首頁>>>技術(shù)>>>多媒體通信終端  VoIP終端產(chǎn)品

發(fā)表評論分享按鈕

移動智能終端的安全誰來保衛(wèi)?

魏薇 卜哲 2011/10/13

  據(jù)披露,由于發(fā)現(xiàn)有58個惡意程序被上傳至谷歌應(yīng)用商店,2011年3月4日谷歌批量下架21款存在惡意行為的手機軟件,這些軟件已被約26萬用戶下載。由此引發(fā)業(yè)界對移動智能終端及應(yīng)用軟件安全的進一步關(guān)注。

  智能終端安全問題不斷暴露

  隨著iPhone等移動智能終端功能日益強大,移動智能終端應(yīng)用軟件數(shù)量激增,移動智能終端用戶數(shù)量快速增多。據(jù)Gartner統(tǒng)計,2010年全球智能手機銷量約為3億部,較2009年增長72.1%。CNNIC統(tǒng)計顯示,截至2010年12月,手機網(wǎng)民已達3.03億,占總體網(wǎng)民的66.2%。


  移動智能終端與移動應(yīng)用商店在向用戶提供豐富多彩的應(yīng)用軟件和數(shù)字內(nèi)容的同時,智能終端病毒、應(yīng)用軟件吸費、非法信息傳播等安全問題不斷暴露。移動智能終端已經(jīng)成了病毒發(fā)威的新戰(zhàn)場,手機僵尸、給你米等手機病毒破壞終端功能,惡意吸取資費,竊取用戶隱私,極大地?fù)p害了用戶利益。據(jù)網(wǎng)秦統(tǒng)計,2010年新增的手機病毒數(shù)是2004~2009年手機病毒總數(shù)的近兩倍(見表1),預(yù)計共感染手機800萬部以上。據(jù)報道,我國至少有10家Android平臺的吸費SP或渠道公司,抽樣顯示近40%的Android常見應(yīng)用程序被植入惡意吸費代碼。在信息內(nèi)容安全方面,包含色情暴力、反動言論等信息的應(yīng)用軟件曾出現(xiàn)在App Store中,危害青少年健康成長,影響社會穩(wěn)定團結(jié)。2010年10月,美國杜克大學(xué)等對30款A(yù)ndroid應(yīng)用進行分析,發(fā)現(xiàn)其中有三分之二的應(yīng)用通過分享用戶地理定位數(shù)據(jù)或信息的方式侵犯用戶隱私,半數(shù)應(yīng)用未經(jīng)用戶允許將用戶地理定位信息發(fā)送給廣告網(wǎng)絡(luò)或數(shù)據(jù)分析公司。我國還存在智能手機終端內(nèi)置應(yīng)用軟件和第三方應(yīng)用軟件涉黃或吸費、手機WAP網(wǎng)站涉黃等問題。另外,黑莓獨特的加密技術(shù)引發(fā)擔(dān)憂,德國等紛紛要求監(jiān)控黑莓通信服務(wù)。

  加強移動智能終端的安全監(jiān)管

  目前政府和企業(yè)等層面已經(jīng)開始關(guān)注并采取措施應(yīng)對移動智能終端的網(wǎng)絡(luò)與信息安全問題。如工信部開展手機淫穢色情整治專項行動,2011年聯(lián)合三大基礎(chǔ)運營商以及騰訊等增值企業(yè)圍剿“病毒集團”,借助12321網(wǎng)絡(luò)不良與垃圾信息舉報受理平臺加強社會監(jiān)督;各終端操作系統(tǒng)均內(nèi)置API權(quán)限控制、數(shù)字簽名等安全策略,各應(yīng)用商店經(jīng)營者根據(jù)產(chǎn)品特點、業(yè)務(wù)發(fā)展策略等審核應(yīng)用軟件安全情況,奇虎360、網(wǎng)秦等安全企業(yè)提供免費手機病毒查殺軟件。

  針對移動智能終端日益嚴(yán)重的安全問題,建議從移動智能終端、移動應(yīng)用商店、第三方應(yīng)用服務(wù)器三個環(huán)節(jié)加強安全保護!    針對移動智能終端的安全管理可利用終端進網(wǎng)環(huán)節(jié)的優(yōu)勢加強監(jiān)管。

  第一,應(yīng)將內(nèi)置移動通信模塊的平板電腦、電子閱讀器等新型智能終端納入進網(wǎng)檢測范疇。

  第二,在移動智能終端進網(wǎng)環(huán)節(jié)加強安全評估。補充完善移動智能終端安全標(biāo)準(zhǔn)中的技術(shù)要求和檢測要求,尤其針對操作系統(tǒng)、預(yù)置應(yīng)用軟件的權(quán)限設(shè)置和API調(diào)用等提出安全要求。智能終端進網(wǎng)時需評估其是否滿足標(biāo)準(zhǔn)中的“基線安全”要求,各終端廠家在“基線安全”基礎(chǔ)上還可采取更高級別的安全策略。加強對相關(guān)評估方法和配套技術(shù)手段的研究,促進安全評估工作高效客觀深入開展。

  第三,開展智能終端進網(wǎng)后的監(jiān)督評估。要求終端廠家跟進研究終端操作系統(tǒng)、預(yù)置應(yīng)用軟件等的安全性,及時提供操作系統(tǒng)漏洞修復(fù)和版本升級等服務(wù),及時清理損害用戶利益的預(yù)置軟件。由政府部門定期對進網(wǎng)后的智能終端安全情況進行抽查,如評估廠家是否跟蹤、研究操作系統(tǒng)各版本安全漏洞(例如系統(tǒng)組件漏洞、緩沖區(qū)溢出漏洞等)并及時向用戶提供操作系統(tǒng)漏洞修復(fù)和版本升級服務(wù)。
  
  第四,配套建立智能終端安全管理的其他措施。借鑒目前定期發(fā)布PC操作系統(tǒng)漏洞的做法,由指定研究機構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞發(fā)布信息,定期發(fā)布官方的智能終端漏洞信息,建設(shè)官方智能終端漏洞庫。向用戶宣傳智能終端安全相關(guān)知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導(dǎo)下及時升級操作系統(tǒng),進行安全配置。

  針對日益擴大的應(yīng)用軟件市場以及日漸嚴(yán)重的移動終端應(yīng)用軟件安全問題,有必要對應(yīng)用軟件進行嚴(yán)格的安全評估。

  第一,研究制定行業(yè)內(nèi)統(tǒng)一的移動應(yīng)用商店及應(yīng)用軟件安全要求和檢測要求,規(guī)范應(yīng)用的安全審核尺度,研發(fā)高效的應(yīng)用軟件安全性評估工具,對應(yīng)用軟件信息內(nèi)容、API調(diào)用、應(yīng)用軟件漏洞、惡意代碼和應(yīng)用開發(fā)者資質(zhì)等進行嚴(yán)格評估。

  第二,建立針對移動應(yīng)用商店的監(jiān)督管理機制。要求應(yīng)用商店經(jīng)營者必須在應(yīng)用軟件上線前依照國內(nèi)法律規(guī)章和技術(shù)標(biāo)準(zhǔn)等進行嚴(yán)格審核。建立應(yīng)用軟件上線后的安全監(jiān)控和處置機制,政府部門定期開展對應(yīng)用商店平臺及其銷售的應(yīng)用軟件安全性的檢查評估。建立應(yīng)用軟件的黑名單及行業(yè)內(nèi)共享機制,建立行業(yè)內(nèi)應(yīng)用軟件提供者的資質(zhì)審查和信用管理體系。

  已經(jīng)上線的合法應(yīng)用可能通過從第三方應(yīng)用服務(wù)器下載更新內(nèi)容的方式來傳播非法內(nèi)容信息,這種非法內(nèi)容的傳播形式更加隱蔽和難以管理。例如,電子書客戶端在更新電子書內(nèi)容時可能獲得非法內(nèi)容。因此在目前針對第三方應(yīng)用服務(wù)器平臺管理措施的基礎(chǔ)上,建議加強對第三方應(yīng)用服務(wù)器平臺網(wǎng)絡(luò)安全和信息安全的監(jiān)督檢查。

  第一,通過通信網(wǎng)絡(luò)安全防護工作開展對ISP運營的增值業(yè)務(wù)系統(tǒng)的安全檢查,加強對承載第三方增值業(yè)務(wù)系統(tǒng)的IDC的安全管理。

  第二,開展對ISP企業(yè)及其業(yè)務(wù)的信息安全評估。如評測ISP業(yè)務(wù)上線前是否配套建立信息安全保障機制并滿足國家安全需求,定期對在線業(yè)務(wù)開展信息安全評估,建立應(yīng)用軟件提供者的安全信用體系。

  第三,針對境外應(yīng)用服務(wù)器,除與其積極協(xié)商,要求其遵守國內(nèi)的法律法規(guī)并將服務(wù)器設(shè)置在我國境內(nèi),還需著力研究建立我國有效監(jiān)管外資企業(yè)SP的配套管理制度,提高我國評估、發(fā)現(xiàn)和處置其所提供業(yè)務(wù)的網(wǎng)絡(luò)與信息安全風(fēng)險的能力。

人民郵電報


相關(guān)閱讀:
三大創(chuàng)新成就自主智能手機操作系統(tǒng) 2011-09-19
IP呼叫中心首選終端品牌的十大技術(shù)優(yōu)勢 2011-09-14
IP電話及ATA設(shè)備的選型:測試指標(biāo)與方法 2011-09-08
云端整合艱難或促終端洗牌 2011-08-22
三大運營商低端手機市場策略分析 2011-08-16

分類信息:  移動_與_多媒體通信終端技術(shù)