移动智能终端的个⼈信息安全技术解析
移动智能终端的个⼈信息安全技术解析本⽂从⽹络收集⽽来,上传到平台为了帮到更多的⼈,如果您需要使⽤本⽂档,请点击下载按钮下载本⽂档(有偿下载),另外祝您⽣活愉快,⼯作顺利,万事如意!
1 引⾔
移动互联⽹的飞速发展推动了移动智能终端的快速普及。与传统终端相⽐,移动智能终端应⽤了移动通信技术、计算机技术和多媒体技术的最新成果,给⼈们带来了前所未有的丰富体验。移动互联⽹的迅猛发展推动了移动智能终端数量的急剧增加、应⽤功能的⽇益增多。伴随着终端智能化及⽹络宽带化的趋势,移动互联⽹业务层出不穷、⽇益繁荣。但作为业务载体的智能终端却⾯临各种安全威胁,如恶意订购、盗取账户、监听通话等。与此同时,智能终端越来越多地涉及商业机密和个⼈隐私等敏感信息,智能终端作为移动互联⽹业务最主要的载体,⾯临着严峻的安全挑战。随着移动终端操作系统的功能⽇益多样,其漏洞随之增加并导致安全事件种类增多;特别是移动智能终端操作系统开放性提⾼,使移动智能终端病毒开发更为容易;带宽增加,使更加复杂多样的病毒通过各种数据业务进⾏传播成为可能;多样的外部接⼝增加了病毒传播的渠道;移动终端使⽤量提⾼和数据业务
⽇益多样和应⽤的发展,促使⼿机安全事件⼤规模滋⽣;移动终端所存信息的私密性及终端存储能⼒
的提⾼,极⼤增加了移动终端安全的危害性;国际漫游业务量及业务互通的增加,使移动终端病毒在国际之间散播更为容易。另外,对于计算机,只有接⼊互联⽹才可能受到病毒攻击,并且可以通过重装操作系统⽅式来进⾏处理;⽽移动终端不同的是,移动终端时刻与移动⽹络相连,并且其操作系统不能随便重新安装。故此,⼀旦安全事件爆发,其危害⼒将远远⼤于电脑病毒的危害。
2 移动智能终端信息安全技术现状
信息安全⽬前是各界都⽐较关注的⼀个问题,移动终端作为移动业务对⽤户的唯⼀体现形式以及存储⽤户个⼈信息的载体,要配合移动⽹络保证移动业务的安全,实现移动⽹络与移动终端之间通信通道的安全可靠,同时还要保证⽤户个⼈信息的机密性、完整性。随着移动终端功能的不断强⼤和⼤⾯积普及,移动终端已成为⼈们⽇常⽣活不可或缺的⽤品,⽽这些功能强⼤的智能终端在带给⽤户便利的同时,导致的信息安全问题也⽇益突显。
⼀⽅⾯,智能终端中存储的个⼈信息越来越多;另⼀⽅⾯,丰富的通信和数据交换功能为信息泄露和
病毒传播提供了通道。⽬前,国内通信⾏业标准在早些年就发布了有关于移动终端信息安全的标准,如YD/T1699-2007《移动终端信息安全技术要求》、YD/T1700-2007《移动终端信息安全测试⽅法》、YD/T1886-2009《移动终端芯⽚安全技术要求和测试⽅法》,但是由于这些标准制定得⽐较早,且当时的研究还不够深⼊,随着技术的不断发展,移动终端新的安全问题不断暴露,新的安全技
术不断产⽣,因此对于移动终端的信息安全要求⼜更上了⼀个台阶。
2013年发布的YD/T2407-2013《移动智能终端安全能⼒技术要求》和YD/T2408-2013《移动智能终端安全能⼒测试⽅法》标准进⼀步细化了移动智能终端在操作系统安全、应⽤软件安全等⽅⾯要求。2013 年⼯业和信息化部发布了《关于加强移动智能终端进⽹管理的通知》,对移动智能终端安全能⼒和预置应⽤软件提出了管理要求,要求移动智能终端在进⽹中严格按照YD/T2407-2013《移动智能终端安全能⼒技术要求》和YD/T2408-2013《移动智能终端安全能⼒测试⽅法》标准中的⼀级安全能⼒要求。这使得国内移动智能终端的信息安全得到进⼀步的保障,移动智能终端上的个⼈信息安全也得到相应的保护。在进⽹检测管理中,检测机构已对现有信息安全威胁进⾏分析,
并通过专业的检测⼯具对移动智能终端进⾏操作系统安全检测,让移动智能终制造商提⾼终端⾃⾝的防护能⼒,让原本没有防护能⼒的智能终端得到保护。通过⾏业标准规范应⽤程序在供⽤户使⽤时应该让⽤户可知、可控,从⽽减少恶意软件引起的安全泄漏。但是,⽬前仍有部分⽤户的信息安全意识不强、⾃我管理⽔平不⾜,导致部分⽤户移动智能终端上的个⼈信息仍处于暴露状态。
2014年8⽉⼀款名为“XX神器”的恶意应⽤程序过短信传播,下载后⽴刻遍历通讯录,给所有通讯录中的朋友发送该病毒,数⽇之间感染了全国数百万智能终端。虽然该作者的动机并⾮要借此牟利,但造成的社会危害⾮常严重,这正是因为⽤户的信息安全意思不强,随意下载不明的应⽤程序导致的。地摊货批发
电子信息学什么
3 移动智能终端的个⼈信息安全策略
Android 安全策略根据IDC调查报告数据显⽰,Android占全球智能⼿机的份额在不断上升。Android 设备占据的全球智能⼿机市场份额从2012年的69%上升到2013年的%,Android 成为⽬前最主流的⼿机平台。因为Android 平台的开放特性,吸引了众多终端⼚商和软件应⽤商加⼊到Android平台中来,也因为开放特性和众多的Android终端⽤户数量让许多的
适合七夕节发的句子⿊客和灰⾊产业链瞄准了Android平台。通过⽹络安全企业通报的2012 年移动互联⽹恶意程序样本有162981 个,较2011年增长25倍,其中约有%的样本针对Android平台。Android平台已成为恶意程序的重灾区。Android 系统是基于Linux 内核开发的,因此Android 系统保留和继承了Linux 操作系统的安全机制,并扩展了Linux内核安全模型的⽤户与权限机制,将多⽤户操作系统的⽤户隔离机制巧妙地移植为应⽤程序隔离。在Linux中,⼀个⽤户标识(UID)识别⼀个给定⽤户;在Android上,⼀个UID只识别⼀个应⽤程序。Android应⽤程序在安装的过程中,安装服务PackageManagerService 会为它们分配⼀个唯⼀的UID和GID,以及根据应⽤程序所申请的权限,赋予其他的GID。有了这些UID 和GID 之后,应⽤程序就只能限访问特定的⽂件,⼀般就是只能访问⾃⼰创建的⽂件。
此外,Android应⽤程序在调⽤设备的敏感API 时,系统检查它在安装的时候会没有申请相应的权限,如果没有申请相关权限,那么访问也会被拒绝。Android 提供了⼀百多种权限,这些权限包括拨打电
话、照相、键盘输⼊、、读取通讯录等。应⽤程序如果需要⽤相关的权限时,需要在⽂件中声
明,并且在应⽤程序安装时呈现出该应⽤程序会使⽤到的权限,并由⽤户决定是否安装此应⽤程序,⽤户只有选择接受应⽤程序所需的权限才能安装使⽤,否则只能放弃安装。⽽且,权限在安装时⼀经确认就不能再更改,⼀旦允许安装,该应⽤程序就拥有了它所声明的操作权限。Android 应⽤程序可以通过各种⽅式进⾏下载安装,如通过本地安装、蓝⽛传输⽅式、⽹络下载⽅式等。⽽第三⽅应⽤程序的下载源⾮常多,如论坛、⾕歌商店、其他第三⽅商店、特定⽹站等,且各企业对应⽤程序的审核机制不⼀,导致应⽤软件存在较⼤的信息安全隐患。iOS 安全策略以iPhone 为代表的iOS平台智能终端在2007年开启了智能终端的新时代,iOS给⽤户带来了更直接的体验,使其能更⽅便地使⽤移动互联⽹应⽤,这让iOS设备受到全球⽤户的喜爱。虽然近些年iOS平台在智能终端的市场份额不断缩减,这主要是因为Android平台终端的数量递增速度更快,且iOS平台只有苹果公司使⽤,产品类型及型号的更新⽐不上众多的Android平台终端,但iOS设备的出货量还是在不断递增的。
基于Darwin的iOS是⼀个相对封闭和安全的系统,运⾏在iOS上的应⽤程序遵循“沙箱”安全原则,每个应⽤程序不能访问其他应⽤程序的内存和⽂件,
且每个应⽤都有⾃⼰唯⼀的⽬录。另外,系统⽂件、资源以及内核都与⽤户应⽤程序相隔离,应⽤程
序的⽤户的⾝份都是Mobile,如果需要访问其他程序的数据,则必须通过iOS提供的API进⾏访问。iOS把所有敏感的API都进⾏了封装,以确保应⽤程序在调⽤敏感API时能让⽤户知道,通过开关、跳转界⾯、弹窗等⽅式让⽤户确认。iOS的沙箱机制有效地防范了传统的⼿机病毒、恶意软件。但是,iOS系统仍存在漏洞,不少⿊客对iOS的漏洞进⾏攻击,导致⽤户的个⼈信息可在不知情的情况下被盗窃,甚⾄可利⽤漏洞绕过密码保护,访问终端内的数据。就在前不久,知名iOS⿊客乔纳森·扎德尔斯基(JonathanZdziarski)在iOS中发现了多个未经披露的“后门”服务,通过这些后门,⿊客组织便可以绕过iOS的加密功能,窃取⽤户的敏感个⼈信息。举例来说,⼀款通过libpcap⽹络数据包捕获函数包捕获流⼊和流出iOS设备的HTTP数据名为的服务,该服务在所有iOS 设备上都是默认激活的,能被⽤来在⽤户不知情的情况下,通过WLAN⽹络监测⽤户的信息。
基地类小说以排除iOS设备“越狱”的情况来看,iOS的第三⽅应⽤程序只能通过苹果的软件商店进⾏下载安装,且这些应⽤软件要在苹果商店进⾏上架是需要通过苹
果公司的审核后才能允许该应⽤程序呈现给⽤户,iOS 相对Android的应⽤程序市场是有相应的机制进⾏保护的。Windows Phone 安全策略Windows Phone 是微软在2008 年针对移动智能终端推出的新的智能终端操作系统,但WindowsPhone经过短暂的辉煌后迅速被iOS和Android打压。在2012 年微软推全新操作系统内核的Windows Phone 8后,WindowsPhone 终端逐步增多,2014年7⽉的⽹络浏览数据表明WindowsPhone市场份额有所上升,Windows Phone 与Windows Phone 总共占据了整个市
场的%,⽽这个数字在⼀年以前还是%。因此,⼤致可以认为WindowsPhone的市场份额在⼀年内增长了⼀倍左右,且⽀持WindowsPhone的应⽤已超20万个,WindowsPhone终端市场在不断地扩⼤。与iOS平台类似,WindowsPhone的应⽤程序也运⾏在“沙箱”中,每个程序只能访问⾃⼰受保护的独⽴存储区域,各个程序之间相互独⽴,以严格的结构化⽅式与⼿机功能交互。微软推出后新增了⼀个“应⽤园地”选项,通过应⽤园地,可以指定哪些应⽤在专门的沙箱模式下显⽰,这⼀模式能够限制所使⽤的应⽤。这⼀功能适⽤于企业,在不需要完整的移动设备管理(MDM)解决⽅案的情况下,允许员⼯使⽤特定的应⽤。安全设计理
念包括⾼度安全的⾝份认证功能(如⽀持虚拟智能卡和PIN 码的MFA 认证技术)、深度防护的多层级多⽅⾯的结构化安全认证访问需求。和桌⾯系统(和WindowsServer2012R2)共享很多底层组件,尤其是那些和安全相关的部份,这样就能保证了系统能在部署企业环境时保持可预测、可靠性和共通性。与iOS平台类似,WindowsPhone的应⽤也只能在微软的应⽤商店下载安装,⽽微软对第三⽅应⽤程序有相关的审核机制,如需要开发者发布应⽤前须先执⾏认证过程,以验证其是否满⾜微软提出的所有策略和要求,只有符合要求后才能发布。
4 个⼈信息安全关键技术分析
随着技术的不断发展,移动终端集成了越来越多的新业务,部分新业务对信息安全有特殊的要求,部
分新业务可能为⽤户带来新的安全隐患。如集成定位业务的移动终端可随时获得⾃⾝的位置信息,⽽位置信息是个⼈⽤户的私密信息;如集成⽣物识别技术的移动终端可以对⽤户的个⼈信息记性保护,但是⽣物识别信息同样会缓存在终端设备上,因此具备定位业务的移动终端对信息安全性有特殊的要求。个⼈信息包括了⽤户的通讯录、通话记录、短/彩信、位置信息、⽣物识别信息、设备缓存信息(键盘输⼊数据、应⽤软
件缓存信息等)、本地⽂件(图⽚、⾳频、视频、⽂档)、终端信息(型号、IMEI、本机号码、安装的APP 信息)等。⽬前的
YD/T2407-2013《移动智能终端安全能⼒技术要求》和YD/T2408-2013《移动智能终端安全能⼒测试⽅法》标准中只是针对⼤部分的个⼈信息安全技术提出了要求,但仍有部分个⼈信息安全技术未提出要求。如⽬前已发现部分的应⽤软件存在搜集本机号码的⾏为,⽤户使⽤该应⽤程序后经常接到不同的骚扰电话,⽽电话内容就是与该应⽤程序相关的业务,这是因为该应⽤程序获取本机号码后将该号码进⾏贩卖给其业务相关的渠道;如iOS的⽤户在使⽤键盘输⼊英⽂字符和数字字符时,系统键盘会⾃动启动系统输⼊法⾃动更正提⽰,然后⽤户的输⼊记录会被缓存下来。导出该缓存⽂件可以发现所有的输⼊记录都是明⽂存储的,因为系统不会把所有的⽤户输⼊记录都当作密码等敏感信息来处理,这样可以通过该记录猜出⽤户常常输⼊字符中的⽤户名和密码。任何⼀款软件系统都不是绝对安全的,应根据不同风险做好相关防范的⼯作,关于个⼈信息安全技术可从以下⼏⽅⾯来实施:(1)控制应
⽤程序权限。在应⽤程序安装阶段,确认该应⽤程序仅使⽤必需的最⼩权限,也就是遵循最⼩权限原则,则受到恶意软件攻击的可能性必将⼤
⼤降低。对于有经验的⽤户这也许是⼀种选择,但对于⼴⼤的普通⽤户,不⼀定懂得如何验证应⽤程序要求的权限是否合理,在多数情况下⽤户会直接授予所要求的权限。因此,需要开发者在申请或设定权限时,严格遵循最⼩权限原则。(2)应⽤程序认证。认证是防范恶意程序最有效的⼿段之⼀。应⽤程序经过完整的测试以及相关的代码审查,确认其权限使⽤的合理性后即可得到权威机构的认证,这对恶意程序起到了有⼒的防范作⽤。(3)保证私有数据的可⽤性、隐密性、完好性。⽤户在使⽤私有数据时,应提供登录⽤户⼝令解锁移动智能终端的某些功能,以防⽌安全威胁;提供防⽕墙功能,保障⽤户私有数据不会通过⽹络连接被泄露。(4)提供数据加密功能。数据加密是保护隐私数据的最佳⼿段,由于只有信息所有者才有密钥,因此即使隐私数据失窃,个⼈信息的安全仍然得到保障。
5 个⼈信息安全技术的策略建议\
进⼀步提⾼移动智能终端操作系统的安全能⼒⽬前,根据进⽹的要求智能终端都有了⼀定的操作系统安全能⼒,但对于个⼈信息安全⽅⾯还不够细化和全⾯,应考虑在操作系统层⾯提出相应的个⼈信息安全增强⽅法,如要求操作系统增加对个⼈信息敏感
API的访问策略。⽬前的移动终端信息安全标准针对个⼈信息安全的⽅⾯还不够全⾯,应考虑新增个学生早餐吃什么好>罗茜 汉丁顿 惠特莉
⼈信息安全技术相关的标准,并考虑从终端设备进⽹管理的要求进⾏监管智能终端上的个⼈信息安全能⼒,保证移动智能终端上的个⼈信息得到有效保护。实⾏应⽤程序商店的监管机制根据不准确的数字,⽬前国内的Android应⽤程序商店已经有⼏⼗家,其中包括⼿机⼚商、Android社区、Android 终端管理软件、Rom 开发者,他们都推出⾃⼰的应⽤商店。在众多第三⽅应⽤程序商店内,应⽤商店的审核机制尚不完善或应⽤程序审核制度都存在或⼤或⼩的漏洞,这些机制的不完善和漏洞给恶意应⽤软件提供了传播的温床。应⽤程序商店作为⼀个应⽤程序传播的主要载体,建议应对应⽤程序商店进⾏监管,制定⾏业内的移动应⽤商店检测要求,并对应⽤程序商店的相关审核机制进⾏检测。并进⾏联动管理,对于已发现的恶意软件进⾏统⼀下架。建⽴完善的应⽤程序签名认证机制Andorid、iOS、Windows Phone 平台的应⽤程序都有签名认证机制,但是Android平台不⽀持权威认证机构的认证,因此不会对应⽤程序证书的有效性进⾏验证,开发者可以使⽤任何证书对应⽤程序进⾏签名认证,这样⽤户在安装时⽆法得知该应⽤程序是否来⾃
官⽅,当应⽤程序出现恶意⾏为时⽆法追溯到应⽤程序开发商甚⾄开发者。所以,应建⽴完善应⽤程序认证机制,并通过技术⼿段让Android平台的应⽤程序⽀持权威认证机构的认证,对应⽤软件信息内容、漏洞、恶意代码和应⽤开发者资质等进⾏严格的评估。检测机构依据相关技术标准对应⽤软件进⾏检测、审核,并将通过审核的软件进⾏数字签名,放到可信⽹站上,以供终端⽤户查询使⽤。⽤户可通过官⽅提供的在线⼯具,开展数字签名校验,鉴定所下载的软件是否为可信软件,从⽽给予⽤户
鉴别软件可信度的能⼒。进⼀步提⾼⽤户的⾃我管理⽔平应继续加强⽤户信息安全意识的宣传,普及智能终端的信息安全常识,如避免安装来源不明的软件、只到正规的应⽤程序商店下载安装、只安装通过认证的应⽤程序、避免连接不明的⽹络以及不明的终端设备、只连接可信的主机或其他终端设备、设置⽤户⼝令、加密隐私数据、安装防病毒软件等,从⽽实现智能终端的个⼈信息安全。
本⽂从⽹络收集⽽来,上传到平台为了帮到更多的⼈,如果您需要使⽤本⽂档,请点击下载按钮下载本⽂档(有偿下载),另外祝您⽣活愉快,⼯作顺利,万事如意!
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论