移动智能终端的个人信息安全技术解析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
移动智能终端的个人信息安全技术解析本文从网络收集而来,上传到平台为了帮到更多的人,如果您需要使用本文档,请点击下载按钮下载本文档(有偿下载),另外祝您生活愉快,工作顺利,万事如意!
1 引言
移动互联网的飞速发展推动了移动智能终端的快速普及。与传统终端相比,移动智能终端应用了移动通信技术、计算机技术和多媒体技术的最新成果,给人们带来了前所未有的丰富体验。移动互联网的迅猛发展推动了移动智能终端数量的急剧增加、应用功能的日益增多。伴随着终端智能化及网络宽带化的趋势,移动互联网业务层出不穷、日益繁荣。但作为业务载体的智能终端却面临各种安全威胁,如恶意订购、盗取账户、监听通话等。与此同时,智能终端越来越多地涉及商业机密和个人隐私等敏感信息,智能终端作为移动互联网业务最主要的载体,面临着严峻的安全挑战。随着移动终端操作系统的功能日益多样,其漏洞随之增加并导致安全事件种类增多;特别是移动智能终端操作系统开放性提高,使移动智能终端病毒开发更为容易;带宽增加,使更加复杂多样的病毒通过各种数据业务进行传播成为可能;多样的外部接口增加了病毒传播的渠道;移动终端使用量提高和数据业务
日益多样和应用的发展,促使手机安全事件大规模滋生;移动终端所存信息的私密性及终端存储能力的提高,极大增加了移动终端安全的危害性;国际漫游业务量及业务互通的增加,使移动终端病毒在国际之间散播更为容易。另外,对于计算机,只有接入互联网才可能受到病毒攻击,并且可以通过重装操作系统方式来进行处理;而移动终端不同的是,移动终端时刻与移动网络相连,并且其操作系统不能随便重新安装。故此,一旦安全事件爆发,其危害力将远远大于电脑病毒的危害。
2 移动智能终端信息安全技术现状
信息安全目前是各界都比较关注的一个问题,移动终端作为移动业务对用户的唯一体现形式以及存储用户个人信息的载体,要配合移动网络保证移动业务的安全,实现移动网络与移动终端之间通信通道的安全可靠,同时还要保证用户个人信息的机密性、完整性。随着移动终端功能的不断强大和大面积普及,移动终端已成为人们日常生活不可或缺的用品,而这些功能强大的智能终端在带给用户便利的同时,导致的信息安全问题也日益突显。
一方面,智能终端中存储的个人信息越来越多;另一方面,丰富的通信和数据交换功能为信息泄露和
病毒传播提供了通道。目前,国内通信行业标准在早些年就发布了有关于移动终端信息安全的标准,如YD/T1699-2007《移动终端信息安全技术要求》、YD/T1700-2007《移动终端信息安全测试方法》、YD/T1886-2009《移动终端芯片安全技术要求和测试方法》,但是由于这些标准制定得比较早,且当时的研究还不够深入,随着技术的不断发展,移动终端新的安全问题不断暴露,新的安全技术不断产生,因此对于移动终端的信息安全要求又更上了一个台阶。
2013年发布的YD/T2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准进一步细化了移动智能终端在操作系统安全、应用软件安全等方面要求。2013 年工业和信息化部发布了《关于加强移动智能终端进网管理的通知》,对移动智能终端安全能力和预置应用软件提出了管理要求,要求移动智能终端在进网中严格按照YD/T2407-2013《移动智能终端安全能力技术要求》和YD/T2408-2013《移动智能终端安全能力测试方法》标准中的一级安全能力要求。这使得国内移动智能终端的信息安全得到进一步的保障,移动智能终端上的个人信息安全也得到相应的保护。在进网检测管理中,检测机构已对现有信息安全威胁进行分析,
并通过专业的检测工具对移动智能终端进行操作系统安全检测,让移动智能终制造商提高终端自身的防护能力,让原本没有防护能力的智能终端得到保护。通过行业标准规范应用程序在供用户使用时应该让用户可知、可控,从而减少恶意软件引起的安全泄漏。但是,目前仍有部分用户的信息安全意识不强、自我管理水平不足,导致部分用户移动智能终端上的个人信息仍处于暴露状态。
2014年8月一款名为“XX神器”的恶意应用程序过短信传播,下载后立刻遍历通讯录,给所有通讯录中的朋友发送该病毒,数日之间感染了全国数百万智能终端。虽然该作者的动机并非要借此牟利,但造成的社会危害非常严重,这正是因为用户的信息安全意思不强,随意下载不明的应用程序导致的。
3 移动智能终端的个人信息安全策略
Android 安全策略根据IDC调查报告数据显示,Android占全球智能手机的份额在不断上升。Android 设备占据的全球智能手机市场份额从2012年的69%上升到2013年的%,Android 成为目前最主流的手机平台。因为Android 平台的开放特性,吸引了众多终端厂商和软件应用商加入到Android平台中来,也因为开放特性和众多的Android终端用户数量让许多的
黑客和灰色产业链瞄准了Android平台。通过网络安全企业通报的2012 年移动互联网恶意程序样本有162981 个,较2011年增长25倍,其中约有%的样本针对Android平台。Android平台已成为恶意程序的重灾区。Android 系统是基于Linux 内核开发的,因此Android 系统保留和继承了Linux 操作系统的安全机制,并扩展了Linux内核安全模型的用户与权限机制,将多用户操作系统的用户隔离机制巧妙地移植为应用程序隔离。在Linux中,一个用户标识(UID)识别一个给定用户;在Android上,一个UID只识别一个应用程序。Android应用程序在安装的过程中,安装服务PackageManagerService 会为它们分配一个唯一的UID和GID,以及根据应用程序所申请的权限,赋予其他的GID。有了这些UID 和GID 之后,应用程序就只能限访问特定的文件,一般就是只能访问自己创建的文件。
此外,Android应用程序在调用设备的敏感API 时,系统检查它在安装的时候会没有申请相应的权限,如果没有申请相关权限,那么访问也会被拒绝。Android 提供了一百多种权限,这些权限包括拨打电话、照相、键盘输入、发送短信、读取通讯录等。应用程序如果需要用相关的权限时,需要在文件中声