陳 霖

（中國(guó)移動(dòng)通信集團(tuán)湖南公司，湖南長(zhǎng)沙 410015）

4G時(shí)代移動(dòng)互聯(lián)網(wǎng)信息安全分等級(jí)防護(hù)策略探討

陳 霖

（中國(guó)移動(dòng)通信集團(tuán)湖南公司，湖南長(zhǎng)沙 410015）

進(jìn)入4G時(shí)代，移動(dòng)互聯(lián)網(wǎng)“路”更寬了，從移動(dòng)互聯(lián)網(wǎng)威脅的來(lái)源來(lái)看，其不但來(lái)源于傳統(tǒng)的互聯(lián)網(wǎng)，越來(lái)越多的威脅將出現(xiàn)在移動(dòng)互聯(lián)網(wǎng)內(nèi)部?；?G時(shí)代移動(dòng)互聯(lián)網(wǎng)面臨的信息安全風(fēng)險(xiǎn)、威脅，對(duì)移動(dòng)互聯(lián)網(wǎng)信息安全防護(hù)體系進(jìn)行分析，提出了分等級(jí)防護(hù)的防護(hù)策略。

4G；移動(dòng)互聯(lián)網(wǎng)；信息安全；分等級(jí)防護(hù)

1 4G時(shí)代信息安全面臨新的考驗(yàn)

隨著國(guó)家向國(guó)內(nèi)三大運(yùn)營(yíng)商發(fā)放4G牌照，中國(guó)電信業(yè)正式進(jìn)入4G時(shí)代。由于4G網(wǎng)絡(luò)具有速度快、帶寬高、服務(wù)多、融合強(qiáng)的特點(diǎn)，將能更好地將智能手機(jī)的功能發(fā)揮出來(lái)，真正進(jìn)入前所未有的網(wǎng)絡(luò)時(shí)代[1]。

跨入4G的移動(dòng)互聯(lián)，一是帶來(lái)了高品質(zhì)的日常生活。除了更方便看視頻和打游戲，智能家電、物聯(lián)網(wǎng)、可穿戴式電子設(shè)備等都是題中之意。二是促進(jìn)了經(jīng)濟(jì)發(fā)展。這是互聯(lián)網(wǎng)意義上的“要想富先修路”，至少視頻制作和手游開(kāi)發(fā)企業(yè)將面臨更大的空間。三是助力改革。從早期的電子商務(wù)到今年以來(lái)紅透半邊天的互聯(lián)網(wǎng)金融，互聯(lián)網(wǎng)的發(fā)展在推動(dòng)社會(huì)公平、開(kāi)放方面的作用日益突出。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心《第33次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示，截至2013年底，中國(guó)手機(jī)網(wǎng)民有5億，占網(wǎng)民數(shù)量的80%以上，手機(jī)超越臺(tái)式電腦成為第一大上網(wǎng)終端，4G時(shí)代帶來(lái)了移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展[2]。

然而，在新一代4G移動(dòng)網(wǎng)絡(luò)中，潛在的信息安全威脅也將更加令人擔(dān)憂[3]。邁進(jìn)4G的移動(dòng)互聯(lián)網(wǎng)，第一個(gè)被關(guān)注的話題就是大數(shù)據(jù)。通過(guò)將碎片化的信息整合起來(lái)，洞察消費(fèi)者的行為軌跡和模式，獲得與客戶(hù)的互動(dòng)，并在此基礎(chǔ)上進(jìn)行知情決策來(lái)幫助企業(yè)發(fā)展，這就是大數(shù)據(jù)的意義。大數(shù)據(jù)帶來(lái)的商業(yè)價(jià)值和利益顯而易見(jiàn)，刺激著企業(yè)開(kāi)始注重搜集客戶(hù)的個(gè)人信息，進(jìn)行數(shù)據(jù)挖掘、分析，使得整個(gè)移動(dòng)互聯(lián)網(wǎng)都進(jìn)入了瘋狂的數(shù)據(jù)采集時(shí)代。這也就帶來(lái)了第二個(gè)更加被大家所關(guān)注的問(wèn)題：用戶(hù)隱私的保護(hù)。智能終端上的大量應(yīng)用，如聊微信、刷微博、手機(jī)支付，讓越來(lái)越多用戶(hù)貢獻(xiàn)了越來(lái)越多的數(shù)據(jù)，姓名、住址、電話、消費(fèi)記錄等重要生活信息泄露越來(lái)越普遍。在手機(jī)、電腦、信用卡、視頻監(jiān)控等各種信息系統(tǒng)里，都能找到用戶(hù)留下的“數(shù)據(jù)腳印”[4]。

在手機(jī)隱私泄露問(wèn)題突出的同時(shí)，用戶(hù)在4G時(shí)代也更容易受到手機(jī)病毒、惡意程序和廣告程序攻擊。普華永道在2014年全球信息安全狀況調(diào)查中發(fā)布相關(guān)數(shù)據(jù)，全球被檢測(cè)到的信息安全事件總數(shù)同比增長(zhǎng)了25%，其中在金融服務(wù)業(yè)信息安全事件的增長(zhǎng)高達(dá)170%。信息安全問(wèn)題已經(jīng)成為制約4G時(shí)代移動(dòng)互聯(lián)網(wǎng)發(fā)展的重要因素之一。

2 4G時(shí)代移動(dòng)互聯(lián)網(wǎng)信息安全威脅因素分析

進(jìn)入4G時(shí)代，移動(dòng)互聯(lián)網(wǎng)“路”更寬了，不但在移動(dòng)互聯(lián)網(wǎng)與互聯(lián)網(wǎng)之間修建起了“高速公路”，移動(dòng)互聯(lián)網(wǎng)內(nèi)部不同的設(shè)備之間也架起了“高速公路”的橋梁[5]。從移動(dòng)互聯(lián)網(wǎng)威脅的來(lái)源來(lái)看，其不但來(lái)源于傳統(tǒng)的互聯(lián)網(wǎng)，越來(lái)越多的威脅將出現(xiàn)在移動(dòng)互聯(lián)網(wǎng)內(nèi)部。

綜合分析4G時(shí)代移動(dòng)互聯(lián)網(wǎng)面臨的各類(lèi)信息安全風(fēng)險(xiǎn)，4G時(shí)代移動(dòng)網(wǎng)絡(luò)安全威脅主要來(lái)源于以下方面：

1）4G時(shí)代催生出更加豐富的手機(jī)接口和應(yīng)用，GPS、NFC、指紋等統(tǒng)統(tǒng)搬到了手機(jī)上，支付、網(wǎng)上交易、即時(shí)通信、博客等應(yīng)用幾乎成了手機(jī)的標(biāo)準(zhǔn)配置，這使得手機(jī)成為了整合個(gè)人信息最多的終端，風(fēng)險(xiǎn)無(wú)疑也是最大的。很多移動(dòng)互聯(lián)網(wǎng)應(yīng)用(尤其是支付類(lèi)商務(wù)應(yīng)用)，都會(huì)捆綁用戶(hù)手機(jī)號(hào)碼等隱私信息，這些信息在交易過(guò)程中和交易過(guò)后被泄露或者濫用的安全風(fēng)險(xiǎn)很大。

2）網(wǎng)絡(luò)層面面臨更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。從移動(dòng)通信角度看，與互聯(lián)網(wǎng)的融合完全打破了其相對(duì)平衡的網(wǎng)絡(luò)安全環(huán)境，大大削弱了通信網(wǎng)原有的安全特性。IP化后的移動(dòng)通信網(wǎng)作為移動(dòng)互聯(lián)網(wǎng)的一部分，需面對(duì)來(lái)自互聯(lián)網(wǎng)的各種安全威脅，其安全防護(hù)能力明顯降低。另一方面，移動(dòng)互聯(lián)網(wǎng)中IP化的電信設(shè)備、信令和協(xié)議，大多存在各種可以被利用(如拒絕服務(wù)和緩沖區(qū)溢出等)的軟硬件漏洞，一個(gè)惡意構(gòu)造的數(shù)據(jù)包就可以很容易地引起設(shè)備宕機(jī)，導(dǎo)致業(yè)務(wù)癱瘓。

3）終端層面面臨的威脅更加復(fù)雜。一是移動(dòng)終端的惡意代碼傳播途徑更多樣化，業(yè)務(wù)應(yīng)用環(huán)節(jié)更復(fù)雜，而且移動(dòng)終端存儲(chǔ)和計(jì)算能力相對(duì)PC成本高很多，相應(yīng)安全防護(hù)技術(shù)的開(kāi)發(fā)就存在很大的局限性。二是移動(dòng)通信永遠(yuǎn)在線的特性使得竊聽(tīng)和監(jiān)視行為更加容易。三是移動(dòng)終端存儲(chǔ)的私密、位置、金融信息，也使攻擊誘惑性更大。

4）用戶(hù)遠(yuǎn)未形成良好的安全習(xí)慣。在智能手機(jī)快速普及的4G時(shí)代，用戶(hù)對(duì)信息安全的了解仍處于一個(gè)低級(jí)的水平，無(wú)法采取準(zhǔn)確、有效的措施防護(hù)終端的安全，保護(hù)自己的隱私，更遠(yuǎn)未形成良好的安全習(xí)慣。

4G時(shí)代移動(dòng)網(wǎng)絡(luò)安全威脅主要來(lái)源如圖1所示。

圖1 4G時(shí)代移動(dòng)網(wǎng)絡(luò)安全威脅主要來(lái)源

從構(gòu)成威脅的主體來(lái)看，主要由以下三個(gè)方面：

1）不法分子

不法分子是移動(dòng)互聯(lián)網(wǎng)信息安全最大的安全威脅。其主要表現(xiàn)形式是不法分子通過(guò)各種渠道傳播移動(dòng)惡意軟件，竊取用戶(hù)信息，獲取非法利益。移動(dòng)惡意軟件的傳播渠道主要有：通過(guò)藍(lán)牙傳播、通過(guò)APP植入、通過(guò)固件刷機(jī)植入、通過(guò)短彩信連接傳播。移動(dòng)惡意軟件的破壞性主要表現(xiàn)在以下方面：一是竊取移動(dòng)終端的私密信息，如銀行卡卡號(hào)和密碼，游戲賬號(hào)和密碼等；二是惡意訂購(gòu)SP業(yè)務(wù)；三是發(fā)送垃圾短彩信等。此類(lèi)威脅具有一定的隱蔽性，普通用戶(hù)較難以發(fā)現(xiàn)，且由于目前移動(dòng)終端安全防護(hù)措施較弱（大部分移動(dòng)終端不會(huì)安裝防病毒軟件），移動(dòng)惡意軟件有愈演愈烈之勢(shì)。

2）不良商家

不良商家主要移動(dòng)互聯(lián)網(wǎng)最具欺騙性的安全威脅。其主要表現(xiàn)形式有二：一是在山寨機(jī)中植入后門(mén)，商家可操縱用戶(hù)終端進(jìn)行不知情訂購(gòu)SP業(yè)務(wù)、竊取用戶(hù)個(gè)人信息等行為，給用戶(hù)造成損失；二是在APP中留下后門(mén)，悄悄收集用戶(hù)個(gè)人信息謀取利益。這類(lèi)威脅往往披著合法的外衣，偷偷干著不為人知的勾當(dāng)，最具有迷惑性，用戶(hù)往往陷入其中而不自覺(jué)。

3）服務(wù)提供商

包括APP服務(wù)提供商和通信服務(wù)提供商等，其本身遵循著合法的經(jīng)營(yíng)方式，用戶(hù)對(duì)服務(wù)提供商信任度較高。但由于服務(wù)提供商在業(yè)務(wù)運(yùn)營(yíng)、提供服務(wù)的過(guò)程中，難免出現(xiàn)漏洞和控制不到位的情況，往往會(huì)導(dǎo)致其收集的用戶(hù)信息泄露，或者用戶(hù)在使用其服務(wù)時(shí)遭受不必要的損失。比如2014年3月份攜程網(wǎng)漏洞門(mén)，泄露用戶(hù)的信用卡信息，可直接導(dǎo)致用戶(hù)信用卡資金被盜刷。此類(lèi)威脅發(fā)生的可能性較小，但由于用戶(hù)的信任度高，如若出現(xiàn)問(wèn)題，可能導(dǎo)致的損失也會(huì)較大。

3 4G時(shí)代移動(dòng)互聯(lián)網(wǎng)信息安全防護(hù)策略

3.1 綜合治理

面對(duì)紛繁復(fù)雜的安全威脅，既要全面防范各類(lèi)風(fēng)險(xiǎn)，又要重點(diǎn)解決突出問(wèn)題，需要從政策、法律、防護(hù)等各方面采取措施：

1）在政策方面，要對(duì)信息安全進(jìn)行規(guī)范，且行業(yè)要自律；行業(yè)鏈條中的每個(gè)環(huán)節(jié)，可由第三方互相監(jiān)控。國(guó)家政府部門(mén)要加強(qiáng)對(duì)通信運(yùn)營(yíng)商、終端生產(chǎn)商、APP應(yīng)用商場(chǎng)、重點(diǎn)APP服務(wù)提供商等關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的監(jiān)管。

2）在法律方面，要對(duì)信息安全違法行為進(jìn)行準(zhǔn)確定義，對(duì)信息安全違法人員建立嚴(yán)格的懲處機(jī)制；同時(shí)，要加大對(duì)相關(guān)違法行為的專(zhuān)項(xiàng)打擊，對(duì)不良商家、不法分子營(yíng)造高壓氛圍。

3）在防護(hù)方面，要充分利用新技術(shù)來(lái)規(guī)避風(fēng)險(xiǎn)，培養(yǎng)優(yōu)秀移動(dòng)互聯(lián)網(wǎng)終端安全防護(hù)企業(yè)，在APP大規(guī)模爆發(fā)的4G時(shí)代，安全防護(hù)的重點(diǎn)要從系統(tǒng)、網(wǎng)絡(luò)層面的防護(hù)，轉(zhuǎn)移到業(yè)務(wù)層面的防護(hù)和對(duì)用戶(hù)數(shù)據(jù)的保護(hù)上面來(lái)。

另外還要用戶(hù)培養(yǎng)自身的安全習(xí)慣，安全地使用移動(dòng)互聯(lián)網(wǎng)應(yīng)用。

3.2 信息安全分等級(jí)防護(hù)

按照國(guó)家信息安全分等級(jí)保護(hù)的總體工作思路，4G時(shí)代移動(dòng)互聯(lián)網(wǎng)的信息安全可以按照信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)，對(duì)信息系統(tǒng)中使用的產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

4G時(shí)代移動(dòng)互聯(lián)網(wǎng)應(yīng)按照以下基本原則開(kāi)展信息安全分等級(jí)保護(hù)：

1）自主保護(hù)原則：信息系統(tǒng)運(yùn)營(yíng)、使用單位按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主組織實(shí)施安全保護(hù)。通信運(yùn)營(yíng)商要對(duì)網(wǎng)絡(luò)安全負(fù)責(zé)，APP運(yùn)營(yíng)商要對(duì)APP安全負(fù)責(zé)，終端生產(chǎn)商要對(duì)終端硬件/操作系統(tǒng)/預(yù)裝軟件負(fù)責(zé)，APP應(yīng)用商場(chǎng)應(yīng)該對(duì)其發(fā)布的所有APP軟件進(jìn)行檢測(cè)。

2）重點(diǎn)保護(hù)原則：通過(guò)劃分不同安全保護(hù)等級(jí)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。對(duì)通信網(wǎng)絡(luò)、終端、較大用戶(hù)規(guī)模的APP和APP應(yīng)用商場(chǎng)進(jìn)行重點(diǎn)保護(hù)。

3）同步建設(shè)原則：移動(dòng)互聯(lián)網(wǎng)相關(guān)信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。

4）動(dòng)態(tài)調(diào)整原則：當(dāng)信息系統(tǒng)的變化情況時(shí)，如某個(gè)新APP用戶(hù)大規(guī)模增長(zhǎng)時(shí)，應(yīng)及時(shí)調(diào)整信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)調(diào)整情況，重新實(shí)施安全保護(hù)。

根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)劃分方法，4G時(shí)代移動(dòng)互聯(lián)網(wǎng)中各類(lèi)主要信息系統(tǒng)可分為以下五級(jí)：

1）第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。主要適用于規(guī)模較小的APP。

2）第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。主要適用于規(guī)模中等的APP。

3）第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。主要適用于通信網(wǎng)絡(luò)、大規(guī)模APP、大規(guī)模APP應(yīng)用商場(chǎng)、手機(jī)終端等。

4）第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。主要適用于規(guī)模特別大的支付、社交APP等。

5）第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。移動(dòng)通信網(wǎng)絡(luò)基本上不會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。各類(lèi)信息系統(tǒng)的主要安全防護(hù)策略見(jiàn)表1。

表1 各類(lèi)信息系統(tǒng)的主要安全防護(hù)策略

4 結(jié)論

4G時(shí)代移動(dòng)互聯(lián)網(wǎng)是移動(dòng)通信網(wǎng)與互聯(lián)網(wǎng)深度結(jié)合的產(chǎn)物，其用戶(hù)規(guī)模和網(wǎng)絡(luò)規(guī)模急劇增長(zhǎng)，內(nèi)容和功能極大豐富。隨之而來(lái)的信息安全問(wèn)題，也越來(lái)越復(fù)雜。在此情形下，必須準(zhǔn)確識(shí)別移動(dòng)互聯(lián)網(wǎng)中的主要安全風(fēng)險(xiǎn)和相關(guān)信息、信息載體的重要程度，根據(jù)信息系統(tǒng)遭受攻擊可能對(duì)企業(yè)、對(duì)社會(huì)、對(duì)國(guó)家造成的危害程度，對(duì)信息系統(tǒng)實(shí)行分等級(jí)防護(hù)，才能有效保證整個(gè)移動(dòng)互聯(lián)網(wǎng)在4G時(shí)代健康發(fā)展。

[1] 黃寧,李玉龍,陜永飛,周強(qiáng). 數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用[J]. 計(jì)算機(jī)安全，2010(10）.

[2] 葛慧. 云計(jì)算的信息安全[J]. 硅谷，2009(2).

[3] 鄭昌興. 云模式下的信息安全探討[J]. 信息網(wǎng)絡(luò)安全,2011(10）.

[4] 李彥賓,孫松兒. 云計(jì)算時(shí)代的信息安全防護(hù)方案設(shè)計(jì)研究[J]. 信息網(wǎng)絡(luò)安全, 2011(10）.

[5] 劉東山,周顯春. 云計(jì)算核心技術(shù)及安全問(wèn)題[J]. 電腦知識(shí)與技術(shù), 2011(7).

Exploration on graded protection strategies of mobile internet information security in 4G era

CHEN Lin
(China Mobile Group Hunan Co. Ltd., Changsha, Hunan, China 410015）

In the 4G era, the “road” of mobile internet has become wider. The mobile internet threats come from not only the traditional internet but also the internal of the mobile internet. Based on the information security risks and threats of mobile internet in the 4G era, this paper analyzes the information security protection system of the mobile internet and puts forward the graded protection strategies.

4G; mobile internet; information security; graded protection

10.3969/j.issn.2095-7661.2014.02.004】

TN929.5

A

2095-7661(2014)02-0017-04

2014-05-06

陳霖（1979-），男，湖南瀏陽(yáng)人，通信工程師，碩士，研究方向：信息安全。