移动智能终端安全威胁及应对策略
智能终端安全体系研究
…
…
…
…
性 ,来 源于传 统互 联 网和 信息 系统 的各 类攻 击 逐渐
将 目标定 位 于智 能终端 ,并借 助智 能终 端操 作 系统
的开 放性 , 造 出大量 的恶 意 软件 。此外 , 用 商店 制 应 的审 核机 制欠 缺 , 也导 致 了恶 意软件 的泛滥 。 目前智
2 技 术 脆 弱 性
理 层 面 分 析 了智 能 终 端 所 面 临 的 安 全 威 胁 及 相 应 的脆 弱 性 , 并给 出 了相 应 的 对 策 和 建议 。
关键词 : 智能终端 , 全体 系, 安 应用商店 , 弱性 脆
Ab ta c : T i p p r d s u s s te s c r y sr t h s a e i se h e u t c i
对封闭和安全的系统,运行在 iS O 上的应用程序遵
循“ 箱” 沙 安全 原 则 , 即不 能够 随意访 问其 他应 用 程 序 的数据 。另 外 , 系统 文件 、 资源 以及 内核都 与用 户 应用 程序 相 隔离 , 如果需 要访 问其 他程 序 的数据 , 则 必 须通 过 iS提 供 的 A I O P 进行 访 问 。iS的隔离 模 O
技术广 角 … … … … … … … … … .
囊 h ¨ o 1 蛸 v P 釉 n o r m 0 a
智 能终端 安全体 系研 究
宁 华 工 业和信 息化部 电信研 究院泰尔 实验 室工 程师 李 巍 工业 和信 息化部 电信 研究 院泰 尔实验 室 高级工 程师 汪 坤 工业 和信 息化部 电信 研究 院泰 尔实验 室 高级工 程师 雷 鸣字 工业 和信 息化部 电信 研究 院通信 标 准研 究所 助 理工 程师
我国信息安全面临的挑战及应对措施(PPT 68张)
( 3) 3、推动信息化和工业化深度融合,提高经济发展信 息化水平(5)
2、实施“宽带中国”工程,构建下一代信息基础设施
4、加快社会领域信息化,推进先进网络文化
建设(4) 5、推进农业农村信息化,实现信息强农惠农 (2) 6、健全安全防护和管理,保障重点领域信息 安全(4)
ห้องสมุดไป่ตู้
(1)确保重要信息系统和基础信息网络安全。能源、交通、 金融等领域涉及国计民生的重要信息系统和电信网、广播电 视网、互联网等基础信息网络,要同步规划、同步建设、同 步运行安全 防护设施,强化技术防范,严格安全管理,切 实提高防攻击、放篡改、防病毒、防瘫痪、防窃密能力。加 大无线电安全管理和重要信息系统无线电频率保障力度。加 强互联网网站、地址、域名和接入服务单位 的管理,完善信 息共享机制,规范互联网服务市场秩序。 (2)加强政府和涉密信息系统安全管理。严格政府信息技术 服务外包的安全管理,为政府机关提供服务的数据中心、云 计算服务平台等要设在境内,禁止办公用计算机安装与工作 无关的软件。建立政府网站开办审核、统一标识、监测和
二是个人数据、隐私泄露问题。个人帐号、密码、 照片、位置、行程、通信记录、人际关系直至个人 生活记录等在移动终端上应有尽有,一旦泄露,轻 则危及个人信息安全,重则危及个人隐私、工作秘 密,甚至生命安全。 三是移动支付存在安全隐患。手机常用作交易、资 金支付的手段,易于出现安全问题。 移动智能终端安全 防护,有赖于出台有关法律 法规和标准,更需要企业增进防护措施,用户自身 应提高防范意识。
(一)法律法规制定 1、1994年中华人民共和国计算机信息系统 安全保护条例
1994年2月18日,中华人民共和国国务院发布147 号令, 颁布了行政法规《中华人民共和国计算机信息系统安全保护 条例》(以下简称《条例》)。该条例共分五章三十一条: 第一章总则,第一条至第七条 第二章安全保护制度,第八条至第十六条 第三章安全监督,第十七条至第十九条 第四章法律责任,第二十条至二十七条 第五章附则,第二十八条至三十一条。
《个人信息保护法(草案)》视角下5G数据安全的挑战及应对
《个人信息保护法(草案)》视 角下5G数据安全的挑战及应对■董宏伟苗运卫袁艺I文在科技革命和产业变革的时代背景下,5G作为信息通信技术迭代的新一代产物,对 实现万物互联和推动数字经济具有重要意义。
然而,在给经济和社会带来深刻变革的同时,5G也面临着不同场景下的数据安全挑战。
数 据是基础性、战略性资源,事关国家安全、经济发展、社会治理和人民生活。
为应对其 中的安全问题,我国立法持续跟进。
《网络 安全法》《数据安全法(草案)》等的不断 出台,构建起数据战略的法治化基础,也为 5G数据安全提供法制保障。
个人信息是数据 中反映个人特征的内容,其安全不容忽视。
作为一部保障个人信息安全的法律,《个人 信息保护法(草案 >》(以下简称《草案》)于2020年10月公布,规定了个人信息保护的行为规范、权利规范和治理规范等内容,丰富并完善了数据安全的保护体系,成为保障5G数据安全的重要依据。
场戛E分下昀5G輝瑪幸全排珙5G相较前代移动通信技术而言进步巨大,速度、功耗、时延全面提升,因此基于 5G的应用也将更为广泛。
根据应用业务和信 息交互对象等区别,可将5G划分为三大应用 场景:增强型移动宽带(e M B B)、大规模机器类通信(m M TC)、超可靠低延迟通信 (URLLC)。
不同的应用场景划分将移动通 信带入了场景定制的时代,各种不同的5G数 据安全挑战也随之出现。
增强型移动宽带(eM BB)场景下的数据安全挑战5G的e M B B场景是前代移动通信技术中个人用户业务的进一步延伸,也最先满足 商用需求,其提供大带宽高速率的移动通信服务,实现对超高清音频、视频、增强现实与虚拟现实技术(A R/V R)等应用的支持。
在此场景下,既存的通信信息和移动终端等方面的数据安全问题将继续存在,且更高通 信速率会让数据安全威胁扩散得更加快速与广泛。
同时,此应用场景的对象为个人用户,中国电傕让37对个人信息的收集更加直接,汇聚的个人信 息将经过系统快速分析发挥个性化推荐等作 用,对个人信息的依赖将令其面对更多的安 全威胁。
终端防护响应(EDR)解决方案
• 终端响应(Response)
• 厂商下发针对不同威胁的响应策略 • 终端用户可自主定制针对特定威胁的响应
策略
Gartner
2016年十大信息安全技术
Contents
1 终端安全面临的问题 2 面向威胁,快速闭环的终端安全方案 3 方案价值 4 性能指标说明
整体逻辑架构
OA业务域 OA业务域
应用提供者 WEB应用角色 DB应用角色
ALL DB应用角色
ALL
应用服务 Apache(Http,80) MySQL(TCP,3306)
ALL MySQL(TCP,3306)
ALL
应用使用者 All
WEB应用角色 ALL
邮件应用角色 ALL
策略动作 允许 允许 拒绝 允许 拒绝
安全处置的新思路
预防
风险评估 安全基线
安全防御
响应
安全响应
可视化 自适应 持续闭环
防御
安全隔离 攻击阻止
事件监测
风险检测
检测
数据采集、分析和检测、响应能力
安全行业的新应用
• Endpoint Detection and Response
• 终端检测(Detection)
• 在终端安置“探针”,感知威胁信息 • 在云端或企业内网搭建威胁信息处理平台,
业务安全域 数据库业务域 数据库业务域
应用提供者 DB应用角色 DB应用角色
应用服务 MySQL(TCP,3306) MySQL(TCP,3306)
应用使用者 OA业务域 研发业务域
策略动作 允许 允许
防御--基于AI的勒索病毒防御
SAVE
深信服人工智能杀毒引擎SAVE
5G移动通信网络安全问题及防范对策研究
5G移动通信网络安全问题及防范对策研究摘要:随着移动通信技术的不断发展和升级,我们逐渐从4G时代迈入了5G时代。
相比于4G移动通信网络,5G移动通信网络具有更加明显的优势,无论是在传输速度还是延时性上都进行了优化和改进,极大的提升了移动通信网络的数据传输速率,并且降低数据传输的时延。
5G移动通信网络的发展不仅增强了移动通信网络用户的体验,同时还成为推动大数据、物联网、人机交互等应用的重要基础。
但是与此同时,5G移动通信网络也面临着更多的安全问题,尤其是在5G关键技术应用以及场景应用等方面存在着诸多的安全风险,要持续的推动5G移动通信网络的安全发展,我们有必要针对5G通信网络的安全架构及关键技术加以了解和掌握,明确5G移动通信网络存在的安全问题,进而提出相应的技术策略,并且从整体发展的角度来梳理防范5G移动通信网络安全问题的有效举措。
关键词:5G移动通信;网络安全问题;防范对策当前5G通信网络的建设步伐正在持续加快,工信部也明确的提出了进一步加快5G移动通信网络建设、丰富5G应用场景、重视5G关键技术研发、构建5G网络安全保障体系的重点任务。
随着5G移动通信网络的全面覆盖,5G通信网络用户数量不断增多,具体通过下图一组数据进行说明。
5G移动通信网络基站数量、用户数量以及终端连接数量的持续增加,使得5G移动通信网络安全问题日益凸显。
要分析5G移动通信网络的安全问题以及防范对策,首先就要明确到底什么是移动通信网络安全。
从狭义的角度来说,移动通信网络安全主要是指在移动通信网络应用的过程中,要对网络系统中的软硬件设施以及海量的信息和数据进行必要的安全防护,确保软硬件设施的稳定运行,避免信息及数据的泄露,尤其是对移动通信网络网络用户个人信息的安全保护。
从广义的角度来说,移动通信网络安全包含不同的内容,一是关键技术安全应用,二是典型场景安全应用,三是网络访客安全行为管理,四是产业生态安全风险。
[1]本文就主要从关键技术应用以及典型场景应用方面来分析5G移动通信网络的安全问题。
电网企业移动智能终端的安全性分析
体系 。
1 移 动 智 能 终 端 面 临 的 安 全威 胁
移 动 智 能 终 端 面 临 的 安全 威 胁 有 很 多 :智 能 终 端
的 功 能 日益 丰 富 .使 其 自身 的 漏 洞 随 之 增 加 并 导致 安 全 事 件 种 类 的增 多 : 操 作 系 统 开 放 性 的提 高 . 使 得 移 动
威 胁 移 动 智 能 终端 的安 全
等特点 . 也 给用 户 带来 了 巨 大 的 安 全 威 胁 。 移 动 恶 意 软 件、 手 机 病 毒 等 安 全威 胁 导 致 的非 法 内 容 传 播 、 恶 意 扣 费、 隐私窃取 、 数据泄漏 、 广告 植入 、 垃圾短 信 、 无 故 消
系统层面和硬件安全层面 . 数据安全涉及硬件 、 操 作 系 统和应用软件 3 个层面 。
赛 门铁 克 发 布 的第 1 8期 《 互联网安全威胁报告》 显示 , 2 0 1 2 年发现了 5 2 9 1 个新 型 漏 洞 .其 中 4 1 5 个 位 于移 动
安 全稳 定 运 行 关键词 :
移动智能终端 : 恶意软件 : 安全威胁 : 安 全 方 案
0 引 言
移动智能终端 ( 例 如 智 能 手 机 和平 板 电脑 ) 由于 其 随 时 随 地 的可 接 人 性 , 正 日益 成 为 人 们 生 活 中最 有 效 、 便 捷 的 通 信 工 具 移 动 智 能 终 端 引发 的 颠 覆 性 变 革 揭 开 了 移 动 互 联 网 产业 发 展 的序 幕 .移 动智 能 终 端 几乎 在 一 瞬 之 间转 变 为 移 动 互 联 网业 务 的 关 键 人 口和 主 要
电 网企 业 移 动 智 能 终端 的 安全 性 分 析
移动智能终端安全能力技术要求YDT 2407-2021
目次前言 (II)引言 (V)1 范围 (3)2 规范性引用文件 (3)3 术语、定义和缩略语 (3)3.1 术语和定义 (3)3.2 缩略语 (4)4 移动智能终端安全能力框架及目标 (4)4.1 移动智能终端安全能力框架 (4)4.2 移动智能终端安全目标 (5)5 移动智能终端安全能力技术要求 (5)5.1 基本要求 (5)5.2 移动智能终端硬件安全能力要求 (6)5.3 移动智能终端操作系统安全能力要求 (7)5.4 移动智能终端外围接口安全能力要求 (10)5.5 移动智能终端应用层安全要求 (11)5.6 移动智能终端用户数据安全保护能力要求 (13)6 移动智能终端功能限制性要求 (14)7 移动智能终端安全能力分级 (14)7.1 概述 (14)7.2 安全能力分级 (14)附录 A (资料性附录)安全能力等级标识 (19)引言随着移动智能终端的广泛应用以及功能的不断扩展,其使用过程中的安全问题被越来越多的用户所关注。
近年来,恶意吸费、窃听、窃录、位置信息泄露等安全事件频发,使用户对移动智能终端的安全性产生顾虑,进而影响到移动智能终端和移动互联网应用的发展。
本标准的制定,旨在通过提高移动智能终端的自身的安全防护能力,防范移动智能终端上的各种安全威胁,避免用户的利益受到损害,同时防止移动智能终端对移动通信网络安全产生不利影响。
本标准的基本原则是:移动智能终端上发生的行为和应用要符合用户的意愿。
本标准并不规定具体的实现方法和措施,以利于创新和发展。
本标准从硬件安全能力要求、操作系统安全能力要求、外围接口安全能力要求、应用软件安全要求、用户数据安全保护能力要求5个层面对移动智能终端的安全能力提出了要求,并从基本的安全保障、实现难度、特殊安全能力等层面对安全能力进行了分级,以便于产品具有特定品质,便于消费者选择。
通过本标准一方面能够引导移动智能终端中的预置应用软件更加规范、安全;另一方面也能引导移动智能终端提高自身的安全防护能力,操作系统自身符合安全要求,并对下载的第三方应用进行安全管控;同时也能防范移动智能终端中预置恶意代码对网络造成安全影响。
移动支付的风险分析及安全策略
龙源期刊网 http://www.qikan.com.cn 移动支付的风险分析及安全策略 作者:米楠 来源:《卷宗》2017年第10期
摘 要:随着电子商务的快速发展,移动支付符合电子商务发展的支付需求,同时也是支付方式发展的主要方向。移动支付有着诸多的优点,但其中存在的安全性问题不容忽视,不仅制约着电子商务的发展,同时也威胁着用户的经济利益。本文将对移动支付存在的安全威胁进行分析、汇总,并对移动支付存在的安全问题提出解决办法和建议。
关键词:移动支付;风险分析;安全策略 1 引言 移动支付也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
移动支付突破了传统电子商务的载体和地域限制,真正实现随时随地地通过无线方式进行交易,大大增强了买卖双方的灵活性和支付性,从而使大规模用户参与和个性化服务成为可能。2016年是移动支付快速发展的一年,全球市场呈现爆发式增长态势,据专业调研机构分析,2016年全球移动支付用户将突破10亿,移动支付交易额将达到2000亿美元。
根据中国银联近日发布的《2016移动支付安全调查报告》显示,2016年消费者网上消费金额及使用移动支付人数占比呈现双增长。根据报告,去年有超过九成的受访者曾使用手机完成付款(在商户现场支付或远程支付)。约四成的受访者选择“大额支付用卡,小额支付选手机”。
但是,目前在移动支付信息安全保障方面还存在着很多问题,报告显示,2016年电信诈骗案件持续高发,消费者受损比例持续走高。约有1/4的被调查者表示遭遇过电信网络诈骗并发生过损失,较2015年上升11个百分点。据调查,遭受电信网络欺诈的被调查者中,超过八成遭遇过盗用社交账号诈骗,较2015年同比增长了36个百分点。另外,木马链接短信和骗取短信验证码等欺诈手法也是常见的支付欺诈方式,遭遇两类手法的持卡人比例达到63%和51%。因此,保障移动支付安全将是移动支付发展的一大瓶颈。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业务与运营Business & Operation
15移动智能终端安全威胁及应对策略
1 移动智能终端发展模式分析当前,移动智能终端正加速迈向普及。据IDC数据显示,2013年全球智能手机出货量达到10.04亿部,较2012年同期增长38.4%,在全球手机总出货量(18亿部)中的份额达到55%,三星、苹果仍然位居当前全球智能手机销量的冠亚军。谷歌眼镜、iWatch智能手表、
三星Gear智能手表、耐克智能手环等可穿戴设备也纷纷推出,带来全新的用户体验和应用服务。中国智能终端整机制造实力大幅提升,成为全球增长的重要力量,
2013年国内智能手机出货量达到4.23亿部,同比增长64.1%,市场占有率达到73.1%,华为、中兴、联想、
宇龙等国内企业的出货量进入全球前十。可穿戴设备创新也极为活跃,例如百度推出百度Eye智能眼镜、盛大果壳推出智能手表Bamboo Smart Watch。随着移动智能终端高速发展,移动应用下载业务市场也增长迅猛,
截至2013年底苹果和谷歌两大应用程序商店的应用下载次数已累计超过1 000亿,我国91手机助手、360、
中国移动等第三方应用商店也蓬勃发展。
产业界各方都将移动智能终端当作自己进军移动互联网领域的入口,但由于自身优势和经营理念差异,其发展模式也各不相同。按照操作系统的授权方式和应用商店的运营方式,主要可分为封闭端到端模式、半封闭模式和开放开源模式[1]。
封闭端到端模式是指终端厂商完全控制终端产品的生产,基于封闭的操作系统平台构建端到端闭合的应用生态系统,在终端中深度内置自营业务,并对第三方应用的开发、测试、上架和使用全程控制,不允许第三方应用商店存在,例如苹果、黑莓等。
半封闭模式是指操作系统厂商授权给OEM厂商或者终端设备厂商生产终端产品,但不向其开放源代码。
同时,操作系统厂商构建端到端闭合的应用生态系统,
在操作系统中深度内置自营业务,同时对第三方应用的开发、测试、上架和使用全程控制,不允许未经审核认证的应用在操作系统上使用,例如微软Windows Phone操作系统
。
开放开源模式是操作系统厂商对源代码开放开源,
任何终端厂商均可针对操作系统进行定制和修改,任何硬件开发商均可为操作系统开发驱动程序,从而组成范围更大的产业联盟。同时,操作系统厂商对第三方应用的开发、传播一般不做任何限制,允许任何应用在操作系统上运行。开放开源模式以谷歌安卓(Android)为代表,普遍被终端领域后进入者所采用,发展极为迅猛。
截至2013年前三季度,Android操作系统的市场份额已达81%。
不同移动智能终端的发展模式也使得终端面临的安全威胁程度不一。在端到端封闭模式和半封闭模式下,
终端厂商在封闭的生态系统中占据绝对主导地位,承担
闵 栋工业和信息化部电信研究院 北京 100191
摘 要 当前,移动智能终端产业迅猛发展,但也带来恶意代码泛滥、用户隐私窃取、不良内容传播等安全威胁。文章在对移动智能终端的安全威胁及其技术根源深入分析的基础上,对安全技术水平进行研究,并提出系统完整的移动智能终端安全应对策略。关键词 移动智能终端;安全;威胁业务与运营Business & Operation
16一定的第三方应用管理责任,因此针对其的恶意代码和违反其经营理念的数字内容较少。但是,终端厂商自身的各种行为难以得到有效的监管和制约,例如苹果公司能够对其出售的所有终端上的应用程序进行远程安装和卸载。而在开放开源模式下,操作系统厂商基本不对应用程序进行任何控制,导致针对开源操作系统的恶意代码和不良信息呈现泛滥趋势。
2 移动智能终端的主要安全威胁移动智能终端面临的安全威胁来源多样、途径复杂。原有移动通信网中的手机安全问题依然存在,例如手机用户标识卡(SIM)克隆、空中窃听、垃圾短信等。互联网中泛滥的安全问题也同样威胁着移动智能终端的安全,例如软件漏洞/后门、病毒、不良信息等等[2]。具体分析,移动智能终端不同层面均存在一定的
安全威胁。
1) 终端硬件层面安全威胁。智能终端硬件层面的安全威胁主要包括终端丢失、器件损坏、SIM卡克隆、
电磁辐射监控窃听、芯片安全等。目前最受关注的安全威胁是智能终端丢失或被盗可能造成的用户信息被窃取,这主要是由于目前大部分移动智能终端不具备或者用户没有使用数据授权访问、远程保护、加密存储、远程删除以及机卡互锁等终端硬件安全机制。此外,短距离手机窃听器可通过窃听手机接收和发送的电波获取信息,SIM卡克隆通过复制手机卡直接获取该手机卡号相关信息,智能化程度越来越高的芯片可能被植入恶意程序从而窃取用户信息或者恶意吸费等。
2) 系统软件层面安全威胁。操作系统是移动智能终端的灵魂。掌控操作系统,可以轻而易举地收集用户数据,控制和更改终端中的软件,甚至在极端情况下,
可以遥控瘫痪所有联网的智能终端,威胁国家安全。移动智能终端操作系统目前存在的主要安全威胁包括操作系统漏洞、操作系统API滥用、操作系统后门等。
移动智能终端的操作系统作为一类软件,不可避免存在大量已知或未知的系统安全漏洞,提供的API接
口和开发工具包也存在被滥用风险。攻击者利用这些安全漏洞或者滥用API可对终端用户发起远程攻击,导致用户终端功能被破坏、恶意吸费、窃取终端信息、
获得
用户终端控制权限等等,甚至可以将用户终端组成僵尸网络对移动互联网发起攻击。近年操作系统安全隐患导致的安全事件频发,例如:黑客利用苹果手机操作系统软件漏洞,攻破隔离“沙箱”并且得到设备“根”控制权,能够使苹果手机执行任意代码。
智能终端操作系统厂商凭借其技术优势,还存在留存系统后门、收集用户信息等行为。目前,苹果、
谷歌、微软均承认其操作系统中设有隐藏后门应急程序,可远程删除用户手机应用。某研究机构发现,
iPhone、Android等智能终端操作系统均存在收集用户位置信息及WiFi位置信息的问题,这些信息中详细记录了用户位置GPS坐标、运营商信息、WiFi接入点的MAC地址及相应时间戳信息等。同时,随着可穿戴设备的发展,操作系统厂商将用户账号系统与感知信息相结合,将空前挖掘和利用用户的数据信息,终端各种传感器所感知到的一切信息都有可能被泄露。
3) 应用软件层面安全威胁。应用软件带来的各种安全威胁主要是由各种恶意程序引发,可能会导致用户信息泄露、恶意订购业务、恶意消耗资费、通话被窃听、病毒入侵、僵尸网络等各种安全风险。据360互联网安全中心统计,2013年国内新增手机恶意程序67.1万个,较2012年的12.4万个增长了4.4倍,其中吸费木马成为主流。此外,部分应用软件可能包含涉及黄赌毒的内容,甚至会出现不法分子开发应用软件散播反动言论、政治谣言等危害国家安全的事例。
同时,移动应用商店作为各种终端应用和内容的传播推广渠道,也存在一些潜在的安全隐患。移动应用商店的内容、应用审核策略都是各公司根据本自身特点、
业务发展策略而制定的,审核标准宽严不一,缺乏普遍适用的统一标准,同时一些应用商店经营者并不具备应用安全检测能力。在这种情况下,“木桶”效应将充分显现,即存在安全威胁的内容和应用将通过安全审核不业务与运营Business & Operation
17严格的移动应用商店进行传播和泛滥。例如,苹果的APP Store对应用软件的审核较为严格,对每个应用都要进行两周的审核才能上架,而一些Android应用商店则对应用基本不做任何审核,开发者上传应用后立即可在应用商店中上架销售。
3 移动智能终端安全管理现状与问题面对移动智能终端的各种安全威胁,大多从互联网和通信网移植过来的防护手段都存在着适应性缺陷。
例如,手机防病毒软件的可扩展性受到终端物理能力限制;智能手机操作系统的漏洞补丁程序,一般用户根本不会自行装载等,因此急需研究适用于移动智能终端的安全措施。近两年移动智能终端产业链上的各环节都已高度重视移动智能终端安全,从技术研究、标准规范、
管理制度等多方面加强对智能终端的安全保护。
1) 技术研究。终端及操作系统厂商、安全服务厂商、应用商店经营者、研究机构等均重视移动智能终端安全问题并积极研究相关技术。
在终端及操作系统厂商方面,各主流操作系统均已引入一系列安全策略,具体如表1所示。但是,
智能
终端及操作系统由于设计原因仍然存在各种安全问题及漏洞。首先,移动智能终端采用开放的操作系统架构,
向开发者提供API接口和开发工具包,但却往往缺乏完善的API授权机制和代码签名机制,这为各种恶意代码滥用操作系统API进行违法操作提供了条件[3]。其次,
移动终端硬件层数据安全机制欠缺也是安全威胁的技术根源之一。移动智能终端用户数据的授权访问、远程保护、加密存储、远程删除以及机卡互锁等安全机制对终端厂商的要求较高,会增加终端研发成本,大部分终端厂商还未实现以上的安全机制。此外,智能终端及操作
系统必然存在各种安全漏洞,并难以被全部检测和修补,需要对其进行不间断的动态安全评估和检测,目前还未形成行业内发掘、统计、发布操作系统安全漏洞的机制。
在安全服务厂商方面,奇虎360、网秦、金山、卡巴斯基等安全公司研发针对Android、iOS等操作系统平台的安全检测和认证技术,用户可以免费下载安全防护软件查杀手机病毒,移动应用商店一般也会提供可免费下载的查杀病毒软件。目前,针对移动应用软件的安全管理手段主要包括静态代码扫描能力、动态运行分析能力以及代码签名认证等。静态代码扫描是对应用软件包实施逆向工程后进行静态分析,并与恶意代码样本库进行比对,检测代码中是否含有病毒、木马等恶意代码;动态运行分析是通过对应用软件运行状态的动态监控,分析其是否包含恶意代码的行为特征来进行识别;
代码签名认证是在应用软件审核检测后由应用软件商店或委托第三方对应用软件进行代码签名,以保证应用软件的完整性和表明应用软件的来源可信。但总体而言,
当前移动应用安全管理的相关技术及工具仍比较滞后,
尤其移动应用上线数量多、安全测试难度大、自动检测效率低,在工具的更新、升级、维护上也存在着一定的困难。
在研究与检测机构方面,工信部电信研究院等多个研究机构深入研究分析智能终端及应用软件安全问题,
通过实验获取操作系统厂商收集用户信息、应用软件包含恶意程序的证据,研究智能终端及应用软件的安全评估技术及测试方法、签名认证体系。CNCERT监测分析移动互联网病毒木马特征,ITSEC收集建立智能终端安全漏洞库。
2) 标准规范。目前,中国通信标准化协会(CCSA)已发布、在研的移动智能终端安全标准和研究报告超过10余项,涉及移动智能终端安全能力技术要求和测试方法、移动智能终端操作系统安全要求和测试方法、
移动智能终端芯片安全技术要求等移动智能终端各个层面。此外,移动互联网应用商店安全防护要求和检测方
操作系统安全机制iOS数字签名
Android证书;沙箱;用户标识;权限控制Windows Mobile证书;权限控制;CAB包签名BlackBerry数字签名