5 移动互联网安全解决方案
对于承载着海量应用的电信网络而言,任何一个网络信息安全漏洞或隐患被利用和攻击,都可能对其承载的业务造成灾难性的影响。因此随着电信对整个社会发展影响的日益加深,保证电信网络的安全进而保证国家和社会的安全与稳定,无疑是电信运营商义不容辞的义务。因此,我们将从终端、网络、业务应用三个层商讲述移动互联网同存在的安念问题及解决方案。
5.1 政府的安全主导
现阶段,信息系统的安全问题越来越严重。在 2013 年在中国就出现了很多用户信息泄露的事件,例如:腾讯 QQ 群数据库泄露 2 亿 QQ 号隐私“被裸奔”。圆通泄露快递信息,大量单号被贩卖。中国人寿 2013 年 2 月泄露了 80 万份投保人的个人信息,80 万份保单的信息在网上可任意查找。国内安全漏洞监测平台发布报告称,如家/汉庭等酒店客户开房记录被第三方存储,并因漏洞导致开房信息泄露。不仅仅中国的安全情况岌岌可危,世界上其他国家的信息安全问题更加严重。例如:Adobe 公司的 3800 万用户密码被泄露。苹果 1200 万个苹果设备 ID(包括用户姓名、手机号码、地址等信息)设备信息泄露事件等。国家相关信息安全部门发现,在境外有上万木马程序和僵尸网络的服务器,通过后门程序远程控制了我国上千万台电脑和服务器。这也证实了我国现在网络安全问题的严重,相关部门应该站在国家安全的高度,来制定相关的法律法规,防治国家的机密信息泄露。政府应当加大宣传的力度,提高企业事业单位和普通民众的安全意识。为了避免安全形式进一步恶化,国家对应参与提供网络服务的企业强制执行相应的安全认证和监管。首先要从国家自身做起,对于设计国家机密的部门和人员,相应的网络和设备要做到实时的监管。网络和便携设备需要由本国企业提供。软件方面,也需要有经过国家安全认证的国内企业来设计和开发。这样从软硬两方面就做到了从源头把关,提高了信息的安全性,也防止在软硬件上留有后门从而威胁到国家的安全。对待企业,国家要创造有利的条件和氛围,鼓励有技术能力的企业在安全方面进行有针对性的产品研发,加大自由知识产权向商业化产品的转化。不仅仅依靠政府自身的力量,也需要广大的科研机构和大学,加大对信息安全和相关领域的研究,也要和国外着名的研究机构保持合作,这样可以及时的获取国外的先进经验,了解和把握安全技术发展的方向,避免闭门造车的困境。对应普通的民众,可以采取多多宣传普及安全知识,包括播出一些安全方面的公益广告,大学可以开展相关的安全讲座等。提供人民大众的安全意识。
5.2 信息安全的法制建设
我国政府很早就对信息安全有了很深刻的认识,并且在上世纪 90 年代,就开始了对应信息安全的立法工作,而且随着社会的进步,互联网的蓬勃的发展,国家对应信息安全领域的法律的制定和修改也在不断的进行和完善,这些法律设计了国民经济和广大人民群众生产生活的方方面面。
(1)相关网络信息安全的法律:随着互联网的快速发展,移动互联网的普及,相关领域违法和犯罪的行为也越来越多,为了保证网络的安全,对已经构成犯罪的行为,在《刑法》上都有相对应的条例进行了规定和相应的处罚措施。对那些已经危害到了网络信息安全的行为,但是尚未构成犯罪恶劣性质的行为,也有相应管理办法进行处罚。
(2)有关电子商务的法律:这些年,随着电子商务的普及,特别是像京东、1 号店这样的网络商城和淘宝、天猫网购平台的兴起,电子商务的安全也越来越重要。电子商务就涉及到在线支付,这样对安全性的要求就非常高。也随着出现了一些不法份子,利用程序和网络上的漏洞进行非法行为的案件。为此,国家特别出台了相应的法律,例如《合同法》和《电子签名法》等,来规范网络交易的行为。而且对应从事电子支付的企业设置了相关的技术服务标准,对于电子支付相关的领域发放了相应经过严格加密的电子证书。这些也为电子商务欣欣向荣的发展提供了法律上的保证。
(3)保护个人信息的法律:随着网络的普及和在线交易的发展,公民的个人信息被存放在各个厂商和企业中。但是个人信息也经常被不法分子通过网络攻击或者透过贿赂企业内部的员工而泄露。为了应对这样的局面,国家也出台了相应的法律法规。例如《中华人民共和国侵权责任法》、《互联网医疗保健信息服务管理办法》等。有了法律的保障,可以对非法泄露和获取公民个人信息的行为给予更大力度的打击。
(4)保护网络知识产权的法律:在信息时代大部分的信息都是通过互联网通过搜索访问特定的域名,从域名转到相应的网站来取得的。然而网络上域名的非法抢注和倒买倒卖的行为很多。在没有相关法律作为保证的情况下,对这些不法行为的打击的力度不够,不足以震慑其他的违法人员。因此,国家制定和出台了《中国互联网络域名管理办法》和《关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》等法律,为相关部门执法提供了保障。
(5)网络业务市场准入的法律:想要从互联网获取信息,第一步要做的就是接入互联网。因此,从互联网接入的源头进行安全控制,显得尤为重要。提高网络接入的门槛,对于接入网络进行准入制度,对应符合要求的企业发放相应的牌照。这样可以避免一些管理混乱,安全性差的企业获得接入资格,也一定程度上保障了整个互联网的信息安全。相关的法律法规有: 《电信终端设备进网审批管理规定》、《电信业务经营许可规定》等。
(6)确保未成年人上网安全的法律:中国有世界上最多的未成年人,这些未成年人上面的比例也非常高。网络上的信息五花八门,未成年人还不能够完全识别有害信息,容易吸收不良的信息,特别是暴力、邪教和迷信等。而且未成年人对于网络游戏容易沉迷,容易形成网瘾,会给他们自身、家庭、社会带来一系列的问题。为此,国家特别颁布了《网络游戏管理暂行办法》,并且要求各个网络游戏公司开发防沉迷的游戏问题,这样可以减少网络上对未成年人的生活的影响,保障他们正常的学习和生活。
互联网的快速发展往往超前于法律的制定,所以在出现相应的问题并且制定出对应的法律的真空期,对网络安全是很大的威胁。而且我国法律的制定,特别是对超前于其他社会生活的互联网的高速发展,有些法律对应有些行为定义的非常模糊,这样导致的结果是对于有些新兴的网络的违法犯罪活动无法在相关的法律上予以明确的判断。
5.3 设置独立的安全监管组织
改革开放的这几十年,中国的经济高速增长,特别是互联网普及之后,整个社会的信息化的步伐更加快速,这样高速发展带来的问题也是越来越多,特别是信息安全的保障工作的压力越来越大。我国信息化的起步明显晚于其他发达国家,但是发展的速度大大快于其他国家,这样的低起点超高速的发展,造成了我们安全防范人员数量少,技术水平参差不齐等各种问题,为了要赶上发展的步伐,需要做到以下几点:
(1)站在国家安全的高度来看待问题。现在是信息化的时代,国家工作的各个方面都在网络上完成,各种行政文件的审批和下达也是在网络上进行,特别是移动互联网时代,大部分的工作都可以在移动终端上完成。这些重要的数据如果没有进行强加密进行保护,犯罪分子就可以通过监听网络轻易的获取这些数据。采用了数据加密,即使是非常强大的加密算法,也存在被反向工程破译的可能性。在过去的年代,只有国家才拥有超级计算机,依靠超高的计算能力才可以破解。但是,在现今云计算的背景下,可以采取临时购买一段时间公有云的方式,进行暴力破解加密信息。更为严重的是,不购买公有云,直接通过被后门程序远程控制的机器,协同作战共同破解加密的方式进行,特别是被远程控制的机器数量特别巨大的时候,可以媲美甚至可以超过超级计算机的计算能力。这样及时再强的加密算法被破解只是时间问题。所以现在的安全问题,不仅仅是在机器上安装个杀毒软件和防火墙就可以解决。身份的验证、设备丢失后的定位以及数据的强行擦除,特定网络通道的安全等问题都关乎于国家的安全。
(2)因为互联网安全涉及到所用的方面,所以需要统筹协调、步伐一致的进行。不能够因为主管安全工作的人员分散于各个部门之中,这样就会形成了相互之间难于协调、重复投入等的混乱局面,而且刚刚部门之间多头管理、力量分散,利于统一监督、管理和协调,不能形成合力的情况。这样对应突发的情况必然响应缓慢,更加重了突发问题的影响程序。应对这样的情况必须成立有高度权威的安全委员会,可以直接领导地方省事的信息安全部门,而且在主管信息安全部门内部要做到责任到人,完善信息安全体系。
(3)国家完成了立法工作,做到了有法可依。接下来的工作就是严格执法,建立一直负责信息安全的执法队伍,做到执法必严,违法必究。这样可以将法律工作落到实地,在法律许可的范围内严判、重判造成信息安全事故的责任人员和违法犯罪,起到震慑的作用。
(4)根据不同部门不同工作的性质制定相应的信息安全保护规章和制度。对于涉及到国家机密,民生安全的领域,信息安全的级别最高。其他领域对应信息不十分敏感,可以制定安全性较低的规章。避免因为不适合的安全规定降低了社会的生产率。
(5)在信息安全领域能够做到亡羊补牢不如做到防患于未然。最有各种黑客、暴力攻击等行为能够通过技术手段做到预判和防护,这样可以将损失降到最低。也要发动社会上的广大信息安全的从业人员和爱好者,他们最为贴近网络安全,可以对现有系统进行查缺补漏,对发现问题的人员给予表彰。
5.4 安全体系中的道德建设
现实生活中,人与人直接的关系几乎都是基于熟悉和相互信任的基础之上。而在互联网的世界中,显着的表现就是虚拟性。网络上有一句“名言”很形象的说明了网络上的虚拟性:在互联网时代,你不知道对面上网的是人还是狗。在网络的世界中,人们之间的联系不是现实社会中基于朋友、同事、同学和亲属的强关系,而是网友、微博的粉丝、豆瓣上同样兴趣小组的成员。没有人知道对方的情况,也无从判断对方的真伪。没有真实世界中的相互监督和彼此的道德约束。有些人正是利用了网络上虚拟性的特点,在网络上为所欲为,自己怎么高兴怎么来,丝毫不顾及其他人的感受。
例如,网络上针对一个人一件事情的漫骂,对有些当事人的羞辱等。互联网,特别是移动互联网的道德建设是非常重要的。
(1)网络和现实不是互相对立和分离的,它们是一体的。网络是现实生活的延续。网络和电话、电视是一样的,都是一种相互交流的工具。区别就是是否能够双向的交互,电话和网络都是可以同时双向的交流。而电视只有单一的手中方。电视和电话背后都是一个实实在在存在现实社会的人,而网络社会呈现给你的是一个虚拟人物,而这个虚拟的人物背后不一定是一个真实存在的人物。例如,网络上存在的虚拟偶像,他的背后不是真实的一个人物,而是一个团队意识的体现。
(2)现实和网络是相互影响的。现实世界发生的事件往往会第一时间通过网络传播开来,例如,汶川地震的时候首先发出信息是移动互联网上的微博和微信。网络上的事件往往会延续到现实生活,例如,前几年因为一件事情,导致事件的主人公被大家在现实社会中“人肉搜索”。现实世界中某个事件受众人较少,影响有限。但是网络中发生的事情往往会被数以万计的网友进行转发,第一发出信息的源头往往无法在短时间内确定。转发之后,往往一件小事的影响会被放大许多倍,造成了难以估量的后果。
(3)网络的力量有的时候会超过现实的力量。例如,“表哥”“房姐”这些事情都是从一些很小的地方被网友发现和分析然后通过网络上传出。最后结果是当时人都无法想象的。更具说服力的例子是白宫网站请愿引爆“朱令铊中毒”真相,尘封了 19年迷案终于尘埃落定。这件事情不仅仅是中国本国的事情了,还牵扯到了国际上其他国家。这也是网络上最正能量反映人民意志的体现。网络及时性和便捷性给人们很大的方便,同时这也是一把双刃剑。如果是正能量对社会产生很大的帮助和促进作用,如果是负能量就会对社会造成很大伤害。在 2013 年中日关系紧张的一年,在西安出现了抵制日货的行为,而且有的人情绪激动砸坏了同胞的日产汽车。而网络上别有用心的一些人,通过网络转发了这件事情,并且操纵民意、煽风点火、颠倒是非,导致在全国其他地方陆续的发生了打杂日产汽车的案件。所以说明网络的力量有时候会大大超过现实的力量。
(4)网络的发展是大势所趋,这就需要使用网络的人做到克己和自律。网络上的道德规范是现实社会道德规范的延伸和扩展。网络的使用者不能够因为一个人的利益而损坏网络上大多数人的利益,做到己所不欲勿施于人。
网络行业自身也要加强道德建设。对应用户发布的内容通过先进的技术及时审查,还要进行人工复审,避免出现一些危害社会的内容。有一些网络从业者为了一己之力,传播一些色情、发动和邪教的内容等。这就需要网络提供商针对这些非法信息进行一步的筛查和过滤,保证网络空间上内容符合国家相关法律规章的规定。
5.5 移动互联网企业的安全责任
5.5.1 身份识别
中国用户的手机数量非常庞大,仅仅中国移动一家公司,保有的用户数量已经超过 6 亿,而且有的用户不仅仅一个手机号码。手机号码是人们通信交流的必要信息,而且是移动互联网的入口,在各种商业活动中,注册的用户信息手机号码也是必填项。
一旦作为用户个人信息的手机号码被泄露出去,造成的影响不可估量。有些不法份子就会通过一些非法渠道获取到用户的个人信息,他们会利用这些信息进行诈骗、传播色情、暴力和邪教的信息,这样的行为严重的打扰了用户的生活,危害了整个社会,影响了社会的治安和稳定。如果泄露相关用户是国家核心技术人员或者关键部门的关键人员,那么就会影响到国家的安全和稳定。所以为了保护作为用户隐私的个人信息,防范非法的活动,实行手机实名制是必然之举。移动互联网用户接入网络必须经过运营商的身份认证,这是我国法律强行规定的,用户识别信息是各运营商提供的手机SIM 卡。实名制是指用户在使用 SIM 卡的时候,需要实名等级自己的相关信息,包括姓名、性别、住址和身份证号码。手机实名制的好处很多,包括:1 用户号码和用户身份进行绑定,有助于监控用户的上网行为。2 如果出现非法攻击移动互联网的行为可以根据相关登记的信息进行源头追溯。3 便于社会诚信体制的建立,对于恶意欠费的用户可以依据运营商的记录,降低恶意欠费用户的诚信等级等。
5.5.2 隐私保护
最近一段时间,很多移动互联网公司因为有其庞大的用户数量,自身也收集了大量的用户信息,不仅仅是用户本身的姓名、年龄、工作情况、家庭住址等,甚至还包括用户所有社会关系的人员信息。在 2012 年,腾讯公司的 QQ 软件推出了新功能 QQ圈子,安装之后 QQ 会自动分析每位用户在现实生活的真实身份,依靠强大的数据挖掘能力,根据特定的算法把服务器里的二度好友关系、群成员关系等系链资源整合到一起,而且 QQ 软件使用的时间越长,可以分析的资料越多,通过用户过去的行为,可以将同学(包括大学、中学、小学甚至于幼儿园)、同事进行自动的分类,把你过去几乎所有的社会关系图谱构建出来。无独有偶,互联网巨无霸的谷歌公司也承认了,在其利用街景摄像车有意或者无意的收集了相当多国家的网络用户的电子邮件地址,常常访问的网页和历史记录等。互联网也是双刃剑,技术的飞速发展,提高了人们的生活的水准和便捷,提高了人们的生存力,推进了社会的发展。但是带来的问题也是越来越棘手,也收集了大量的用户信息,这些信息都是用户的隐私。网络隐私是一个综合性概念, 它实质上是隐私权在网络环境下的延伸。因此, 法律和技术的保障是解决隐私侵权的有力支持。
5.6 中国移动现阶段取得的安全成果
中国移动是中国乃至全球最大的运营商,拥有超过 6 亿的用户数量。中国移动面临着比其他电信运营商更加严重的安全威胁。为此中国移动也做了很多的努力,例如专门成立了中国移动研究院下属的安全技术研究所,并且也取得了不少的成效。
5.6.1 终端基础设施安全
对于用户来说,终端是最为贴近他们的设备,是访问移动互联网的第一选择,所以终端基础设施的安全与否关系到所有最终用户。恶意软件判断技术及安全客户端,助力移动互联网发现和清除恶意的软件。网络监测系统完成对已知恶意软件事件的发现,安全客户端完成对网络监测到的恶意软件的查杀,研判平台通过现网监测系统采集、安全客户端的用户投诉等渠道,获取疑似样本,研判平台集中研判全网未知恶意软件,并与国家机构合作完成恶意软件的审核认定。在手机上安装恶意软件客户端,客户端初步判断恶意软件或者通过网络检测,通过终端用户的投诉,在研究和判断平台上进行疑似样本及行为采集,在测试终端上安装恶意软件,通过实验室的模拟网络环境来监测恶意软件的网络行为,通过静态+动态自动化分析软件再次判断,如果有了准确结果并核准之后,在国家病毒权威机构的病毒进行更新记录,并且在手机恶意软件样本库进行保留存样。如果无法通过程序模拟判断,则最终通过有技术专家组成了手机恶意软件判断团队进行人工判断。
5.6.2 网络基础设施安全
通过自主研发并且兼容国家主流的 TD-LTE 标准,推动 TD-LTE 发展,提升 LTE安全保护强度,提高国家竞争力。牵头和参与国家 LTE 安全重大专项,引领和推动中国 LTE 安全政策制定和产业发展,引领 TD-LTE 技术体制制定和规模试验,推动TD-LTE 产业进展,LTE/SAE 安全方案研究以推动政策和产业发展。
中国移动助力推动自主祖冲之算法(ZUC)走向国际,目前正式被 3GPP SA3 安全小组接纳为 LTE R11 可选算法,标志着国家竞争力进一步提升,提高国家竞争力。成功促成中外第一次密码对话,为算法推动打下基础;积极引领和推动中国自主知识产权工作。此事件是我国加密算法国际标准化工作的标志性事件,更是我国密码技术走向国际化的里程碑。
5.6.3 应用基础设施安全
全力进行不良信息监测系统建设,保障移动互联网绿色和谐发展。随着移动互联网的快速发展,不法分子建立了大量手机色情网站获取暴利,并借机进行其他各种非法营利行为。2009 年全国“扫黄打非”办公室调查数据显示,在有手机的学生中,使用过手机上网的占 82%,而其中知道手机色情网站的占 83%。2009 年至 2010 年,央视连续曝光手机色情 WAP 网站问题。国内媒体对中国移动进行大量负面报道,造成恶劣的社会影响。2009 年 12 月,为此中国移动启动全网不良信息检测系统建设工作,2010 年 7 月系统投入运行。
系统采用中央与北上广三个大区相结和的二级架构,阶段有:发现阶段、审核阶段、封堵阶段、验证阶段。大区前端采集点为:GI 接口、IDC 出口、部分省网网间出口,CMNET 骨干网网间出口,国际网间出口。大区基于文字和图片识别算法,将中标疑似数据提交至人工审核及提交中央封堵。目前在 CMNET 骨干网网间出口和国际网间出口采用流量控制系统对访问域名实施封堵。目前系统存在检测算法准确率不高、处理及审核流程不同、网站通过代理等逃避封堵等问题。后续将进一步实现全国集中监控,并对存在问题进行技术攻关:针对封堵域名数量过大、流量控制压力大问题,采用了 IP 及域名模糊归并手段实施模糊域名封堵,针对人工拨测验证效率低、容易被逃避的缺陷,采用建立自动化拨测平台进行改进,针对动态域名、检测算法查准率低等问题,将依据涉黄网站自身特点开展进一步技术研究。
5.6.4 端到端安全保障
对于内部员工和管理,在现阶段成熟的安全防护技术:1 监察型 2 牢笼型 3 枷锁型的安全保护等级。对应研发部门来说,施行透明加密,加密的信息对应研发部门不同的人员是相同的。业务和管理部门的的保护等级则不同,根据不同业务不同的管理部门根据其管理层级,进行主动分级授权。研发和业务部门对文件的传送方式都是密文上传和下载,即使有人截获了消息也无法解密。而财务、情报部门的情况则不同,因为设计到公司的财务数据,相关的商业企划及其定价方案,对应这两个部门进行了强制加密和主动授权的双保险来确保信息的安全。
5.6.5 安全测评关键技术
中国移动开展安全测评工具和技术研发,具备先进的评估手段支撑全网安全评估以安全工具和平台为智力承载,以提供与业安全服务等多种服务形式,做到防患于未然。支撑现网,广泛开展业界合作,引导安全产业发展。建设了 3 种平台,为各自不同领域提供安全服务。
图 5-5 显示了中国移动在全国范围内安全防护方案。首先在设备探针层部署了主动检查和被动防护两套系统。主动检查包括了系统扫描、基线检查、web 扫描、爬虫、策略检查、日志审计和 watchdog,这套系统主要作用改变了原先出现问题再解决问题的被动挨打状态,主动的出击,收集和分析从各个 IDC 和省公司上传的各种数据,对应可能出现的问题及早发现和处理,避免了更大的影响和损失。被动防护包括了手机病毒研判、恶意流量、防火墙、入侵检测、让其发挥和恶意代码各个功能。这样可以在有些特殊条件下无法主动检查出的各种安全问题一旦被不法分子进行攻击,也有能力进行系统的保护和防范。在关联分析层,通过主动检查和被动防护两套系统收集的信息进行再分析,发掘其背后的关联性。最后进行数据挖掘和分析的结果,在统一展示层呈现,可以方便的得知全国的安全态势,对应出现问题的 IDC 进行及时的技术处理,也可以汇总的结果提供增值的安全服务。
中国移动通过在架构设计、关键技术和工具开发的三个方面的努力来保证提供的信息服务的安全性。现阶段运营商将建设安全基础设施为创新业务保驾护航,拓展安全服务创造更大价值。全面提高安全基础保障能力,通过云、管和端三方面入手。创新安全基础设施:智能终端、WLAN、电子渠道等,实现防攻击、防侵入、防病毒、可控制。云安全、虚拟化安全、主动安全防护,用户接入安全、数据传输安全等和安全客户端探索试点应用。拓展增强安全服务能力,提供专业安全服务:应对全网安全风险,对内加强安全保障性服务和发现客户安全需求,对外开展安全增值性服务。广泛产业合作:支撑配合政府落实相关要求,引导产业链对移动运营商自身安全安全需求加大投入,引领产业链探索拓展安全增值服务模式。