移動互聯網的安全性
移動互聯網(MobileInternet)已成為當今網絡的一大熱門詞匯,其日趨火熱也是網絡發展的必然結果�。目前�����,移動通信代替固定通信成為一個不可爭辯的事實,而互聯網的飛速發展����,也是信息社會發展的一個必然趨勢���,兩者的結合體移動互聯網的誕生和發展就成為一種必然����。
移動互聯網把移動通信網作為接入網絡����,其包括移動通信網絡接入、公眾互聯網服務���、移動互聯網終端。移動互聯網和傳統的互聯網有一定的差異��,從表現形式來看��,傳統互聯網是開放的�����、免費的���、擁有海量信息的平臺,但其無法對用戶進行身份確認,而移動互聯網卻能做到這一點����。所以��,相對而言,移動互聯網對網絡安全有著更高的要求,更強調保護用戶的行為及隱私不受干擾�����。
但是�����,目前移動互聯網在終端和業務應用方面存在較大的安全漏洞����,隨著智能終端的普及�����,終端的安全和防護性存在重大考驗����;業務應用方面,使用移動互聯網的用戶可能會受到來自于各種渠道的垃圾信息的干擾��,如短信���、WAP�����、E-mail郵件等。
移動互聯網的安全威脅
移動互聯網的安全通信框架可以參考ITU-T的X.805框架(如圖1所示),X.805的安全框架基本上有三個層次���、三個平面和八個維度。保障移動互聯網的安全,要保證終端的安全、網絡的安全和業務的安全����。
圖1 ITU-T X.805 安全通信框架
終端的安全威脅
隨著通信技術的進步�,終端越來越智能化���,內存和芯片處理能力逐漸增強���,在終端上也出現了操作系統�。智能終端的出現也帶來了潛在的威脅:非法篡改信息,非法訪問���,通過操作系統修改終端中的信息,利用病毒和惡意代碼進行破壞�。
網絡的安全威脅
網絡層面的安全威脅�,包括非法接入網絡����,對數據進行機密性破壞、完整性破壞;進行拒絕服務攻擊�����,利用各種手段產生數據包造成網絡負荷過重���;利用嗅探工具����、系統漏洞、程序漏洞進行攻擊����。
業務的安全威脅
業務層面的安全威脅,包括非法訪問業務���、非法訪問數據、拒絕服務攻擊�、垃圾信息的泛濫���、不良信息的傳播��、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題����。
移動互聯網的安全機制
針對安全威脅���,移動互聯網也有相對應的安全機制���。因為移動互聯網接入部分是移動通信網絡���,無論是采用現在的2G還是今后的3G進行接入�,3GPP、OMA等組織都制定了完善的安全機制��。
終端的安全機制
移動互聯網終端應具有身份認證的功能��,具有對各種系統資源���、業務應用的訪問控制能力����。對于身份認證,可以通過口令或者智能卡方式����、實體鑒別機制等手段保證安全性;對于數據信息的安全性保護和訪問控制��,可以通過設置訪問控制策略來保證其安全性�����;對于終端內部存儲的一些數據���,可以通過分級存儲和隔離��,以及檢測數據完整性等手段來保證安全性。
網絡的安全機制
目前��,在移動互聯網接入網方面����,3G有一套完整的安全機制。第三代移動通信系統(3G)在2G的基礎上進行了改進���,繼承了2G系統安全的優點,同時針對3G系統的新特性�,定義了更加完善的安全特征與安全服務����,3G移動通信網絡的安全機制包括3GPP和3GPP2兩個類別。
業務的安全機制
對于業務方面��,3GPP和3GPP2都有相應業務標準的機制�。比如,有WAP有安全機制���、Presence業務安全機制、定位業務安全機制����、移動支付業務安全機制等�,還包括垃圾短消息的過濾機制�����、防止版權盜用的DRM標準等。移動互聯網業務紛繁復雜�,需要通過多種手段���,不斷健全業務方面的安全機制��。
從產業鏈角度 保障移動互聯網安全
對于移動互聯網的安全保障,需要從整體產業鏈的角度來看待其安全問題,既需要通信運營商�����、設備商����、軟件提供商、系統集成商等價值鏈各方共同努力,來實現其網絡安全,也需要政府部門進行相應的監管��,建立合理的政策監管體系���。
政府相關監管部門
政府相關監管部門要協調各監管部門利益�,建立并完善移動互聯網的安全監管機制,要建立完備的移動互聯網信息服務許可、備案制度和信息發布制度���,建立完備的移動互聯網新聞登載業務的審批制度��。同時,要嚴格監管移動互聯網的內容傳播,建立和完善相應的法律���、法規�����,對各類移動互聯網犯罪行為進行追蹤懲戒��,加大執法力度����。政府部門要廣泛地開展移動互聯網安全宣傳教育工作��,強調用戶的自我安全保護��。
運營商
網絡運營商要從移動互聯網整體建設角度出發,分析存在的各種安全風險,建立一個科學的�����、全局的�����、可擴展的網絡安全體系和框架��,綜合利用各種安全防護措施,保護各類軟硬件系統安全�����、數據安全和內容安全�����;對安全產品進行統一的管理����,包括配置各相關安全產品的安全策略�,維護相關安全產品的系統配置,檢查并調整相關安全產品的系統狀態等���;建立安全應急系統���,做到防患于未然����;增強網絡的安全機制,提供更加安全的承載網絡�����。
設備廠商����、終端廠商
設備廠商要加強設備安全性能研究��,利用集成防火墻或其他技術保障設備安全;終端廠商要和運營商��、軟件提供商合作�,通過把控終端的安全性提高移動互聯網的安全程度。
軟件提供商
軟件提供商要根據用戶的需求變化����,提供整合的安全技術產品��,要提高軟件技術研發水平,由單一功能的產品防護向集中統一管理的產品類型過渡��,不斷提高安全防御技術�����。
內容提供商
內容提供商要與運營商合作����,為用戶提供加密級業務����,如采用TLS為電子商務類業務提供安全加密。同時�����,內容提供商要把好內容安全關���,采用多種技術對不合法內容和垃圾信息進行過濾����。
用戶
用戶要提高安全防范意識和技能,加裝手機防護軟件并定期更新��,不訪問問題站點��、不下載不健康內容��,不安裝不明應用。
