《《網絡與信息安全》手機安全》由會員分享，可在線閱讀，更多相關《《網絡與信息安全》手機安全（10頁珍藏版）》請在裝配圖網上搜索。

1、文檔供參考，可復制、編制，期待您的好評與關注！ 目 錄 0 引言 1 1 手機產品使用情況 1 1.1 手機互聯(lián)網應用的使用情況 1 1.2 安全產品使用情況 1 2 手機安全面臨的主要問題和危害 1 2.1 APP缺乏管理成重災區(qū) 2 2.2 移動支付遭遇難題 2 3 手機安全問題的難點 3 3.1 發(fā)現難 3 3.2 舉證難 3 4 手機安全問題的對策 4 4.1 基于操作系統(tǒng)層的安全技術路線 4 4.2 基于硬件層的安全技術路線 4 5 手機安全防護措施 5 5.1 切斷手機發(fā)送涉密場所信息的途徑 5 5.2 使用加密手機，增加加密模塊 5

2、5.3 提高警惕，增強安全防范意識 5 6 結束語 6 摘要：3G的推廣和普及推動了移動互聯(lián)網的深度應用，手機作為移動互聯(lián)網時代最主要的載體，其安全性正面臨著嚴峻的挑戰(zhàn)。種類繁多和開源的操作系統(tǒng)為移動互聯(lián)網安全帶來了更多的問題和隱患。近兩年來手機安全領域的問題已經日趨復雜，各類手機病毒爆炸式增長。APP大肆竊取個人隱私，釣魚和欺詐事件頻發(fā)，針對手機支付的惡意程序大量出現，微博、微信、二維碼等新型應用成為病毒的入口和傳播的平臺。手機安全已經成為安全領域的焦點話題。文章介紹了手機安全現狀及目前面臨的主要主要問題和危害，并預測了手機威脅的發(fā)展趨勢。 關鍵詞：移動互聯(lián)網；手機安全；移動

3、終端 Abstract: 3G’s popularization and generalization promotes the deep application of mobile Internet. Mobile phone, as the most important carrier in mobile internet times, is facing a serious challenge to its security. Variant and open operation systems carry more issues and hidden dangers to

4、 the security of mobile Internet. In the recent 2 years, the factors that affecting mobile phone security becomes more and more complicated. The variety of mobile viruses has an explosive growth; APP steals individual privacy without restraint; phishing sites and fraudulent events occur frequently;

5、evil programs aiming at mobile payment are created; new applications, like microblog, Wechat & twodimension code, are proved to be virus entrance and dissemination platform. Mobile phone security has been the focus in security field. This paper introduces the present status of mobile phone security,

6、 the key issues and dangers it is facing, and also forecasts the developing trend of threat that mobile phone is confronting. Key words: Mobile Internet; Mobile Phone Security; Mobile Terminal 0 / 10 手機安全 0 引言 3G 的推廣和普及推動了移動互聯(lián)網的深度應用，更多的傳統(tǒng)互聯(lián)網應用模式轉移到移動互聯(lián)網。近年戶持續(xù)高速增長，移動設備將取代傳統(tǒng)的個人電腦成為主流上網工具。在移動

7、設備中，手機以其小巧便捷備機的發(fā)展，手機終端性能的不斷提高，加上網絡寬帶化發(fā)展，越來越多的用戶選擇手機上網。相對于傳統(tǒng) PC，手機終端存儲的信息更有價值，且多涉及個人隱私等敏感信息。手機作為移動互聯(lián)其安全性正面臨著嚴峻的挑戰(zhàn)。種類繁多和開源的操作系統(tǒng)為移動互聯(lián)網安全帶來了更多的問題和隱患。[1] 1 手機產品使用情況 1.1 手機互聯(lián)網應用的使用情況 用戶最常使用的互聯(lián)網應用主要包括瀏覽網頁、即時通訊、微博、視頻與音樂等，其中微博用戶近兩年大幅攀升。調查顯示，微博、即時通訊、社交網站等以互動交流為主的應用在移動終端的應用中占有較大份額，同時，視頻與音樂、網絡游戲等娛樂方面的應用也持續(xù)增長

8、。移動終端的應用延續(xù)了以互動和娛樂為主的特點的同時，也在逐漸向商務轉變，越來越多的用戶使用網絡支付、交易等網上金融業(yè)務。 1.2 安全產品使用情況 近六成的用戶使用了手機防病毒軟件，安裝短信防火墻的占總數的 30.1%，超過 20% 的用戶安裝使用了云安全產品，15.8% 的用戶使用了移動終端安全管理產品。近年來，安全廠商相繼推出多種類型的移動終端的安全產品，用戶對手機等移動終端安全的認知度普遍提高，移動終端告別了早期的“裸奔”時代，安全防護及安全管理軟件的普及率大大提升。[2] 2 手機安全面臨的主要問題和危害 手機面臨的安全問題主要有惡意軟件、垃圾短信、釣魚信息、網站瀏覽等。其中網

9、絡釣魚和網絡欺詐已經成為網民面對的主要安全威脅，其傳播途徑也逐漸轉向信任度高、交互性強的微博、微信平臺，同時，網站瀏覽安全仍然是傳統(tǒng) PC和移動終端需要共同面對的問題。 2.1 APP缺乏管理成重災區(qū) APP 即第三方應用程序。隨著智能手機和移動終端設備的普及，使用 A PP 客戶端上網的模式逐步為用戶所接受，第三方應用商店已成為我國消費者的首選。但是，由于眾多第三方應用商店對于 APP 缺乏嚴格的審核機制，給惡意軟件的滋生提供了便利條件。一些下載率高的應用程序、熱門游戲軟件等都是惡意用戶實施篡改和捆綁的目標，他們多用于推送消息和廣告，惡意扣費，更改用戶設置，竊取用戶通訊錄、手機短信的個人

10、信息，下載病毒、木馬等惡意程序，監(jiān)聽通話內容甚至進行錄音。一款捆綁了惡意軟件的熱門 APP 感染數量能達到百萬以上。不安全的 APP 嚴重威脅著手機用戶的數據和隱私安全。 2.2 移動支付遭遇難題 隨著互聯(lián)網商務應用的發(fā)展，2012 年 , 中國互聯(lián)網網絡支付的交易規(guī)模大幅度增長 , 電子支付已逐步成為現代支付體系中最活躍、最有發(fā) 展前景的組 成部 分，電子支付 市場發(fā) 展 迅 速。同樣，這個巨大的金錢交易市場也受到了不法分子和惡意用戶的高度關注，針對手機支付的病毒、木馬相繼出現，技術手段也在雙方的博弈中不斷升級。 去年相繼出現了Zeus、SpyEye 等手機木馬程序。它們綜合了“桌面”

11、版惡意軟件的功能，能夠獲取用戶的在線銀行賬號信息。這類手機惡意軟件主要用來竊取銀行發(fā)送的確認信息，即在線銀行交易需要的確認碼。此外，他們還會隱藏銀行發(fā)送給用戶的信息，如果用戶不檢查銀行賬號，根本無法察覺賬戶已經被竊。 2013 年 3 月，我國首次出現了感染國內手機支付銀行客戶端的病毒“洛克蠕蟲”，該病毒感染了中國建設銀行的手機客戶端，通過二次打包的方式把惡意代碼嵌入銀行 APP，未經用戶允許私自下載軟件并安裝，竊取銀行賬號及密碼，繼而盜走用戶賬號中的資金[3]，手機支付現狀堪憂。 3 手機安全問題的難點 智能手機具有人機界面友好、功能豐富的顯著特點，但產品種類繁多、軟件版本更新快、

12、硬件架構不統(tǒng)一的現狀也帶來了諸如安全漏洞頻出、手機證據證明力不足、立法步伐難以跟上形勢發(fā)展等一系列的問題。 3.1 發(fā)現難 顯然，竊取手機用戶的隱私信息、惡意扣費以及惡意傳播之類的行為是不道德的，也符合廣義犯罪的概念。但是，對于使用手機的普通民眾而言，如何發(fā)現和防范這些行為呢？軟件運行、數據破壞、數據復制和無線傳輸的過程都是不聲不響的，在此過程中手機大多仍能正常使用，手機使用者在此過程中沒有直觀的疼痛感，絕大多數的手機使用者也不具備從正在運行的眾多軟件進程和無線傳輸流程中分辨出好壞真假的能力。 從手機網絡運營商的角度看，其主要職責是負責接入、交換和傳輸，但并不具有對所傳輸的內容進行甄別和

13、記錄的職能和權限。在技術層面上，從海量的數據流中發(fā)現針對手機的不良行為是一件幾乎不可能完成的事情，為之付出的代價很可能超過實現信息傳輸本身。 3.2 舉證難 民事和刑事案件的證據都要求有原物，要求所提供電子證據具有完整性、真實性和原始性。要想證明手機安全問題的存在或發(fā)生，往往需要在手機中和在手機接入的公眾移動通信網絡中同時提取到能相互印證的證據。在現有的法律規(guī)定和運行機制中，幾乎所有的民事案件和大多數刑事案件中涉及的手機電子證據均很難滿足這種要求[4]。對于手機安全事件而言，大多需要將被刪除內容、非授意訪問行為或篡改行為作為證據。但是，通過攝像、拍照或通過手機的通信接口，無法讀出被刪除的

14、內容，也不可能讀出日志中沒有記錄的非授意訪問或篡改行為，能讀出的內容也只是邏輯意義上的數據；再加上智能手機的操作系統(tǒng)和內部非易失性存儲器的多樣性，還沒有形成類似計算機硬盤那樣的相對規(guī)范、統(tǒng)一的硬件接口和通信協(xié)議，不可能像對待硬盤那樣對其中的內容進行恢復和鑒定取證，因此在手機中很難獲得滿足完整性要求的證據。[5] 與此同時，在手機接入的公眾移動通信網絡中能存留下來的主要是日志和計費數據，但并不涉及到具體的內容。為了證明手機安全事件的存在，這類日志和計費數據是必不可少的證據，但由于沒有具體內容而只能作為間接證據。運營商可以向用戶提供計費數據，但沒有向用戶提供日志記錄的義務；對于民事案件而言，要想

15、獲得這樣的間接證據也是很難的；即使是刑事案件，如果達不到一定的級別，也很難獲得批準提取到此類證據。因此，對于絕大多數民事案件和一般的刑事案件而言，很難從嚴格意義上全面證明手機安全事件的真實發(fā)生，這也是現有的手機安全案例很難進入到司法程序的主要原因之一。[6] 4 手機安全問題的對策 既具有計算機特性、又具有手機功能的智能手機以及既有互聯(lián)網特性、又具有傳統(tǒng)通信網功能的公眾移動通信系統(tǒng)，目前正處于一個管理上的麻煩地帶。我國的手機網絡安全問題與發(fā)達國家中的情況基本上是同步的，有些方面我國甚至更超前。加強管理、加大處罰力度和加快立法步伐是目前通行的做法。 4.1 基于操作系統(tǒng)層的安全技術路線

16、目前，Android、IOS、Windows Phone、RIM等幾大智能手機操作系統(tǒng)陣營已經形成，操作系統(tǒng)為智能終端上層應用軟件運行的基礎，提供了豐富、開放的API接口，因此會存在功能接口被非法濫用的安全風險，這也是導致手機安全事件日益增加的主要原因之一。[7] 如果能在操作系統(tǒng)架構設計中融入安全的理念，將安全作為操作系統(tǒng)與生俱來的特性，并將安全能力從操作系統(tǒng)平臺延伸至上層應用，那么這種強化的安全機制將會有利于保障日趨復雜的終端系統(tǒng)可靠地運行。因此手機操作系統(tǒng)除了應具備代碼簽名、沙箱、權限模式控制、內存保護等安全機制之外，還應向應用層開放安全能力，例如為應用提供密碼學運算接口，加解密功能、

17、簽名驗簽服務、證書管理，提供SSL、VPN等安全通信協(xié)議，提供DRM等安全服務能力等。 4.2 基于硬件層的安全技術路線 越來越多的移動用戶使用手機進行移動支付、網上銀行業(yè)務，行業(yè)用戶要求在可信的環(huán)境中訪問公司內部應用或執(zhí)行高安全等級的操作，而各種移動惡意軟件或黑客攻擊會阻止、破壞以上各種業(yè)務的正常運行，同時盜取個人用戶的隱私信息、帳號、密碼、行業(yè)用戶的公司機密信息等。[8] 病毒查殺工具本質上也是軟件，并不比手機病毒更為底層。因此，保護用戶核心數據以及安全運行核心業(yè)務操作，還需依賴基于硬件層的解決方案，即構建硬件可信平臺在更底層對軟件層次的攻擊進行保護。 具體地，該技術需要硬件芯片上

18、劃分出不同的存儲區(qū)域，支持不同的工作模式，還需事先定義不同類型的操作對應不同的工作模式。高級別安全存儲區(qū)域，存儲私人敏感數據，禁止軟件訪問。手機上的常規(guī)操作在普通工作模式下執(zhí)行，關鍵應用、敏感業(yè)務在硬件可信環(huán)境中，即安全工作模式下執(zhí)行，可』信環(huán)境通常包括可信安全芯片，安全OS，安全API，是一套封閉獨立的體系，因此移動惡意軟件無法與可信環(huán)境通信，可有效降低安全風險。[9] 5 手機安全防護措施 5.1 切斷手機發(fā)送涉密場所信息的途徑 如在涉密場所設置屏蔽室或者手機屏蔽柜(套)，進入涉密場所之前一律將手機存放在屏蔽室或者手機屏蔽柜(套)內；在保密會場等涉密場所使用移動通信干擾器，切斷移動通

19、信工具與公眾移動通信網的聯(lián)系。[10] 5.2 使用加密手機，增加加密模塊 通過加密，可以極大地降低泄密的風險。因為很多秘密泄露，都是別人在無意中發(fā)現的。但加密手機只是加密了通信信息，并未對用戶位置信息、身份信息等進行加密。稍有不慎，涉密信息仍有可能泄露。另外，移動通信加密也給密鑰管理增加了困難。總之，加密防護是相對的，不是也不可能是絕對安全的。 5.3 提高警惕，增強安全防范意識 涉密單位的領導和重要涉密崗位的工作人員不得使用他人贈予的移動通信工具；嚴禁使用普通移動通信工具談論、傳送涉密信息；慎重使用移動新業(yè)務，一般不要開通移動定位、無線上網、移動電話簿等新業(yè)務；不要將移動通信工具連

20、接到電腦等涉密信息設備上；移動通信工具外借、外修、保管要慎重，防止失控；慎重使用別人送給你的用戶卡，不要使用來路不明的用戶卡，盡量在正規(guī)的運營商經銷處購買用戶卡；不要在手機上存儲秘密數據或個人資料、隱私照片等；發(fā)現手機病毒后，應盡快關閉手機，妥善查殺病毒。 6 結束語 經過近30多年的發(fā)展，手機已經成為一個不可或缺的通信、娛樂、工作平臺，深刻改變并影響了人類社會的生活模式，但隨之而來的安全問題將會長期存在，并有可能進一步加劇。對于快速發(fā)展的通信產業(yè)而言，這既是挑戰(zhàn)，又是機遇。建議包括政府、運營商、廠商、標準化組織等在內整個產業(yè)鏈要協(xié)同合作，開展系統(tǒng)化的安全工作，通過標準研究，工程項目、產業(yè)

21、合作等方式提升包括手機硬件、操作系統(tǒng)以及向外延伸的網絡、業(yè)務應用等產業(yè)鏈環(huán)節(jié)構成的手機生態(tài)系統(tǒng)的整體安全，同時，產業(yè)鏈成員應不斷拓展手機安全產品功能，為用戶提供全方位的安全服務解決方案。 參考文獻 [1] 國家計算機病毒應急處理中心, 2012年全國信息網絡安全狀況與計算機及 移動終端病 毒疫情調查分析報告[R]. 2013. [2] 孫志光,農莉莉.未來手機安全技術思考[J].移動通信,2013,(第1期). [3] 手機安全氣囊[J].機械工程師,2013,(第1期). [4] 梁宏,解萬永,秦博.手機安全現狀及發(fā)展趨勢[J].信息網絡安全,2013,(第10期). [5]

22、 江連海.智能手機安全系統(tǒng)開發(fā)[J].可編程控制器與工廠自動化,2013,(第5期). [6] 黃偉,張瑞霞,王亞亮,劉炎蘭.Android手機安全防護系統(tǒng)[J].大眾科技,2013,(第 7期). [7] 張磊.重新定義“手機安全”[J].數字商業(yè)時代,2013,(第8期). [8] 周運偉.手機安全問題的難點剖析及其對策[J].信息網絡安全,2013,(第10期). [9] 中國互聯(lián)網絡信息中心.中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告[R].北京:中國互聯(lián) 網絡信息中心, 第31次.2012. [10] 張笑容.網絡個人隱私保護的難題——用戶權利邊界在哪里?[J].中國計算機 學會通訊,2013,9(5):41-45.