Labs 摘要

以互聯網為核心的網絡空間已成為繼陸、海、空、天之后的第五大戰略空間。移動互聯網時代下，傳統的信息安全問題已從PC端延伸至手機終端。手機信息安全問題已發展成為云、管、端的三維信息安全問題。本文通過闡述移動互聯網時代手機信息安全的基礎概念、存在問題和價值，深入探討電信運營商在新安全形勢下的可走之路，最后對海南移動的手機信息安全發展之路給出應對思路和建議。

引言

以互聯網為核心的網絡空間已成為繼陸、海、空、天之后的第五大戰略空間。2019年的抖音APP上千萬賬戶遭撞庫攻擊，上百萬賬戶密碼泄露等重大安全事件，更是引發了國內社會和公眾對網絡安全的空前關注。

隨著“寬帶中國”戰略推進實施，移動互聯網新型應用層出不窮，4G網絡正式商用及智能終端價格持續走低，極大促進了移動互聯網的穩步發展。根據CNNIC統計，截止2019年中，中國手機網民達到99.1%，網民中使用手機上網的比例高達73.3%。當今移動互聯網的發展主題已開始逐漸從“普及率提升”轉換到“使用程度加深”。移動互聯網重構了互聯網服務原有的生態與模式，經統計，2019年全球移動應用程序下載次數累計超過2040億次。

與此同時，信息安全挑戰也從傳統PC端蔓延至手機，且大有愈演愈烈之勢。截止2019年12月，國家計算機網絡應急技術處理協調中心監測發現我國境內被篡改網站185573個，較2018年底7049個增長較大。其中，我國境內被篡改政府網站515個，較2018年底（216個）增長138.4%。為此，本文將圍繞電信運營商如何做好移動互聯網時代的手機信息安全展開深度研究，并提出對應策略，以供公司運營參考。

1 手機信息安全的概念、價值及形勢

（一）、手機信息安全的概念

1、問題產生的背景

當前，智能終端和云計算的普及應用加速推動IT與CT融合，促進了移動互聯網的高速發展。手機作為移動互聯網最重要最直接的接入終端，已從最初的只能打電話和發短信，發展成為集搜索、社交、游戲、支付、位置服務和移動辦公等功能應用于一身的智能終端，儼然變成一臺隨身攜帶的個人計算機。據CNNIC統計，如圖1所示，移動應用規模排在前四位種類（游戲、日常工具、電子商務、生活服務類）的App數量占比達57.9%。手機網民經常使用的各類App中，即時通信類App的使用時間最長，占比為14.8%；網絡視頻（不含短視頻）、短視頻、網絡音頻、網絡音樂和網絡文學類應用的使用時長占比分列第二到六位，依次為13.9%、11.0%、9.0%、8.9%和7.2%。短視頻應用使用時長占比同比增加2.8個百分點，增長明顯。

2019年手機網民各類手機應用使用時長

在眾手機廠商卯足了勁提升硬件時，卻都忘了用戶們都還在野地里“裸奔”：過于開放的Android系統存在種種不安全因素，智能手機安全問題堪憂。根據360安全中心統計，如圖2所示，2019年共截獲Android平臺新增惡意程序樣本180.9萬個，平均每天截獲新增手機惡意軟件樣本約0.5萬個，縱觀2019 年全年惡意樣本增長情況，在1月與12月出現新增樣本量峰值，主要體現在惡意扣費、資費消耗、隱私竊取。由于春節假期前后，大眾的社交娛樂活動增多，棋牌游戲、搶紅包已成為大眾假期娛樂必選項。

2019年移動端各月新增惡意軟件數量

根據DCCI《中國移動安全產業鏈生態發展報告》顯示：移動生態產業鏈的每個環節都存在移動安全問題。云計算的興起，加速了移動互聯網的發展，但其特殊的商業服務模式及計算模式也帶來了更大的安全隱患。

2、手機信息安全的概念理解

通常來講，信息安全是指信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。手機信息是指以任何形式存在于手機的、與存在關聯并足以識別本人特定身份的一切手機信息的總和。不僅包括位置信息、通訊信息、賬號密碼信息和存儲文件信息，而且包括一些手機硬件信息，比如IMEI號、無線網卡的Mac地址、硬件配置信息。

在移動互聯網云-管-端生態鏈下，如何理解手機信息安全？我們可以從“云管端”的角度逐步梳理。從云的角度來看，在移動互聯網時代，以往集中控制的業務部署和分發模式轉變為分布式、智能化的控制模式，從另一方面為手機惡意軟件的傳播提供了良好的溫床；從管道來看，管道扁平化和承載IP化帶來了新的安全問題，系統的漏洞、業務設計的缺陷為黑客提供了入侵途徑，同時IP化帶來的開放性使得惡意程序溯源愈發困難；從終端來看，無限制、永不關機是智能終端的特點，但是手機很可能被竊聽，個人數據會輕而易舉地被黑客拿走，垃圾流量在不知不覺中由各種手機應用悄無聲息地產生。

簡而言之，移動互聯網時代的手機信息安全已經不再僅僅局限于傳統的垃圾短信、騷擾電話等惡意騷擾威脅，而是演變成為云服務平臺安全、智能管道安全和智能終端信息安全的三維問題，包括了云服務安全、惡意軟件威脅、偽基站、無線傳播渠道安全、終端操作系統安全及設備安全等諸多內容。

（二）、移動互聯網時代手機信息安全的價值

在移動互聯網時代下，如何保障手機信息安全，對電信運營商來說具有重要的政治意義。隨著短信、彩信等受OTT業務替代的情況加劇，如何在復雜的移動互聯網競爭下重塑優勢，如何在低成本、差異化中選擇出路成為了電信運營商的集體困惑。移動互聯網、云技術的發展，智能手機終端的普及，正大刀闊斧地顛覆著工業革命以后形成的傳統商業模式和意識形態。如圖3所示，BYOD（Bring Your Own Device）的出現，標志著個性化移動辦公時代的到來。

BYOD移動辦公解決方案演變

然而，企業移動辦公業務是相當嚴謹的，并不僅僅只是開發一個移動App那么簡單。政企客戶對移動辦公信息安全的需求日益強烈。全球范圍來看，2020年，政企信息服務市場規模有望突破2700億美元。碩大的一塊蛋糕，各大電信運營商、中小企業自然都爭先恐后地力爭分一杯羹。然而，在當前同質化競爭激烈的政企信息服務市場中，企業移動安全辦公不失為一種優良的差異化營銷策略，必將在未來吸引越來越多的客戶。

2 電信運營商手機信息安全可走之路

移動互聯網的普及給人們帶來了極大的便利，但是它的不安全因素也在與日俱增。在移動互聯網云-管-端生態下，信息安全問題必須貫穿整個互聯網產業鏈上下游。

本文將電信運營商手機信息安全可走之路歸結為兩點：保證網絡管道安全和與商業伙伴合作。

（一）、保證網絡管道安全

電信運營商掌握著互聯網接入、IDC、移動通信網絡和Wi-Fi熱點等網絡接入層面的資源，在打造一個綠色、安全的管道上，具有絕對的優勢。在這種情況下，本文認為可以從以下兩點打造一個安全、綠色的通信網絡管道：網絡安全域隔離和提高業務系統防DDos攻擊能力。

1、網絡安全域隔離

電信運營商發展至今，通信網絡結構復雜、系統繁多。最簡單有效的方法是劃分安全域及邊界整合，作為運營商，其網絡的特性決定了安全域組可細分為四大類：核心數據域、內部互聯接口域、互聯網接口域和網絡交換域等，做好各個域之間的數據訪問策略，即可達到劃清邊界的目的。

2、提高業務系統防DDoS攻擊能力

針對DDoS攻擊的防護，對于電信運營商而言，最直接的辦法是部署DPI系統和異常流量清洗系統，實時監控并阻斷大規模攻擊行為。

通常情況下，異常流量清洗系統由異常流量檢測、異常流量清洗和業務管理平臺三個模塊組成。系統通過三個模塊的協同工作，完成全網的流量分析、異常流量牽引、DDoS攻擊過濾等處理，此外，可關聯DPI流量分析設備，增加對P2P識別與控制、異常流量帶寬限制等操作，做到及時發現問題并自動對異常行為做出響應，從而快速消除異常流量造成的危害，見圖4所示。

異常流量清洗系統部署方案

（二）、與商業伙伴合作

移動互聯網下，智能終端安全是起點，也是終點。電信運營商可考慮與軟件安全廠商合作，并結合運營商自有的管道安全和云平臺資源安全的優勢，通過云平臺、惡意程序監測平臺和手機安全軟件的互相聯動，打造云-管-端一體化手機信息安全防治模式。

3 海南移動手機信息安全的發展之路

目前，海南移動手機信息安全工作起步較晚。海南移動在手機信息安全方面仍有許多路要走：

1、持續推進手機實名制工作，扼制垃圾短信的泛濫。

手機實名制可以有效遏制非法單位和個人肆意通過手機短信強制向用戶傳播非法思想和惡性騷擾，將給泛濫的群發短信廣告、短信詐騙等非法業務致命一擊。然而，推進手機實名制的過程中，不可避免地會遇到阻力。海南移動可以通過營銷優惠等政策，鼓勵用戶主動實名認證，并針對已有的“存量”用戶進行補錄登記工作。同時，海南移動可以業務為導向，培養用戶實名登記習慣。通過推廣業務（例如，手機刷卡支付業務）為契機，引導廣大手機用戶進行實名登記，從而逐漸普及手機實名制。

2、重點治理垃圾短信，深入開展網絡與信息安全攻堅行動。

垃圾短信治理工作具有復雜性、艱巨性、長期性。其中，在垃圾短信當中，屬端口類垃圾短信最為泛濫。為有效治理垃圾短信，海南移動可定期開展短彩信端口全面梳理和清理整頓工作，做到每個開放的短彩信端口使用權落實到每個負責人，對不合法、不明確的短彩信端口堅決屏蔽，杜絕利用MAS業務發送端口類垃圾短信等類似行為。

3、建設“云-管-端”的移動互聯網一體化防護平臺，打造移動互聯網生態鏈下的手機信息安全。

移動互聯網時代下，移動惡意程序猖獗，手機信息安全的解決亟需一套系統、全面的移動互聯網一體化防護方案，不僅能判斷實時監測到惡意程序的動態，而且可對惡意程序進行跟蹤溯源，并根據實際情況封堵，見圖5所示。

“云-管-端”惡意程序一體化防護方案架構

如圖6所示，該方案需聯動云計算支撐平臺、管道側監測系統、管道側封堵系統和手機終端側查殺軟件，形成“云-管-端”多級架構，完成移動互聯網惡意程序的監測、跟蹤、封堵查殺的功能閉環。

云計算支撐平臺：實現移動互聯網的云計算組網、云計算資源池管理、病毒庫更新、封堵策略下發等功能，并與管道側和終端側聯動，實現惡意程序的集中研判和分析。

網絡側監測系統：利用深度包檢測技術對移動互聯網流量進行分析，同時自動跟蹤惡意程序并實現溯源。

網絡側封堵系統：借助現網DNS系統、流控系統等系統對惡意程序進行封堵。例如，借助流控系統對惡意程序的下載鏈接進行域名封堵；或者借助DNS系統將惡意程序的下載頁面強制解析至內網IP。

終端側查殺軟件：實現手機信息的安全存儲、軟件惡意行為檢測、垃圾短信和騷擾電話攔截等功能，并與網絡側監測系統、封堵系統和云計算支撐平臺聯動，實時上報惡意程序的查殺情況，為“云—管—端”一體化安全防護體系提供必要的支撐。

“云-管-端”惡意程序一體化防護網絡結構

4、提升互聯網防DDoS攻擊能力，適應LTE網絡下大流量暴增需求。

隨著LTE業務的商用化，未來互聯網流量將呈現指數倍地暴增。隨之而來的，互聯網的大流量DDoS攻擊將變得更加猛烈。目前，海南移動CMNET出口部署了一套防DDoS攻擊流量清洗系統。然而，在互聯網流量暴漲的情況下，該系統容量是否能夠持續支撐業務的發展，需進行全面地評估。為有效支撐LTE業務的發展，海南移動有必要盡早對該系統容量進行評估，并根據實際情況對系統進行擴容與升級。同時，定期組織防DDoS攻擊應急演練，提升我公司相關技術人員的信息安全事件應急與處理能力。

5、組織架構調整，做好手機信息安全人才儲備。

當前，信息安全工作的重要性日益突出，隨著移動互聯網的發展和4G業務的商用，手機信息安全變得愈發重要。不同于傳統的手機信息安全，移動互聯網下的手機信息安全為云-管-端的三維安全問題，不僅涉足云、管、端等多個領域的新知識，而且手機信息安全事件影響范圍廣、覆蓋系統多。因此，海南移動除了要按照集團的要求完成信息安全管理組織架構的調整，同時還要建立一支專門的手機信息安全隊伍，配備專職的手機信息安全專員，梳理手機信息安全工作流程，加強云、管、端等新知識的培訓，注重安全專職人員技能的提升，做好移動互聯網時代下信息安全人才的儲備。
責任編輯:pj