论文部分内容阅读
摘要:近年来移动智能手机的广泛使用以及移动互联网技术的不断更新发展,人们的生活到处都融入着移动互联网科技的应用,移动互联网技术的应用每时每刻改变着人们的生活方式,如微信聊天,手机支付,手机地图等等,移动互联为人们带来各种生活方便的同时,,也带来了严重的信息安全等问题,如支付密码、个人信息泄露等,这些问题已经给人们的日常生活和工作造成了巨大的损失,本文简要分析移动互联网带来的安全问题,并讨论解决这些问题的技术方案,并给出一定的应对措施。
关键词:移动互联;信息安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)36-0025-02
互联网的发展为人们提供了不受时间、空间限制的信息交换平台,使人们随时随地都可以进行高效的信息交互,随着移动智能终端的普及,以及第四代移动通信技术4G的发展,使得移动互联行业获得到井喷的发展,据统计2015年中国境内活跃的手机网民数量达到了7.8亿,占全国人口数量的56.9%,其中安卓操作系统的智能手机占比高达78.9%。在众多应用中,影音播放类的 APP 最多,占 17%,其次是网购支付类 APP 和社交类 APP,分别占 10%和 9%,数据显示出移动互联网已逐渐融入网民的娱乐、购物、社交等日常生活中。移动互联技术的应用尽管为人们生产生活带来了极大的便利,但随着网络规模以及使用领域的不断扩大,其中存在的信息安全问题也日趋严峻,我们必须充分了解移动互联网的信息安全问题以确保移动互联网的健康发展,进一步探索总结安全问题存在的根源,针对问题提出有效的解决方案,积极应对,最大限度地消除与防范移动互联中的信息安全隐患。
1 移动互联中的个人信息安全问题
移动互联技术的不断更新发展,移动互联应用也涵盖了人们的日常生活各个方面的应用,人们的生活已经变得与这些移动应用密不可分,人们利用微信进行各种社交、利用手机银行处理各类银行业务,各类生活缴费、利用支付宝完成各种购物,支付、各种虚拟账号等等,移动互联已经更我们的生活紧密的结合在一起,然而各类的个人信息泄露,支付密码被盗等事件层出不穷,用户的信息隐私受到的威胁越来越大,给广大用户造成了极大的损失,也制约了移动互联网的绿色健康的发展,本文针对互联网信息安全问题的原因,归纳出以下三个方面。
1.1 通信网络层面的问题
移动互联网是移动通信和互联网技术发展的共同产物,融合了两种技术的优点,同时也继承两种技术的特性,在网络通信的安全问题上,移动互联一样也感到力不从心,主要表现为:
1.1.1 TCP/IP协议的安全问题
移动互联网融合和继承了移动技术和互联网技术的大部分特性,其核心仍然采用的是IP协议,只是在通信上采用扁平网络以区分传统的多级、多层网络。由于IP协议在诞生时的设计理念强调的是开发性和便利性,而没有特别考虑自身的安全性,因此采用IP协议为核心的移动互联网存在严重的安全漏洞,给人们的移动应用留下许多安全隐患。在移动互联网的应用层上,用户可以直接在移动终端登录和访问核心网,并对其进行数据管理和控制,这样使得核心网就存在数据泄露的危险。因此,诸多移动运营商也日益注重并解决移动互联网的数据安全等相关问题。
1.1.2 移动互联网络的开放性
在2G时代,移动互联主要依靠移动运营商自建的专属网络系统,且不与外界的网络连接,信息在全封闭的环境中传输、交互,且不受外部的干扰,一般的木马病毒也无法通过公共网络传播,但随着网络的发展,移动技术进入4G时代,具有IP混合交互的特点,用户通过公共网络进入移动互联,也必然增加了移动互联的安全隐患[1]。
1.1.3 Wi-Fi热点的安全漏洞
Wi-Fi是一种允许电子设备连接到一个无线局域网(WLAN)的技术,通常使用2.4G UHF或5G SHF ISM 射频频段。连接到无线局域网通常是有密码保护的;但也可是开放的,这样就允许任何在WLAN范围内的设备可以连接上。随着人们对网络的日益需要,大部分商户为了吸引和留着客户,往往会免费提供Wi-Fi热点,客人在商场发现Wi-Fi热点后,一般向服务员索要连接密码后登陆该热点。不法黑客就利用人们的这些使用习惯,设计了一个又一个热点陷阱。通过伪装或侵入商场提供的免费Wi-Fi热点,窃取客人利用该网络上网的所有数据包,经过反编译或分析破解其中的加密信息,而一些没有被加密的通信信息更是可以直接查看。
1.2 软件应用开发漏洞
移动智能终端的应用,无论是谷歌Android系统还是苹果iOS系统开发的应用APP都因为技术本身的问题或者程序开发者的问题,造成的安全漏洞问题是无法避免的。以安卓为例,尽管Android系统使用沙箱的概念实现应用程序之间的分离和权限,如图1表示,但由于安卓本身是开放的,通过反编译可以非常容易的将应用APK编译成可读文件,并植入恶意代码等等,Android 应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上 Android 应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。再加上 root 对于 App 沙箱的破坏,Android 升级的限制等各种原因,使得应用的安全漏洞变得无可避免。同样iOS系统在信息安全上也是漏洞百出,无法彻底根除。
1.3 不良移动互联应用商及病毒的威胁
在移动互联网上进行交互时,某些应用网站需要提供用户的个人信息,如姓名、性别、身份证号码等情况,然而这些商家并没有按照协议提供隐私保护,甚至有些商家由于管理不善或为了利益,转手将客户信息出售给其他的商家[2]。同时也有不少团伙组织,通过非法手段,制作、传播手机木马病毒窃取个人信息,获取非法利益。随着互联网的应用越来越深入人们的生活,使得人们的个人数据在移动互联网中的通信也越来越频繁,这些个人数据的背后也蕴藏的巨大的经济价值,同时也吸引更多的不法之徒制造和传播手机病毒,非法窃取个人信息来获得经济利益,现今手机病毒已经形成一条完整的產业链,从黑客编写手机病毒,到最后利用窃取来的个人信息盈利收入,手机病毒的参与人员都能够从整个资金链条中获取暴利,同时移动互联网中相关法律法规的空白,也让手机病毒制造和传播者有了可乘之机。 2 信息安全问题的应对措施
通过分析移动互联的信息安全问题,主要表现在网络通信、应用开发和病毒等方面的漏洞,为了应对信息安全问题,需要多管齐下共同采取相应措施,推动移动互联网的健康发展。主要措施为:
2.1 提升个人用户安全意识,在源头杜绝信息安全问题
用户的手机陷入信息安全问题的至关重要的因素是手机用户的安全意识薄弱,虽然人们对移动智能终端越来越熟悉,但是在个人用户的信息保密以及相关的安全意识水平上还是比较低下,大部分用户对恶意的后台软件并没有太多的认识,对个人信息被盗取、窃听等方面的也不是很了解,也并不知道安装手机安全软件来预防及减小手机病毒的侵害,更没有意识到公共网络的安全问题,所以提高智能手机用户的安全意识刻不容缓,利用相关的安全知识,要在根源上杜绝信息安全问题,最好做到要从正规的渠道购买智能终端,防止在源头上被植入相关的后台软件、手机木马病毒等;在下载各类应用软件时,应该去专门的官方网站或者拥有相关认证的,如百度应用、豌豆荚等应用市场下载;在使用移动互联网时不登入一些不正当的网站,不在公共网络上进行支付或登陆重要的个人信息;在智能终端的使用上,应定期对手机进行病毒查杀、更新相关病毒库也要及时 [3]。
2.2 引进网络安全技术,为个人信息的安全提供保护伞
除了个人的安全意识的提高,要更进一步从深层次上解决移动互联网的安全问题,就需要各行各业的积极推动从不同的层面出发,比如在网络传输、用户认证以及应用软件开发的加密技术,共同协作,从根本上解决移动互联网的信息问题。
2.2.1 强化移动网络安全建设
要尽快制定移动互联网安全技术标准,加强各运营商对网络传输的监控,对网络接入进行严格把控,引入网络安全机制发挥隔离防护作用,并结合相关的数据加密技术,从而达到用户数据在网络中安全传输的目的。
2.2.2 应用软件开发中的软件加密
加强应用软件开发中的安全标准,为用户的个人信息提供双重保险。在移动应用开发中,可以对本身应用数据进行加密,使应用软件不能被逆向破解,为个人信息数据提供保护。以Android开发为例,Android SDK使用的API和JAVA提供的基本相似,由 Java Cryptography Architecture (JCA,java加密体系结构) ,Java Cryptography Extension (JCE,Java加密扩展包) ,Java Secure Sockets Extension(JSSE,Java安全套接字扩展包),Java Authentication and Authentication Service(JAAS,Java 鉴别与安全服务)组成。JCA提供基本的加密框架,如证书、数字签名、消息摘要和密钥对产生器。JCE扩展了JCA,提供了各种加密算法、摘要算法、密钥管理等功能。同时Android 提供的AES加密算法API默认使用的是ECB模式,所以要显式指定加密算法为:CBC或CFB模式,可带上PKCS5Padding填充。AES密钥长度最少是128位,推荐使用256位,代码如下:
//生成KEY
KeyGenerator keygenerator=KeyGenerator.getInstance(“AES”);
keygenerator.init(256);
//产生密钥
SecretKey secretkey= keygenerator.generateKey();
//获取密匙
Byte[] keyBytes= secretkey.getEncoded();
//还原密钥
SecretKey key=new SecretKeySpec(keyBytes,”AES”);
//加密
Cipher cipher=Cipher.getInstance(“AES/CBC/PKCS5Padding”);
cipher.init(Cipher.ENCRYPT_MODE,key);
Byte[] encodeResult=cipher.doFinal(plaintext.getBytes());
2.3 加快移動互联的法律法规建设,为用户提供法律保障
由于移动互联网的过快发展,相关法律法规并没有跟上技术发展的节奏,致使不良商家或不法组织利用法律漏洞泄露用户个人信息或肆意制造和传播手机木马,而获取非法利益。所以加快移动互联网的法律法规建设,制定行业安全标准,约束商家严格执行保密协议,保障用户的个人信息。对病毒制造和传播组织,可以通过实施手机号码实名制,使移动网络行为透明化,能实行技术溯源,让任何不法行为都能得到法律的严惩。
参考文献:
[1] 戴华秀.移动互联网时代信息安全应对策略分析[J].科技与创新,2016(1).
[2] 梁融凌.移动互联时代的个人信息安全探析[J].福建电脑,2016(2).
[3] 人民网-人民日报.评论:移动互联网面临四大安全问题[N].2012-10-16.
关键词:移动互联;信息安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)36-0025-02
互联网的发展为人们提供了不受时间、空间限制的信息交换平台,使人们随时随地都可以进行高效的信息交互,随着移动智能终端的普及,以及第四代移动通信技术4G的发展,使得移动互联行业获得到井喷的发展,据统计2015年中国境内活跃的手机网民数量达到了7.8亿,占全国人口数量的56.9%,其中安卓操作系统的智能手机占比高达78.9%。在众多应用中,影音播放类的 APP 最多,占 17%,其次是网购支付类 APP 和社交类 APP,分别占 10%和 9%,数据显示出移动互联网已逐渐融入网民的娱乐、购物、社交等日常生活中。移动互联技术的应用尽管为人们生产生活带来了极大的便利,但随着网络规模以及使用领域的不断扩大,其中存在的信息安全问题也日趋严峻,我们必须充分了解移动互联网的信息安全问题以确保移动互联网的健康发展,进一步探索总结安全问题存在的根源,针对问题提出有效的解决方案,积极应对,最大限度地消除与防范移动互联中的信息安全隐患。
1 移动互联中的个人信息安全问题
移动互联技术的不断更新发展,移动互联应用也涵盖了人们的日常生活各个方面的应用,人们的生活已经变得与这些移动应用密不可分,人们利用微信进行各种社交、利用手机银行处理各类银行业务,各类生活缴费、利用支付宝完成各种购物,支付、各种虚拟账号等等,移动互联已经更我们的生活紧密的结合在一起,然而各类的个人信息泄露,支付密码被盗等事件层出不穷,用户的信息隐私受到的威胁越来越大,给广大用户造成了极大的损失,也制约了移动互联网的绿色健康的发展,本文针对互联网信息安全问题的原因,归纳出以下三个方面。
1.1 通信网络层面的问题
移动互联网是移动通信和互联网技术发展的共同产物,融合了两种技术的优点,同时也继承两种技术的特性,在网络通信的安全问题上,移动互联一样也感到力不从心,主要表现为:
1.1.1 TCP/IP协议的安全问题
移动互联网融合和继承了移动技术和互联网技术的大部分特性,其核心仍然采用的是IP协议,只是在通信上采用扁平网络以区分传统的多级、多层网络。由于IP协议在诞生时的设计理念强调的是开发性和便利性,而没有特别考虑自身的安全性,因此采用IP协议为核心的移动互联网存在严重的安全漏洞,给人们的移动应用留下许多安全隐患。在移动互联网的应用层上,用户可以直接在移动终端登录和访问核心网,并对其进行数据管理和控制,这样使得核心网就存在数据泄露的危险。因此,诸多移动运营商也日益注重并解决移动互联网的数据安全等相关问题。
1.1.2 移动互联网络的开放性
在2G时代,移动互联主要依靠移动运营商自建的专属网络系统,且不与外界的网络连接,信息在全封闭的环境中传输、交互,且不受外部的干扰,一般的木马病毒也无法通过公共网络传播,但随着网络的发展,移动技术进入4G时代,具有IP混合交互的特点,用户通过公共网络进入移动互联,也必然增加了移动互联的安全隐患[1]。
1.1.3 Wi-Fi热点的安全漏洞
Wi-Fi是一种允许电子设备连接到一个无线局域网(WLAN)的技术,通常使用2.4G UHF或5G SHF ISM 射频频段。连接到无线局域网通常是有密码保护的;但也可是开放的,这样就允许任何在WLAN范围内的设备可以连接上。随着人们对网络的日益需要,大部分商户为了吸引和留着客户,往往会免费提供Wi-Fi热点,客人在商场发现Wi-Fi热点后,一般向服务员索要连接密码后登陆该热点。不法黑客就利用人们的这些使用习惯,设计了一个又一个热点陷阱。通过伪装或侵入商场提供的免费Wi-Fi热点,窃取客人利用该网络上网的所有数据包,经过反编译或分析破解其中的加密信息,而一些没有被加密的通信信息更是可以直接查看。
1.2 软件应用开发漏洞
移动智能终端的应用,无论是谷歌Android系统还是苹果iOS系统开发的应用APP都因为技术本身的问题或者程序开发者的问题,造成的安全漏洞问题是无法避免的。以安卓为例,尽管Android系统使用沙箱的概念实现应用程序之间的分离和权限,如图1表示,但由于安卓本身是开放的,通过反编译可以非常容易的将应用APK编译成可读文件,并植入恶意代码等等,Android 应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为 Intent 这种特殊的机制,需要过滤外部的各种恶意行为。再加上 Android 应用市场混乱,开发人员水平参差不齐。所以现在 Android 应用的漏洞,恶意软件,钓鱼等还在不断增多。再加上 root 对于 App 沙箱的破坏,Android 升级的限制等各种原因,使得应用的安全漏洞变得无可避免。同样iOS系统在信息安全上也是漏洞百出,无法彻底根除。
1.3 不良移动互联应用商及病毒的威胁
在移动互联网上进行交互时,某些应用网站需要提供用户的个人信息,如姓名、性别、身份证号码等情况,然而这些商家并没有按照协议提供隐私保护,甚至有些商家由于管理不善或为了利益,转手将客户信息出售给其他的商家[2]。同时也有不少团伙组织,通过非法手段,制作、传播手机木马病毒窃取个人信息,获取非法利益。随着互联网的应用越来越深入人们的生活,使得人们的个人数据在移动互联网中的通信也越来越频繁,这些个人数据的背后也蕴藏的巨大的经济价值,同时也吸引更多的不法之徒制造和传播手机病毒,非法窃取个人信息来获得经济利益,现今手机病毒已经形成一条完整的產业链,从黑客编写手机病毒,到最后利用窃取来的个人信息盈利收入,手机病毒的参与人员都能够从整个资金链条中获取暴利,同时移动互联网中相关法律法规的空白,也让手机病毒制造和传播者有了可乘之机。 2 信息安全问题的应对措施
通过分析移动互联的信息安全问题,主要表现在网络通信、应用开发和病毒等方面的漏洞,为了应对信息安全问题,需要多管齐下共同采取相应措施,推动移动互联网的健康发展。主要措施为:
2.1 提升个人用户安全意识,在源头杜绝信息安全问题
用户的手机陷入信息安全问题的至关重要的因素是手机用户的安全意识薄弱,虽然人们对移动智能终端越来越熟悉,但是在个人用户的信息保密以及相关的安全意识水平上还是比较低下,大部分用户对恶意的后台软件并没有太多的认识,对个人信息被盗取、窃听等方面的也不是很了解,也并不知道安装手机安全软件来预防及减小手机病毒的侵害,更没有意识到公共网络的安全问题,所以提高智能手机用户的安全意识刻不容缓,利用相关的安全知识,要在根源上杜绝信息安全问题,最好做到要从正规的渠道购买智能终端,防止在源头上被植入相关的后台软件、手机木马病毒等;在下载各类应用软件时,应该去专门的官方网站或者拥有相关认证的,如百度应用、豌豆荚等应用市场下载;在使用移动互联网时不登入一些不正当的网站,不在公共网络上进行支付或登陆重要的个人信息;在智能终端的使用上,应定期对手机进行病毒查杀、更新相关病毒库也要及时 [3]。
2.2 引进网络安全技术,为个人信息的安全提供保护伞
除了个人的安全意识的提高,要更进一步从深层次上解决移动互联网的安全问题,就需要各行各业的积极推动从不同的层面出发,比如在网络传输、用户认证以及应用软件开发的加密技术,共同协作,从根本上解决移动互联网的信息问题。
2.2.1 强化移动网络安全建设
要尽快制定移动互联网安全技术标准,加强各运营商对网络传输的监控,对网络接入进行严格把控,引入网络安全机制发挥隔离防护作用,并结合相关的数据加密技术,从而达到用户数据在网络中安全传输的目的。
2.2.2 应用软件开发中的软件加密
加强应用软件开发中的安全标准,为用户的个人信息提供双重保险。在移动应用开发中,可以对本身应用数据进行加密,使应用软件不能被逆向破解,为个人信息数据提供保护。以Android开发为例,Android SDK使用的API和JAVA提供的基本相似,由 Java Cryptography Architecture (JCA,java加密体系结构) ,Java Cryptography Extension (JCE,Java加密扩展包) ,Java Secure Sockets Extension(JSSE,Java安全套接字扩展包),Java Authentication and Authentication Service(JAAS,Java 鉴别与安全服务)组成。JCA提供基本的加密框架,如证书、数字签名、消息摘要和密钥对产生器。JCE扩展了JCA,提供了各种加密算法、摘要算法、密钥管理等功能。同时Android 提供的AES加密算法API默认使用的是ECB模式,所以要显式指定加密算法为:CBC或CFB模式,可带上PKCS5Padding填充。AES密钥长度最少是128位,推荐使用256位,代码如下:
//生成KEY
KeyGenerator keygenerator=KeyGenerator.getInstance(“AES”);
keygenerator.init(256);
//产生密钥
SecretKey secretkey= keygenerator.generateKey();
//获取密匙
Byte[] keyBytes= secretkey.getEncoded();
//还原密钥
SecretKey key=new SecretKeySpec(keyBytes,”AES”);
//加密
Cipher cipher=Cipher.getInstance(“AES/CBC/PKCS5Padding”);
cipher.init(Cipher.ENCRYPT_MODE,key);
Byte[] encodeResult=cipher.doFinal(plaintext.getBytes());
2.3 加快移動互联的法律法规建设,为用户提供法律保障
由于移动互联网的过快发展,相关法律法规并没有跟上技术发展的节奏,致使不良商家或不法组织利用法律漏洞泄露用户个人信息或肆意制造和传播手机木马,而获取非法利益。所以加快移动互联网的法律法规建设,制定行业安全标准,约束商家严格执行保密协议,保障用户的个人信息。对病毒制造和传播组织,可以通过实施手机号码实名制,使移动网络行为透明化,能实行技术溯源,让任何不法行为都能得到法律的严惩。
参考文献:
[1] 戴华秀.移动互联网时代信息安全应对策略分析[J].科技与创新,2016(1).
[2] 梁融凌.移动互联时代的个人信息安全探析[J].福建电脑,2016(2).
[3] 人民网-人民日报.评论:移动互联网面临四大安全问题[N].2012-10-16.