網絡安全團會總結精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全團會總結主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全團會總結范文
【關鍵詞】信息安全威脅 智能終端安全 接入網安全 終端業務安全 移動支付 移動廣告安全 BYOD
[Abstract] Developmental status of mobile Internet and its security threat were summarized. Security development trend of mobile Internet was analyzed and corresponding proposals to guarantee information security of mobile Internet were presented.
[Key words]information security threat smart terminal security access network security terminal service security mobile payment mobile advertisement security Bring Your Own Device
1 引言
近年來,隨著移動智能終端迅速普及和移動應用的多樣性變化,極大地促進了我國移動互聯網的發展。截至2014年12月,中國移動互聯網用戶數量已達5.57億,中國網民中使用移動智能終端作為主要上網設備的人數占比已超過85%,通過移動終端接入互聯網的比例繼續增高。移動互聯網是移動通信和互聯網融合的產物,隨著移動通信、智能終端操作系統、終端芯片等技術的進步,移動互聯網在滿足用戶基本通信和信息獲取需求的同時,正在向移動支付、金融、社交、交通、醫療等領域擴展,促進了移動應用的多樣化發展。2014年,Google Play應用商店和iOS應用商店中應用總量分別達到143萬款和121萬款。移動互聯網不斷拓展出創新應用與服務,改變了傳統的互聯網格局和發展模式,也改變了傳統行業的業務模式,改變了人們的生活和工作方式,給市場帶來持續的增長。
隨著移動互聯網的飛速發展,網絡與信息安全問題日益凸顯,移動智能終端安全事件層出不窮,移動惡意應用肆意泛濫,個人隱私竊取、資費消耗等安全問題時有發生,嚴重影響移動互聯網的健康發展。因而需要進一步規范移動互聯網的發展,加強對移動互聯網的治理。
2 移動互聯網的安全問題
伴隨著移動互聯網用戶的快速增長、智能終端和移動應用更加豐富和多樣化,移動互聯網安全問題將更加突出,安全形勢更為嚴峻。移動互聯網作為移動智能終端、互聯網和移動通信融合的產物,不可避免地繼承了傳統互聯網和移動通信網的脆弱性;移動互聯網由于智能終端和移動應用的多樣性,移動用戶訪問網絡的模式和使用習慣與傳統網絡時代有很大差別,移動互聯網所面臨的安全問題不是傳統互聯網和移動通信網安全問題的簡單疊加。移動互聯網面臨的安全問題可以從智能終端、接入網和應用及業務等方面進行分析。
2.1 智能終端安全問題
隨著移動通信、智能終端操作系統、集成電路等領域技術的快速進步,智能終端的通信、計算、存儲等能力迅速得到提升,對于人們來說智能終端已不再局限于通信和娛樂,已經廣泛應用于人們工作和生活的各個領域,如辦公、金融、支付、社交等,逐漸成為網絡邊界。同時,智能終端存儲了大量的個人隱私和敏感信息,很容易成為攻擊對象,出現比傳統計算機更嚴峻的安全問題,損害用戶權益,甚至威脅國家安全。智能終端面臨的安全問題主要有以下3類。
(1)終端漏洞威脅。智能終端的操作系統、應用軟件、固件等都有可能存在漏洞,惡意攻擊者可以利用這些漏洞對終端進行攻擊。終端操作系統,特別是市場占有率超過70%的安卓系統,呈現出顯著的碎片化現象。終端操作系統的與更新往往是由各個終端廠商獨立完成的,每個終端廠商都會根據自己的軟硬件設計,對原生的安卓操作系統進行或多或少的定制化開發。因此,即便是安卓系統的原始開發者Google公司,也無法掌控所有終端系統的漏洞修復與版本更新,這就使得終端操作系統的安全性面臨更加復雜的挑戰。終端漏洞會降低智能終端的安全性,導致嚴重的安全問題,如經濟損失、隱私泄露等。
(2)惡意應用威脅。木馬病毒等惡意軟件是計算機時代的主要安全威脅,隨著移動互聯網的發展和智能終端的普及,惡意應用威脅也開始向移動互聯網領域發展。惡意應用帶來的安全問題主要包括惡意扣費、隱私竊取、遠程控制、惡意傳播、資源消耗、系統破壞、誘騙詐取和流氓行為等。2014年Android平臺新增的惡意程序中,資費消耗類占比高達74.3%,給用戶造成了嚴重的經濟損失;其次為隱私竊取,隱私竊取雖然不直接構成經濟損失,但它會給用戶的手機埋下安全隱患,一旦危機爆發,危害程度更高。
(3)惡意騷擾威脅,如詐騙、垃圾短信和郵件等。詐騙和垃圾短信已成為移動互聯網中的一大問題,相比于傳統互聯網的詐騙和垃圾信息,移動號碼的唯一性將導致詐騙和垃圾信息的傳播更準確、更便捷,也更具欺騙性。
2.2 接入網安全問題
隨著移動互聯網的發展,其網絡邊界也越來越模糊,傳統互聯網的安全域劃分、等級保護等安全機制在移動互聯網中不再完全適用,移動互聯網的網絡側面臨新的安全威脅。移動互聯網增加了無線接入和大量移動智能終端設備,網絡攻擊者可以通過破解空中接入協議非法訪問網絡,對空中接口傳遞的信息進行監聽和竊取。另外,移動互聯網中IP化的電信設備、信令和協議存在各種可能被利用的軟硬件漏洞,攻擊者可以利用這些漏洞對移動互聯網進行攻擊。并且,由于IP協議的開放性和移動智能終端的移動性,使得偽造和隱藏網絡地址相對容易,這給實時定位和溯源網絡攻擊變得相對困難。作為移動互聯網主要管道的LTE網絡,其本身也存在著尚未解決的安全問題,如用戶隱私泄露、特殊場景下安全機制考慮不足等。
2.3 業務安全問題
移動互聯網承載的業務多種多樣,不再只是傳統的語音、短信服務;同時又引入了更多的業務平臺,網絡結構更加復雜,端到端的業務安全防護難度加大,業務系統被非法訪問、隱私數據和敏感信息遭泄露、垃圾和不良信息傳播等安全風險更高。另外,移動辦公、金融支付等業務對安全有著更高的要求,目前雖然發展迅速但還沒有統一的業務安全標準和體系。移動互聯網業務常見的威脅主要有非法數據訪問、非法業務訪問、業務盜用濫用、隱私敏感信息泄露、SQL注入、拒絕服務攻擊、垃圾和不良信息傳播等。
另一方面,移動互聯網出現了越來越多的與云計算結合的業務,隨著云服務的推廣,大量的用戶個人信息、企業業務數據將在云計算平臺上集中存儲和管理,云計算服務存在公共租賃、虛擬化等特性,將給移動互聯網帶來新的安全問題,如用戶和企業數據泄露等。同時,云服務平臺上用戶和企業數據的使用缺乏監管,這些數據有可能在用戶和企業不知情的情況下被非法使用。
3 移動互聯網安全發展趨勢
移動互聯網安全是一個復雜的系統性問題,涉及終端設備、移動網絡和業務應用等各個方面,當前移動互聯網安全出現一些新的趨勢,惡意應用、移動支付、移動廣告、BYOD安全風險持續增長。
3.1 惡意應用持續增長并向底層滲透
據CNCERT的數據顯示,2014年我國智能終端惡意應用持續增長,惡意樣本已從2011年的6 000余例發展到95萬例,其中安卓系統上的惡意應用占據主流。其中惡意吸費應用增長尤其迅猛,其采用惡意應用傳播與人工詐騙相結合的方式,形成了完整的黑色利益鏈條,給智能終端用戶帶來了嚴重的經濟損失。據智能終端安全廠商統計,2014年被感染惡意程序的Android用戶累計達3.19億人次,較2012年和2013年分別增長了5.17倍和2.17倍。根據移動互聯網惡意代碼描述規范,智能終端惡意應用主要分為8類,包括惡意扣費、隱私竊取、遠程控制、惡意傳播、資源消耗、系統破壞、誘騙詐取和流氓行為。
此外,惡意應用正加速向Linux內核驅動層滲透,并不斷增加破解難度。一是惡意代碼在自我保護和加密技術上有了新的突破;各類加固技術的推出,在保護部分應用開發者利益的同時也被用作躲避病毒查殺的方案。二是代碼混淆技術進一步發展,代碼亂序、字符串處理使得無法對惡意應用進行逆向分析。三是惡意代碼加固方式越來越深入系統底層,出現了Java和so注入、動態庫加殼、動態加載dex和內存加載dex等方式。隨著互聯網的發展,黑客視線正逐漸由傳統互聯網轉移至移動互聯網,惡意應用也逐步向Linux內核驅動層滲透,惡意應用攻擊和感染的方式不斷增加,使移動互聯網面臨更嚴峻的安全挑戰。
3.2 移動支付風險持續增長
中國互聯網網絡信息中心(CNNIC)的數據顯示,截至2014年12月底,中國網民規模達6.49億,其中手機網民規模達5.57億,同比增長11.4%,占總網民數的85.8%。手機支付用戶規模達到2.17億,同比增長了73.2%,占手機網民總量的39%。可見,手機支付用戶的增長速度遠遠高于網民總規模的增長速度和手機網民規模的增長速度。移動支付的時代已經到來,移動支付是互聯網競爭的下一個主戰場。據數據統計結果顯示,截至2014年12月,有支付風險的用戶占比超過20%。繼銀行卡支付,PC端網上支付之后,中國消費者已經快速進入了移動支付時代。不過,由于智能終端系統的某些安全問題,移動支付安全一直受到智能終端安全漏洞和各類惡意應用的威脅。此外,無論智能終端還是傳統PC端網上支付的重要驗證途徑和消費通知途徑也是各類詐騙短信攻擊的目標。因此,盡管目前所有的移動支付產品都非常重視支付的安全性,但移動支付的安全性問題仍然存在很多隱患。移動支付的風險主要來自支付類惡意應用、不明Wi-Fi網絡環境、支付應用本身漏洞、驗證短信不安全等方面。
3.3 移動廣告安全風險初現
隨著智能終端的迅速普及,以移動互聯網為載體的移動廣告迎來了迅猛發展,根據艾媒咨詢《2014―2015年中國移動廣告平臺行業觀察報告》的數據顯示,2014年中國移動廣告平臺市場整體規模為275.6億元,同比增長137.38%,2015年將達到564.9億元。面對移動廣告市場的迅速發展,移動廣告數量也呈現出暴增趨勢。根據AVL移動安全團隊統計,2014年廣告件數量達到500多萬個,較2011年增長了250倍左右。移動廣告市場的快速增長導致國內涌現出上百家移動廣告平臺,通過在移動應用中集成廣告插件,收取廣告主的展示費來盈利。這些廣告平臺大小不一,良莠不齊,提供的廣告插件沒有統一的行業標準,并且缺乏行業監管,給移動互聯網安全帶來了一定的風險和隱患。移動廣告存在的安全風險主要有廣告插件存在惡意代碼或漏洞,自動下載惡意應用軟件、收集用戶隱私敏感信息、傳播垃圾和不良信息等。
3.4 BYOD帶來安全隱患
BYOD(Bring Your Own Device)指攜帶自己的設備辦公,這些設備包括個人電腦、手機、平板電腦等(而更多的情況指手機或平板電腦這樣的移動智能終端設備)。BYOD允許員工使用自己的設備進行辦公,該模式可以為企業節約辦公成本、提高辦公效率。同時,BYOD 的應用也給大多數企業帶來新的挑戰,個人應用和企業應用并存使得企業數據存在非授權訪問和泄露的風險。用戶在企業外部網絡使用移動終端可能會被惡意程序感染,并且在接入企業內部網絡時迅速傳播同時進行數據竊取或者網絡破壞,嚴重時甚至導致網絡癱瘓。此外,用戶在安裝非企業內部應用時也可能因內嵌惡意程序給企業網絡帶來潛伏式的攻擊,如惡意程序刻意搜集企業內部信息,當用戶利用BYOD設備進入外部網絡時,將可能造成企業內部數據泄漏。
4 移動互聯網安全對策
針對移動互聯網面臨的新的安全挑戰,有必要采取積極有效地應對措施。
一是完善移動互聯網相關的法律法規和標準,加強移動互聯網的安全管理和日常監督監測,落實安全責任。目前,我國還沒有專門針對移動互聯網信息安全的法律法規明確界定移動互聯網各方的職責范圍、責任主體。同時移動互聯網業務涉及領域眾多,存在多個部門對移動互聯網進行監管及職責交叉等問題。因此,需要制定針對移動互聯網的法律法規,在法律層面界定移動互聯網使用者、接入服務商、業務提供商、監管者的權利和義務,加強應用商店、終端廠商的安全管理和日常監督監測,落實安全責任。另外,由于多部門分頭管理移動互聯網,在移動互聯網惡意行為判定、隱私竊取、業務安全等方面存在標準不統一或是缺乏相應的安全標準的問題。為此,需要針對移動互聯網面對的新的安全問題,特別是移動支付、移動廣告、BYOD等新的業務,分析安全需求,制定相應的國家和行業標準規范,為移動互聯網的安全檢測、監督提供統一科學的規范依據。
二是推廣權威第三方移動應用簽名認證,確保應用開發者、渠道和檢測機構可溯源。建立移動應用數字簽名與認證機制是實現應用軟件可追溯體系和移動互聯網可信應用環境的重要技術手段。移動應用軟件開發者使用第三方認證證書進行開發者簽名,確保應用來源的可追溯;移動應用軟件檢測機構對應用軟件進行安全檢測,檢測合格后進行檢測機構簽名,確保檢測結果的可信性;移動應用商店對上架應用軟件進行渠道簽名,確保應用下載渠道可追溯;移動智能終端通過操作系統內置應用簽名驗簽軟件對即將要安裝的應用軟件簽名情況進行驗證,并將識別到的開發者信息、安全檢測情況、流通渠道等信息真實地呈現給用戶,為用戶下載、安裝安全可信應用軟件提供指引。
三是加強對移動互聯網安全新技術和產品服務的研究和投入。針對移動互聯網新的安全挑戰,有必要采取積極有效地應對措施,研究新的安全威脅的解決方案,如支持研發針對采用加固技術的惡意代碼的檢測方法、移動支付和移動廣告安全解決方案、BYOD安全管理系統解決方案等,并將解決方案轉化為相應的標準,提高整個行業信息安全水平。支持建立移動互聯網安全漏洞庫,通過建立移動互聯網漏洞收集、分析、通報和面向應用的工作機制,開始為政府部門、產業界及社會提供移動互聯網信息安全漏洞分析和風險評估服務,以提高移動互聯網安全防護能力。
5 結束語
隨著移動互聯網的快速發展,移動惡意應用也變得復雜多變,其檢測也變得越來越困難;同時,移動支付和移動廣告的安全風險持續增長,BYOD發展也給移動互聯網帶來新的安全問題。針對新的安全挑戰,有必要采取積極有效地應對措施。為保障移動互聯網安全,需要制訂完善的與移動互聯網安全相關的法律法規和標準,建立移動應用數字簽名與認證機制,加強對移動互聯網安全新技術和產品服務的研究和投入等。同時,加強移動互聯網產業各方的協作,建立科學合理的移動互聯網安全防護機制,確保移動互聯網安全有序的發展。
參考文獻:
[1] 中國互聯網信息中心. 第35次中國互聯網絡發展狀況統計報告[Z]. 2015.
[2] 中國互聯網信息中心. 第34次中國互聯網絡發展狀況統計報告[Z]. 2014.
[3] 國家互聯網應急中心. 2014年中國互聯網網絡安全報告[Z]. 2015.
[4] 國家互聯網應急中心. 2013年中國互聯網網絡安全報告[Z]. 2014.
[5] 國家互聯網應急中心. 2012年中國互聯網網絡安全報告[Z]. 2013.
[6] 國家互聯網應急中心. 2011年中國互聯網網絡安全報告[Z]. 2012.
[7] 艾媒咨詢. 2014―2015年中國移動廣告行業研究報告[Z]. 2015.
[8] 潘娟,袁廣翔. 移動智能終端安全威脅及應對措施[J]. 移動通信, 2015,39(5): 21-25.
