|
|
移动互联网与互联网的核心安全问题异同
移动互联网的安全问题首先要考虑互联网环境的安全问题,分析互联网的问题产生的根源,考虑移动互联网的特殊性,从源头设计移动互联网的安全模式,提出合理的解决方案,互联网的安全问题可以分为个人计算机的安全问题,网络传输的安全问题,业务系统的安全问题,目前互联网安全解决的最好的是网络传输问题,通过防火墙、VPN等网络安全解决方案,可以解决网络传输的机密性,完整性问题,SSL协议作为Http协议的安全补充,是一种客户端到业务系统的端到端的安全解决方案,基本解决了互联网服务的钓鱼攻击。
其次是业务系统的安全得到比较有效的预防和有限的解决,通过服务器加固、业务系统安全框架实现、入侵检测等机制保障业务系统的安全。
目前受到最多关注也是最多质疑的是个人计算的安全问题。个人计算机安全首先是面对复杂的运行环境,不同的接入方式,不同的网络环境,以及不同的业务运行场景,个人计算机用户显然大多不具备专业的信息安全处理能力,因此,个人计算机安全问题暴露最多而且缺少行之有效的专业处理。个人计算机的核心安全问题是病毒、木马、恶意软件的入侵,病毒对个人计算机的计算能力和业务执行、业务数据造成不可逆转的损失和破坏,而木马和恶意软件在破坏的同时,往往对用户的隐私、财产等进行有目的的侵犯和占有,造成个人计算机用户的损失。
个人计算机安全问题产生的根源在于缺乏行之有效的机制保障个人计算机技术实现环境的完整性以及安全性。缺少对软件的审核、校验机制,缺少对软件能力的控制和管理机制,缺少对用户有效的安全的识别和认证机制。
这些机制的缺失的历史原因和个人计算机初期的环境有关,也和系统实现的安全机制有关,个人计算机早期的联网需求较低,重心在于保障技术实现环境的交互与用户体验的提升,Windows的使用环境最初是作为单机系统设计的,缺少对网络环境下的安全防护需求,忽略了技术实现环境的安全保障机制的建立,在从个人计算时代过渡到互联网时代的过程中,技术实现环境的安全性设计远远落后于互联网的发展速度。因此也就未形成相关安全机制。而作为网络基础的服务端操作系统的技术实现环境,linux、Unix均具有强有力的安全机制,所以,linux、unix体系在个人计算机上的移植一定程度上避免了windows系统存在的问题,但由于其交互设计与用户体验的差距,远远没有达到流行的windows系统的规模。
流行的个人计算机操作系统windows安全体系设计的缺失,促生了一个个人计算机安全的庞大产业,杀毒软件,个人防火墙,安全套件等,发展迅猛,在个人计算机安全问题越来越突出的情况下,微软加大了的安全机制的建设,并推出了免费的安全套件,竞争格局的变更,促使以治理为主的单一安全厂商,逐渐过渡到提供完整安全套件的统一个人计算机安全解决方案提供商,不过被动治理的安全思路,显然不能适应互联网环境的发展,建立以预防为主的机制显然是未来的个人计算机安全发展方向。
移动互联网的安全问题同样存在移动终端的安全问题,网络传输的安全问题以及业务的安全问题,业务安全层面由于移动互联网业务和互联网业务的差别的重点在于业务的展现而不是安全。移动互联网的网络安全问题在互联网安全问题的基础上,还需要考虑无线通讯通道的安全。因此,建立移动终端到业务系统的端到端安全,实现网络全程的机密性和完整性,比互联网有更迫切的要求。
移动互联网最为关注的同样是移动终端的安全问题,借鉴个人计算机安全问题的丰富经验,面对终端技术实现环境的复杂性,分析移动终端的安全需求,以预防为主的原则出发,才能提出合理的移动互联网安全解决方案。
移动互联网安全问题全面解决之道
移动互联网需要保护的首先是移动用户的利益,防止移动用户的隐私、财产被侵犯和占有,防止移动终端技术实现环境的损失和破坏。其次,移动互联网需要保障业务提供商的利益,防止业务提供商的内容和应用被非法使用,同时,移动互联网需要保障移动运营商的利益,防止运营商能力被滥用和非法使用。从三者的利益出发,通过分析可以得出的结论是需要打造移动终端的可信交易环境,实现完整的移动终端安全解决方案。
实现三者利益的保障,首先是要能够对用户的身份和设备的身份实现认证,只有避免用户身份和设备身份的盗用,识别到用户和设备的真实身份才能行之有效的保护用户和业务提供商的利益。身份识别和认证是一项说起来简单实现起来复杂的技术实现,用户识别最基本的方式是用户名、密码方式,但这种方式的两个根本问题是,一是安全系数低,单因子认证,一是不同系统统一用户名密码造成的用户信息泄露,缺少单点认证的共享安全机制。设备识别的最基本方式是硬件标识信息的识别,移动终端可以通过标识设备的IMSI或标识移动运营商识别的IMEI号进行识别,当然,单纯的标识识别缺少技术认证机制,存在被假冒的风险。因此,移动终端最佳的用户和设备识别机制是基于PKI技术的数字证书和数字签名,数字证书通过第三方验证方式验证用户身份后颁发基于非对称算法的数字证书,用户和设备的身份具备第三方认可依据,数字签名可以在技术上实现对用户设备的验证和鉴别,从而,符合法律和技术的身份认证服务标准。
来源:千家安防网 |
|
