移动互联网时代手机信息安全策略

    黄赛

    摘要：文章聚焦于移动互联网手代智能手机安全问题，从通信网络选择策略、手机终端选择策略、手机使用安全策略、社会信息安全环境营造四个纬度对智能手机安全策略进行全方位的分析、介绍，力求让普通读者全面了解掌握智能手机安全问题，并应用于现实生活学习中，从而使大家的智能手机更安全、使用更放心。

    关键词：移动互联网；手机；安全

    随着移动互联网技术的发展，手机的功能越来越强大，上网、买东西，支付，一台移动互联网手机都可以完成。在2013年斯诺登曙光的美国棱镜门、9月上海出现首例伪机站案例导致GSM手机大面积通信中断；2014年好莱坞艳照门事件等事件，苹果被曝留有手机侧“后门”之后，手机的信息安全问题逐渐走进了公众视线。而中国互联网络信息中心在2015年2月份发布的《第35次中国互联网络发展状况统计报告》中的几组数据，“2014年底，我国手机网民规模达5.57亿，网民中使用手机上网的人群占比高达85.8%，手机中病毒或木马、账号或密码被盗在安全事件中的占比例已高达25.9%”，充分说明针对移动互联网手机的窃听、监控、病毒等事件层出不穷，移动互联网手机已经成为了窃听、监控以及病毒入侵、传播的重要入口。相关报道显示，2014年被手机病毒感染的用户超过1亿户，因为手机信息泄露造成的直接经济损失已达到100亿元，移动互联网手机的信息安全问题越来越引起政府、企业和广大消费者的高度关注。

    移动互联网手机安全信息面临着日益严重的安全威胁，它既有传统通信面临的安全挑战，如通话内容被窃听、短信内容被截获等典型威胁；又有传统互联网面临安全难题，如上网行为被监控、内部网络被攻破等安全威胁；同时又带来了新的安全难题，如实时性的个人资料（如个人的位置信息）会被盗取。因此移动互联网时代手机信息安全策略在兼顾解决传统通信、互联网安全，还要着力解决自身带来新的信息安全。在研究了众多学者研究成果的基础上，笔者主张从通信网络选择策略、手机终端选择策略、手机使用安全策略、社会信息安全环境营造等四个纬度共同努力，才能缓解越来越烈的移动互联网时代手机信息安全。

    1通信网络选择策略

    随着2015年2月27日FDD牌照的正式发放，我国正式全面进入了4G时代。通过认真分析研究，无论3G，还是4G，各运营商的数据传送安全方面不分仲伯，但到目前为止，国内运营采取的策略均是语音和短信业务都是回落到2G网络上传送。目前在国内运营的2G网络主要有CDMA～HGSM两大阵营，GSM技术由欧洲主导，国内运营商有中国移动、中国联通；CDMA技术主要由美国主导，国内主要的运营商有中国电信。CDMA和GSM两大制式各有优劣势，但由于两者采用了不同信号编码方式：GSM将频分多址和时分多址结合起来使用，而CDMA却采用了码分多址方式，这个本质上区别导致了两者在保密性等方面有了巨大的差别。

    CDMA在手机端使用带扩频技术的模数转换（ADC），同一时间和频率内，在空中传输信号频率按指定类型编码，即用户信号的区分只是所用码型的不同，因此只有频率响应编码一致的接收机才能拦截信号。频率顺序编码高达4.4万亿次，空中被拦截窃听机率非常小。在此基础上，还可方便地进行二次加密，有四层保密机制，在一般的技术条件下，拦截窃听几乎不可能。

    GSM采用的频分多址和时分多址相结合的方式。频分多址和时分多址简单形象的说就是在不同的车道上开不同的车和在同一车道的不同时段内开不同的车。可以说明，GSM以电路交换方式通信，容易捕捉信号进行窃听，近年来层出不穷出现手机话单等失窃密事件大多来自GSM系统。

    基于以上分析，用户要根据自己的语音、短信等保密要求，选择不同的通信技术，从而选择支持相应通信网络的手机的运营商。

    2手机终端选择策略

    目前市场上销售的手机主要有智能手机、非智能手机两大类机手机。非智能手机基本上只能实现传统通话、短信等功能，而智能手机除了可以实现传统通话、短信等业务外，还具备了绝大多数Pc机的功能。同一通信制式的功能手机的安全方面表现差别不大，重点讨论智能手机选择策略。智能手机可以按支撑通信网络制式、厂商、操作系统、屏幕等列出许许多多分类，但就安全方面来说，可以分为普通智能手机、安全手机两大类。

    普通智能手机通俗形象的讲，就是在将手机传统的语音通话和Pc机的主要功能集合在一起，它像电脑一样，有自己的操作系统、存储系统、中央处理器、输入输出系统等，它也像非智能手机一样有移动通信功能。就目前的国内智能手机而言，主要有以下几个特点：Android（安卓）和iOS是操作系统无可非议的主流，屏幕上智能手机主要的输入输出设备，手机处理芯片以高通、联发科技、三星为主。普通智能手机往往关注手机自身的安全，通常使用普通密码、增加杀毒软件、使用指纹识别系统以及增加防盗系统等等安全策略，不能很好的解决窃听等问题，更不能彻底的保证手机和机内数据的安全。

    随着手机失泄密事件不断发生，人们手机安全意识的不断提升，国产的安全手机成为了智能手机家族中的新宠。安全手机在骚扰拦截、黑白名单、杀毒、广告检测、指纹应用锁、权限管理、防吸费、流量管理、通知管理、自启动管理等等智能通用安全基础能力基础上，从开机认证、正常使用、下载软件、丢失、借用等使用中的每个环节，着力解决私密通信防窃听、移动上网防木马、隐私信息防APP、信息隐藏防偷窥、资料防拷贝等问题，为用户进行全方位的安全防护。下面对一些主要的安全策略进行分析。

    2.1开机认证策略

    开机认证是手机安全的第一道防护，普通的智能手机往往只提供口令保护功能，安全手机基本上会提供如指纹等图像识别技术，而且通常由专门的芯片模块处理和保存信息，操作系统和外部应用都无法访问，从而确保芯片中的信息安全可靠。

    2.2防木马策略

    安全手机主要有两大策略，一是内置杀毒软件，自动更新木马病毒库。此方式易于实现且成本低，但由于病毒库可以更新，木马病毒也有机可乘。二是独立一个不能被木马病毒入侵的系统，彻底隔绝木马。这就像是将不会中病毒的功能机和智能机集成在一起，在安全模式下，数据网络被彻底禁用，实现GPS定位等功能模块被自动断电关，完全隔绝病毒，仅剩通话、短信功能。这种方式最为可靠，但成本高和操作等原因，普通用户不易接受。

    2.3防窃听策略

    策略一是设置自动、手动断麦克风、定位等设备电源，并关闭所有数据传输通道。策略二是语音加密，这种技术依托于运营商的透传网络和加密系统。语音加密主要由运营商密钥管理中心、透传网络和手机来完成，手机发起申请密钥消息（终端与运营商的密钥管理中心的密钥协商采用了非对称密码技术），密钥管理中心完成鉴权、密钥生成、加密、签名等认证工作后，下发给手机密钥通知消息，主被叫双方上发透传请求给网络控制中心（得到双方加密通话使用了对称密码技术），加密通话建立完成。

    2.4防拷贝策略

    一是通过专业的加密软件对资料设置密码；二是采用芯片模块来实现加密。前者可以通过用数据线与电脑相连等方式，读取出来数据，并经专业人士处理后可能会被拷贝；后者通过芯片加密，信息无法读取，即使强制拷贝出来也是一堆乱码，无法使用，但缺点是会提高手机的制造成本。

    2.5隐私保护策略

    一是远程设备管理，在云服务支持下，当手机丢失后，机主可以通过系统进行远程备份、远程锁定、远程销毁、远程定位、远程备份等操作，从而实现手机上数据备份保护和数据的安全。二是双锁屏保护，一台手机上设置两套锁屏保护，分别控制进入机主模式和访客模式。在机主模式下可设置隐私联系人，隐私相册，隐私应用；切换至访客模式后隐藏上述隐私信息。

    消费者可以根据以上手机各种安全策略，结合自身的需求、消费能力、喜好等因素，选择合适自己的手机。

    3手机使用安全策略

    互联网手机的安全跟个人的使用习惯也有很大的关系，往往是我们的不正确、不留意等的使用给了不法份子可乘之机，就应该引起注意。日常手机使用安全策略介绍如下。

    坚持不使用来源不明的WIFI信号，当你在蹭别人wifi网的时侯，不法份子可能正在窃取你的资料、值入木马……不要因为能省一点网费或方便一点，而把自己的信息裸露给别人，这个帐大家都会算。

    坚持不使用非主流应用中心提供的第三方面公共APP软件，不要乱点网页、短信、邮箱等提供链接，尤其要防范一些后缀为APK的链接。

    坚持为智能手机安装正版的安全软件，并坚持定期更新病毒、定期杀毒，不定期的使用在线联网杀毒。

    坚持开机有密码（或指纹认别等），不同的应用软件使用不同的账号和密码，并定期更换密码，并保证密码不是弱密码。

    坚持像保管自己的财务一样保管自己的手机，不轻易借给别人，发现异常扣费、非正常短信等及时与提供服务的运营商联系，发现重要的信息失窃等即时报警。

    4社会信息安全环境营造

    时至今日，信息已成为推动人类社会进步重要的生产要素。作为当前信息最为活跃的载体一一手机的信息安会环境，理应成为社会关注点。

    4.1道德引领，立法打击

    一方面，政府引导，广泛的开展网上道德宣传，提供网络文明，培养网民在虚拟的移动互联网世界遵守现实生活中的伦理道德，从自己做起保护网络信息安全。另一方面，加大、加快相关法律的出台实施，做到保护互联网手机信息安全有法可依。欧美及亚洲很多国家和地区出台了一系列互联网安全方面的法律法规，已经明确把互联网手机的信息纳入其中，而我们在这方面的法律法规是滞后于移动互联网的发展。据传网络安全法已列入2015年的立法计划，但必须加快进程。

    4.2利益共享，责任共担

    移动互联网手机已形成了一个超级的产业链，其中主要包括手机制造商、网络提供商、平台提供商、内容提供商、网络店商等等，大家都在分享移动互联网带来利益，但在履行各自理应承担的责任、义务时大都差强人意，追求深源，相关行业主管部门在明确既得利益者责任、义务明确方面不够清晰明确、监督管理不到位，迅速弥补这方面的缺失刻不容缓。

    5结语

    随着移动互联网技术的发展，手机的功能越来越强大，移动互联网手机安全信息面临着日益严重的安全威胁。移动互联网时代手机信息安全问题是个复杂的社会和技术问题，在众多学者研究成果的基础上，根据用户自身对不同的需求、定位和支付能力等，在社会信息安全环境不断改进的前提下，建议从通信网络选择策略、手机终端选择策略、手机使用安全策略等个纬度综合权衡，才能解决移动互联网时代手机信息安全，让移动互联网服务于大众，造福人民。