根据工信部最新监测情况,截至10月底,针对移动互联网的恶意程序种类已经达到4500种,同比去年全年的1500种,不到一年时间已增长了200%。据分析,这一增长速度未来两年还将持续加快。
就移动互联网安全问题而言,目前阶段正出现一些重要趋势:已将移动互联网视为攫取经济利益重要目标的黑客地下产业链正迅速形成更细的专业化分工,攻击力量日趋强大;而作为其主要窃取内容的信息,也正成为目前移动互联网安全问题中的关键部分。
非法市场为攻击行为做大量投资
赛门铁克的Art Gilliland向本刊记者指出,由于目前针对移动互联网的攻击日益以经济利益为主要目标,在利益的驱动下,形成了一个整体的非法市场来组织黑客及其行动。针对移动互联网应用或者利用移动互联网进行的恶意攻击,已经可以细化分解为多个环节和步骤,每一步骤有专门的黑客进行,而每一环节都设法谋取钱财。
目前国内情况与全球情况一致,工信部通信保障局人士向记者表示,在整个互联网已经形成了非常成熟的黑客地下产业链,从病毒制作、传播、发起攻击到最后经济资金走帐有一套产业链。
以一次典型的攻击为例,从最早的对潜在攻击目标进行调研和前期侦查,发起攻击侵入目标系统,在目标系统中定位到自己所寻找的具体目标信息,控制住这些信息,到最后偷走或损毁这些信息,每一步或许都是由不同的黑客进行,且这些黑客会标价将其成果销售给下一步骤或下一环节的执行者。
值得一提的是,由于非法市场的存在,目前有大量专门资金投入到这些攻击行为上,不仅培训攻击者,还补充了大量更具威胁的攻击工具包,使得每一环节的攻击者更加专业高效,攻击力更强。
信息安全威胁加大
移动互联网业目前的特性却越来越凸显出这些安全问题治理的难度。
全国信息安全标准化技术委员会杨建军博士认为,本身移动互联网增加了无线空口接入,并将大量移动终端引入IP网,使互联网产生了新的安全威胁,网络攻击、失窃密等问题更为突出,如通过破解空口接入协议非法访问网络,对空口传递信息进行监听和盗取等。此外,移动上网日志留存信息的缺失,使得访问移动互联网的行为无法精确溯源,给黑客提供了可乘之机。
然而,目前移动互联网终端有限的存储计算能力和无线宽带网有限的空口资源,使得移动互联网安全防护措施的有效性和可扩展性大大降低。同时,我国整体的移动互联网终端技术研发水平和移动互联网业务发展水平与国际差距较大,自主可控性不强。
移动互联网的最大安全威胁正越来越集中于信息领域。
从应用发展趋势来看,移动支付、位置服务、移动搜索等与个人信息密切绑定的应用正在成为移动互联网领域最重要的一批“杀手级”业务,而这些应用往往 为用户提供数据同步上传及位置定位等功能。这不仅给用户的个人信息和财物安全带来了潜在风险,也对国家的信息安全监管造成极大威胁。而现有传统互联网的监 管技术手段难以覆盖移动互联网,缺乏针对移动互联网的有效管控平台,管理的难度和复杂性前所未有。
应重视专用标准制定
目前从监管部门到企业,不仅在研发移动互联网安全技术手段,也在同时制定相应标准。标准制定对于移动互联网安全领域发展非常关键,不过,由目前的情况来看,各方蜂拥而上的行为,使得标准制定也出现不少矛盾和混乱之处。
前述工信部通信保障局人士向记者表示,目前由不同主体发起制定之中的许多标准,存在一些重复或冲突之处;同时,移动互联网安全领域目前基础标准较多而专用标准较少,应该更加重视管理标准和关键技术标准的制定。
在杨建军看来,“一个良好的安全管理过程,一定会有一个好的结果”。移动互联网相关的监管和制度需要有具体的标准作支撑,如对运营商的管理、对服务提供商的管理、对信息内容的管理等都需要有相应的标准作支撑。
同时,杨建军认为各方应该充分了解目前已有的移动互联网相关标准和安全需求,构建移动互联网信息安全技术标准体系;并针对移动互联网各层的安全需求,重点研制移动互联网中终端软件安全技术指标、移动终端安全接入规范、访问控制规范等有关关键技术的标准规范。
据了解,目前全国信息安全标准化技术委员会已经将信息安全管理与服务标准、网络可信身份管理、无线网络、移动通信网络等安全标准等作为标委会的工作 重点;今年还提出了移动智能终端、移动签名、个人信息保护、网络电子身份、网站可信、近场通信等和移动互联网信息安全相关的专用针对性标准项目。