论文部分内容阅读
移动互联网需要全新移动安全解决方案,安全开放平台成为了网络安全的发展趋势。
据2014年统计,中国智能手机用户已经突破5亿。2015年第一季度,移动支付业务13.76亿笔,金额39.78万亿元,同比分别增长108.85%和921.49%。根据普华永道数据统计,中国消费者使用移动支付意愿比例为63% ,是全球平均值的两倍。
但是,当前中国移动互联网的安全现状并不容乐观。近年来,手机软件所导致的个人信息泄露问题变得日益突出,引起社会各方的关注。
安全现状不容乐观
通过智能手机、平板电脑等移动终端,收发邮件、洽谈业务、传送图文资料等是每个政府部门、企事业单位以及商务人士的都会涉及的工作。移动办公因其便捷、高效、节约成本等优势正在成为许多单位的选择,而与之相伴的安全威胁实则让用户头疼不已。由于移动办公接入硬件设备的多样性,且大部分无健全的安全防护措施,使得信息安全问题异常凸显。如今,智能手机的安全隐患主要体现在以下六个方面:
手机账户的安全问题日益凸显。国内的支付宝、微信支付、百度钱包以及各大银行的手机银行、网银等都出现过用户账号密码泄露或绑定银行卡后被盗刷和转账的案件。
垃圾短信横生、垃圾号码伪装成了易事。黑基站、伪基站的架设使得利用来电和短信的诈骗活动层出不穷,由于调查难、取证难、破案率低,成为各地公安部门棘手的案件类别。
伪WIFI热点窃取各类账号和手机内信息。将路由器或手机伪装成公共WIFI热点是轻而易举的事情,许多人在公共场所因为蹭网而极有可能连上伪装的WIFI热点,被过滤捕捉到账号信息、应用口令等敏感信息,后果不堪设想。
非法的二维码让机主一扫就中毒。二维码作为使用方便的引导入口,被广泛运用于商业和公共事务中,也导致其成为主要的恶意网站和病毒木马诱导方式。用户见码就扫的行为,会轻而易举导致手机中毒中马。
植入木马的手机瞬间变成窃听器和定位器。激活的木马极易暴露机主的隐私,泄漏机主的行踪,甚至远程控制打开摄像头,让用户的信息在不知不觉中被挖掘一空,使机主的个人隐私、账号密码、商业机密甚至国家安全信息被窃取,蒙受无法想象的损失。
智能手机内核芯片缺乏主导权导致大隐患。斯诺登事件就爆出美国安全部门责令微软、谷歌、Facebook、苹果等软硬件厂商提供后台服务器接口,以数据进行分析。对于没有技术软硬件主导权的其他国家,隐患很大。
此外,用户对移动安全威胁的认知不尽人意,很多用户在个人信息保护方面意识不够,对于很多个人信息泄露带来的危害不甚了解,在手机软件个人信息泄露方面没有保持足够的警惕性,这就给手机软件安全隐患打开了方便之门。同时,外部情报间谍、竞争对手通过各种技术手段窃取政府部门和企业机密;内部员工疏于管控,使用不安全的通讯方式无意中造成泄密。两种情况都会对用户造成无法挽回的损失。导致政府机关、事业单位重要机密信息,企业产品资料、制作工艺、客户资料、合同报价等重要商业机密被有意或无意中通过手机或网泄露,企业为此付出了沉重的代价。
2013年是移动安全问题进入全面爆发的新阶段:2013年安卓(Android)平台新增恶意程序样本67.1万个,较2012年增长4.4倍;用户感染恶意程序9747万人次,较2012年增长了88.3%,其中资费消耗、恶意扣费、隐私窃取和诱骗欺诈类恶意程序的感染量最高用户手机感染恶意程序后面临直接经济损失的可能性达到了近七成。根据《2014年中国手机安全状况报告》,手机木马近似模仿流行APP成最新趋势,窃密木马伪装成系统软件是其传播和加载的常用手段,极具隐蔽性。2015年互联网安全中心累计截获Android平台心中恶意程序样本达326万余个,较2013年增长了3.86倍。手机一旦被木马控制,可能会发生手机中存储的文本信息、通讯录被窃取;持机人的环境音被窃听,使手机成为一部窃听器;持机人的地理位置信息被掌握;通话信息、收发短信的内容被截取。
鉴于目前信息安全的严峻形式,我国对涉密网络、涉密人员的管理成为国家安全保密工作中的当务之急。2014年1月17日在全国保密工作会议上,中共中央政治局委员、中央保密委员会主任栗战书强调:“做好新形势下的保密工作,要增强忧患意识、创新意识和责任意识,聚焦重点难点,打好‘持久战’、‘攻坚战’,要从制度和技术上做好对智能手机的技术安全防护工作。”2014年2月27日,中央网络安全和信息化领导小组宣告成立,习近平亲自担任组长,网络安全问题已经提升到国家层面。各地党政机关等重要单位和部门,都加大了对手机、涉密网络、涉密人员的安全防护与保密管理工作的力度。国家高度重视国产密码产品和技术的研究,特别是现在国家商用密码管理部门更是对网络安全方面提出了应用生产密码产品的要求。
安全防护要对症下药
如今,移动互联网需要全新移动安全解决方案,安全开放平台成为了网络安全的发展趋势。因此,未来对不同使用智能手机的对象需要采取不同的加密防护:
对相关需保密单位的工作人员的智能手机、通讯工具进行加密防护。由于工作性质的原因,一些重要岗位的工作人员(如政府工作人员、敏感岗位人员、有商业机密需要保守的企业人员)在使用智能手机的过程中,可能会涉及到敏感、重要信息(工作类的敏感文件信息、通讯数据传输安全等方面),需要进行技术安全防护,以防止被人窃取而造成失泄密。通过某些手机安全产品,可以为这些单位用户的智能手机提供加密服务,以集团用户的方式接入。加密的方式可以用公司已有的产品,也可以根据用户的特殊需求量身定制。目前,加密手机只能提供加密通话功能,在手机App应用防护、木马查杀、办公运用、文件传输等软件方面的防护和普通智能手机的防护功能一样。
为高端人群提供智能手机的加密服务。目前移动智能平台恶意程序泛滥,窃密行为频发、用户个人信息受到严重威胁的现象,加强智能手机的个人隐私保护已经越来越引起人们的重视。因此,为重要工商界人士、白领阶层、注重个人隐私保护的人群等提供加密服务,以保障商业秘密、个人隐私不被泄露已成为许多公司的重要加密产品。这种产品的服务方式是通过与运营商合作,在运营商的增值服务中增加隐私保护的内容。
为喜欢手机支付的新消费观念人群提供技术安全保障。当前,通过手机来支付各种费用,或是进行家电的智能化控制,已经越来越多的被人们所接受。但是由于手机本身的技术缺陷,通过手机进行支付、家电智能控制等操作时存在着很大的风险。通过与运营商的合作,在增值服务中对操作系统的加密防护,可以增强手机本身的安全性能,以保障用户的使用安全。
除此之外,还要培养个人使用智能手机的安全意识。首先,不要“见码就扫”,防止被导入病毒木马链接入口;其次,不要贪图免费WIFI热点,在确定是安全信号源之前,不要连接,防止信息被过滤分析,账号被窃;第三,经常检查已安装的手机应用,发现不明应用程序或异常流量,要卸载;第四,不要轻易相信带有“中奖”、“猎奇”类的短信,尤其不要点击这类诱惑性短信中的网址链接;第五,对手机支付始终保持警惕性,要加入多重认证,防止手机银行用户名和口令被盗;第六,国家政府部门和涉密部门,避免使用QQ、微信等大众类即时通讯软件,要使用经过国家密码管理部门认证的应用软件,处理敏感信息和工作信息;最后,政府机关保密、安全部门人员,需使用专业的木马、病毒查杀工具,定期对工作手机进行查杀。
(作者单位:浙江省杭州市保密技术检查中心)
据2014年统计,中国智能手机用户已经突破5亿。2015年第一季度,移动支付业务13.76亿笔,金额39.78万亿元,同比分别增长108.85%和921.49%。根据普华永道数据统计,中国消费者使用移动支付意愿比例为63% ,是全球平均值的两倍。
但是,当前中国移动互联网的安全现状并不容乐观。近年来,手机软件所导致的个人信息泄露问题变得日益突出,引起社会各方的关注。
安全现状不容乐观
通过智能手机、平板电脑等移动终端,收发邮件、洽谈业务、传送图文资料等是每个政府部门、企事业单位以及商务人士的都会涉及的工作。移动办公因其便捷、高效、节约成本等优势正在成为许多单位的选择,而与之相伴的安全威胁实则让用户头疼不已。由于移动办公接入硬件设备的多样性,且大部分无健全的安全防护措施,使得信息安全问题异常凸显。如今,智能手机的安全隐患主要体现在以下六个方面:
手机账户的安全问题日益凸显。国内的支付宝、微信支付、百度钱包以及各大银行的手机银行、网银等都出现过用户账号密码泄露或绑定银行卡后被盗刷和转账的案件。
垃圾短信横生、垃圾号码伪装成了易事。黑基站、伪基站的架设使得利用来电和短信的诈骗活动层出不穷,由于调查难、取证难、破案率低,成为各地公安部门棘手的案件类别。
伪WIFI热点窃取各类账号和手机内信息。将路由器或手机伪装成公共WIFI热点是轻而易举的事情,许多人在公共场所因为蹭网而极有可能连上伪装的WIFI热点,被过滤捕捉到账号信息、应用口令等敏感信息,后果不堪设想。
非法的二维码让机主一扫就中毒。二维码作为使用方便的引导入口,被广泛运用于商业和公共事务中,也导致其成为主要的恶意网站和病毒木马诱导方式。用户见码就扫的行为,会轻而易举导致手机中毒中马。
植入木马的手机瞬间变成窃听器和定位器。激活的木马极易暴露机主的隐私,泄漏机主的行踪,甚至远程控制打开摄像头,让用户的信息在不知不觉中被挖掘一空,使机主的个人隐私、账号密码、商业机密甚至国家安全信息被窃取,蒙受无法想象的损失。
智能手机内核芯片缺乏主导权导致大隐患。斯诺登事件就爆出美国安全部门责令微软、谷歌、Facebook、苹果等软硬件厂商提供后台服务器接口,以数据进行分析。对于没有技术软硬件主导权的其他国家,隐患很大。
此外,用户对移动安全威胁的认知不尽人意,很多用户在个人信息保护方面意识不够,对于很多个人信息泄露带来的危害不甚了解,在手机软件个人信息泄露方面没有保持足够的警惕性,这就给手机软件安全隐患打开了方便之门。同时,外部情报间谍、竞争对手通过各种技术手段窃取政府部门和企业机密;内部员工疏于管控,使用不安全的通讯方式无意中造成泄密。两种情况都会对用户造成无法挽回的损失。导致政府机关、事业单位重要机密信息,企业产品资料、制作工艺、客户资料、合同报价等重要商业机密被有意或无意中通过手机或网泄露,企业为此付出了沉重的代价。
2013年是移动安全问题进入全面爆发的新阶段:2013年安卓(Android)平台新增恶意程序样本67.1万个,较2012年增长4.4倍;用户感染恶意程序9747万人次,较2012年增长了88.3%,其中资费消耗、恶意扣费、隐私窃取和诱骗欺诈类恶意程序的感染量最高用户手机感染恶意程序后面临直接经济损失的可能性达到了近七成。根据《2014年中国手机安全状况报告》,手机木马近似模仿流行APP成最新趋势,窃密木马伪装成系统软件是其传播和加载的常用手段,极具隐蔽性。2015年互联网安全中心累计截获Android平台心中恶意程序样本达326万余个,较2013年增长了3.86倍。手机一旦被木马控制,可能会发生手机中存储的文本信息、通讯录被窃取;持机人的环境音被窃听,使手机成为一部窃听器;持机人的地理位置信息被掌握;通话信息、收发短信的内容被截取。
鉴于目前信息安全的严峻形式,我国对涉密网络、涉密人员的管理成为国家安全保密工作中的当务之急。2014年1月17日在全国保密工作会议上,中共中央政治局委员、中央保密委员会主任栗战书强调:“做好新形势下的保密工作,要增强忧患意识、创新意识和责任意识,聚焦重点难点,打好‘持久战’、‘攻坚战’,要从制度和技术上做好对智能手机的技术安全防护工作。”2014年2月27日,中央网络安全和信息化领导小组宣告成立,习近平亲自担任组长,网络安全问题已经提升到国家层面。各地党政机关等重要单位和部门,都加大了对手机、涉密网络、涉密人员的安全防护与保密管理工作的力度。国家高度重视国产密码产品和技术的研究,特别是现在国家商用密码管理部门更是对网络安全方面提出了应用生产密码产品的要求。
安全防护要对症下药
如今,移动互联网需要全新移动安全解决方案,安全开放平台成为了网络安全的发展趋势。因此,未来对不同使用智能手机的对象需要采取不同的加密防护:
对相关需保密单位的工作人员的智能手机、通讯工具进行加密防护。由于工作性质的原因,一些重要岗位的工作人员(如政府工作人员、敏感岗位人员、有商业机密需要保守的企业人员)在使用智能手机的过程中,可能会涉及到敏感、重要信息(工作类的敏感文件信息、通讯数据传输安全等方面),需要进行技术安全防护,以防止被人窃取而造成失泄密。通过某些手机安全产品,可以为这些单位用户的智能手机提供加密服务,以集团用户的方式接入。加密的方式可以用公司已有的产品,也可以根据用户的特殊需求量身定制。目前,加密手机只能提供加密通话功能,在手机App应用防护、木马查杀、办公运用、文件传输等软件方面的防护和普通智能手机的防护功能一样。
为高端人群提供智能手机的加密服务。目前移动智能平台恶意程序泛滥,窃密行为频发、用户个人信息受到严重威胁的现象,加强智能手机的个人隐私保护已经越来越引起人们的重视。因此,为重要工商界人士、白领阶层、注重个人隐私保护的人群等提供加密服务,以保障商业秘密、个人隐私不被泄露已成为许多公司的重要加密产品。这种产品的服务方式是通过与运营商合作,在运营商的增值服务中增加隐私保护的内容。
为喜欢手机支付的新消费观念人群提供技术安全保障。当前,通过手机来支付各种费用,或是进行家电的智能化控制,已经越来越多的被人们所接受。但是由于手机本身的技术缺陷,通过手机进行支付、家电智能控制等操作时存在着很大的风险。通过与运营商的合作,在增值服务中对操作系统的加密防护,可以增强手机本身的安全性能,以保障用户的使用安全。
除此之外,还要培养个人使用智能手机的安全意识。首先,不要“见码就扫”,防止被导入病毒木马链接入口;其次,不要贪图免费WIFI热点,在确定是安全信号源之前,不要连接,防止信息被过滤分析,账号被窃;第三,经常检查已安装的手机应用,发现不明应用程序或异常流量,要卸载;第四,不要轻易相信带有“中奖”、“猎奇”类的短信,尤其不要点击这类诱惑性短信中的网址链接;第五,对手机支付始终保持警惕性,要加入多重认证,防止手机银行用户名和口令被盗;第六,国家政府部门和涉密部门,避免使用QQ、微信等大众类即时通讯软件,要使用经过国家密码管理部门认证的应用软件,处理敏感信息和工作信息;最后,政府机关保密、安全部门人员,需使用专业的木马、病毒查杀工具,定期对工作手机进行查杀。
(作者单位:浙江省杭州市保密技术检查中心)