4 移动互联网的安全模型
在传统的互联网中,普通的台式电脑和笔记本电脑不过是人们工作和娱乐的工作的工具。在移动互联网中,智能终端比起互联网时代的电脑有过之无不及,已经不仅仅是个简单的工作,它已经渗透到人们生活的方方面面。因为是随身携带并且是实时在线,自身的安全问题更加严重。智能终端中的通讯录保护了一个人几乎所有的社会关系。如果出现智能终端丢失或者因为木马导致个人信息泄露,那么通讯录里面的所有和这个用户有关系的人都要收到不法的攻击。随着移动互联网的发展,在线消费和在线支付变的越来越容易,随之而来的安全风险也越来越大。如果信息被盗,用户的损失将是无法估量的。
4.1 移动互联网信息安全模型
随着移动通信技术的发展,移动终端设备的功能发生了巨大的变化,最初,只有语音传输,接着出现了短消息业务和 Web 浏览,后来又有了多媒体短信业务及各种无线增值业务,移动终端也从简单的通话工具逐渐成为集合掌上计算机、MP3、游戏机、相机、GPS 等功能于一体,可以进行互联网服务、资料分析与计算、文件存储、多媒体娱乐、数码影像摄制的移动多媒体终端,其应用深入人们生活的方方面面。移动互联网安全覆盖的范围非常广泛。大体上可以分为四部分:(1)移动终端设备的安全性。(2)移动互联网用户自身的安全意识。(3)现阶段针对移动互联网安全技术的可行性。(4)移动互联网提供商的安全性。
4.1.1 移动终端安全风险模型
基础结构:终端用户通过移动互联网访问网络上的信息,构成了基础模型。移动互联网公共安全模型,考虑到了三个必须的参与方:终端用户、移动互联网、网络信息,模型如下图 4-1:
移动终端包括软件、硬件两部分,以及用于和其他设备进行通讯的通讯协议。硬件部分采用的是可信硬件平台,避免了一些未经过安全认证的第三方甚至与第四方硬件作为移动终端的承载平台。软件安全包括通信安全机制、操作系统安全机制、应用软件安全机制和用户数据安全机制。每个环节相互依赖进行工作,每个环节都不可缺少。在硬件部分需要在通讯模块中引进相关加密模块,作为最后一道防线保护终端设备本身的安全,在上层软件出现问题的时候,对于系统核心部分进行关键性的保护。
一般情况下,现在的 CPU(包括桌面版和移动版)就有相关的数据执行保护 (DEP) ,它是可以防止计算机从到木马、恶意软件、病毒和其他一些破坏安全的行为。因为这些不安全的软件或者攻击会通过执行移动终端设备内存中为系统和其他用户授权的程序来攻击系统自身。这些攻击会损害设备中的程序以及数据。有了 DEP 的保护。
它可以见识程序的运行,确保终端设备的安全。一旦发现程序出现非法行为,在移动终端设备的软件程序无法控制的情况下,就可以从硬件的 DEP 发出指令来终止这类不安全的程序。通信安全机制是依靠在相关通讯标准创建的时候就需要考虑的问题,根据该标准可能存在的问题进行修补工作。操作系统安全机制要求系统本身有一定的防范攻击的能力,并且有自己的安全审核的机制,对应系统自身的程序应在内存中与普通程序在不同的区域运行,避免出现共享内存而发生的安全问题。应用软件安全主要依靠应用软件开发者和软件平台审核者两方面进行安全维护。程序在开发的过程中不仅仅要考虑软件的功能和易用性,安全性更加需要注重,特别是软件的漏洞和 bug,容易被不法分子利用。在开发完成之后也需要进行针对安全的测试。软件平台国际上的 Windows phone market、Apple App store 和 Google play,国内的豌豆荚、小米、91手机助手都要对上传于自己平台的软件进行安全审核,包括机器模拟和人工手动审核两部分,这样再次保证了程序的安全性。现在主流的终端智能平台已经可以对用户的数据进行加密存储,以保证用户数据的安全。
4.1.2 移动终端用户的安全模型
移动终端用户模型:移动终端用户通过安全审核规定才可访问互联网。移动用户模型如下图 4-2。显示保证移动互联网安全应性需要采用的方法就是对接入的终端用户监督和限制。(1)对应接入网络的终端用户进行身份的判断,这样可以对其进行相关的监督,包括接入移动网络的终端型号、操作系统、手机号码、接入和结束的时间、以及访问站点的记录和流量的多少。(2)普及安全的上网接入方式,减少因为相关安全知识的不足造成的信息泄露和安全问题。同时也要加强网上社区和网民自身的约束。(3)不仅要依靠自我约束和自我监管,也需要加强接入商和政府安全部门对移动终端的监管,更早的发现安全隐患,防患于未然。
4.1.3 移动互联网提供商的安全模型
图 4-3 表明了移动互联网络安全需要关注的各个方面。1.在国家和法律层面给予法律上的界定。手机实名、隐私保护、网络安全、移动互联网管理等方面立法进行规范。2.在国家法律规定的框架内部,根据本行业的特点,进行行业内部的规范。3.明确企业的责任,保证移动互联网服务的稳定运行并进行信息的监管。4.参考国内外其他企业的成功案例,进行网络的管理和事故应急预案的准备。
4.1.4 移动互联网信息安全模型
图 4-4 体现了信息安全性需要规范的方面。1.据信息管理方面的要求,对安全管理监督制度进行落实。2.根据本组织的情况,制定相应的管理制度。3.根据信息安全的特点,对应内容的敏感性,合法性和保密性,进行过滤。4.根据现有和未来技术发展的趋势,来制定信息安全的技术保证规定,从防火墙、密码策略和访问控制等方面来控制。
4.2 移动互联网信息安全模型分析
从移动互联网信息安全模型可以分析出,影响移动互联网信息安全的因素大体分为几大类,具体情况如下:
(1)政府的影响:建议由政府牵头,社会各界共同参与,尽快建立移动互联网信息安全体系。如今,信息安全问题对人们所能造成的影响,在很多方面已超出计算机、网络的技术领域。移动互联网的信息安全体系建设也是一个非单独一方努力就能解决的问题,需要政府、通信产业链及其他相关领域的共同推进。政府在移动互联网信息安全体系建设中起到的领头羊的重要作用。首先,随着移动互联网的不断发展,要尽可能的提供法律依据和健康良好的政策环境,移动互联网的新兴业务层出不穷,功能各有特点,涉及到社会的方方面面,而且更新替代的频率异常快速。所以这就对立法提出了更高的要求,不仅仅要关注整个行业共有的特性,还有关注特定市场的特定需求。例如针对个人信息保护法,制定移动上网日志留存规范等,并督促各方的积极建设,监管执行效果。现阶段相关的信息资源管理法规分散其他法规中,而其中有关信息管理的规定,没有符合相关情况的法律条文,仅仅是一些低层次和要求的规章条例。相比较而言,我国信息化起步较晚,因此信息安全的建设也相对落后。在上世纪 90 年代,西方一些信息化水平较高的国家就已经开始制定了相关的法规和管理规范。有了良好的法律规范和管理手段,也更加促进了本国的信息技术产业的发展,也直接的提高了信息安全水平。其次,加强政府对信息安全的监管力度也是十分重要的。
特别是在现今移动互联网快速发展和普及的时代,其技术基础的云计算的安全形式更加严峻,政府要对信息本身和掌握大量信息的企业或者机构进行监管,做到两手抓两手都要硬,对哪一方面都不能够降低监管的力度。不仅仅要做到有法可依,通过法律来界定相关责任人或者单位对应信息的使用,更要做到有法必依,对责任人进行监督和审计,对应违法了法律的相关人员进行严厉的处罚。安全教育涉及方方面面,不仅仅要对普通民众进行普及性的安全知识教育,更要对责任更加重大的企业和组织进行安全教育,更要求相关安全科研机构加大对应这方面的研究。
(2)法律法规的影响:首先,从国家法律层面来看,并没有出台专门针对移动互联网的法律。直接关于互联网的仅有一部,即 2000 年 12 月颁布的《全国人大常委会关于维护互联网安全的决定》,首先不谈论其效力层级和颁布时间,单就和移动互联网而言关系并不大。至于其它有关调整移动互联网法律活动的法律散布在各部门法下的零星法条之中。如《中华人民共和国民法通则》、《中华人民共和国合同法》、《中华人民共和国知识产权法》等部分法条。不过值得注意的是,最高院分别在 2004 年和 2010 年公布了两条关于利用互联网刑事犯罪的司法解释。但这也与移动互联网关系不大。其次,从国务院法规、部门规章和地方规章来看,我国仅有关于互联网上网服务营业场所的法规,部门规章上有于 2011 年颁布的《移动互联网恶意程序监测与处置机制》以及 2009 年的一个关于移动互联网的批复。可喜的是,在地方上,深圳市率先在 2009 年 6 月颁布了《深圳市互联网软件知识产权保护的若干规定》,该部地方政府规章,在一定程度上,解决了移动互联网的法律规范问题。但是终因其立法层级过低,法律规定不完善,调控范围仅在深圳市范围内,其应有的作用最后也难以发挥。最后,从行业自律公约来看,有关移动互联网的有 2011 年 5 月的《互联网终端软件服务行业自律公约》等。这些公约在一定程度上,对移动互联网起着调控作用。因为移动互联网是新生事物,过去的一些规定要么过于单一,要么过于陈旧,进而无法满足当今移动互联网对法律的发展需求。
(3)道德范畴的影响:在现实的社会中,人们的行事依据和做事规范不仅仅是受法律的约束,更加收到道德的制约。在虚拟的网络环境中更是如此。不能够因为一个人的原因或者利益而损害整个互联网用户的利益。个人在使用网络的过程中,也必须和在现实生活中相同,遵守国家对应网络的法律规范,也需要同样遵守网络上大家一致接受的道德准则。特别是对应未成年人,他们往往缺乏对网络虚拟环境足够的认识,所以成年的网络用户更加要遵守道德准则,减少对未成年人的伤害。网络内容提供商也需要自律。道德范畴内的约束也保护内容提供商行业内的自律公约和准则。不了为了眼前的蝇头小利而损毁整个互联网行业的整体利益。各个企业的一把手更要有社会责任感,提供的内容和服务要健康和积极向上,杜绝反动、邪教、色情以及不正当的言论。政府的相关部门也要加大针对网络的监管。网络道德加大力度宣传,构造良好符合社会主流价值观的网络环境。
(4)技术防范的影响:使用移动互联网主要通过两种方式进行,移动通讯网络(2G、3G 和 4G)和 WIFI。现在普遍使用的 3G 和已经部分商业的 4G,在标准制定的时候就把高速和安全放在同等的地位进行考虑,所以本身相比 2G 时代有较高的安全保护。WIFI 早先也存在着较大的安全隐患,但是随着近几年的安全技术和算法的发展,已经用新的安全算法(64 位、128 位甚至到 256 位)加密方式代替传统的加密算法,使得 WIFI 的可靠性地点增强。
(5)企业的影响:对应企业而言,安全性不仅仅是法律和行业自律的要求,更是企业核心竞争力的重要组成部分,提升企业的安全防范水平,可以为企业快速的发展提供最坚实有力的基础,对企业的信誉进行保驾护航。