羹囊:辆斯甬I■辑:寰■yuanna@cww net Ci3 I 2008年12R22B 移动互联网安全探析 移动互联网的规模在日益增大,安全是一个亟待解决的问题。保障 移动互联网的安全,不仅仅要重视终端安全网络安全和业务安全,还 应该重视管理,强化政府监管部1、1的监管力度 从整个产业链协同发展 的角度来看待移动互联网的安全问题。 一信息产业部电信研究院规划设计所王永斌 移动互联网的安全性 移动互联网(Mobile Internet)已 成为当今网络的一大热门词汇,其日趋 火热也是网络发展的必然结果。目前, 移动通信代替固定通信成为一个不可 争辩的事实,而互联网的飞速发展,也 是信息社会发展的一个必然趋势,两 者的结合体移动互联网的诞生和发展 就成为一种必然。 移动互联网把移动通信网作为接入 网络,其包括移动通信网络接入、公众 图1 ITU—T X.805安全通信框架 互联网服务、移动互联网终端。移动互 联网和传统的互联网有一定的差异,从 修改终端中的信息,利用病毒和恶意 信息的安全性保护和访问控制,可以 表现形式来看,传统互联网是开放的、 代码进行破坏。 通过设置访问控制策略来保证其安全 免费的、拥有海量信息的平台,但其无 网络的安全威胁 性;对于终端内部存储的一些数据,可 法对用户进行身份确认,而移动互联网 网络层面的安全威胁,包括非法 以通过分级存储和隔离,以及检测数 却能做到这一点。所以,相对而言,移动 接入网络,对数据进行机密性破坏、 据完整性等手段来保证安全性。 互联网对网络安全有着更高的要求,更 完整性破坏;进行拒绝服务攻击,利用 网络的安全机制 强调保护用户的行为及隐私不受干扰。 各种手段产生数据包造成网络负荷过 目前,在移动互联网接入网方面, 但是,目前移动互联网在终端和 重;利用嗅探工具、系统漏洞、程序漏 3G有一套完整的安全机制。第三代移 业务应用方面存在较大的安全漏洞, 洞进行攻击。 动通信系统(3G)在2G的基础上进行了 随着智能终端的普及,终端的安全和 业务的安全威胁 改进,继承了2G系统安全的优点,同时 防护性存在重大考验;业务应用方面, 业务层面的安全威胁,包括非法 针对3G系统的新特性,定义了更加完 使用移动互联网的用户可能会受到来 访问业务、非法访问数据、拒绝服务 善的安全特征与安全服务,3G移动通 自于各种渠道的垃圾信息的干扰,如 攻击、垃圾信息的泛滥、不良信息的传 信网络的安全机制包括3GPP¥ ̄3GPP2 短信、WAP’E-mailN ̄件等。 播、个人隐私和敏感信息的泄露、内容 两个类别。 版权盗用和不合理的使用等问题。 业务的安全机制 移动互联网的安全威胁 对于业务方面,3GPPSH3GPP2都有 相应业务标准的机制。b ̄,2u,有WAP有 移动互联网的安全通信框架可 移动互联网的安全机制 安全机制、Presence ̄务安全机制、定 以参考ITU—_T的X.8O5框架(如图1所 针对安全威胁,移动互联网也有相 位业务安全机制、移动支付业务安全机 示),X.805的安全框架基本上有三个 对应的安全机制。因为移动互联网接入部 制等,还包括垃圾短消息的过滤机制、 层次、三个平面和八个维度。保障移动 分是移动i 言网络,无论是采用现在的2G 防止版权盗用的DRM标准等。移动互联 互联网的安全,要保证终端的安全、网 还是今后的3G进行接入,3GPP,OMA 网业务纷繁复杂,需要通过多种手段, 络的安全和业务的安全。 等组织部制定了完善的安全机制。 不断健全业务方面的安全机制。 终端的安全威胁 终端的安全机制 随着通信技术的进步,终端越来 移动互联网终端应具有身份认证 从产业链角度 越智能化,内存和芯片处理能力逐渐 的功能,具有对各种系统资源、业务应 增强,在终端上也出现了操作系统。智 用的访问控制能力。对于身份认证,可 保障移动互联网安全 能终端的出现也带来了潜在的威胁:非 以通过口令或者智能卡方式、实体鉴 对于移动互联网的安全保障,需 法篡改信息,非法访问,通过操作系统 别机制等手段保证安全性;对于数据 要从整体产业链的角度来看待其安全 问题,既需要通信运营商、设备商、软 件提供商、系统集成商等价值链各方 共同努力,来实现其网络安全,也需要 政府部门进行相应的监管,建立合理 的政策监管体系。 政府相关监管部门 政府相关监管部门要协调各监管 部门利益,建立并完善移动互联网的 安全监管机制,要建立完备的移动互 联网信息服务许可、备案制度和信息发 布制度,建立完备的移动互联网新闻 登载业务的审批制度。同时,要严格监 管移动互联网的内容传播,建立和完善 相应的法律、法规,对各类移动互联网 犯罪行为进行追踪惩戒,加大执法力 度。政府部门要广泛地开展移动互联 网安全宣传教育工作,强调用户的自我 安全保护。 运营商 网络运营商要从移动互联网整体 建设角度出发,分析存在的各种安全 风险,建立一个科学的、全局的、可扩 展的网络安全体系和框架,综合利用 各种安全防护措施,保护各类软硬件 系统安全、数据安全和内容安全;对 安全产品进行统一的管理,包括配置 各相关安全产品的安全策略,维护相 关安全产品的系统配置,检查并调整 相关安全产品的系统状态等;建立安 全应急系统,做到防患于未然;增强网 络的安全机制,提供更加安全的承载 网络。 设备厂商,终端厂商 设备厂商要加强设备安全性能研 究,利用集成防火墙或其他技术保障 设备安全;终端厂商要和运营商、软件 提供商合作,通过把控终端的安全性 提高移动互联网的安全程度。 软件提供商 软件提供商要根据用户的需求变 化,提供整合的安全技术产品,要提高 软件技术研发水平,由单一功能的产 品防护向集中统一管理的产品类型过 渡,不断提高安全防御技术。 内容提供商 内容提供商要与运营商合作,为 用户提供加密级业务,如采用TLS为电 子商务类业务提供安全加密。同时,内 容提供商要把好内容安全关,采用多 种技术对不合法内容和垃圾信息进行 过滤。 用户 用户要提高安全防范意识和技 能,加装手机防护软件并定期更新,不 访问问题站点、不下载不健康内容,不 安装不明应用。@