【网络安全入门】移动互联网信息安全技术

tokune

移动互联网概念

移动互联网继承了桌面互联网的开发协作的特征，又继承了移动网的实时性、隐私性、便携性、准确性、可定位的特点。
技术层面定义：以宽带IP为技术核心，可同时提供语音、数据、多媒体等业务服务的开放式基础电信网络。
终端层面定义：
广义上是指用户使用手机、上网本、笔记本等移动终端，通过移动网络获取移动通信网络服务和互联网服务；
狭义上是指用户使用手机终端，通过移动网络浏览互联网站和手机网站，获取多媒体、定制信息等其他数据服务和信息服务。


移动互联网的相关技术



移动互联网安全威胁

业务层面
非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用。
网络层面
接入网非法窃听、用户身份仿冒、服务滥用占用带宽、破坏数据和信令完整性、非授权定位。
终端层面
病毒、木马、蠕虫、网络钓鱼、身份伪冒、DDOS攻击、窃取隐私、非授权使用资源、远程控制等。
终端威胁



传统互联网安全和移动互联网安全的对比



移动互联网网络威胁



移动互联网业务威胁



移动互联网安全框架



网络与信息安全分层



移动互联网终端安全机制

设备/环境

• 设备符合中国强制认证(CCC)要求
  
• 无线电技术应符合无线电管理局的型号核准认证(TYC)
  
• 设备应符合包括网络安全要求在内的工信部的通信入网认证(NAL)。
  

业务应用

• 合法用户可以正常使用，防止业务被盗用、冒名使用等
  
• 防止包括用户密码在内的用户隐私信息泄露，在承诺范围内随时使用
  
• 防范DDoS等攻击
  
• 必要的加密、隔离等手段保障通信秘密等
  

信息自身

• 存储在终端中用户隐私信息、个人信息不被非法获取
  
• 主要考虑终端内信息的授权访问、防入侵、加密存储等。
  

信息内容
涉及较少，当前主要关注保护青少年在使用移动互联网的过程中免受包括黄色、暴力在内的不良信息侵扰。
移动互联网网络安全机制

设备/环境

• 网络设备自身的安全性、所处环境符合标准要求
  
• 操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力；
  

业务应用
主要是指接入服务的安全性，主要采用认证等技术手段确保合法用户可以正常使用，防止业务被盗用、冒名使用等
信息自身

• 主要包括信息空口传播、IP承载网，互联网传递时网络所提供必要的隔离和保密以及接入网络所涉及的用户注册信息安全
  
• 目前信息自身安全主要依赖端到端实施
  

信息内容
移动互联网业务安全机制

设备/环境

• 应用服务器、Web服务器、数据库服务器、邮件服务器、网关，存储介质符合标准要求
  
• 设备操作系统、数据库、中间件、基础协议栈等具备必要的防攻击、防入侵能力
  

业务应用

• 采用认证等技术手段确保合法用户以正常使用，防止业务被盗用、冒名使用等攻击
  
• 由移动互联网终端与移动互联网业务设备端到端实施。
  

信息自身

• 业务应用相关信息完整性、机密性和不可否认性
  
• 主要依靠移动互联网终端与移动互联网业务设备端到端实施。
  

信息内容
应采取足够有效的措施来防范应用所涉及内容不包括违法信息、侵权信息、不良信息以及侵犯公民隐私的敏感信息等。
移动互联网的产业链



从产业链角度保障移动互联网安全

政府职责：完善监管制度、加强安全宣传

• 建立并完善移动互联网的安全监管机制，要建立完备的移动互联网信息服务许可、备案制度和信息发布制度，建立完备的移动互联网新闻登载业务的审批制度。
  
• 同时，要严格监管移动互联网的内容传播，建立和完善相应的法律、法规，对各类移动互联网犯罪行为进行追踪惩戒，加大执法力度。政府部门要广泛地开展移动互联网安全宣传教育工作，强调用户的自我安全保护。
  

运营商职责：建立完善网络安全体系框架

• 分析存在的各种安全风险，建立一个科学的、全局的、可扩展的网络安全体系和框架，综合利用各种安全防护措施，保护各类软硬件系统安全、数据安全和内容安全；
  
• 对安全产品进行统一的管理，包括配置各相关安全产品的安全策略，维护相关安全产品的系统配置，检查并调整相关安全产品的系统状态等；
  
• 建立安全应急系统，做到防患于未然；增强网络的安全机制，提供更加安全的承载网络。
  

设备商职责：加强设备安全性研究

• 设备厂商要加强设备安全性能研究，利用集成防火墙或其他技术保障设备安全；
  
• 终端厂商应和运营商、软件提供商合作，通过把控终端的安全性提高移动互联网的安全程度。
  

软件提供商职责：提供整合的安全技术产品
根据用户的需求变化，提供整合的安全技术产品，要提高软件技术研发水平，由单一功能的产品防护向集中统一管理的产品类型过渡，不断提高安全防御技术。

内容提供商职责：把好内容安全关
内容提供商要与运营商合作，为用户提供加密级业务，如采用TLS为电子商务类业务提供安全加密。同时，内容提供商要把好内容安全关，采用多种技术对不合法内容和垃圾信息进行过滤。

用户：提高安全防范意识和技能
用户要提高安全防范意识和技能，加装手机防护软件并定期更新，不访问问题站点、不下载不健康内容，不安装不明应用。

欢迎大家关注，点赞，收藏，评论哦，另外给大家分享一些网络安全的学习资料和课程，大家可以直接点击链接，进群领取哦。