对移动业务安全防范技术研究与开发的探讨

杜林明 迟云强 金涛

一、引言

在移动网络信息化时代背景下，人们的互联网行为习惯发生了重大改变，手机已经成为最主要的网络登录设备，同时，在IOS与安卓系统的基础上，一批又一批的应用产品被开发出来，使人们的日常生活与移动网络间的距离进一步缩小。与此同时，网络安全问题也接踵而至，对移动业务安全构成了严重威胁，虽然各大运营商已经对此采取了杀毒、防火墙、IDS等方式进行抵御，但是仍然存在各种漏洞，需要研制和开发出新一代防范技术，保障移动网络安全。

二、移动业务安全隐患分析

（一）网络开放性带来信息隐患

移动网络的开放性在为人们提供便捷服务的同时，也带来了较大的信息隐患。在无线网络传输过程中，借助协议认证、信令、私钥等方式，便能够使攻击者获取到数据包，通过对数据包的分析便获得了其中的信息，然后对内容进行删除或者篡改后，继续传输下去。另外，攻击者还可以利用物理手段截取通话信息，甚至通过远程操作删除用户信息，使用户业务无法顺利开展。如若攻击者能够掌握加密算法，便能够通过用户设置的网络认证，对其手机SIM卡中的内容进行非法复制与窃取。

（二）核心网络IP化降低信息安全度

现阶段，VoIP语言业务在移动通信中得到了广泛应用，从安全角度来看，安全通信服务水平不足，无法实现对通话来源的有效跟踪与控制。例如，在VoIP应用过程中，通信将会以多样化的方式与网络中心、数据库等频繁连接，由此导致许多威胁因素被引入到网络当中，使传统IP网络安全受到较大威胁，如针对移动业务系统的CC攻击、Synflood攻击等等。随着TCP/IP协议技术的不断更新，攻击者可以通过网络通信对数据包进行拦截，任由其改造后转发，对用户接收到信息的安全性受到影响。在我国目前主干网络中，主要采用国外生产的IP路由设备，但是这些设备也并非完美无缺，或多或少的存在一些Bug，依然无法使网络安全问题得到彻底解决。

（三）业务类型多样，泄密渠道增加

在移动4G/5G网络运行背景下，各种应用程序的数量也在逐渐增加，极大的丰富了网络业务种类，如微信、彩信、语音短信等等。但是多样化的业务类型也导致泄密渠道增加，一旦在信息传递过程中发生信息泄露，则用户信息将在较短的时间以其他方式被传播出去，为用户带来重大损失。这将要求移动通信运营商在保障服务时效性的基础上，还应加强对用户身份的验证，做到可信、可控。然而，要想让通信运营商对每个用户身份、会话等进行严格控制几乎不太可能，目前现有技术还难以实现用户权限的分离。

（四）定位服务泄漏个人隐私

随着移动通信技术的不断发展，管理功能也在不断的丰富，推出了业务切换、定位跟新等功能，需要对用户的位置进行实时跟踪。目前，用户定位功能能够使用户获取到的信息变得更加精确，达到2m以内。然而这一功能也为用户带来较大的安全隐患。攻击者采用非法手段对用户手机中的隐私进行获取后，便能够对用户进行实时跟踪，对用户的人身安全构成极大威胁。

三、移动业务安全防范技术开发

（一）开发目标

随着智能手机逐渐普及，由于在操作、防范等方面存在不科学操作，为网络攻击者的入侵提供可乘之机，对移动业务安全防范技术的开发成为大势所趋，开发的主要目标有两个，一是实现企业对移动设备的统一管理；将移动终端的状态数据以动态的方式展现出来，远程监控终端信息；对系统管理中的全部移动终端进行集中管理，包括密码复杂度、自动锁定、清空密码等；一旦移动终端丢失以后，能够远程删除应用、设备锁定、清空设备等等。二是提高移动设备安全性，能够防止越狱、远程修复系统安全漏洞；对用户登录进行权限控制，当不同用户在相同设备上登录时，不能对其他用户的文件进行读取；在使用杀毒软件之前，先对当前环境安全性进行检测，一旦出现异常，则立即提示用户，避免设备受到恶意软件的攻击。

（二）开发手段

1.终端接入方式

主要采用WIFI接入、运营商网络接入两种方式，为了提高终端接入安全性，需要通过强认证的方式，对用户授权接入访问，利用WIFI开启身份认证；采用公网接入时，利用数字证书对用户身份进行认证。同时，还可以采用链路加密方式，对移动终端接入进行审计，设立操作日志，并将内容传输到远程服务端中，开展集中审计，指定一台设备专门用于审计工作，进一步保障终端接入安全，还能够为事后追踪提供便利。

移动终端接入网络认证的流程为：首先，用户通过AD域账号与WLAN连接，分配到隔离VLAN中；然后，对访问文件服务器的Sep插件进行修复，通过JUNOS PULSE软件进行认证，如若认证成功，则SSL VPN将用户名与密码转送到IC设备中，完成用户认证；最后，终端用户将会获取到一个新的IP地址，SA对终端地质进行检查，看其是否属于授权用户，如若“是”，则能够正常上网。

2.移动终端管理

企业通过构建移动终端管理体系的方式，实现对移动办公设备的统一管理，能够充分实现终端资产跟踪、数据备份、下达策略等管理功能。从终端管理生命周期来看，分为预配阶段、使用阶段与停用阶段三个方面；在终端管理方面分为终端设备管理与终端安全管理，下面将分别针对三个阶段的安全管理进行分析：

終端设备管理：在预配阶段的管理内容主要包括划分成员、制定策略、设备配置与连接、初始化应用等；在使用阶段的管理主要是对资产数据进行跟踪、更新文件信息与设备配置、计划活动、远程控制设备等；在停用阶段的管理工作中，包括用户设备更换、软件重新部署、转变设备用途、设备丢失后进行数据复原等等；

终端安全管理：在预配阶段的安全方面，构建移动业务安全策略、远程发布与保护数据、对终端密码的强制管理等等；在使用阶段，对设备中的数据信息进行备份，安装补丁、强化安全策略与用户身份认证、日志审计、跟踪与监视违法行为、杜绝一切威胁网络安全的因素等；在停用阶段，安全管理包括数据删除、远程关机与上锁、禁止设备、网络、应用等功能的使用等等。

3.本地数据安全

通过设备安全管理系统来保障本地数据安全，采用移动终端杀毒软件对病毒进行扫描与查杀，及时更新和优化病毒库，高效查杀各类木马病毒，保护用户的个人隐私与人身安全。采用IOS、Android平台对漏洞与病毒进行扫描，严格把控终端安全风险。通过垃圾信息过滤功能，可以对彩信、短信、电话等设置黑（白）名单，使垃圾短信、骚扰电话被隔离掉；终端防盗功能可以在设备丢失后，自动隐藏个人隐私数据，并且锁定、报警，还可以远程取回、销毁、定位、强制关机等；备份功能支持一键备份，将设备中的相关数据、短信、照片、通讯录等均加密后传送到服务器当中。

四、结论

综上所述，随着智能手机逐渐普及，由于在操作、防范等方面存在不科学操作，为网络攻击者的入侵提供可乘之机，对移动业务安全构成较大威胁。对此，应积极开发和研制出完整的体系，并且在商用过程中取得良好的反馈。在4G/5G时代背景下，移动网络的构建应加大对安全方面的重视程度，确保传输端、用户端、应用端能够形成安全的防控体系，从而提高新一代网络安全防护水平。