移動(dòng)社交網(wǎng)絡(luò)的安全問題與對(duì)策研究

李金成

摘要：隨著現(xiàn)代社會(huì)的高速發(fā)展，移動(dòng)社交儼然已成為了人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，其社交性、移?dòng)性與快捷性作為移動(dòng)社交網(wǎng)絡(luò)的三大顯著特征，為千萬用戶提供了個(gè)性化、多樣化的便攜式服務(wù)，與此同時(shí)用戶數(shù)目多、數(shù)據(jù)量大、信息開放、聯(lián)結(jié)形式多樣性，終端分布不均勻性，用戶關(guān)系難以管理等特點(diǎn)，致使網(wǎng)絡(luò)易受黑客的攻擊等一些潛在的安全威脅。這樣一來，保障用戶隱私安全、身份系統(tǒng)認(rèn)證和信息數(shù)據(jù)訪問控制等成為不可忽視的網(wǎng)絡(luò)安全問題。移動(dòng)社交網(wǎng)絡(luò)中用戶的隱私安全和支付安全方面的攻擊和竊取問題尤為突出，需加以重視并制定對(duì)策。

關(guān)鍵詞：移動(dòng)社交網(wǎng)絡(luò)；攻擊和竊取問題；隱私和支付安全；對(duì)策研究

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）28-0042-02

近幾年來，由于智能系統(tǒng)的興起和普及，移動(dòng)社交網(wǎng)絡(luò)也乘勢(shì)迅猛發(fā)展，其安全問題也接踵而來。第三方提供的社交軟件在給諸多用戶提供生活工作和交流便利的同時(shí)，個(gè)人信息泄露，資金賬戶被竊取等問題已經(jīng)威脅到使用者的生活和財(cái)產(chǎn)安全。當(dāng)用戶與外界進(jìn)行通信時(shí)應(yīng)用程序自動(dòng)讀取用戶通訊錄存儲(chǔ)的聯(lián)系人信息，并將正在使用該應(yīng)用的聯(lián)系人主動(dòng)提供并推薦給用戶。此項(xiàng)功能具有高效性和便利性，同時(shí)也能夠證明移動(dòng)社交通信類應(yīng)用軟件成為用戶生活必不可少的生活方式之一。然而，鑒于通訊錄所含內(nèi)容普遍涵蓋使用者的個(gè)人信息，因此在現(xiàn)實(shí)生活中應(yīng)用軟件在獲取用戶通訊錄之前，需首先通過用戶的許可驗(yàn)證，包括合法訪問的權(quán)限許可等。人們樂于將自己的個(gè)人信息在社交網(wǎng)絡(luò)上與他人共享，如果沒有良好的保護(hù)手段，如認(rèn)證、加密、防火墻及入侵檢測(cè)等，用戶信息的私密性將受到嚴(yán)重威脅。那么采取安全高效的隱私保護(hù)措施和高效便捷的支付安全，便成為移動(dòng)社交網(wǎng)絡(luò)安全領(lǐng)域的重要研究?jī)?nèi)容，對(duì)國(guó)家網(wǎng)絡(luò)安全的發(fā)展具有重要意義。

1 移動(dòng)社交網(wǎng)絡(luò)的隱私竊取以及對(duì)策

目前，智能手機(jī)和平板的大量涌現(xiàn)，APP應(yīng)用軟件也隨之快速更新，不良動(dòng)作往往在運(yùn)作過程中對(duì)用戶存在威脅。例如在使用移動(dòng)社交軟件中普遍采用通訊錄匹配功能，但使用前提不可忽視，一要確保手機(jī)號(hào)碼是否是綁定在用戶 本身上而非第三方使用者，二要確保用戶在相關(guān)應(yīng)用程序上傳通訊錄或具有其特征性的摘要信息獲得認(rèn)證。在應(yīng)用程序的系統(tǒng)默認(rèn)下，向用戶主動(dòng)提供并推送其聯(lián)系人信息就會(huì)極少構(gòu)成潛在的網(wǎng)絡(luò)安全威脅。但實(shí)際情況下并非如此，在便利的同時(shí)更不能忽視安全性，在沒有訪問控制與權(quán)限設(shè)置的前提下也給用戶隱私帶來隱患。通常情況下，賬戶作為使用者的標(biāo)識(shí)，在用戶想要判斷對(duì)方的個(gè)人資料和身份時(shí)能獲取的信息范圍很小，這樣一來，用戶便傾向于認(rèn)同那些資料詳細(xì)、完整的賬戶。但有些賬戶看似可信，一旦被其他人通過不法手段進(jìn)行控制并大量盜取用戶個(gè)人信息及資料并加以利用進(jìn)行偽裝詐騙、非法監(jiān)聽時(shí)，隱私保護(hù)問題就岌岌可危了。

1.1 隱私竊取手段

1）通訊錄、通話記錄及內(nèi)容、地理位置及定位，各類賬戶信息及網(wǎng)絡(luò)交易密碼都是可能被當(dāng)做隱私竊取的手段。通過該方法大量使用者的個(gè)人信息和賬號(hào)密碼會(huì)被攻擊者獲取，通常情況下由于手機(jī)號(hào)碼是普遍用于核實(shí)用戶真實(shí)身份的手段，因此在結(jié)合用戶資料后，提供給攻擊者更多方位的信息。

2）與此同時(shí)，惡意制作垃圾不良短信的人通過向社交應(yīng)用服務(wù)器提供給已獲取的用戶信息，就能夠獲取到其選定的手機(jī)號(hào)碼是否處于使用期間或在線狀態(tài)。由此不良用戶就會(huì)憑借已盜取的號(hào)碼中，將用戶的個(gè)人資料與信息用于非法的商業(yè)活動(dòng)等中。

3）在用戶注冊(cè)多個(gè)應(yīng)用程序的情況下，不法分子可以綜合其安裝的不同類別軟件中獲取到包括學(xué)校、院系和工作單位等詳細(xì)資料，會(huì)對(duì)諸多用戶的財(cái)產(chǎn)安全甚至人身安全受到不同程度的威脅；更嚴(yán)重的問題是，不法分子還可以根據(jù)所獲取的用戶信息偽造虛假的用戶身份進(jìn)而盜取信息。一旦被克隆，就等于為攻擊者開了一扇后門，達(dá)到克隆出一個(gè)和目標(biāo)用戶完全符合其標(biāo)準(zhǔn)的不實(shí)賬戶的目的。依靠微軟的終端服務(wù)不會(huì)釋放任何病毒文件，因此極具隱蔽性，所創(chuàng)建的克隆身份迷惑性越大，攻擊后產(chǎn)生的危害性就會(huì)越大。

1.2 主要對(duì)策

1）基于實(shí)名制的移動(dòng)社交網(wǎng)絡(luò)，賬戶的用戶名往往能提供其他用戶明確的身份提示，用戶實(shí)際上已提示了對(duì)目標(biāo)聯(lián)系人好友的先驗(yàn)知識(shí)，為了有效防止用戶個(gè)人信息被攻擊者收集，可以通過身份認(rèn)證對(duì)用戶身份進(jìn)行識(shí)別并僅返回該賬戶的用戶名，而不返回除此以外的其他個(gè)人信息。

2）對(duì)于未采取實(shí)名制的移動(dòng)社交應(yīng)用，建議利用訪問認(rèn)證確認(rèn)訪問權(quán)限并提供有關(guān)于用戶的個(gè)人信息的問題作為親密度的驗(yàn)證，這樣就降低了攻擊者竊取信息的可能性。使用通訊錄匹配功能的用戶通過此類提示來核實(shí)推薦好友的身份，其他信息應(yīng)設(shè)置為僅對(duì)已添加好友可見，這樣就能避免和有效阻止攻擊者獲得通訊錄聯(lián)系人對(duì)應(yīng)的賬戶信息。

3）手機(jī)號(hào)碼的隱私程度反映出二人的用戶關(guān)系的親密度，因此在通過通訊錄匹配功能推薦好友時(shí)，建議把通訊錄中將擁有該用戶的手機(jī)號(hào)碼推薦為可信好友，雙方擁有對(duì)方的手機(jī)號(hào)碼更能夠反映出雙邊的朋友關(guān)系，此辦法可信度高的同時(shí)也最大限度地降低了不法分子利用通訊錄匹配功能來獲取用戶資料的可能性。

2 移動(dòng)社交網(wǎng)絡(luò)的支付安全攻擊以及對(duì)策研究

由于TCP/IP協(xié)議在設(shè)計(jì)時(shí)容易忽視網(wǎng)絡(luò)自身的一些特點(diǎn)以及安全問題，但移動(dòng)社交網(wǎng)絡(luò)安全協(xié)議都架設(shè)在TCP/IP之上，因此TCP/IP協(xié)議本身的安全問題極大地影響了移動(dòng)社交網(wǎng)絡(luò)安全。由于網(wǎng)絡(luò)安全環(huán)境的不完善，讓用戶對(duì)手機(jī)等移動(dòng)設(shè)備缺乏安全感，移動(dòng)社交網(wǎng)絡(luò)的環(huán)境下支付安全更是如此。這些問題因移動(dòng)支付背后的產(chǎn)業(yè)鏈龐大以及影響范圍廣而造成，宏觀來看其中的運(yùn)營(yíng)商與服務(wù)商在復(fù)雜的支付產(chǎn)業(yè)鏈中運(yùn)營(yíng)體系存在差異，同時(shí)其表現(xiàn)形式也各不相同。為防止整個(gè)產(chǎn)業(yè)鏈中單個(gè)環(huán)節(jié)被攻擊，因此有必要通過內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)認(rèn)真分析各環(huán)節(jié)的安全問題隱患以及對(duì)策研究。

2.1 支付安全攻擊手段

1）金融機(jī)構(gòu)是用戶移動(dòng)設(shè)備綁定的銀行賬戶管理者，它是整個(gè)移動(dòng)支付環(huán)節(jié)的重中之重。若用戶在手機(jī)銀行綁定期間，不慎將手機(jī)遺失，就意味著手機(jī)卡號(hào)與其綁定的相關(guān)信息都會(huì)被別人輕易獲取。與此同時(shí)各金融機(jī)構(gòu)獨(dú)立開發(fā)的網(wǎng)絡(luò)銀行業(yè)務(wù)的交易安全標(biāo)準(zhǔn)應(yīng)被統(tǒng)一的廣泛認(rèn)可，移動(dòng)社交網(wǎng)絡(luò)方面金融機(jī)構(gòu)的總體安全狀況不樂觀。

2）第三方移動(dòng)支付服務(wù)提供商作為非銀行類金融機(jī)構(gòu)的第三方移動(dòng)支付服務(wù)提供商，此類機(jī)構(gòu)其職能不在傳統(tǒng)的行業(yè)監(jiān)管范圍內(nèi)，當(dāng)然存在著一些安全問題，例如對(duì)沉淀資金的管理是很容易產(chǎn)生資金風(fēng)險(xiǎn)問題的，有必要對(duì)沉淀資金進(jìn)行界定并保證沉淀資金的安全從而不會(huì)影響交易的完整性。在交易信息傳輸過程中，如果信息不能及時(shí)的在客戶端與服務(wù)端間進(jìn)行傳輸，會(huì)影響客戶支付的準(zhǔn)確性甚至重復(fù)支付等問題；若黑客利用該漏洞設(shè)法控制用戶和服務(wù)提供商兩者間的通信，那雙方交易過程就會(huì)被黑客所控制，并從中非法獲利，使用戶和服務(wù)提供商造成損失。

3）移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商是介于金融機(jī)構(gòu)、用戶和服務(wù)提供商之間的通信橋梁，移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商在促進(jìn)移動(dòng)支付業(yè)務(wù)發(fā)展中起著中流砥柱的作用。移動(dòng)社交網(wǎng)絡(luò)開放的環(huán)境中，SIM卡存儲(chǔ)著用戶簽約的所有敏感數(shù)據(jù)信息，若SIM卡被復(fù)制或者遺失意味著所有機(jī)密信息將被非法獲取。一般情況數(shù)據(jù)信息都使用明文通過移動(dòng)社交網(wǎng)絡(luò)或硬件技術(shù)進(jìn)行傳輸，而明文未加密易于被攔截或竊取，以至于機(jī)密信息在交易中被破解。

4）設(shè)備終端提供商是整個(gè)移動(dòng)支付環(huán)節(jié)的硬件，在4G網(wǎng)絡(luò)和移動(dòng)終端的愈加完善的環(huán)境下，移動(dòng)終端具備的功能也愈加完善，移動(dòng)支付應(yīng)用的支付功能與種類更是層出不窮。用戶需要通過注冊(cè)簽約信息、傳遞賬號(hào)及密碼等數(shù)據(jù)信息才能與移動(dòng)終端接入支付平臺(tái)，若因?yàn)槭褂靡苿?dòng)終端設(shè)備不當(dāng)而導(dǎo)致簽約用戶的敏感信息被病毒或木馬程序攻擊，使用戶銀行賬號(hào)信息安全受到威脅。

2.2 主要對(duì)策

1）金融機(jī)構(gòu)必須建立一套完整體系的防火墻防范黑客的攻擊，加密處理用戶的ID及密碼，尤其是對(duì)重要的數(shù)據(jù)信息甚至進(jìn)行重點(diǎn)加密處理，不得使用明文進(jìn)行信息傳輸。應(yīng)有安全日志記錄用戶對(duì)系統(tǒng)的訪問及時(shí)得到用戶客戶端的訪問動(dòng)態(tài)信息；在錯(cuò)誤日志中記錄所有應(yīng)用系統(tǒng)發(fā)生的錯(cuò)誤并在金融機(jī)構(gòu)相關(guān)部門及用戶客戶端得到反饋。用戶手機(jī)如果意外丟失或者被盜，為保證其手機(jī)卡號(hào)綁定的銀行簽約信息的安全，掛失后金融機(jī)構(gòu)應(yīng)迅速采取加密保護(hù)用戶信息。除此之外，金融機(jī)構(gòu)還應(yīng)制定可行的行業(yè)安全標(biāo)準(zhǔn)來規(guī)范移動(dòng)支付業(yè)務(wù)，建立統(tǒng)一完整的移動(dòng)支付安全機(jī)制。

2）制訂和完善相關(guān)法規(guī)來約束第三方移動(dòng)支付服務(wù)提供商，并且通過相關(guān)的法律將其納入日常監(jiān)管，必要時(shí)采取限額等針對(duì)性措施，為了規(guī)避其在運(yùn)營(yíng)過程中的風(fēng)險(xiǎn)也可以同時(shí)建立合理的信用評(píng)價(jià)體系。若出現(xiàn)重復(fù)支付或造成用戶損失的情況時(shí)，為保證用戶支付信息的準(zhǔn)確性，第三方移動(dòng)支付服務(wù)提供商應(yīng)限制用戶短時(shí)間內(nèi)發(fā)送支付請(qǐng)求的次數(shù)，必要時(shí)做出災(zāi)難備份與恢復(fù)技術(shù)方面的對(duì)策。

3）移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)制定統(tǒng)一完整的加密標(biāo)準(zhǔn)在移動(dòng)社交網(wǎng)絡(luò)中使用，這樣能夠增強(qiáng)通信信息的安全性，通過采取實(shí)名認(rèn)證和指紋驗(yàn)證等方法，既能確保交易雙方身份認(rèn)證又能防止不法分子竊取交易信息，嚴(yán)格控制交易數(shù)據(jù)的真實(shí)可行性和不可逆轉(zhuǎn)性。若發(fā)生SIM卡被復(fù)制或者入侵的情況，為保證個(gè)人信息的安全，用戶應(yīng)立即更換新的SIM卡，通過身份識(shí)別驗(yàn)證SIM卡的唯一加密ID，將原SIM卡中的數(shù)據(jù)庫數(shù)據(jù)更新至新SIM卡中得以使用并且刪除原卡的全部信息。由于手機(jī)卡號(hào)及密碼等信息容易被黑客攻擊，移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)采取密文傳遞方式來加強(qiáng)信號(hào)傳播的安全問題，防止信號(hào)被黑客截獲。此外，移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)建立完整災(zāi)難體系方案和應(yīng)急預(yù)案用來處理網(wǎng)絡(luò)的不穩(wěn)定性和支付行為的難以追蹤性引起的不必要行為和損失。

4）作為整個(gè)移動(dòng)支付產(chǎn)業(yè)鏈硬環(huán)境的設(shè)備終端提供商，加強(qiáng)移動(dòng)終端技術(shù)和后臺(tái)支持技術(shù)的開發(fā)是必須保證的，可以通過安裝金融級(jí)智能安全芯片、加密軟硬件、數(shù)字證書等方法使移動(dòng)設(shè)備終端的安全性得以提升，同時(shí)可以將用戶的密碼進(jìn)行加密技術(shù)處理后再進(jìn)行移動(dòng)支付的交易來確保交易的安全。

3 結(jié)束語

隨著全球信息化步伐的加快，網(wǎng)絡(luò)安全問題頻出，移動(dòng)社交網(wǎng)絡(luò)安全的保障之路任重而道遠(yuǎn)。不能僅僅需要網(wǎng)絡(luò)安全技術(shù)的支持更需要網(wǎng)絡(luò)用戶提高網(wǎng)絡(luò)安全意識(shí)。移動(dòng)社交網(wǎng)絡(luò)在其產(chǎn)業(yè)鏈的大力推進(jìn)下，移動(dòng)社交網(wǎng)絡(luò)正進(jìn)入一個(gè)黃金時(shí)代，因此解決移動(dòng)社交網(wǎng)絡(luò)中存在的各種安全威脅刻不容緩，同時(shí)也應(yīng)加強(qiáng)各安全領(lǐng)域之間的合作，制定通用具有實(shí)效性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和相關(guān)配套法規(guī)，共同促進(jìn)移動(dòng)社交網(wǎng)絡(luò)安全、高效和諧的發(fā)展。

參考文獻(xiàn)：

[1] 邱均平， 李艷紅. 社交網(wǎng)絡(luò)中用戶隱私安全問題探究[J]. 情報(bào)資料工作，2012，33（6）.

[2] 羅再陽. 移動(dòng)支付風(fēng)險(xiǎn)與安全機(jī)制分析[J]. 金融科技時(shí)代，2015（9）.

[3] 程瑤. 移動(dòng)社交應(yīng)用的用戶隱私泄漏問題研究[J]. 計(jì)算機(jī)學(xué)報(bào)，2014（1）.