淺論如何加強移動網(wǎng)絡(luò)安全建設(shè)

◆萬 軼

（中移鐵通有限公司青島分公司 山東 266001）

淺論如何加強移動網(wǎng)絡(luò)安全建設(shè)

◆萬 軼

（中移鐵通有限公司青島分公司 山東 266001）

隨著人們生活水平的日益提高及信息化應(yīng)用能力的不斷提升，移動網(wǎng)絡(luò)已滲透至人們的日常生活中，如今幾乎每個人都在使用移動通信網(wǎng)絡(luò)。移動網(wǎng)絡(luò)在帶給人們便利的同時，也存在諸多安全隱患，本文就如何加強移動網(wǎng)絡(luò)安全建設(shè)做一簡要論述，并提出解決方法及建議。

移動網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；風險感知；安全防控

0 引言

通過對移動網(wǎng)絡(luò)安全建設(shè)體系的深入研究，進一步了解掌握移動網(wǎng)絡(luò)安全先進防控技術(shù)和抵御入侵手段，通過開展移動網(wǎng)絡(luò)的安全防御手段革新與體系建設(shè)，以充分利用網(wǎng)絡(luò)安全技術(shù)來抵御非法入侵者對移動網(wǎng)絡(luò)的惡意破壞，并提升人們在日常通信中對移動網(wǎng)絡(luò)的安全風險防范能力。

1 網(wǎng)絡(luò)安全定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)信息不因惡意或突發(fā)的原因而遭受到破壞、更改、泄漏。信息系統(tǒng)可以持續(xù)穩(wěn)定地運行，網(wǎng)絡(luò)通信不被中斷。

網(wǎng)絡(luò)安全具有保密性、完整性、可用性、可控性、可審查性。即移動網(wǎng)絡(luò)中用戶或數(shù)據(jù)信息不可泄漏給未授權(quán)用戶、過程或?qū)嶓w，或供給非法用戶使用。數(shù)據(jù)信息在存放或傳輸過程中能夠保證不被破壞、不被非法修改或丟失，在網(wǎng)絡(luò)遭受破壞時，可對出現(xiàn)的安全漏洞或安全問題提供可審查的數(shù)據(jù)與依據(jù)。

2 移動網(wǎng)絡(luò)存在的主要問題

2.1 移動網(wǎng)絡(luò)容易被木馬、病毒入侵

隨著互聯(lián)網(wǎng)的高速發(fā)展，全球信息化進程不斷推進，純粹的計算機病毒時代已經(jīng)一去不復返，代替而來的是破壞強度呈指數(shù)倍增加的新型惡意木馬病毒。此類木馬病毒具有基礎(chǔ)的網(wǎng)絡(luò)特性及功能，能夠迅速找到全局移動網(wǎng)絡(luò)內(nèi)個別計算機存在的安全漏洞，并根據(jù)具體漏洞進行攻擊。雖然目前絕大多數(shù)計算機操作系統(tǒng)都裝有殺毒軟件和防火墻程序，但仍然抵擋不了惡意病毒的入侵和攻擊。

對于絕大多數(shù)的惡意病毒程序，用戶只要將其刪除，破壞的危險就算過去了，威脅也不復存在。但有些頑固性木馬病毒情況特殊，和電腦病毒、蠕蟲等惡意破環(huán)程序一樣，也具有隨意刪除或修改用戶文件、私自上傳和下載文件、格式化硬盤數(shù)據(jù)等惡意功能。譬如常見的有攻擊者利用木馬程序入侵并霸占用戶計算機、控制U盤、將用戶磁盤剩余空間侵占殆盡、破壞或卸載殺毒軟件等，此外還有木馬病毒特有的“遠程控制”、“盜取被入侵計算機文件”等功能。

2.2 用戶和控制中心容易被入侵

有線通信網(wǎng)絡(luò)曾經(jīng)為人類信息傳遞事業(yè)做出了巨大貢獻，隨著科技的發(fā)展，有線網(wǎng)絡(luò)將逐漸被無線網(wǎng)絡(luò)取而代之。如果將有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)進行對比的話，最顯著的不同之處就在于無線網(wǎng)絡(luò)的移動終端和控制中心之間沒有物理線路連接，而是利用無線通信信道進行數(shù)據(jù)傳輸，而有線網(wǎng)絡(luò)通常由數(shù)據(jù)光纖進行連接。因此，移動終端的身份驗證信息在無線傳輸過程中將更容易被非法入侵者截取，繼而用戶的私人信息被竊取，甚至進一步控制中心也被入侵控制，導致控制中心設(shè)備及數(shù)據(jù)遭到破壞，無法保證正常使用運行，用戶的訪問信息泄漏后將嚴重威脅到其信息及財產(chǎn)安全。

2.3 移動網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取

移動網(wǎng)絡(luò)存在著致命的弊端就是無線傳輸信號非常容易被發(fā)現(xiàn)，為了能讓使用者發(fā)現(xiàn)無線網(wǎng)絡(luò)信號的存在，移動網(wǎng)絡(luò)必須以特定參數(shù)的信標幀進行發(fā)送，這樣就給入侵者提供了可加以利用的信號信息。攻擊者通過使用高靈敏度的天線在高樓頂、公路旁或其他任何信號強度大的地方對移動網(wǎng)絡(luò)進行攻擊而不需要傳統(tǒng)意義上的物理線路侵入。

據(jù)RSA Security調(diào)查結(jié)果顯示，目前有67%的無線局域網(wǎng)絡(luò)并未采取安全防護措施。由于個人的計算機都可以通過購買非法的AP，不必經(jīng)過授權(quán)就可接入移動網(wǎng)絡(luò)，很多下屬部門未經(jīng)過單位網(wǎng)絡(luò)中心允許，私自建設(shè)WLAN網(wǎng)絡(luò)，入侵者通過非法AP，便可輕而易舉的接入該網(wǎng)絡(luò)，給單位整體網(wǎng)絡(luò)帶來巨大的安全隱患。在美國經(jīng)常發(fā)生這樣的事情，入侵者只需要一塊802.11b的無線上網(wǎng)卡便可進入一些疏于防范的公司網(wǎng)絡(luò)，做他們想做的一切。

3 加強移動網(wǎng)絡(luò)安全對策及建議

3.1 加強風險感知能力

網(wǎng)絡(luò)風險感知系統(tǒng)往往是結(jié)合殺毒軟件、防火墻、安全審計系統(tǒng)、入侵監(jiān)控系統(tǒng)（IDS）等手段的安全防御數(shù)據(jù)體系。系統(tǒng)可對全局網(wǎng)絡(luò)當前的狀況進行快速評測，對接下來的變化趨勢進行預測，對APT攻擊及未知流量進行感知，達到網(wǎng)絡(luò)信息安全預警功能。

為了保證移動網(wǎng)絡(luò)的信息安全可靠，應(yīng)注重加強大規(guī)模的網(wǎng)絡(luò)風險感知能力建設(shè)。深度的威脅態(tài)勢感知能力對移動網(wǎng)絡(luò)減少網(wǎng)絡(luò)攻擊造成的危害、預防潛在的惡意破壞入侵行為、提高應(yīng)急響應(yīng)能力都有著重要意義。

3.2 加強安全防御能力

移動網(wǎng)絡(luò)安全防御應(yīng)為縱深防御，數(shù)據(jù)終端是創(chuàng)建和存放數(shù)據(jù)的源頭，大部分的入侵事件都是從數(shù)據(jù)終端引發(fā)而來的。如果移動網(wǎng)絡(luò)中每一個數(shù)據(jù)終端都經(jīng)過正規(guī)的授權(quán)和認證，并且其日常的使用操縱符合網(wǎng)絡(luò)安全規(guī)范，那么我們就可以認為移動網(wǎng)絡(luò)系統(tǒng)是安全可信的。目前主流的終端保護方式分為兩種：一種為基于終端設(shè)備可信度的安全防護，二是從終端對病毒的防護與查殺。

除此之外，保證用戶端的身份認證信息、數(shù)據(jù)的機密性和完整性也十分重要。用戶端的安全威脅主要來自互聯(lián)網(wǎng)，如果用戶端設(shè)備是可信的，那么用戶端設(shè)備上就不能安裝未經(jīng)授權(quán)的軟件。換句話說，只要是在用戶端設(shè)備上安裝和運行軟件一定要獲得安全服務(wù)的認證及授權(quán)使用許可，做到這點，網(wǎng)絡(luò)上的病毒才能不被植入到移動終端中。

3.3 加強監(jiān)測溯源能力

由于當前的TCP/IP協(xié)議對IP包的源地址沒有驗證機制，導致想要追溯數(shù)據(jù)包的真實發(fā)送地址十分困難，而要查找部分經(jīng)過多個反射器后進行攻擊的真實源地址就更加困難。已有的監(jiān)測溯源技術(shù)分為以下三類：主動詢問類，該方法基于主動訪問數(shù)據(jù)流可能經(jīng)過的全部路由器，確認其流向路徑的機制，此方法較為低端，通過路由器進行逐級查詢追溯，需要大量人力物力，且無法實現(xiàn)事后追溯的要求。數(shù)據(jù)檢測類，該方法通過建立覆蓋全局網(wǎng)絡(luò)的監(jiān)測點對全局網(wǎng)絡(luò)中數(shù)據(jù)流進行監(jiān)測，如訪問產(chǎn)生的日記記錄技術(shù)，如果移動網(wǎng)絡(luò)被入侵，由被入侵端發(fā)起查詢信息，以獲得入侵者的路徑信息，此方法需要大量的資源存儲空間，若使用HASH算法的日志類方法，則可大大減少數(shù)據(jù)儲存空間。路徑重構(gòu)類，該類方法是目前較為成熟的追蹤溯源方法，其核心思想是通過在網(wǎng)絡(luò)中單獨發(fā)送含路徑信息的數(shù)據(jù)包或傳輸數(shù)據(jù)包時編入路徑信息，接收方通過接收儲存這些含有路徑信息的數(shù)據(jù)包，并依據(jù)重構(gòu)算法找出攻擊數(shù)據(jù)包路徑的目的。

3.4 加強全局管控能力

網(wǎng)絡(luò)接入安全問題的防范依賴于網(wǎng)絡(luò)整體安全策略的全面有效實施，安全綜合管控平臺可以統(tǒng)一對策略進行定義、下發(fā)并在每個終端設(shè)備上進行統(tǒng)一實施，提高了集中管控能力，此外全局的安全管控還可以對安全事件的集中管理分析和應(yīng)急響應(yīng)提供支持，對全局的網(wǎng)絡(luò)安全風險及威脅進行評估，提供安全決策。

4 結(jié)語

隨著移動網(wǎng)絡(luò)與互聯(lián)網(wǎng)的高度融合，網(wǎng)絡(luò)多元化、設(shè)備智能化、信息開放性等特點也隨之在移動互聯(lián)網(wǎng)中體現(xiàn)出來。與這些技術(shù)特點的變化相伴的，移動網(wǎng)絡(luò)安全問題也相應(yīng)出現(xiàn)了新的特點。本文對移動互聯(lián)網(wǎng)頻繁出現(xiàn)的安全技術(shù)問題進行了簡要分析，并提出四點解決策略及建議，希望對移動網(wǎng)絡(luò)安全技術(shù)問題的研究工作提供有益的借鑒。

[1]周學廣等.信息安全學.北京：機械工業(yè)出版社，2003.

[2][美]William Stallings.網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標準（第4版）[M].北京：清華大學出版社，2011.

[3][美]Douglas Jacobson.網(wǎng)絡(luò)安全基礎(chǔ)-網(wǎng)絡(luò)攻防、協(xié)議與安全.北京：電子工業(yè)出版社，2011.

[4]（美）Mandy Andress著.楊濤等譯.計算機安全原理.北京：機械工業(yè)出版社，2002.

[5]王達.網(wǎng)管員必讀——網(wǎng)絡(luò)安全.電子工業(yè)出版社，2007.

[6]曹天杰等編著.計算機系統(tǒng)安全.北京：高等教育出版社，2003.

[7]石志國等編著.計算機網(wǎng)絡(luò)安全教程.北京：清華大學出版社，2004.