4G時代移動互聯(lián)網(wǎng)信息安全分等級防護(hù)策略探討

陳 霖

（中國移動通信集團(tuán)湖南公司，湖南長沙 410015）

4G時代移動互聯(lián)網(wǎng)信息安全分等級防護(hù)策略探討

陳 霖

（中國移動通信集團(tuán)湖南公司，湖南長沙 410015）

進(jìn)入4G時代，移動互聯(lián)網(wǎng)“路”更寬了，從移動互聯(lián)網(wǎng)威脅的來源來看，其不但來源于傳統(tǒng)的互聯(lián)網(wǎng)，越來越多的威脅將出現(xiàn)在移動互聯(lián)網(wǎng)內(nèi)部。基于4G時代移動互聯(lián)網(wǎng)面臨的信息安全風(fēng)險、威脅，對移動互聯(lián)網(wǎng)信息安全防護(hù)體系進(jìn)行分析，提出了分等級防護(hù)的防護(hù)策略。

4G；移動互聯(lián)網(wǎng)；信息安全；分等級防護(hù)

1 4G時代信息安全面臨新的考驗(yàn)

隨著國家向國內(nèi)三大運(yùn)營商發(fā)放4G牌照，中國電信業(yè)正式進(jìn)入4G時代。由于4G網(wǎng)絡(luò)具有速度快、帶寬高、服務(wù)多、融合強(qiáng)的特點(diǎn)，將能更好地將智能手機(jī)的功能發(fā)揮出來，真正進(jìn)入前所未有的網(wǎng)絡(luò)時代[1]。

跨入4G的移動互聯(lián)，一是帶來了高品質(zhì)的日常生活。除了更方便看視頻和打游戲，智能家電、物聯(lián)網(wǎng)、可穿戴式電子設(shè)備等都是題中之意。二是促進(jìn)了經(jīng)濟(jì)發(fā)展。這是互聯(lián)網(wǎng)意義上的“要想富先修路”，至少視頻制作和手游開發(fā)企業(yè)將面臨更大的空間。三是助力改革。從早期的電子商務(wù)到今年以來紅透半邊天的互聯(lián)網(wǎng)金融，互聯(lián)網(wǎng)的發(fā)展在推動社會公平、開放方面的作用日益突出。中國互聯(lián)網(wǎng)絡(luò)信息中心《第33次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報告》數(shù)據(jù)顯示，截至2013年底，中國手機(jī)網(wǎng)民有5億，占網(wǎng)民數(shù)量的80%以上，手機(jī)超越臺式電腦成為第一大上網(wǎng)終端，4G時代帶來了移動互聯(lián)網(wǎng)的蓬勃發(fā)展[2]。

然而，在新一代4G移動網(wǎng)絡(luò)中，潛在的信息安全威脅也將更加令人擔(dān)憂[3]。邁進(jìn)4G的移動互聯(lián)網(wǎng)，第一個被關(guān)注的話題就是大數(shù)據(jù)。通過將碎片化的信息整合起來，洞察消費(fèi)者的行為軌跡和模式，獲得與客戶的互動，并在此基礎(chǔ)上進(jìn)行知情決策來幫助企業(yè)發(fā)展，這就是大數(shù)據(jù)的意義。大數(shù)據(jù)帶來的商業(yè)價值和利益顯而易見，刺激著企業(yè)開始注重搜集客戶的個人信息，進(jìn)行數(shù)據(jù)挖掘、分析，使得整個移動互聯(lián)網(wǎng)都進(jìn)入了瘋狂的數(shù)據(jù)采集時代。這也就帶來了第二個更加被大家所關(guān)注的問題：用戶隱私的保護(hù)。智能終端上的大量應(yīng)用，如聊微信、刷微博、手機(jī)支付，讓越來越多用戶貢獻(xiàn)了越來越多的數(shù)據(jù)，姓名、住址、電話、消費(fèi)記錄等重要生活信息泄露越來越普遍。在手機(jī)、電腦、信用卡、視頻監(jiān)控等各種信息系統(tǒng)里，都能找到用戶留下的“數(shù)據(jù)腳印”[4]。

在手機(jī)隱私泄露問題突出的同時，用戶在4G時代也更容易受到手機(jī)病毒、惡意程序和廣告程序攻擊。普華永道在2014年全球信息安全狀況調(diào)查中發(fā)布相關(guān)數(shù)據(jù)，全球被檢測到的信息安全事件總數(shù)同比增長了25%，其中在金融服務(wù)業(yè)信息安全事件的增長高達(dá)170%。信息安全問題已經(jīng)成為制約4G時代移動互聯(lián)網(wǎng)發(fā)展的重要因素之一。

2 4G時代移動互聯(lián)網(wǎng)信息安全威脅因素分析

進(jìn)入4G時代，移動互聯(lián)網(wǎng)“路”更寬了，不但在移動互聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間修建起了“高速公路”，移動互聯(lián)網(wǎng)內(nèi)部不同的設(shè)備之間也架起了“高速公路”的橋梁[5]。從移動互聯(lián)網(wǎng)威脅的來源來看，其不但來源于傳統(tǒng)的互聯(lián)網(wǎng)，越來越多的威脅將出現(xiàn)在移動互聯(lián)網(wǎng)內(nèi)部。

綜合分析4G時代移動互聯(lián)網(wǎng)面臨的各類信息安全風(fēng)險，4G時代移動網(wǎng)絡(luò)安全威脅主要來源于以下方面：

1）4G時代催生出更加豐富的手機(jī)接口和應(yīng)用，GPS、NFC、指紋等統(tǒng)統(tǒng)搬到了手機(jī)上，支付、網(wǎng)上交易、即時通信、博客等應(yīng)用幾乎成了手機(jī)的標(biāo)準(zhǔn)配置，這使得手機(jī)成為了整合個人信息最多的終端，風(fēng)險無疑也是最大的。很多移動互聯(lián)網(wǎng)應(yīng)用(尤其是支付類商務(wù)應(yīng)用)，都會捆綁用戶手機(jī)號碼等隱私信息，這些信息在交易過程中和交易過后被泄露或者濫用的安全風(fēng)險很大。

2）網(wǎng)絡(luò)層面面臨更大的網(wǎng)絡(luò)安全風(fēng)險。從移動通信角度看，與互聯(lián)網(wǎng)的融合完全打破了其相對平衡的網(wǎng)絡(luò)安全環(huán)境，大大削弱了通信網(wǎng)原有的安全特性。IP化后的移動通信網(wǎng)作為移動互聯(lián)網(wǎng)的一部分，需面對來自互聯(lián)網(wǎng)的各種安全威脅，其安全防護(hù)能力明顯降低。另一方面，移動互聯(lián)網(wǎng)中IP化的電信設(shè)備、信令和協(xié)議，大多存在各種可以被利用(如拒絕服務(wù)和緩沖區(qū)溢出等)的軟硬件漏洞，一個惡意構(gòu)造的數(shù)據(jù)包就可以很容易地引起設(shè)備宕機(jī)，導(dǎo)致業(yè)務(wù)癱瘓。

3）終端層面面臨的威脅更加復(fù)雜。一是移動終端的惡意代碼傳播途徑更多樣化，業(yè)務(wù)應(yīng)用環(huán)節(jié)更復(fù)雜，而且移動終端存儲和計(jì)算能力相對PC成本高很多，相應(yīng)安全防護(hù)技術(shù)的開發(fā)就存在很大的局限性。二是移動通信永遠(yuǎn)在線的特性使得竊聽和監(jiān)視行為更加容易。三是移動終端存儲的私密、位置、金融信息，也使攻擊誘惑性更大。

4）用戶遠(yuǎn)未形成良好的安全習(xí)慣。在智能手機(jī)快速普及的4G時代，用戶對信息安全的了解仍處于一個低級的水平，無法采取準(zhǔn)確、有效的措施防護(hù)終端的安全，保護(hù)自己的隱私，更遠(yuǎn)未形成良好的安全習(xí)慣。

4G時代移動網(wǎng)絡(luò)安全威脅主要來源如圖1所示。

圖1 4G時代移動網(wǎng)絡(luò)安全威脅主要來源

從構(gòu)成威脅的主體來看，主要由以下三個方面：

1）不法分子

不法分子是移動互聯(lián)網(wǎng)信息安全最大的安全威脅。其主要表現(xiàn)形式是不法分子通過各種渠道傳播移動惡意軟件，竊取用戶信息，獲取非法利益。移動惡意軟件的傳播渠道主要有：通過藍(lán)牙傳播、通過APP植入、通過固件刷機(jī)植入、通過短彩信連接傳播。移動惡意軟件的破壞性主要表現(xiàn)在以下方面：一是竊取移動終端的私密信息，如銀行卡卡號和密碼，游戲賬號和密碼等；二是惡意訂購SP業(yè)務(wù)；三是發(fā)送垃圾短彩信等。此類威脅具有一定的隱蔽性，普通用戶較難以發(fā)現(xiàn)，且由于目前移動終端安全防護(hù)措施較弱（大部分移動終端不會安裝防病毒軟件），移動惡意軟件有愈演愈烈之勢。

2）不良商家

不良商家主要移動互聯(lián)網(wǎng)最具欺騙性的安全威脅。其主要表現(xiàn)形式有二：一是在山寨機(jī)中植入后門，商家可操縱用戶終端進(jìn)行不知情訂購SP業(yè)務(wù)、竊取用戶個人信息等行為，給用戶造成損失；二是在APP中留下后門，悄悄收集用戶個人信息謀取利益。這類威脅往往披著合法的外衣，偷偷干著不為人知的勾當(dāng)，最具有迷惑性，用戶往往陷入其中而不自覺。

3）服務(wù)提供商

包括APP服務(wù)提供商和通信服務(wù)提供商等，其本身遵循著合法的經(jīng)營方式，用戶對服務(wù)提供商信任度較高。但由于服務(wù)提供商在業(yè)務(wù)運(yùn)營、提供服務(wù)的過程中，難免出現(xiàn)漏洞和控制不到位的情況，往往會導(dǎo)致其收集的用戶信息泄露，或者用戶在使用其服務(wù)時遭受不必要的損失。比如2014年3月份攜程網(wǎng)漏洞門，泄露用戶的信用卡信息，可直接導(dǎo)致用戶信用卡資金被盜刷。此類威脅發(fā)生的可能性較小，但由于用戶的信任度高，如若出現(xiàn)問題，可能導(dǎo)致的損失也會較大。

3 4G時代移動互聯(lián)網(wǎng)信息安全防護(hù)策略

3.1 綜合治理

面對紛繁復(fù)雜的安全威脅，既要全面防范各類風(fēng)險，又要重點(diǎn)解決突出問題，需要從政策、法律、防護(hù)等各方面采取措施：

1）在政策方面，要對信息安全進(jìn)行規(guī)范，且行業(yè)要自律；行業(yè)鏈條中的每個環(huán)節(jié)，可由第三方互相監(jiān)控。國家政府部門要加強(qiáng)對通信運(yùn)營商、終端生產(chǎn)商、APP應(yīng)用商場、重點(diǎn)APP服務(wù)提供商等關(guān)鍵風(fēng)險點(diǎn)的監(jiān)管。

2）在法律方面，要對信息安全違法行為進(jìn)行準(zhǔn)確定義，對信息安全違法人員建立嚴(yán)格的懲處機(jī)制；同時，要加大對相關(guān)違法行為的專項(xiàng)打擊，對不良商家、不法分子營造高壓氛圍。

3）在防護(hù)方面，要充分利用新技術(shù)來規(guī)避風(fēng)險，培養(yǎng)優(yōu)秀移動互聯(lián)網(wǎng)終端安全防護(hù)企業(yè)，在APP大規(guī)模爆發(fā)的4G時代，安全防護(hù)的重點(diǎn)要從系統(tǒng)、網(wǎng)絡(luò)層面的防護(hù)，轉(zhuǎn)移到業(yè)務(wù)層面的防護(hù)和對用戶數(shù)據(jù)的保護(hù)上面來。

另外還要用戶培養(yǎng)自身的安全習(xí)慣，安全地使用移動互聯(lián)網(wǎng)應(yīng)用。

3.2 信息安全分等級防護(hù)

按照國家信息安全分等級保護(hù)的總體工作思路，4G時代移動互聯(lián)網(wǎng)的信息安全可以按照信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)，對信息系統(tǒng)中使用的產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

4G時代移動互聯(lián)網(wǎng)應(yīng)按照以下基本原則開展信息安全分等級保護(hù)：

1）自主保護(hù)原則：信息系統(tǒng)運(yùn)營、使用單位按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主組織實(shí)施安全保護(hù)。通信運(yùn)營商要對網(wǎng)絡(luò)安全負(fù)責(zé)，APP運(yùn)營商要對APP安全負(fù)責(zé)，終端生產(chǎn)商要對終端硬件/操作系統(tǒng)/預(yù)裝軟件負(fù)責(zé)，APP應(yīng)用商場應(yīng)該對其發(fā)布的所有APP軟件進(jìn)行檢測。

2）重點(diǎn)保護(hù)原則：通過劃分不同安全保護(hù)等級，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。對通信網(wǎng)絡(luò)、終端、較大用戶規(guī)模的APP和APP應(yīng)用商場進(jìn)行重點(diǎn)保護(hù)。

3）同步建設(shè)原則：移動互聯(lián)網(wǎng)相關(guān)信息系統(tǒng)在新建、改建、擴(kuò)建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。

4）動態(tài)調(diào)整原則：當(dāng)信息系統(tǒng)的變化情況時，如某個新APP用戶大規(guī)模增長時，應(yīng)及時調(diào)整信息系統(tǒng)的安全保護(hù)等級，根據(jù)調(diào)整情況，重新實(shí)施安全保護(hù)。

根據(jù)信息系統(tǒng)的安全保護(hù)等級劃分方法，4G時代移動互聯(lián)網(wǎng)中各類主要信息系統(tǒng)可分為以下五級：

1）第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。主要適用于規(guī)模較小的APP。

2）第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。主要適用于規(guī)模中等的APP。

3）第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。主要適用于通信網(wǎng)絡(luò)、大規(guī)模APP、大規(guī)模APP應(yīng)用商場、手機(jī)終端等。

4）第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。主要適用于規(guī)模特別大的支付、社交APP等。

5）第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。移動通信網(wǎng)絡(luò)基本上不會對國家安全造成特別嚴(yán)重?fù)p害。各類信息系統(tǒng)的主要安全防護(hù)策略見表1。

表1 各類信息系統(tǒng)的主要安全防護(hù)策略

4 結(jié)論

4G時代移動互聯(lián)網(wǎng)是移動通信網(wǎng)與互聯(lián)網(wǎng)深度結(jié)合的產(chǎn)物，其用戶規(guī)模和網(wǎng)絡(luò)規(guī)模急劇增長，內(nèi)容和功能極大豐富。隨之而來的信息安全問題，也越來越復(fù)雜。在此情形下，必須準(zhǔn)確識別移動互聯(lián)網(wǎng)中的主要安全風(fēng)險和相關(guān)信息、信息載體的重要程度，根據(jù)信息系統(tǒng)遭受攻擊可能對企業(yè)、對社會、對國家造成的危害程度，對信息系統(tǒng)實(shí)行分等級防護(hù)，才能有效保證整個移動互聯(lián)網(wǎng)在4G時代健康發(fā)展。

[1] 黃寧,李玉龍,陜永飛,周強(qiáng). 數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用[J]. 計(jì)算機(jī)安全，2010(10）.

[2] 葛慧. 云計(jì)算的信息安全[J]. 硅谷，2009(2).

[3] 鄭昌興. 云模式下的信息安全探討[J]. 信息網(wǎng)絡(luò)安全,2011(10）.

[4] 李彥賓,孫松兒. 云計(jì)算時代的信息安全防護(hù)方案設(shè)計(jì)研究[J]. 信息網(wǎng)絡(luò)安全, 2011(10）.

[5] 劉東山,周顯春. 云計(jì)算核心技術(shù)及安全問題[J]. 電腦知識與技術(shù), 2011(7).

Exploration on graded protection strategies of mobile internet information security in 4G era

CHEN Lin
(China Mobile Group Hunan Co. Ltd., Changsha, Hunan, China 410015）

In the 4G era, the “road” of mobile internet has become wider. The mobile internet threats come from not only the traditional internet but also the internal of the mobile internet. Based on the information security risks and threats of mobile internet in the 4G era, this paper analyzes the information security protection system of the mobile internet and puts forward the graded protection strategies.

4G; mobile internet; information security; graded protection

10.3969/j.issn.2095-7661.2014.02.004】

TN929.5

A

2095-7661(2014)02-0017-04

2014-05-06

陳霖（1979-），男，湖南瀏陽人，通信工程師，碩士，研究方向：信息安全。