Perface

手機作為一個隨身可移動的信息承載終端，面臨著各種不同使用場景，靈活的可配置的信息安全策略和穩(wěn)妥可靠的管理非常必要，需要提供必要的云端安全管控能力。

此處提到的云端安全管控平臺，包括運營商針對移動互聯(lián)網(wǎng)需求的網(wǎng)絡安全設計和運營商安全能力開放、可信應用商店、以及終端管理平臺。

1 網(wǎng)絡安全

移動互聯(lián)網(wǎng)產業(yè)隨著3G的大規(guī)模普及而起步，隨著4G的部署和商用而獲得了爆發(fā)性擴張，網(wǎng)絡對移動互聯(lián)網(wǎng)產業(yè)有著舉足輕重的作用，同樣地，網(wǎng)絡安全也是移動互聯(lián)網(wǎng)信息安全的基礎。

3G網(wǎng)絡引入了諸多安全技術，如采用用戶和網(wǎng)絡雙向身份認證、升級無線鏈路的加密算法提升傳輸安全、通過消息認證機制保護數(shù)據(jù)的完整性等，都有益于提高移動互聯(lián)網(wǎng)數(shù)據(jù)安全性。

但始料未及的移動互聯(lián)網(wǎng)飛速發(fā)展依舊對3G網(wǎng)絡造成了極大沖擊。大量網(wǎng)絡不友好的移動互聯(lián)網(wǎng)應用占用大量的網(wǎng)絡資源，惡化了網(wǎng)絡服務質量，極端情況下引發(fā)的信令風暴可能導致網(wǎng)絡癱瘓。

信令安全甚至一度引發(fā)了運營商和OTT（Over the Top，應用服務）廠商的論戰(zhàn)。信令與無線通信系統(tǒng)中傳輸?shù)挠脩粜畔⒉⒘?，它是全網(wǎng)正常通信所需要的控制信號。當某些互聯(lián)網(wǎng)應用頻繁地和服務器交換小流量數(shù)據(jù)，如維持在線而發(fā)送的心跳，狀態(tài)更新及小流量對話數(shù)據(jù)等，會消耗大量網(wǎng)絡信令資源，在信令超出網(wǎng)絡信令處理能力時，網(wǎng)絡將失控并導致服務不可用，這稱為信令風暴。如何降低智能終端及應用對網(wǎng)絡的影響，曾一度成為3G時代全球運營商共同面對的難題。

面對此難題，運營商從網(wǎng)絡層面出發(fā)，除適當擴容和監(jiān)控預警等常規(guī)性措施外，快速啟動了網(wǎng)絡優(yōu)化配置和版本升級。例如，中國聯(lián)通將其3G網(wǎng)絡升級至R8版本，允許終端長期處于cell_PCH，減少終端狀態(tài)切換帶來的信令交互消耗。同時，運營商積協(xié)調終端廠商同步升級R8支持，推動終端及應用心跳周期統(tǒng)一配置等，部分運營商還建設了統(tǒng)一消息推送機制并對開發(fā)者開放能力，迅速應對了信令安全的問題。

4G網(wǎng)絡在安全功能方面繼續(xù)不斷完善和擴展，在移動設備和業(yè)務網(wǎng)之間增加了非接入層的安全，使非接入層和接入層的安全獨立開來便于操作；對接入網(wǎng)和業(yè)務網(wǎng)之間的通信引入安全管理；另外，增加了服務網(wǎng)認證，縮減空閑模式的信令開銷。

國內的移動通信網(wǎng)絡在未來一定時期內將處于2G、3G、4G多種制式共存的態(tài)勢，網(wǎng)絡安全將一直是運營商面臨的關鍵問題。但可以確定的是，隨著網(wǎng)絡的進一步演進，其安全機制和安全功能一定會不斷地完善。

2 運營商安全能力開放

運營商主動擁抱移動互聯(lián)網(wǎng)商業(yè)模式，在為行業(yè)提供優(yōu)秀的網(wǎng)絡服務之外，積極向行業(yè)開放其安全能力，為互聯(lián)網(wǎng)業(yè)務提供安全能力解決方案。

典型的，包括前述針對信令風暴的統(tǒng)一消息推送機制，運營商可提供消息推送平臺支持和終端消息相應處理解決方案，推動終端及應用心跳周期統(tǒng)一配置。其他還依托應用商店提供廣告平臺、應用內支付等能力支持。

運營商基于SIM卡的安全能力，還推出了統(tǒng)一鑒權系統(tǒng)。移動設備中，SIM卡作為天然的鑒權工作，使其成為移動互聯(lián)網(wǎng)應用統(tǒng)一鑒權的不二選擇。SIM卡統(tǒng)一鑒權就是利用SIM卡實現(xiàn)對應用軟件App的接入認證，通過開放SIM卡現(xiàn)有能力，將SIM卡通信鑒權的便利性帶到移動互聯(lián)網(wǎng)的應用鑒權中，使用戶享受更安全便捷、無感知的應用鑒權方式，同時為眾多移動互聯(lián)網(wǎng)應用提供開放性的平臺化接入服務。

3 可信應用商店

可信應用商店，即為手機用戶提供通過認證、安全可靠、種類豐富的手機應用。與一般的應用商店不同，可信應用商店對上架的App應用進行全程跟蹤與驗證，嚴格保障應用商店安全管理措施的實施。

對開發(fā)者賬戶，采用實名制方式備案，并經(jīng)過資質審查，保證開發(fā)者可靠；對應用，要嚴格審核證書簽名，確保應用來源可靠；對上傳發(fā)布的應用，可信應用商店，需通過完備的功能和安全測試，進行多種安全檢測及風險評估；對應用安裝和運行，加強終端應用管理器的安全管控能力，檢查應用來源和簽名證書。

可信應用商店安全體系保證了所提供的每一款應用都來源可信、安裝可信、使用可信，為用戶的安全提供有力保障。對有條件的政企用戶，還可以加強可信商店和可信應用的定制，在應用分發(fā)環(huán)節(jié)提供更進一步的安全管控。

4 終端管理平臺

終端管理平臺是移動終端的管理平臺，隨著技術演進和行業(yè)細分，還衍生出

• EMM（Enterprise Mobile Management，企業(yè)移動管理）、
• MDM（Mobile Device Management，移動設備管理）、
• MAM（Mobile Application Management，移動應用管理）、
• MEM（Mobile E-mail Management，移動郵件管理）和
• MCM（Mobile Content Management，移動內容管理）等更多功能。

終端管理平臺的核心功能，大致可分為以下幾點。

• 1）設備管理：設備注冊、應用目錄管理、設備配置等。
• 2）技術支持：終端遠程控制、遠程診斷等。
• 3）數(shù)據(jù)安全：遠程數(shù)據(jù)擦除、E-mail安全策略、遠程終端鎖定、遠程數(shù)據(jù)備份和恢復、安全策略部署等。
• 4）設備監(jiān)控：終端安全掃描、準入罰出管理、定位和報警等。
• 5）追蹤：終端定位、終端應用掃描、防遺失策略等。

而從用戶需求角度，公眾用戶注重的是終端防丟失管理、數(shù)據(jù)備份和恢復等；而政企應用，則關注數(shù)據(jù)加密保護、遺失后遠程終端鎖定和數(shù)據(jù)擦除、終端運行監(jiān)測、終端安全策略部署等。

終端管理平臺的部署，會有效提高公眾用戶的數(shù)據(jù)安全性，并為政企行業(yè)的IT管理人員有效實施終端安全策略提供強有力的支持。

智能終端安全標準化研究工作

移動通信技術與互聯(lián)網(wǎng)技術日益結合，移動智能終端的廣泛應用及應用場景的不斷擴展，在帶領便利性的同時，也面臨著巨大的安全威脅。為改善移動智能終端安全形勢，規(guī)范移動智能終端安全要求，最終推動整個移動互聯(lián)網(wǎng)的健康發(fā)展，標準化組織廣泛關注了移動智能終端信息安全問題，并完成了大量標準化研究工作。

中國通信標準化協(xié)會（CCSA）先后頒布了終端安全方面的一系列標準，規(guī)定了移動智能終端安全的設計原則、設計思路、安全威脅、安全框架、安全目標、安全要求和解決方案。

1 移動智能終端安全系列標準

1 YD/T2407-2013《移動智能終端安全能力技術要求》

《移動智能終端安全能力技術要求》規(guī)定了移動智能終端安全能力的技術要求，

• 包括移動智能終端硬件安全能力、
• 移動智能終端操作系統(tǒng)安全能力、
• 移動智能終端外圍接口安全能力、
• 移動智能終端應用層安全要求、
• 移動智能終端用戶數(shù)據(jù)保護安全能力等，

并對安全能力進行了分級。

本標準的基本原則是：**移動智能終端上發(fā)生的行為和應用要符合用戶的意愿。本標準并不規(guī)定具體的實現(xiàn)方法和措施，以利于創(chuàng)新和發(fā)展。**本標準從硬件安全能力要求、操作系統(tǒng)安全能力要求、外圍接口安全能力要求、應用軟件安全要求、用戶數(shù)據(jù)安全保護能力要求5個層面對移動智能終端的安全能力提出了要求，并從基本的安全保障、實現(xiàn)難度、特殊安全能力等層面對安全能力進行了分級，以便于產品具有特定品質，便于消費者選擇。

通過本標準一方面能夠引導移動智能終端中預置應用軟件更加規(guī)范、安全；另一方面也能引導移動智能終端提高自身的安全防護能力，可對后下載的第三方應用進行安全管控；同時也能防范移動智能終端中預置惡意代碼對網(wǎng)絡造成安全影響。

2 YD/T 2408-2013《移動智能終端安全能力測試方法》

《移動智能終端安全能力測試方法》是《移動智能終端安全能力技術要求》配套的測試方案，針對移動智能終端安全能力技術指標設計了可行的測試方法，用于驗證移動智能終端是否滿足技術要求。包括移動智能終端硬件安全能力測試方法、移動智能終端操作系統(tǒng)安全能力測試方法、移動智能終端外圍接口安全能力測試方法、移動智能終端應用層安全能力測試方法、移動智能終端用戶數(shù)據(jù)保護安全能力測試方法等。

通過提高移動智能終端的自身的安全防護能力，防范移動智能終端上的各種安全威脅，避免用戶的利益受到損害，同時防止移動智能終端對移動通信網(wǎng)絡安全產生不利影響。

3 《移動終端芯片安全技術要求和測試方法》

移動終端芯片安全是構建移動終端安全運行環(huán)境的基礎，是保障移動終端操作系統(tǒng)和應用軟件安全運行的基礎，可有效提升移動終端系統(tǒng)底層安全防護能力。

《移動終端芯片安全技術要求和測試方法》規(guī)范了移動終端的應用處理器芯片、基帶芯片和存儲芯片的安全技術要求，并提出相應的測試方法。

2 移動終端可信環(huán)境技術要求系列標準

移動終端可信環(huán)境技術要求系列標準在研究我國移動終端面臨的安全風險的基礎上，根據(jù)我國移動終端業(yè)務發(fā)展的安全需求，參考國際標準組織OMTP（Open Mobile Terminal Platform，開放移動終端平臺）、GP制訂的TEE（Trusted Execution Environment，可信執(zhí)行環(huán)境）標準編制而成。

本系列標準所描述的移動終端可信環(huán)境是存在于移動終端內，通過混合使用硬件和軟件的方法在物理上隔離出兩個平行的執(zhí)行環(huán)境：普通的非保密執(zhí)行環(huán)境和安全的保密環(huán)境。

其中，稱非保密執(zhí)行環(huán)境為富執(zhí)行環(huán)境（REE, Rich Execution Environment），它是針對多功能性和豐富性創(chuàng)建的環(huán)境，并執(zhí)行移動終端操作系統(tǒng)，在設備生產以后向第三方開放下載。

該環(huán)境下的安全是其考慮因素，但并非最重要的因素；而安全的保密環(huán)境被稱為可信執(zhí)行環(huán)境TEE，它由軟件和硬件組成，針對在REE環(huán)境中生成的軟件攻擊提供保護。

小結

面向移動互聯(lián)網(wǎng)智能終端信息安全的參考解決方案，包括分層次的終端安全解決方案、終端產品化、云端安全，實現(xiàn)完整的“端—業(yè)務—云”的移動互聯(lián)網(wǎng)信息安全體系。文章來源地址http://www.zghlxwxcb.cn/news/detail-744352.html

參考資料

• 《移動互聯(lián)網(wǎng)時代的智能終端安全》

到了這里，關于智能終端安全：應用安全技術—移動互聯(lián)網(wǎng)信息安全解決方案（下）的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！