|
|
移動互聯網與互聯網的核心安全問題異同
移動互聯網的安全問題首先要考慮互聯網環境的安全問題,分析互聯網的問題產生的根源,考慮移動互聯網的特殊性,從源頭設計移動互聯網的安全模式,提出合理的解決方案,互聯網的安全問題可以分為個人計算機的安全問題,網絡傳輸的安全問題,業務系統的安全問題,目前互聯網安全解決的最好的是網絡傳輸問題,通過防火墻、VPN等網絡安全解決方案,可以解決網絡傳輸的機密性,完整性問題,SSL協議作為Http協議的安全補充,是一種客戶端到業務系統的端到端的安全解決方案,基本解決了互聯網服務的釣魚攻擊。
其次是業務系統的安全得到比較有效的預防和有限的解決,通過服務器加固、業務系統安全框架實現、入侵檢測等機制保障業務系統的安全。
目前受到最多關注也是最多質疑的是個人計算的安全問題。個人計算機安全首先是面對復雜的運行環境,不同的接入方式,不同的網絡環境,以及不同的業務運行場景,個人計算機用戶顯然大多不具備專業的信息安全處理能力,因此,個人計算機安全問題暴露最多而且缺少行之有效的專業處理。個人計算機的核心安全問題是病毒、木馬、惡意軟件的入侵,病毒對個人計算機的計算能力和業務執行、業務數據造成不可逆轉的損失和破壞,而木馬和惡意軟件在破壞的同時,往往對用戶的隱私、財產等進行有目的的侵犯和占有,造成個人計算機用戶的損失。
個人計算機安全問題產生的根源在于缺乏行之有效的機制保障個人計算機技術實現環境的完整性以及安全性。缺少對軟件的審核、校驗機制,缺少對軟件能力的控制和管理機制,缺少對用戶有效的安全的識別和認證機制。
這些機制的缺失的歷史原因和個人計算機初期的環境有關,也和系統實現的安全機制有關,個人計算機早期的聯網需求較低,重心在于保障技術實現環境的交互與用戶體驗的提升,Windows的使用環境最初是作為單機系統設計的,缺少對網絡環境下的安全防護需求,忽略了技術實現環境的安全保障機制的建立,在從個人計算時代過渡到互聯網時代的過程中,技術實現環境的安全性設計遠遠落后于互聯網的發展速度。因此也就未形成相關安全機制。而作為網絡基礎的服務端操作系統的技術實現環境,linux、Unix均具有強有力的安全機制,所以,linux、unix體系在個人計算機上的移植一定程度上避免了windows系統存在的問題,但由于其交互設計與用戶體驗的差距,遠遠沒有達到流行的windows系統的規模。
流行的個人計算機操作系統windows安全體系設計的缺失,促生了一個個人計算機安全的龐大產業,殺毒軟件,個人防火墻,安全套件等,發展迅猛,在個人計算機安全問題越來越突出的情況下,微軟加大了的安全機制的建設,并推出了免費的安全套件,競爭格局的變更,促使以治理為主的單一安全廠商,逐漸過渡到提供完整安全套件的統一個人計算機安全解決方案提供商,不過被動治理的安全思路,顯然不能適應互聯網環境的發展,建立以預防為主的機制顯然是未來的個人計算機安全發展方向。
移動互聯網的安全問題同樣存在移動終端的安全問題,網絡傳輸的安全問題以及業務的安全問題,業務安全層面由于移動互聯網業務和互聯網業務的差別的重點在于業務的展現而不是安全。移動互聯網的網絡安全問題在互聯網安全問題的基礎上,還需要考慮無線通訊通道的安全。因此,建立移動終端到業務系統的端到端安全,實現網絡全程的機密性和完整性,比互聯網有更迫切的要求。
移動互聯網最為關注的同樣是移動終端的安全問題,借鑒個人計算機安全問題的豐富經驗,面對終端技術實現環境的復雜性,分析移動終端的安全需求,以預防為主的原則出發,才能提出合理的移動互聯網安全解決方案。
移動互聯網安全問題全面解決之道
移動互聯網需要保護的首先是移動用戶的利益,防止移動用戶的隱私、財產被侵犯和占有,防止移動終端技術實現環境的損失和破壞。其次,移動互聯網需要保障業務提供商的利益,防止業務提供商的內容和應用被非法使用,同時,移動互聯網需要保障移動運營商的利益,防止運營商能力被濫用和非法使用。從三者的利益出發,通過分析可以得出的結論是需要打造移動終端的可信交易環境,實現完整的移動終端安全解決方案。
實現三者利益的保障,首先是要能夠對用戶的身份和設備的身份實現認證,只有避免用戶身份和設備身份的盜用,識別到用戶和設備的真實身份才能行之有效的保護用戶和業務提供商的利益。身份識別和認證是一項說起來簡單實現起來復雜的技術實現,用戶識別最基本的方式是用戶名、密碼方式,但這種方式的兩個根本問題是,一是安全系數低,單因子認證,一是不同系統統一用戶名密碼造成的用戶信息泄露,缺少單點認證的共享安全機制。設備識別的最基本方式是硬件標識信息的識別,移動終端可以通過標識設備的IMSI或標識移動運營商識別的IMEI號進行識別,當然,單純的標識識別缺少技術認證機制,存在被假冒的風險。因此,移動終端最佳的用戶和設備識別機制是基于PKI技術的數字證書和數字簽名,數字證書通過第三方驗證方式驗證用戶身份后頒發基于非對稱算法的數字證書,用戶和設備的身份具備第三方認可依據,數字簽名可以在技術上實現對用戶設備的驗證和鑒別,從而,符合法律和技術的身份認證服務標準。
來源:千家安防網 |
|
