡意代碼的傳播，同時現(xiàn)階段操作系統(tǒng)漏洞不多；其次硬件處理能力比PC差，無線帶寬有限，限制惡意代碼的傳播；另外某些互聯(lián)網(wǎng)安全問題不易威脅到移動終端。但是移動終端也有其安全問題的特殊性，包括：其Always-on的特性會招致更多的竊聽和監(jiān)視問題；其“個性化”容易引發(fā)涉及隱私/金

8、融等的惡意代碼攻擊；較PC用戶，移動互聯(lián)網(wǎng)用戶缺乏安全意識；另外其病毒傳播途徑多樣化如短信、彩信、互聯(lián)網(wǎng)、藍牙、存儲卡等；較PC而言，移動終端對用戶的重要性增加，已經(jīng)如身份證一樣不可或缺，因此使得攻擊價值增大，危險度和嚴重性增加。網(wǎng)絡安全移動互聯(lián)網(wǎng)在固定互聯(lián)網(wǎng)的基礎上，其網(wǎng)絡節(jié)點和相應的協(xié)議由于引入了“移動性”需要進行擴展。移動互聯(lián)網(wǎng)的接入方式多種多樣，因此網(wǎng)絡安全也將呈現(xiàn)不同的特點。移動互聯(lián)網(wǎng)相比較固定互聯(lián)網(wǎng)的網(wǎng)絡結構封閉，便于管理和控制。網(wǎng)絡安全的特殊性主要表現(xiàn)在網(wǎng)絡結構、協(xié)議及其網(wǎng)絡標識幾個方面?；ヂ?lián)網(wǎng)主張開放和平等，網(wǎng)絡中沒有控制點，而移動通信網(wǎng)多主張封閉性更強的“圍墻花園”模型和有差

9、別的服務；網(wǎng)絡中可以部署關鍵控制點，便于實現(xiàn)可管、可控；引入移動性需要互聯(lián)網(wǎng)的協(xié)議進行支持，對于原有的互聯(lián)網(wǎng)協(xié)議的擴展和影響；移動互聯(lián)網(wǎng)的網(wǎng)絡標識是其最重要的特點之一，除了可以像固定互聯(lián)網(wǎng)一樣互聯(lián)網(wǎng)中使用IP地址作為位置和身份標識，在移動互聯(lián)網(wǎng)中也可以采用SIM卡信息作為用戶標識，可以精確定位終端及位置。因此，從這個方面來講，移動互聯(lián)網(wǎng)的溯源性要優(yōu)于固定互聯(lián)網(wǎng)。業(yè)務和應用安全固定互聯(lián)網(wǎng)的業(yè)務復制是目前移動互聯(lián)網(wǎng)業(yè)務發(fā)展的特點，而融合“移動”特征的業(yè)務創(chuàng)新則是移動互聯(lián)網(wǎng)業(yè)務發(fā)展的方向。因此，其業(yè)務系統(tǒng)環(huán)節(jié)會更多，應用涉及到的用戶及服務器的信息會更多，信息安全問題比固定互聯(lián)網(wǎng)更為復雜。由于移動互聯(lián)

10、網(wǎng)用戶基數(shù)大，節(jié)點自組織能力強，同時涉及大量的私密信息和位置信息，因此有可能引發(fā)大規(guī)模的攻擊和信息發(fā)掘，包括拒絕服務攻擊及其對于特定群組的敏感信息搜集等。惡意信息的傳播方式與固定互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)的惡意信息傳播方式多樣化，具有即時性、群組的精確性。移動互聯(lián)網(wǎng)傳播方式可以分為4種：通過短信/彩信進行群組消息傳送；通過MMSC/SMSC服務器在SNS，BBS及其微博客等進行信息發(fā)布，在指定的群組中進行消息散布；通過即時消息，Push Mail等交流溝通類業(yè)務在特定的群組中進行傳播。3 移動互聯(lián)網(wǎng)安全建議目前在世界范圍內(nèi)尚未發(fā)現(xiàn)針對手機的大范圍攻擊，到目前為止，披露的手機溢出漏洞還很少。但是由于

11、移動互聯(lián)網(wǎng)業(yè)務的發(fā)展，移動終端承載了越來越多的支付功能，而且攜帶大量的私密信息、位置信息和社會關系等，因此其安全問題應引起我們足夠的重視，加之移動終端用戶群巨大，因此在移動互聯(lián)網(wǎng)上發(fā)起的攻擊規(guī)模有可能超過固定互聯(lián)網(wǎng)。例如，我國發(fā)生的智能手機大范圍的感染“小媒體幽靈短信”木馬病毒，危害巨大?！靶∶襟w”手機木馬會搜集手機系統(tǒng)的各種私密信息，包括手機主人姓名，手機號碼，設備序列號，SIM卡惟一序列號，其他硬件特征等信息，悄悄通過短信發(fā)送到指定手機號碼，或通過GPRS把更多信息發(fā)送到指定網(wǎng)站。這些網(wǎng)站會把用戶私密信息進行分析，并高價出售給不法分子。有了這些信息，不法分子可以對感染病毒的手機主人進行短信

12、詐騙、電話騷擾，甚至將來可以進行遠程控制。與固定互聯(lián)網(wǎng)相比，由于感染的移動終端本身攜帶著大量的用戶信息、電話號碼及其社會關系甚至位置信息，因此惡意代碼的傳播也是由點及面，輻射面更廣，傳播速度更快。其攻擊模式有可能是針對于用戶的信息竊取，如信用卡號等；有可能是控制多個終端發(fā)起服務器或者核心網(wǎng)設備的DDoS攻擊；也可能利用木馬迅速散布危害國家安全的信息和其他的垃圾信息等。針對上述安全問題，應該明確各個業(yè)務經(jīng)營方的前提下，充分借鑒互聯(lián)網(wǎng)安全保障措施來明確各個業(yè)務安全的權責方，要求其進行網(wǎng)絡內(nèi)容監(jiān)聽、安全事件預警等“事前”控制機制；其次，在明確內(nèi)容/業(yè)務的提供方式之后，可以在關鍵環(huán)節(jié)（如服務器、短信/

13、彩信網(wǎng)關等）進行信息識別、過濾、阻斷來防止惡意消息的進一步擴散；利用移動互聯(lián)網(wǎng)較好的溯源能力，在明確各個業(yè)務的連接方式后，可以充分借鑒互聯(lián)網(wǎng)的安全技術，同時根據(jù)移動互聯(lián)網(wǎng)的特點，在特殊節(jié)點加強安全監(jiān)控和安全日志管理。我們可以在如下幾個方面加強對于移動互聯(lián)網(wǎng)的安全問題的研究：（1）加強對于終端的控制，盡量發(fā)現(xiàn)漏洞，彌補漏洞。（2）增強對于新業(yè)務的檢查和控制，尤其是針對于“移動商店”這種運營模式，如何讓新業(yè)務與安全規(guī)劃同步，通過SDK和業(yè)務上線要求等將安全因素植入。（3）加強業(yè)務系統(tǒng)之間訪問控制，制定統(tǒng)一的安全策略管理。（4）加強移動互聯(lián)網(wǎng)統(tǒng)一認證的技術研究，可以避免用戶在登錄多個業(yè)務系統(tǒng)時用戶信息泄露。（5）運營商應該優(yōu)化對于移動互聯(lián)網(wǎng)的運營，包括不良內(nèi)容過濾，網(wǎng)絡流量清洗，在關鍵節(jié)點部署DPI，DFI的策略（6）加強統(tǒng)一身份管理（IDM）的研究