移动互联网的安全性
移动互联网(MobileInternet)已成为当今网络的一大热门词汇,其日趋火热也是网络发展的必然结果。目前,移动通信代替固定通信成为一个不可争辩的事实,而互联网的飞速发展,也是信息社会发展的一个必然趋势,两者的结合体移动互联网的诞生和发展就成为一种必然。
移动互联网把移动通信网作为接入网络,其包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网和传统的互联网有一定的差异,从表现形式来看,传统互联网是开放的、免费的、拥有海量信息的平台,但其无法对用户进行身份确认,而移动互联网却能做到这一点。所以,相对而言,移动互联网对网络安全有着更高的要求,更强调保护用户的行为及隐私不受干扰。
但是,目前移动互联网在终端和业务应用方面存在较大的安全漏洞,随着智能终端的普及,终端的安全和防护性存在重大考验;业务应用方面,使用移动互联网的用户可能会受到来自于各种渠道的垃圾信息的干扰,如短信、WAP、E-mail邮件等。
移动互联网的安全威胁
移动互联网的安全通信框架可以参考ITU-T的X.805框架(如图1所示),X.805的安全框架基本上有三个层次、三个平面和八个维度。保障移动互联网的安全,要保证终端的安全、网络的安全和业务的安全。
图1 ITU-T X.805 安全通信框架
终端的安全威胁
随着通信技术的进步,终端越来越智能化,内存和芯片处理能力逐渐增强,在终端上也出现了操作系统。智能终端的出现也带来了潜在的威胁:非法篡改信息,非法访问,通过操作系统修改终端中的信息,利用病毒和恶意代码进行破坏。
网络的安全威胁
网络层面的安全威胁,包括非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重;利用嗅探工具、系统漏洞、程序漏洞进行攻击。
业务的安全威胁
业务层面的安全威胁,包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
移动互联网的安全机制
针对安全威胁,移动互联网也有相对应的安全机制。因为移动互联网接入部分是移动通信网络,无论是采用现在的2G还是今后的3G进行接入,3GPP、OMA等组织都制定了完善的安全机制。
终端的安全机制
移动互联网终端应具有身份认证的功能,具有对各种系统资源、业务应用的访问控制能力。对于身份认证,可以通过口令或者智能卡方式、实体鉴别机制等手段保证安全性;对于数据信息的安全性保护和访问控制,可以通过设置访问控制策略来保证其安全性;对于终端内部存储的一些数据,可以通过分级存储和隔离,以及检测数据完整性等手段来保证安全性。
网络的安全机制
目前,在移动互联网接入网方面,3G有一套完整的安全机制。第三代移动通信系统(3G)在2G的基础上进行了改进,继承了2G系统安全的优点,同时针对3G系统的新特性,定义了更加完善的安全特征与安全服务,3G移动通信网络的安全机制包括3GPP和3GPP2两个类别。
业务的安全机制
对于业务方面,3GPP和3GPP2都有相应业务标准的机制。比如,有WAP有安全机制、Presence业务安全机制、定位业务安全机制、移动支付业务安全机制等,还包括垃圾短消息的过滤机制、防止版权盗用的DRM标准等。移动互联网业务纷繁复杂,需要通过多种手段,不断健全业务方面的安全机制。
从产业链角度 保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待其安全问题,既需要通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力,来实现其网络安全,也需要政府部门进行相应的监管,建立合理的政策监管体系。
政府相关监管部门
政府相关监管部门要协调各监管部门利益,建立并完善移动互联网的安全监管机制,要建立完备的移动互联网信息服务许可、备案制度和信息发布制度,建立完备的移动互联网新闻登载业务的审批制度。同时,要严格监管移动互联网的内容传播,建立和完善相应的法律、法规,对各类移动互联网犯罪行为进行追踪惩戒,加大执法力度。政府部门要广泛地开展移动互联网安全宣传教育工作,强调用户的自我安全保护。
运营商
网络运营商要从移动互联网整体建设角度出发,分析存在的各种安全风险,建立一个科学的、全局的、可扩展的网络安全体系和框架,综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全;对安全产品进行统一的管理,包括配置各相关安全产品的安全策略,维护相关安全产品的系统配置,检查并调整相关安全产品的系统状态等;建立安全应急系统,做到防患于未然;增强网络的安全机制,提供更加安全的承载网络。
设备厂商、终端厂商
设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全;终端厂商要和运营商、软件提供商合作,通过把控终端的安全性提高移动互联网的安全程度。
软件提供商
软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
内容提供商
内容提供商要与运营商合作,为用户提供加密级业务,如采用TLS为电子商务类业务提供安全加密。同时,内容提供商要把好内容安全关,采用多种技术对不合法内容和垃圾信息进行过滤。
用户
用户要提高安全防范意识和技能,加装手机防护软件并定期更新,不访问问题站点、不下载不健康内容,不安装不明应用。
