《網(wǎng)絡(luò)與信息安全》手機(jī)安全

《《網(wǎng)絡(luò)與信息安全》手機(jī)安全》由會員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)與信息安全》手機(jī)安全（10頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、文檔供參考，可復(fù)制、編制，期待您的好評與關(guān)注！ 目 錄 0 引言 1 1 手機(jī)產(chǎn)品使用情況 1 1.1 手機(jī)互聯(lián)網(wǎng)應(yīng)用的使用情況 1 1.2 安全產(chǎn)品使用情況 1 2 手機(jī)安全面臨的主要問題和危害 1 2.1 APP缺乏管理成重災(zāi)區(qū) 2 2.2 移動支付遭遇難題 2 3 手機(jī)安全問題的難點(diǎn) 3 3.1 發(fā)現(xiàn)難 3 3.2 舉證難 3 4 手機(jī)安全問題的對策 4 4.1 基于操作系統(tǒng)層的安全技術(shù)路線 4 4.2 基于硬件層的安全技術(shù)路線 4 5 手機(jī)安全防護(hù)措施 5 5.1 切斷手機(jī)發(fā)送涉密場所信息的途徑 5 5.2 使用加密手機(jī)，增加加密模塊 5

2、5.3 提高警惕，增強(qiáng)安全防范意識 5 6 結(jié)束語 6 摘要：3G的推廣和普及推動了移動互聯(lián)網(wǎng)的深度應(yīng)用，手機(jī)作為移動互聯(lián)網(wǎng)時代最主要的載體，其安全性正面臨著嚴(yán)峻的挑戰(zhàn)。種類繁多和開源的操作系統(tǒng)為移動互聯(lián)網(wǎng)安全帶來了更多的問題和隱患。近兩年來手機(jī)安全領(lǐng)域的問題已經(jīng)日趨復(fù)雜，各類手機(jī)病毒爆炸式增長。APP大肆竊取個人隱私，釣魚和欺詐事件頻發(fā)，針對手機(jī)支付的惡意程序大量出現(xiàn)，微博、微信、二維碼等新型應(yīng)用成為病毒的入口和傳播的平臺。手機(jī)安全已經(jīng)成為安全領(lǐng)域的焦點(diǎn)話題。文章介紹了手機(jī)安全現(xiàn)狀及目前面臨的主要主要問題和危害，并預(yù)測了手機(jī)威脅的發(fā)展趨勢。 關(guān)鍵詞：移動互聯(lián)網(wǎng)；手機(jī)安全；移動

3、終端 Abstract: 3G’s popularization and generalization promotes the deep application of mobile Internet. Mobile phone, as the most important carrier in mobile internet times, is facing a serious challenge to its security. Variant and open operation systems carry more issues and hidden dangers to

4、 the security of mobile Internet. In the recent 2 years, the factors that affecting mobile phone security becomes more and more complicated. The variety of mobile viruses has an explosive growth; APP steals individual privacy without restraint; phishing sites and fraudulent events occur frequently;

5、evil programs aiming at mobile payment are created; new applications, like microblog, Wechat & twodimension code, are proved to be virus entrance and dissemination platform. Mobile phone security has been the focus in security field. This paper introduces the present status of mobile phone security,

6、 the key issues and dangers it is facing, and also forecasts the developing trend of threat that mobile phone is confronting. Key words: Mobile Internet; Mobile Phone Security; Mobile Terminal 0 / 10 手機(jī)安全 0 引言 3G 的推廣和普及推動了移動互聯(lián)網(wǎng)的深度應(yīng)用，更多的傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用模式轉(zhuǎn)移到移動互聯(lián)網(wǎng)。近年戶持續(xù)高速增長，移動設(shè)備將取代傳統(tǒng)的個人電腦成為主流上網(wǎng)工具。在移動

7、設(shè)備中，手機(jī)以其小巧便捷備機(jī)的發(fā)展，手機(jī)終端性能的不斷提高，加上網(wǎng)絡(luò)寬帶化發(fā)展，越來越多的用戶選擇手機(jī)上網(wǎng)。相對于傳統(tǒng) PC，手機(jī)終端存儲的信息更有價值，且多涉及個人隱私等敏感信息。手機(jī)作為移動互聯(lián)其安全性正面臨著嚴(yán)峻的挑戰(zhàn)。種類繁多和開源的操作系統(tǒng)為移動互聯(lián)網(wǎng)安全帶來了更多的問題和隱患。[1] 1 手機(jī)產(chǎn)品使用情況 1.1 手機(jī)互聯(lián)網(wǎng)應(yīng)用的使用情況 用戶最常使用的互聯(lián)網(wǎng)應(yīng)用主要包括瀏覽網(wǎng)頁、即時通訊、微博、視頻與音樂等，其中微博用戶近兩年大幅攀升。調(diào)查顯示，微博、即時通訊、社交網(wǎng)站等以互動交流為主的應(yīng)用在移動終端的應(yīng)用中占有較大份額，同時，視頻與音樂、網(wǎng)絡(luò)游戲等娛樂方面的應(yīng)用也持續(xù)增長

8、。移動終端的應(yīng)用延續(xù)了以互動和娛樂為主的特點(diǎn)的同時，也在逐漸向商務(wù)轉(zhuǎn)變，越來越多的用戶使用網(wǎng)絡(luò)支付、交易等網(wǎng)上金融業(yè)務(wù)。 1.2 安全產(chǎn)品使用情況 近六成的用戶使用了手機(jī)防病毒軟件，安裝短信防火墻的占總數(shù)的 30.1%，超過 20% 的用戶安裝使用了云安全產(chǎn)品，15.8% 的用戶使用了移動終端安全管理產(chǎn)品。近年來，安全廠商相繼推出多種類型的移動終端的安全產(chǎn)品，用戶對手機(jī)等移動終端安全的認(rèn)知度普遍提高，移動終端告別了早期的“裸奔”時代，安全防護(hù)及安全管理軟件的普及率大大提升。[2] 2 手機(jī)安全面臨的主要問題和危害 手機(jī)面臨的安全問題主要有惡意軟件、垃圾短信、釣魚信息、網(wǎng)站瀏覽等。其中網(wǎng)

9、絡(luò)釣魚和網(wǎng)絡(luò)欺詐已經(jīng)成為網(wǎng)民面對的主要安全威脅，其傳播途徑也逐漸轉(zhuǎn)向信任度高、交互性強(qiáng)的微博、微信平臺，同時，網(wǎng)站瀏覽安全仍然是傳統(tǒng) PC和移動終端需要共同面對的問題。 2.1 APP缺乏管理成重災(zāi)區(qū) APP 即第三方應(yīng)用程序。隨著智能手機(jī)和移動終端設(shè)備的普及，使用 A PP 客戶端上網(wǎng)的模式逐步為用戶所接受，第三方應(yīng)用商店已成為我國消費(fèi)者的首選。但是，由于眾多第三方應(yīng)用商店對于 APP 缺乏嚴(yán)格的審核機(jī)制，給惡意軟件的滋生提供了便利條件。一些下載率高的應(yīng)用程序、熱門游戲軟件等都是惡意用戶實(shí)施篡改和捆綁的目標(biāo)，他們多用于推送消息和廣告，惡意扣費(fèi)，更改用戶設(shè)置，竊取用戶通訊錄、手機(jī)短信的個人

10、信息，下載病毒、木馬等惡意程序，監(jiān)聽通話內(nèi)容甚至進(jìn)行錄音。一款捆綁了惡意軟件的熱門 APP 感染數(shù)量能達(dá)到百萬以上。不安全的 APP 嚴(yán)重威脅著手機(jī)用戶的數(shù)據(jù)和隱私安全。 2.2 移動支付遭遇難題 隨著互聯(lián)網(wǎng)商務(wù)應(yīng)用的發(fā)展，2012 年 , 中國互聯(lián)網(wǎng)網(wǎng)絡(luò)支付的交易規(guī)模大幅度增長 , 電子支付已逐步成為現(xiàn)代支付體系中最活躍、最有發(fā) 展前景的組 成部 分，電子支付 市場發(fā) 展 迅 速。同樣，這個巨大的金錢交易市場也受到了不法分子和惡意用戶的高度關(guān)注，針對手機(jī)支付的病毒、木馬相繼出現(xiàn)，技術(shù)手段也在雙方的博弈中不斷升級。 去年相繼出現(xiàn)了Zeus、SpyEye 等手機(jī)木馬程序。它們綜合了“桌面”

11、版惡意軟件的功能，能夠獲取用戶的在線銀行賬號信息。這類手機(jī)惡意軟件主要用來竊取銀行發(fā)送的確認(rèn)信息，即在線銀行交易需要的確認(rèn)碼。此外，他們還會隱藏銀行發(fā)送給用戶的信息，如果用戶不檢查銀行賬號，根本無法察覺賬戶已經(jīng)被竊。 2013 年 3 月，我國首次出現(xiàn)了感染國內(nèi)手機(jī)支付銀行客戶端的病毒“洛克蠕蟲”，該病毒感染了中國建設(shè)銀行的手機(jī)客戶端，通過二次打包的方式把惡意代碼嵌入銀行 APP，未經(jīng)用戶允許私自下載軟件并安裝，竊取銀行賬號及密碼，繼而盜走用戶賬號中的資金[3]，手機(jī)支付現(xiàn)狀堪憂。 3 手機(jī)安全問題的難點(diǎn) 智能手機(jī)具有人機(jī)界面友好、功能豐富的顯著特點(diǎn)，但產(chǎn)品種類繁多、軟件版本更新快、

12、硬件架構(gòu)不統(tǒng)一的現(xiàn)狀也帶來了諸如安全漏洞頻出、手機(jī)證據(jù)證明力不足、立法步伐難以跟上形勢發(fā)展等一系列的問題。 3.1 發(fā)現(xiàn)難 顯然，竊取手機(jī)用戶的隱私信息、惡意扣費(fèi)以及惡意傳播之類的行為是不道德的，也符合廣義犯罪的概念。但是，對于使用手機(jī)的普通民眾而言，如何發(fā)現(xiàn)和防范這些行為呢？軟件運(yùn)行、數(shù)據(jù)破壞、數(shù)據(jù)復(fù)制和無線傳輸?shù)倪^程都是不聲不響的，在此過程中手機(jī)大多仍能正常使用，手機(jī)使用者在此過程中沒有直觀的疼痛感，絕大多數(shù)的手機(jī)使用者也不具備從正在運(yùn)行的眾多軟件進(jìn)程和無線傳輸流程中分辨出好壞真假的能力。 從手機(jī)網(wǎng)絡(luò)運(yùn)營商的角度看，其主要職責(zé)是負(fù)責(zé)接入、交換和傳輸，但并不具有對所傳輸?shù)膬?nèi)容進(jìn)行甄別和

13、記錄的職能和權(quán)限。在技術(shù)層面上，從海量的數(shù)據(jù)流中發(fā)現(xiàn)針對手機(jī)的不良行為是一件幾乎不可能完成的事情，為之付出的代價很可能超過實(shí)現(xiàn)信息傳輸本身。 3.2 舉證難 民事和刑事案件的證據(jù)都要求有原物，要求所提供電子證據(jù)具有完整性、真實(shí)性和原始性。要想證明手機(jī)安全問題的存在或發(fā)生，往往需要在手機(jī)中和在手機(jī)接入的公眾移動通信網(wǎng)絡(luò)中同時提取到能相互印證的證據(jù)。在現(xiàn)有的法律規(guī)定和運(yùn)行機(jī)制中，幾乎所有的民事案件和大多數(shù)刑事案件中涉及的手機(jī)電子證據(jù)均很難滿足這種要求[4]。對于手機(jī)安全事件而言，大多需要將被刪除內(nèi)容、非授意訪問行為或篡改行為作為證據(jù)。但是，通過攝像、拍照或通過手機(jī)的通信接口，無法讀出被刪除的

14、內(nèi)容，也不可能讀出日志中沒有記錄的非授意訪問或篡改行為，能讀出的內(nèi)容也只是邏輯意義上的數(shù)據(jù)；再加上智能手機(jī)的操作系統(tǒng)和內(nèi)部非易失性存儲器的多樣性，還沒有形成類似計算機(jī)硬盤那樣的相對規(guī)范、統(tǒng)一的硬件接口和通信協(xié)議，不可能像對待硬盤那樣對其中的內(nèi)容進(jìn)行恢復(fù)和鑒定取證，因此在手機(jī)中很難獲得滿足完整性要求的證據(jù)。[5] 與此同時，在手機(jī)接入的公眾移動通信網(wǎng)絡(luò)中能存留下來的主要是日志和計費(fèi)數(shù)據(jù)，但并不涉及到具體的內(nèi)容。為了證明手機(jī)安全事件的存在，這類日志和計費(fèi)數(shù)據(jù)是必不可少的證據(jù)，但由于沒有具體內(nèi)容而只能作為間接證據(jù)。運(yùn)營商可以向用戶提供計費(fèi)數(shù)據(jù)，但沒有向用戶提供日志記錄的義務(wù)；對于民事案件而言，要想

15、獲得這樣的間接證據(jù)也是很難的；即使是刑事案件，如果達(dá)不到一定的級別，也很難獲得批準(zhǔn)提取到此類證據(jù)。因此，對于絕大多數(shù)民事案件和一般的刑事案件而言，很難從嚴(yán)格意義上全面證明手機(jī)安全事件的真實(shí)發(fā)生，這也是現(xiàn)有的手機(jī)安全案例很難進(jìn)入到司法程序的主要原因之一。[6] 4 手機(jī)安全問題的對策 既具有計算機(jī)特性、又具有手機(jī)功能的智能手機(jī)以及既有互聯(lián)網(wǎng)特性、又具有傳統(tǒng)通信網(wǎng)功能的公眾移動通信系統(tǒng)，目前正處于一個管理上的麻煩地帶。我國的手機(jī)網(wǎng)絡(luò)安全問題與發(fā)達(dá)國家中的情況基本上是同步的，有些方面我國甚至更超前。加強(qiáng)管理、加大處罰力度和加快立法步伐是目前通行的做法。 4.1 基于操作系統(tǒng)層的安全技術(shù)路線

16、目前，Android、IOS、Windows Phone、RIM等幾大智能手機(jī)操作系統(tǒng)陣營已經(jīng)形成，操作系統(tǒng)為智能終端上層應(yīng)用軟件運(yùn)行的基礎(chǔ)，提供了豐富、開放的API接口，因此會存在功能接口被非法濫用的安全風(fēng)險，這也是導(dǎo)致手機(jī)安全事件日益增加的主要原因之一。[7] 如果能在操作系統(tǒng)架構(gòu)設(shè)計中融入安全的理念，將安全作為操作系統(tǒng)與生俱來的特性，并將安全能力從操作系統(tǒng)平臺延伸至上層應(yīng)用，那么這種強(qiáng)化的安全機(jī)制將會有利于保障日趨復(fù)雜的終端系統(tǒng)可靠地運(yùn)行。因此手機(jī)操作系統(tǒng)除了應(yīng)具備代碼簽名、沙箱、權(quán)限模式控制、內(nèi)存保護(hù)等安全機(jī)制之外，還應(yīng)向應(yīng)用層開放安全能力，例如為應(yīng)用提供密碼學(xué)運(yùn)算接口，加解密功能、

17、簽名驗(yàn)簽服務(wù)、證書管理，提供SSL、VPN等安全通信協(xié)議，提供DRM等安全服務(wù)能力等。 4.2 基于硬件層的安全技術(shù)路線 越來越多的移動用戶使用手機(jī)進(jìn)行移動支付、網(wǎng)上銀行業(yè)務(wù)，行業(yè)用戶要求在可信的環(huán)境中訪問公司內(nèi)部應(yīng)用或執(zhí)行高安全等級的操作，而各種移動惡意軟件或黑客攻擊會阻止、破壞以上各種業(yè)務(wù)的正常運(yùn)行，同時盜取個人用戶的隱私信息、帳號、密碼、行業(yè)用戶的公司機(jī)密信息等。[8] 病毒查殺工具本質(zhì)上也是軟件，并不比手機(jī)病毒更為底層。因此，保護(hù)用戶核心數(shù)據(jù)以及安全運(yùn)行核心業(yè)務(wù)操作，還需依賴基于硬件層的解決方案，即構(gòu)建硬件可信平臺在更底層對軟件層次的攻擊進(jìn)行保護(hù)。 具體地，該技術(shù)需要硬件芯片上

18、劃分出不同的存儲區(qū)域，支持不同的工作模式，還需事先定義不同類型的操作對應(yīng)不同的工作模式。高級別安全存儲區(qū)域，存儲私人敏感數(shù)據(jù)，禁止軟件訪問。手機(jī)上的常規(guī)操作在普通工作模式下執(zhí)行，關(guān)鍵應(yīng)用、敏感業(yè)務(wù)在硬件可信環(huán)境中，即安全工作模式下執(zhí)行，可』信環(huán)境通常包括可信安全芯片，安全OS，安全API，是一套封閉獨(dú)立的體系，因此移動惡意軟件無法與可信環(huán)境通信，可有效降低安全風(fēng)險。[9] 5 手機(jī)安全防護(hù)措施 5.1 切斷手機(jī)發(fā)送涉密場所信息的途徑 如在涉密場所設(shè)置屏蔽室或者手機(jī)屏蔽柜(套)，進(jìn)入涉密場所之前一律將手機(jī)存放在屏蔽室或者手機(jī)屏蔽柜(套)內(nèi)；在保密會場等涉密場所使用移動通信干擾器，切斷移動通

19、信工具與公眾移動通信網(wǎng)的聯(lián)系。[10] 5.2 使用加密手機(jī)，增加加密模塊 通過加密，可以極大地降低泄密的風(fēng)險。因?yàn)楹芏嗝孛苄孤?，都是別人在無意中發(fā)現(xiàn)的。但加密手機(jī)只是加密了通信信息，并未對用戶位置信息、身份信息等進(jìn)行加密。稍有不慎，涉密信息仍有可能泄露。另外，移動通信加密也給密鑰管理增加了困難?？傊?，加密防護(hù)是相對的，不是也不可能是絕對安全的。 5.3 提高警惕，增強(qiáng)安全防范意識 涉密單位的領(lǐng)導(dǎo)和重要涉密崗位的工作人員不得使用他人贈予的移動通信工具；嚴(yán)禁使用普通移動通信工具談?wù)?、傳送涉密信息；慎重使用移動新業(yè)務(wù)，一般不要開通移動定位、無線上網(wǎng)、移動電話簿等新業(yè)務(wù)；不要將移動通信工具連

20、接到電腦等涉密信息設(shè)備上；移動通信工具外借、外修、保管要慎重，防止失控；慎重使用別人送給你的用戶卡，不要使用來路不明的用戶卡，盡量在正規(guī)的運(yùn)營商經(jīng)銷處購買用戶卡；不要在手機(jī)上存儲秘密數(shù)據(jù)或個人資料、隱私照片等；發(fā)現(xiàn)手機(jī)病毒后，應(yīng)盡快關(guān)閉手機(jī)，妥善查殺病毒。 6 結(jié)束語 經(jīng)過近30多年的發(fā)展，手機(jī)已經(jīng)成為一個不可或缺的通信、娛樂、工作平臺，深刻改變并影響了人類社會的生活模式，但隨之而來的安全問題將會長期存在，并有可能進(jìn)一步加劇。對于快速發(fā)展的通信產(chǎn)業(yè)而言，這既是挑戰(zhàn)，又是機(jī)遇。建議包括政府、運(yùn)營商、廠商、標(biāo)準(zhǔn)化組織等在內(nèi)整個產(chǎn)業(yè)鏈要協(xié)同合作，開展系統(tǒng)化的安全工作，通過標(biāo)準(zhǔn)研究，工程項目、產(chǎn)業(yè)

21、合作等方式提升包括手機(jī)硬件、操作系統(tǒng)以及向外延伸的網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用等產(chǎn)業(yè)鏈環(huán)節(jié)構(gòu)成的手機(jī)生態(tài)系統(tǒng)的整體安全，同時，產(chǎn)業(yè)鏈成員應(yīng)不斷拓展手機(jī)安全產(chǎn)品功能，為用戶提供全方位的安全服務(wù)解決方案。 參考文獻(xiàn) [1] 國家計算機(jī)病毒應(yīng)急處理中心, 2012年全國信息網(wǎng)絡(luò)安全狀況與計算機(jī)及 移動終端病 毒疫情調(diào)查分析報告[R]. 2013. [2] 孫志光,農(nóng)莉莉.未來手機(jī)安全技術(shù)思考[J].移動通信,2013,(第1期). [3] 手機(jī)安全氣囊[J].機(jī)械工程師,2013,(第1期). [4] 梁宏,解萬永,秦博.手機(jī)安全現(xiàn)狀及發(fā)展趨勢[J].信息網(wǎng)絡(luò)安全,2013,(第10期). [5]

22、 江連海.智能手機(jī)安全系統(tǒng)開發(fā)[J].可編程控制器與工廠自動化,2013,(第5期). [6] 黃偉,張瑞霞,王亞亮,劉炎蘭.Android手機(jī)安全防護(hù)系統(tǒng)[J].大眾科技,2013,(第 7期). [7] 張磊.重新定義“手機(jī)安全”[J].數(shù)字商業(yè)時代,2013,(第8期). [8] 周運(yùn)偉.手機(jī)安全問題的難點(diǎn)剖析及其對策[J].信息網(wǎng)絡(luò)安全,2013,(第10期). [9] 中國互聯(lián)網(wǎng)絡(luò)信息中心.中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[R].北京:中國互聯(lián) 網(wǎng)絡(luò)信息中心, 第31次.2012. [10] 張笑容.網(wǎng)絡(luò)個人隱私保護(hù)的難題——用戶權(quán)利邊界在哪里?[J].中國計算機(jī) 學(xué)會通訊,2013,9(5):41-45.