2 移动互联网信息安全
2.1 移动互联网
移动互联网是移动网和互联网的深度融合后的产物,是在现有移动网和互联网基础上,为用户提供移动互联网业务的网络与服务体系。移动网具有强大的管理控制和随时随地的接入能力,但是网络开放性不够,业务较为单一的特点。而互联网则不同,它具有强大的信息库和创新业务能力,但无法做到随时随地移动接入和缺乏良好管理控制的特性。移动互联终端具有完全不同于平台互联网终端的移动特性、个性化特征。
相应用户的体验也大大不同,例如手势操作,眼球控制等。二者的融合通过以下几个阶段:(1)WAP业务为核心,提供互联网接入能力;(2)手机上网、手机报和手机邮箱业务丰富,业务体验趋同。(3)移动互联网时期,移动电子商务、移动社区、行业特色应用、催生更加丰富移动互联网特色的业务。移动互联网为移动用户提供互联网服务,为互联网提供移动的接入方式,能够为用户提供更具移动特性的、更深入到人们生产生活的,安全可控的网络与服务体系。移动互联网包括的内容主要由原互联网上的内容、各种方便快捷的移动通讯网络的接入、软件和硬件不断更新换代的移动智能终端以及各种前所未见的颠覆性创新的商业模式所构成。在移动互联网刚刚出现,它的提供者主要是,以移动运营商(中国移动、联通、电信)为主要移动接入提供商,以终端厂商(苹果、三星、HTC、华为、中兴、小米、黑莓等)的智能设备提供商和传统的互联网提供商(原铁通、歌华宽带、方正宽带等)三者构成。但是随着移动互联网的不断发展,以上三者也在不断的融合,例如移动和联通推出自由品牌的手机,苹果推出icloud自己的云服务,而原铁通并入到联通,使得联通和电信具有移动电信网络和平台互联网接入提供商。
2.1.1 移动互联网特性
移动互联网的特征可以归结为 5 点:便捷性、个性化、私密性、融合性和智能感知性。(1)便捷性:与传统的互联网固定地点的接入方式不同,移动互联网可以通过移动通讯网络随时随地的进行接入,而且可以保持实时在线的状态。随着智能终端设备的发展,体积越来越小,容量越来越大、处理能力越来越强,这样人们不仅仅在完整的时间使用,更可以在一些零碎的时间使用。便捷性更催生出了一个基于位置服务的巨大市场,例如移动地图的应用、打车软件的使用等。(2)个性化:传统网络的条件下,用户访问的内容都是相同的,例如同样的新闻、同样的图片。用户只能够在这些相同的内容中人为的选取自己感兴趣的内容。而移动互联网则不同,在接入的终端、网络和使用的 APP 都是不相同的。安装 APP 软件可以依据用户之前的使用习惯,对网络上如同洪水版的信息进行过滤和分类,挑选出符合用户兴趣的内容提供给用户。终端个性化和网络个性化相互结合,使个性化效应极大释放。(3)私密性:在现阶段,移动互联网用户对应着一个实体的移动语音用户,电话通讯、移动互联网访问都是通过同一个移动终端进行。因为移动通讯的一个特性是私密性,所以在同样设备上访问的移动互联网也是具有私密性的属性。(4)融合性:首先,移动话音和移动互联网业务的一体化导致了业务融合;其次,手机终端趋向于变成人们随身携带的唯一的电子设备,其功能集成度越来越高。(5)智能感知性:未来的移动设备具有感知性,例如,未来的手表可以检测你的血压和心跳,在你身体出现之前提前获取相关信息,并且将这些信息发给你和你的医生,在发病之前就给予治疗。
2.1.2 中国的移动互联网应用发展特点
在互联网已经成熟发展,4G 牌照已经发放,局部地区已经开始试运行的现今,移动互联网已经深入到人们生产生活的方方面面。我国移动互联网应用发展有以下特点:(1)种类繁多,电子商务、移动支付、手机游戏、即时通讯、社交网络和资讯类为主。(2)业务创新力有所提高,最近几年的微信、微博等 APP 的兴起,改变了以往以新闻浏览、图片和铃声下载为主要应用为主的局面。(3)商业模式创新加强,以微信平台和百度空间为主的自媒体平台增多,厂商给作者依靠点击率带来的流量进行分成。微博和淘宝帐号的统一,精准的定位消费者,改变了只能够靠广告作为主要收入来源的局面。随着 4G 网络的部署以及移动终端技术的持续提升,商业模式创新将给运营商带来新的机遇。
2.1.3 业务应用
随着新技术的发展,新思想观念的普及。新兴事务“自媒体”出现改变了以为单一的门户网络作为信息传播的起点。微博、微信的出现更加促进信息个人发布、通过自己的关系网络进行传播的模式。
2.2 移动互联网信息安全
移动终端(手机、平板电脑等)功能强大、便携易用,给人们提供了很大的方便。但是事物都有两面性,便携易用和功能强大带来的另外一个困扰就是安全问题。黑客等不法人员会通过定位以及没有经过加密认证的移动网络在入侵和窃取移动终端的信息。最初的移动终端,由于功能有限、系统封闭、更新换代周期较长,因此针对最初的智能终端的安全攻击较少。随着新技术不断被研发出来,新移动端的操作系统也不断更新,例如 Android、IOS、WP、Blackberry 等。移动终端不再仅仅是手机,平板电脑和嵌入式设备也加入其中。针对的用户不再仅仅是个人,针对企业用户的整体解决方案也不断推陈出新。在厂商和运营商的系统后台将是采用了云计算的模式部署了成千上万台服务器,进行大规模的集群,以提供更快的处理速度和更高级别的可用性,已经更加安全可用的系统服务。
随着移动互联网的快速普及,越来越多的移动终端接入了企业内部网络。随之而来的是安全风险和管理难度加大。移动设备可以通过公司的无线局域网获取信息,并通过移动互联网来进行信息的分发和传送。这样就有可能将企业内部的信息泄露出去。只有通过相应的身份验证才可以访问企业内部资源,对核心系统和数据进行加密,对不同移动终端根据不同用户的身份采取不同的安全策略。通过以上几种方法来减少移动终端对企业内部的安全性的破坏。
2.2.1 移动互联网信息安全标准
移动互联网信息安全管理需要具备信息安全管理的基础的相关法规,还需要法规以确保制定和实施的管理措施和事后监督。
(1)通用标准(CC):在美国的 TCSEC、欧洲的 ITSEC、加拿大的 CTCPEC、美国的 FC 等信息安全准则的基础上,由 6 个国家 7 方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则(The CommonCriteria for Information Technology security Evaluation,CC)”,简称 CC 标准,它综合了已有的信息安全的准则和标准,形成了一个更全面的框架。CC 标准是信息技术安全性评估标准,用来评估信息系统、信息产品的安全性。CC 标准的评估分为两个方面:安全功能需求和安全保证需求。
(2)IS0/IEC27000 系列标准:ISO/IEC2700 系列标准是通用术语,国际标准化组织为与国际接轨而专门预留的序列号,该系列产品具有的信息安全管理体系标准除27019 标准,还正式发布了另外两款信息安全管理体系要求”(ISO/IEC27001:2005)和信息安全管理实践(IS0/IEC27002:2005)。
(3)ISO/IEC13335 标准:IS0/IEC13335 IT 安全管理员的指南(GMITS)是新版本的安全信息和通信技术标准,信息安全管理是实现 IT 安全和可执行标准。该标准分为:IT 安全和规划(根据不同条件下的 IT 安全需求和技术,建立符合需求的 IT 信息安全模型),IT 安全技术管理(对于可能出现安全问题而进行的风险评估,针对这些风险而实施的保障系统和对应安全人员的安全交易课程)等其他标准。
(4)COBIT:COBIT 是 Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。COBIT 是 ISACA(信息系统审计和控制联合会)制订的面向过程的信息系统审计和评价的标准。对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。COBIT 是一个基于 IT 治理概念的、面向 IT 建设过程的 IT 治理实现指南和审计标准。COBIT5 为企业 IT 治理和管理提供的新一代指引,是以来自商务、IT、风险、安全和鉴证团体的众多企业和用户对 COBIT 超过 15 年的实际使用和应用为依据而构建的,COBIT 5 提供一种全面的框架,以支持企业实现其企业 IT 治理和管理的目标。简而言之,就是帮助企业通过维持实现利益和优化风险等级和资源利用之间的平衡,从而创造源自于 IT 的最佳价值。COBIT 5 能够为整个企业使 IT 在整体上得以治理和管理,并承担整个端到端业务和 IT 功能区域的责任,同时兼顾内外部利益相关者与 IT 相关的利益。COBIT 5 通用和实用于各种规模的机构,无论是商务、非营利、或其他机构。
