信息安全
?
首页
>> 保密视野 >> 信息安全
?
?
移动互联网隐患、防护与管理政策探讨

发布日期:2017-06-01访问次数: 信息来源: 威海市保密局 字号:[ ]


朱大立

   

 “棱镜事件”的启示

 

 随着移动互联网呈爆炸式发展,智能手机迅速普及。据IDC(国际数据公司)发布的全球智能手机数据,2014年全球手机出货量达到13亿部,其中安卓智能手机的出货量为10.6亿部,占81.5%。又据中国互联网络信息中心数据显示,截至2014年6月,中国网民规模达6.32亿人。其中,网民中使用手机上网的人群占比为83.4%,手机网民人数达到5.27亿。

 “棱镜事件”爆出的美国大型互联网公司、IT科技巨子都与NSA(美国国家安全局)合作,为其提供数据和访问便利,把移动互联网的安全问题十分刺眼地摊开在世人面前。

 

移动互联网安全现状

 

 目前,移动互联网正在替代有线网络,成为赛博空间(Cyberspace)的主体。也因此,曾经在有线网络肆虐的信息安全问题,在移动互联网络空间呈现出愈演愈烈之势。

 1.谷歌苹果主导的生态圈

 移动互联网的核心是智能终端操作系统。目前主流的操作系统包括安卓、iOS以及WP7,其中苹果和谷歌公司的iOS和安卓占市场份额的90%以上。以我国为例,移动应用APP要么是安卓版本,要么就是iOS版本,电子市场同样分谷歌和苹果两大阵营,而用户可选择的手机除了苹果就是安卓机。借助操作系统,苹果和谷歌公司获得了全产业链的话语权,掌控了全世界的移动互联网生态圈。在这种情况下,电信运营商的网络部署得越广泛,网络速度越快,客观上只不过是使苹果和谷歌控制的用户越多而已。对于成为NSA合作伙伴的这两家公司,我们是否可以推论:目前广泛使用的智能机,就是量身定制的窃密终端呢?

 2.大数据与关联分析

 智能终端操作系统本质上来讲是一个时时在线的操作系统,这是由手机的通信属性决定的。手机一开机,用户就处于在线状态。按操作系统的运行机制,开机后都要连接苹果或谷歌后台的服务器。借此,他们可以轻而易举地收集用户所有信息。包括电话本、通话记录、位置信息、短信、用户文件等等。这样的收集工作,发生在操作系统层面,而运行于操作系统之上的杀毒软件、恶意代码防护这些通用防护技术根本不会起作用。收集到的信息,通过采用大数据和关联分析技术,就可以得到大量有价值的情报。所谓大数据和关联分析技术的作用原理是这样的:以收集到的用户电话本为例,手机的电话本实际上是一个人社会关系的描述,通过收集到的联系人信息,就可以把一个社会中全体人员的工作关系、朋友关系和亲属关系分析清楚,再结合位置信息,判定用户的工作单位、家庭住址,进而确定用户的身份,直至锁定涉密人员作为重点目标,对用户进行全面语音和信息的监控,获取重要情报。还可以根据重点目标在网络上的言行,如微信、微博用户张贴和转发的内容,判定用户兴趣、爱好、行为习惯、政治倾向等等,作为商业谈判、工作斡旋乃至渗透、策反的依据。在信息时代,对信息的掌控,体现了一个国家的核心竞争力。美国目前80%的情报信息,就是从这种公开信息,特别是网络中的公开信息获得的。这体现了美国全球独霸的信息掌控能力和情报收集分析能力。

 3.个人隐私即国家安全

 信息时代,信息是最核心的战略资源。目前,信息呈爆炸式增长,大数据、云计算等技术的兴起,使得这些海量数据成为有价值的金矿。每个人在享受网络方便快捷的同时,在网络空间留下了大量的个人数据。这些信息用于情报分析,就会泄露大量的个人隐私,涉及用户工作、生活的方方面面。从单条孤立信息来讲,这些信息并不危及国家秘密或信息安全,但将这些信息组合起来,就可以洞悉整个社会的方方面面。因为组成社会的单个元素没有隐私可言,整个社会也就没有秘密可言了。这就严重危及到了国家安全。所以,从某种意义上讲,在当今时代,个人隐私即国家安全。如果一个国家,连自己公民的个人隐私都保护不了,国家层面的信息安全也就成为无源之水,无本之木。目前移动互联网飞速发展,使得我们的信息越来越多、越来越快地暴露出去。这是移动互联网发展带来的最大的安全问题。

 

防护技术

 

 移动互联网的安全问题,已经越来越引起人们的关注。有大量的企业和研究机构开始进行这方面的技术研究和产品开发工作。

 1.现状

 移动互联网各种应用层出不穷,其中孕育着巨大商机,各种安全防护方案、技术也应运而生。但是这些技术、产品或者解决方案,都是基于开发者自身在移动互联网生态圈里的角色提出的。而这些角色,正是在谷歌和苹果掌控的移动互联网生态环境中被其赋予的。因此,这些解决方案只能是孤立的、不完整的或者具有先天缺陷的。比如,手机厂家所谓的安全手机就是实现加密通信,病毒厂家则从恶意代码防护方面做工作,APP开发商的安全技术就是利用iOS和安卓的安全机制。这些都是只从自身角色出发,解决自己领域的一部分安全问题。而对于整个生态环境系统性、根本性的安全问题,目前仍没有解决方案。

 2.整体的解决方案

 手机的安全问题,表现在终端,如用户信息的泄露、恶意软件的窃密和通信安全问题,但其根源是个系统性的问题,涉及硬件、操作系统、网络和应用服务平台的各个方面。所以解决手机的安全问题,必须从构建安全基础设施开始,以系统的、整体的技术方案进行解决。单独从手机,无论从硬件和软件角度,都无法解决手机的安全问题。系统的解决方案,从技术角度来讲,要求建立整体安全的机制并且能够整合各个因素和环节,通过统一协作实现该安全机制。即涉及手机硬件平台、操作系统、APP以及运营商网络和安全应用与防护平台等多个因素相互之间的协同,在统一的安全策略和安全标准下,做到智能终端侧、基础网络侧和平台及服务侧相互协作,最大限度发挥各个环节的作用,最终形成一个系统,整体地解决智能终端的安全问题。这是该领域的技术发展趋势。

 3.安全服务替代安全产品

 乔布斯的苹果改变了世界。移动互联网的迅速发展,苹果公司的引领作用功不可没。乔布斯创造了一个新模式,智能终端不再是一个通信设备,而变成了一个网络应用服务的接入点。来自后台的一整套系统,在支撑前台用户终端侧几乎无所不能的服务。因此,在这个时代,把安全手机仅仅理解为一个安全保密设备,已经落后于技术大潮。用户需要的不是一个安全手机,而是一系列安全服务的接入点。因此,解决移动互联网的安全问题,必须构建安全服务平台,以一种安全服务的方式,向终端客户提供一系列安全服务。基本的安全服务有三点:防窃密、防泄密和保通信。其中防窃密,就是要防范一切木马病毒的窃密行为,保护用户信息安全。防泄密,就是要对手机的软硬件资源和APP运行环境,进行监测和管控,保证用户信息不被无意识泄露。保通信,就是要保证用户在公网和空中接口传递的信息,包括语音、短信和上网数据都有加密措施保护而不被第三方窃取和还原。

 4.核心技术与创新

 移动互联网的核心是智能终端操作系统,这是掌控整个产业链的关键。在国产自主操作系统还无法满足需要的时候,必须在安卓这种开放式的平台上,通过一系列的安全措施,以整体的方案和安全服务代替安全产品的思路,解决移动互联网的安全问题。这就要求突破一系列的核心技术,包括智能终端木马查杀技术、基于云的恶意代码仿真分析技术、智能终端隐私保护技术、手机软硬件资源管控技术、移动网络VPN技术、移动互联网统一身份认证和访问控制技术、安全电子市场技术等等,并且创新性地构建分布式的基于云计算的面向移动互联网的安全服务平台。这样才能最终为用户提供防窃密、防泄密、保通信三项安全保密服务。但必须指出,这样做也只能提供一定程度上的安全保护。面对日益恶化的移动互联网安全问题,这只能算是一个解燃眉之急的权宜之计。

 5.自主可控的体系构建

 要想从根本上解决移动互联网的安全问题,则必须跳出谷歌和苹果给我们指定的角色,以自主知识产权的芯片、操作系统和移动通信网络技术为基础,构建涵盖软件、硬件平台、服务运营机制、研究组织机构在内的面向移动互联网安全服务的自主可控的完备防护体系。这个体系中的各个角色,如手机厂商、安全运营商,软硬件厂商、安全应用提供商、安全电子市场、第三方软件开发商,按统一的规则和标准,为用户提供防窃密、防泄密、保通信服务,并且形成健康安全以我为主的移动互联网生态环境,如此才是真正做到了自主可控,才是从真正意义上解决了移动互联网的安全问题,去除了心头大患。

 

政  策

 

 国家保密行政管理部门非常关注涉密人员的手机使用问题。中办2005年发布了《关于手机使用保密管理规定(试行)》,规定了涉密人员使用手机的相关要求。2009年,为加强3G移动通信终端使用中的保密管理,国家保密局、公安部、国家安全部和工信部联合印发了《关于加强3G移动终端使用保密管理的通知》。2010年,中央保密委员会下发了《关于进一步做好防范手机窃密、泄密工作的通知》,对涉密人员和国家公务人员日常使用移动终端作了进一步要求。但是这些规定和要求,在移动互联网络迅猛发展的今天,要么显得过严,要么在实施中缺乏技术支撑,很多无法得到有效的执行。

 不久前,中办和国办联合下发了《手机使用保密管理规定》。从该规定发布即日起,中办2005年发布的《关于手机使用保密管理规定(试行)》同时废止。新规定顺应技术迅猛发展的趋势,提出了新的防护策略和要求。我们可以预测一下新规定出台后与政策紧密相关的防护策略变化。

 1.分级保护的思想贯穿终端保护策略

 从政策和管理角度考虑,智能终端的安全保密防护其实可以采取分级保护的思路。可以把安全手机分为三个等级。第一级为安全功能机:采用非智能机,没有操作系统,属于定制手机,可以采用普密算法进行加密保护,手机的软硬件功能裁减到只满足基本的语音和通信服务。这种手机作为最高安全级别的手机,由重要涉密人员使用,可以处理国家秘密。第二级为智能安全机:采用智能操作系统,属于定制手机,通过一系列的软硬件安全措施进行安全增强,采用商密算法,用于保护用户的工作秘密和个人隐私,满足普通涉密人员的日常工作和生活需要,但不得用于处理国家秘密。这种级别的手机主要用于对抗大数据和关联分析技术,保护个人隐私进而保护国家信息安全。第三级是普通安全机:非定制,采用普通的商用机,使用过程中安装防护软件进行自我保护,可以满足普通人的安全需要。涉密人员在工作过程中,应该只能使用第一和第二级别的安全手机。

 2.政务涉密机的国产化提上议事日程

 目前我国党政系统的公务人员,普遍使用安卓和iOS智能手机,其中三星、苹果占有很大比重。如前所述,这种情况使得国家信息安全面临巨大的威胁。从安全角度,从支持自主品牌的角度,可以以安全智能机的研发为契机,集合国内芯片厂家、操作系统厂家、国产手机厂家、国内应用程序开发商、电信企业以及信息安全研究机构,在国家信息安全管理部门的组织下,制定业内广泛认可的安全手机标准,进而以参与制标的企业为核心,成立国产智能安全手机的产业联盟,在政务机市场,推广国产品牌的安全智能机。这样做,既支持了国产移动互联网产业的发展,也夯实了国家信息安全的基础。

 “棱镜事件”暴露了美国监控全世界的野心、计划和实施方案。在信息时代,谁掌控了信息,谁就掌控了整个社会的命脉。美国正在把其在信息技术方面的优势转化为信息霸权,渗透到整个社会的每个角落。“棱镜事件”其实是现实版的皇帝的新装。在这个新版的故事中,斯诺登就是那个大声说出真话的孩子,而遗憾的是,我们所有人都扮演的是那个皇帝的角色。我们在享受信息爆炸、沟通便利的同时,是否清醒地意识到自己的信息在网上近乎裸奔呢?





打印本页 关闭窗口
?
Produced By 大汉网络 大汉版通发布系统