汪升華

摘要：近年來移動智能手機(jī)的廣泛使用以及移動互聯(lián)網(wǎng)技術(shù)的不斷更新發(fā)展，人們的生活到處都融入著移動互聯(lián)網(wǎng)科技的應(yīng)用，移動互聯(lián)網(wǎng)技術(shù)的應(yīng)用每時每刻改變著人們的生活方式，如微信聊天，手機(jī)支付，手機(jī)地圖等等，移動互聯(lián)為人們帶來各種生活方便的同時，，也帶來了嚴(yán)重的信息安全等問題，如支付密碼、個人信息泄露等，這些問題已經(jīng)給人們的日常生活和工作造成了巨大的損失，本文簡要分析移動互聯(lián)網(wǎng)帶來的安全問題，并討論解決這些問題的技術(shù)方案，并給出一定的應(yīng)對措施。

關(guān)鍵詞：移動互聯(lián)；信息安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）36-0025-02

互聯(lián)網(wǎng)的發(fā)展為人們提供了不受時間、空間限制的信息交換平臺，使人們隨時隨地都可以進(jìn)行高效的信息交互，隨著移動智能終端的普及，以及第四代移動通信技術(shù)4G的發(fā)展，使得移動互聯(lián)行業(yè)獲得到井噴的發(fā)展，據(jù)統(tǒng)計2015年中國境內(nèi)活躍的手機(jī)網(wǎng)民數(shù)量達(dá)到了7.8億，占全國人口數(shù)量的56.9%，其中安卓操作系統(tǒng)的智能手機(jī)占比高達(dá)78.9%。在眾多應(yīng)用中，影音播放類的 APP 最多，占 17%，其次是網(wǎng)購支付類 APP 和社交類 APP，分別占 10%和 9%，數(shù)據(jù)顯示出移動互聯(lián)網(wǎng)已逐漸融入網(wǎng)民的娛樂、購物、社交等日常生活中。移動互聯(lián)技術(shù)的應(yīng)用盡管為人們生產(chǎn)生活帶來了極大的便利，但隨著網(wǎng)絡(luò)規(guī)模以及使用領(lǐng)域的不斷擴(kuò)大，其中存在的信息安全問題也日趨嚴(yán)峻，我們必須充分了解移動互聯(lián)網(wǎng)的信息安全問題以確保移動互聯(lián)網(wǎng)的健康發(fā)展，進(jìn)一步探索總結(jié)安全問題存在的根源，針對問題提出有效的解決方案，積極應(yīng)對，最大限度地消除與防范移動互聯(lián)中的信息安全隱患。

1 移動互聯(lián)中的個人信息安全問題

移動互聯(lián)技術(shù)的不斷更新發(fā)展，移動互聯(lián)應(yīng)用也涵蓋了人們的日常生活各個方面的應(yīng)用，人們的生活已經(jīng)變得與這些移動應(yīng)用密不可分，人們利用微信進(jìn)行各種社交、利用手機(jī)銀行處理各類銀行業(yè)務(wù)，各類生活繳費(fèi)、利用支付寶完成各種購物，支付、各種虛擬賬號等等，移動互聯(lián)已經(jīng)更我們的生活緊密的結(jié)合在一起，然而各類的個人信息泄露，支付密碼被盜等事件層出不窮，用戶的信息隱私受到的威脅越來越大，給廣大用戶造成了極大的損失，也制約了移動互聯(lián)網(wǎng)的綠色健康的發(fā)展，本文針對互聯(lián)網(wǎng)信息安全問題的原因，歸納出以下三個方面。

1.1 通信網(wǎng)絡(luò)層面的問題

移動互聯(lián)網(wǎng)是移動通信和互聯(lián)網(wǎng)技術(shù)發(fā)展的共同產(chǎn)物，融合了兩種技術(shù)的優(yōu)點(diǎn)，同時也繼承兩種技術(shù)的特性，在網(wǎng)絡(luò)通信的安全問題上，移動互聯(lián)一樣也感到力不從心，主要表現(xiàn)為：

1.1.1 TCP/IP協(xié)議的安全問題

移動互聯(lián)網(wǎng)融合和繼承了移動技術(shù)和互聯(lián)網(wǎng)技術(shù)的大部分特性，其核心仍然采用的是IP協(xié)議，只是在通信上采用扁平網(wǎng)絡(luò)以區(qū)分傳統(tǒng)的多級、多層網(wǎng)絡(luò)。由于IP協(xié)議在誕生時的設(shè)計理念強(qiáng)調(diào)的是開發(fā)性和便利性，而沒有特別考慮自身的安全性，因此采用IP協(xié)議為核心的移動互聯(lián)網(wǎng)存在嚴(yán)重的安全漏洞，給人們的移動應(yīng)用留下許多安全隱患。在移動互聯(lián)網(wǎng)的應(yīng)用層上，用戶可以直接在移動終端登錄和訪問核心網(wǎng)，并對其進(jìn)行數(shù)據(jù)管理和控制，這樣使得核心網(wǎng)就存在數(shù)據(jù)泄露的危險。因此，諸多移動運(yùn)營商也日益注重并解決移動互聯(lián)網(wǎng)的數(shù)據(jù)安全等相關(guān)問題。

1.1.2 移動互聯(lián)網(wǎng)絡(luò)的開放性

在2G時代，移動互聯(lián)主要依靠移動運(yùn)營商自建的專屬網(wǎng)絡(luò)系統(tǒng)，且不與外界的網(wǎng)絡(luò)連接，信息在全封閉的環(huán)境中傳輸、交互，且不受外部的干擾，一般的木馬病毒也無法通過公共網(wǎng)絡(luò)傳播，但隨著網(wǎng)絡(luò)的發(fā)展，移動技術(shù)進(jìn)入4G時代，具有IP混合交互的特點(diǎn)，用戶通過公共網(wǎng)絡(luò)進(jìn)入移動互聯(lián)，也必然增加了移動互聯(lián)的安全隱患[1]。

1.1.3 Wi-Fi熱點(diǎn)的安全漏洞

Wi-Fi是一種允許電子設(shè)備連接到一個無線局域網(wǎng)（WLAN）的技術(shù)，通常使用2.4G UHF或5G SHF ISM 射頻頻段。連接到無線局域網(wǎng)通常是有密碼保護(hù)的；但也可是開放的，這樣就允許任何在WLAN范圍內(nèi)的設(shè)備可以連接上。隨著人們對網(wǎng)絡(luò)的日益需要，大部分商戶為了吸引和留著客戶，往往會免費(fèi)提供Wi-Fi熱點(diǎn)，客人在商場發(fā)現(xiàn)Wi-Fi熱點(diǎn)后，一般向服務(wù)員索要連接密碼后登陸該熱點(diǎn)。不法黑客就利用人們的這些使用習(xí)慣，設(shè)計了一個又一個熱點(diǎn)陷阱。通過偽裝或侵入商場提供的免費(fèi)Wi-Fi熱點(diǎn)，竊取客人利用該網(wǎng)絡(luò)上網(wǎng)的所有數(shù)據(jù)包，經(jīng)過反編譯或分析破解其中的加密信息，而一些沒有被加密的通信信息更是可以直接查看。

1.2 軟件應(yīng)用開發(fā)漏洞

移動智能終端的應(yīng)用，無論是谷歌Android系統(tǒng)還是蘋果iOS系統(tǒng)開發(fā)的應(yīng)用APP都因為技術(shù)本身的問題或者程序開發(fā)者的問題，造成的安全漏洞問題是無法避免的。以安卓為例，盡管Android系統(tǒng)使用沙箱的概念實(shí)現(xiàn)應(yīng)用程序之間的分離和權(quán)限，如圖1表示，但由于安卓本身是開放的，通過反編譯可以非常容易的將應(yīng)用APK編譯成可讀文件，并植入惡意代碼等等，Android 應(yīng)用的漏洞大部分都是因為開發(fā)人員沒有對輸入信息做驗證造成的，另外因為 Intent 這種特殊的機(jī)制，需要過濾外部的各種惡意行為。再加上 Android 應(yīng)用市場混亂，開發(fā)人員水平參差不齊。所以現(xiàn)在 Android 應(yīng)用的漏洞，惡意軟件，釣魚等還在不斷增多。再加上 root 對于 App 沙箱的破壞，Android 升級的限制等各種原因，使得應(yīng)用的安全漏洞變得無可避免。同樣iOS系統(tǒng)在信息安全上也是漏洞百出，無法徹底根除。

1.3 不良移動互聯(lián)應(yīng)用商及病毒的威脅

在移動互聯(lián)網(wǎng)上進(jìn)行交互時，某些應(yīng)用網(wǎng)站需要提供用戶的個人信息，如姓名、性別、身份證號碼等情況，然而這些商家并沒有按照協(xié)議提供隱私保護(hù)，甚至有些商家由于管理不善或為了利益，轉(zhuǎn)手將客戶信息出售給其他的商家[2]。同時也有不少團(tuán)伙組織，通過非法手段，制作、傳播手機(jī)木馬病毒竊取個人信息，獲取非法利益。隨著互聯(lián)網(wǎng)的應(yīng)用越來越深入人們的生活，使得人們的個人數(shù)據(jù)在移動互聯(lián)網(wǎng)中的通信也越來越頻繁，這些個人數(shù)據(jù)的背后也蘊(yùn)藏的巨大的經(jīng)濟(jì)價值，同時也吸引更多的不法之徒制造和傳播手機(jī)病毒，非法竊取個人信息來獲得經(jīng)濟(jì)利益，現(xiàn)今手機(jī)病毒已經(jīng)形成一條完整的產(chǎn)業(yè)鏈，從黑客編寫手機(jī)病毒，到最后利用竊取來的個人信息盈利收入，手機(jī)病毒的參與人員都能夠從整個資金鏈條中獲取暴利，同時移動互聯(lián)網(wǎng)中相關(guān)法律法規(guī)的空白，也讓手機(jī)病毒制造和傳播者有了可乘之機(jī)。

2 信息安全問題的應(yīng)對措施

通過分析移動互聯(lián)的信息安全問題，主要表現(xiàn)在網(wǎng)絡(luò)通信、應(yīng)用開發(fā)和病毒等方面的漏洞，為了應(yīng)對信息安全問題，需要多管齊下共同采取相應(yīng)措施，推動移動互聯(lián)網(wǎng)的健康發(fā)展。主要措施為：

2.1 提升個人用戶安全意識，在源頭杜絕信息安全問題

用戶的手機(jī)陷入信息安全問題的至關(guān)重要的因素是手機(jī)用戶的安全意識薄弱，雖然人們對移動智能終端越來越熟悉，但是在個人用戶的信息保密以及相關(guān)的安全意識水平上還是比較低下，大部分用戶對惡意的后臺軟件并沒有太多的認(rèn)識，對個人信息被盜取、竊聽等方面的也不是很了解，也并不知道安裝手機(jī)安全軟件來預(yù)防及減小手機(jī)病毒的侵害，更沒有意識到公共網(wǎng)絡(luò)的安全問題，所以提高智能手機(jī)用戶的安全意識刻不容緩，利用相關(guān)的安全知識，要在根源上杜絕信息安全問題，最好做到要從正規(guī)的渠道購買智能終端，防止在源頭上被植入相關(guān)的后臺軟件、手機(jī)木馬病毒等；在下載各類應(yīng)用軟件時，應(yīng)該去專門的官方網(wǎng)站或者擁有相關(guān)認(rèn)證的，如百度應(yīng)用、豌豆莢等應(yīng)用市場下載；在使用移動互聯(lián)網(wǎng)時不登入一些不正當(dāng)?shù)木W(wǎng)站，不在公共網(wǎng)絡(luò)上進(jìn)行支付或登陸重要的個人信息；在智能終端的使用上，應(yīng)定期對手機(jī)進(jìn)行病毒查殺、更新相關(guān)病毒庫也要及時 [3]。

2.2 引進(jìn)網(wǎng)絡(luò)安全技術(shù)，為個人信息的安全提供保護(hù)傘

除了個人的安全意識的提高，要更進(jìn)一步從深層次上解決移動互聯(lián)網(wǎng)的安全問題，就需要各行各業(yè)的積極推動從不同的層面出發(fā)，比如在網(wǎng)絡(luò)傳輸、用戶認(rèn)證以及應(yīng)用軟件開發(fā)的加密技術(shù)，共同協(xié)作，從根本上解決移動互聯(lián)網(wǎng)的信息問題。

2.2.1 強(qiáng)化移動網(wǎng)絡(luò)安全建設(shè)

要盡快制定移動互聯(lián)網(wǎng)安全技術(shù)標(biāo)準(zhǔn)，加強(qiáng)各運(yùn)營商對網(wǎng)絡(luò)傳輸?shù)谋O(jiān)控，對網(wǎng)絡(luò)接入進(jìn)行嚴(yán)格把控，引入網(wǎng)絡(luò)安全機(jī)制發(fā)揮隔離防護(hù)作用，并結(jié)合相關(guān)的數(shù)據(jù)加密技術(shù)，從而達(dá)到用戶數(shù)據(jù)在網(wǎng)絡(luò)中安全傳輸?shù)哪康摹?/p>

2.2.2 應(yīng)用軟件開發(fā)中的軟件加密

加強(qiáng)應(yīng)用軟件開發(fā)中的安全標(biāo)準(zhǔn)，為用戶的個人信息提供雙重保險。在移動應(yīng)用開發(fā)中，可以對本身應(yīng)用數(shù)據(jù)進(jìn)行加密，使應(yīng)用軟件不能被逆向破解，為個人信息數(shù)據(jù)提供保護(hù)。以Android開發(fā)為例，Android SDK使用的API和JAVA提供的基本相似，由 Java Cryptography Architecture （JCA，java加密體系結(jié)構(gòu)） ，Java Cryptography Extension （JCE，Java加密擴(kuò)展包） ，Java Secure Sockets Extension（JSSE，Java安全套接字?jǐn)U展包），Java Authentication and Authentication Service（JAAS，Java 鑒別與安全服務(wù)）組成。JCA提供基本的加密框架，如證書、數(shù)字簽名、消息摘要和密鑰對產(chǎn)生器。JCE擴(kuò)展了JCA，提供了各種加密算法、摘要算法、密鑰管理等功能。同時Android 提供的AES加密算法API默認(rèn)使用的是ECB模式，所以要顯式指定加密算法為：CBC或CFB模式，可帶上PKCS5Padding填充。AES密鑰長度最少是128位，推薦使用256位，代碼如下：

//生成KEY

KeyGenerator keygenerator=KeyGenerator.getInstance（“AES”）；

keygenerator.init（256）；

//產(chǎn)生密鑰

SecretKey secretkey= keygenerator.generateKey（）；

//獲取密匙

Byte[] keyBytes= secretkey.getEncoded（）；

//還原密鑰

SecretKey key=new SecretKeySpec（keyBytes，”AES”）；

//加密

Cipher cipher=Cipher.getInstance（“AES/CBC/PKCS5Padding”）；

cipher.init（Cipher.ENCRYPT_MODE，key）；

Byte[] encodeResult=cipher.doFinal（plaintext.getBytes（））；

2.3 加快移動互聯(lián)的法律法規(guī)建設(shè)，為用戶提供法律保障

由于移動互聯(lián)網(wǎng)的過快發(fā)展，相關(guān)法律法規(guī)并沒有跟上技術(shù)發(fā)展的節(jié)奏，致使不良商家或不法組織利用法律漏洞泄露用戶個人信息或肆意制造和傳播手機(jī)木馬，而獲取非法利益。所以加快移動互聯(lián)網(wǎng)的法律法規(guī)建設(shè)，制定行業(yè)安全標(biāo)準(zhǔn)，約束商家嚴(yán)格執(zhí)行保密協(xié)議，保障用戶的個人信息。對病毒制造和傳播組織，可以通過實(shí)施手機(jī)號碼實(shí)名制，使移動網(wǎng)絡(luò)行為透明化，能實(shí)行技術(shù)溯源，讓任何不法行為都能得到法律的嚴(yán)懲。

參考文獻(xiàn)：

[1] 戴華秀.移動互聯(lián)網(wǎng)時代信息安全應(yīng)對策略分析[J].科技與創(chuàng)新，2016（1）.

[2] 梁融凌.移動互聯(lián)時代的個人信息安全探析[J].福建電腦，2016（2）.

[3] 人民網(wǎng)-人民日報.評論：移動互聯(lián)網(wǎng)面臨四大安全問題[N].2012-10-16.