谨防安全问题成为移动互联网发展的暗礁        

工业和信息化部赛迪研究院    周大铭  陈光

【内容提要】  2013年6月，“棱镜门”事件引发了信息安全领域的一场“海啸”，也引发了对信息技术产业各细分领域安全问题的关注。移动互联网作为现代信息技术产业的新兴领域，在快速发展的同时，其信息安全问题也在逐步放大，新风险、新隐患不容忽视。赛迪智库软件与信息服务业研究所认为，目前移动互联网信息安全隐患重重，如不予以重视和解决，不仅会给企业和个人带来损失，而且可能随时危及国家安全。为此，我国必须着手做好四项工作：建立健全信息安全政策法规体系，加快推进安全标准体系建设，加强关键技术和核心产品研发，完善安全监管体制。

【关键词】  移动互联网   信息安全   

近年来，信息安全事件频频发生、越演越烈，造成的影响和危害不断升级，每一个用户、企业、组织乃至整个国家，都笼罩在信息泄露的危险之中。“棱镜门”事件的曝光，再一次把信息安全问题推向风口浪尖，其中涉及到的9家知名企业中，几乎都涉足移动互联网领域，而谷歌、苹果、Facebook、Skype等又是移动互联网产业的领导者，在产业链中具有极强的控制力。这不免让人们为移动互联网的安全问题增添了几分担忧。同时，随着移动互联网产业的快速发展，其用户数量已经超过桌面互联网用户数，信息安全问题的影响正在不断放大，并呈现出新态势和新威胁。那么，移动互联网信息安全面临哪些隐患？我国移动互联网安全监管面临怎样的挑战？我国又该采取怎样的对策加强移动互联网安全？这些问题值得我们思考和研究。

一、移动互联网信息安全面临三重隐患

（一）国家信息安全隐患加剧

移动互联网事关国家信息安全。首先，我国智能终端所使用的核心芯片、操作系统等关键软硬件产品及部分关键网络设备的核心技术都掌控在国外企业手中，我们对其安全漏洞和安全隐患很难深入了解，难以应对有组织的安全攻击，存在被渗透甚至被控制的风险，极大地威胁国家信息安全。其次，我国移动互联网企业整体实力较弱，导致众多国内用户长期使用国外公司的产品和服务，各种信息容易被国外公司收集利用，存在跨国公司向国外组织或机构泄露我国信息的风险。例如，在棱镜门事件中，微软、谷歌、苹果等跨国公司都涉嫌与美国国家安全局（NSA）合作，NSA可以对任何在美国以外地区使用这些公司服务的客户进行监听，内容包括即时消息、语音通话、照片和存储资料等大量信息。第三，随着移动互联网越来越普及，社交网络等移动应用越来越广泛，敌对势力及反动群体利用这些途径组织非法活动变得越来越容易，成为影响国家安全的又一隐患，给移动互联网信息监管提出了更高要求。

（二）企业信息安全风险加大

随着信息技术的快速发展，企业的信息化水平逐步提高，越来越多的企业把数据资产作为企业的核心战略资产，因此，对私密数据的安全保护变得越来越重要。移动互联网的快速发展使得BYOD(自带设备办公)等模式逐渐成为企业的重要工作模式，在帮助企业提高效率的同时，也让企业数据能够更快捷地与外界连通，使企业关键数据的保护变得难以控制，数据泄露风险急剧加大。英国电信最近对11个国家中推行BYOD政策的2000家企业进行的调查显示，39%的企业因为员工使用未经授权设备进入公司网络，导致数据泄露；45%的企业移动设备防护处理能力有限，导致病毒、黑客势力侵入。

（三）个人隐私安全危害增多

移动智能终端的出现不仅提升了用户的交互能力，而且还能储存和处理更多的用户隐私数据。随着智能终端的高度普及，移动互联网个人用户的信息安全风险正逐渐增加。目前，恶意程序、应用软件的预留后门及手机病毒已经给用户带来终端系统瘫痪、隐私信息泄露、话费损失等各种风险。中科院的一项调查研究发现，安卓手机系统应用软件存在严重的窃取用户隐私行为。在调查的1429款软件中，存在1825个敏感信息的窃取行为，可以在用户浑然不觉的情况下，将用户手机号码、地理位置、通讯录、短信内容等个人信息泄露出去，对人们生活造成极大危害。

此外，随着移动互联网技术的进步、涉及范围的扩大，未来还可能出现一些不可预知的安全风险，例如针对车载移动设备和智能穿戴设备的攻击，这些都是移动互联网安全的重大隐患。

二、我国移动互联网安全监管面临严峻挑战

（一）政策法规体系尚待完善

移动互联网的信息安全问题呈现新特点，给政策法规的研究制定和实施带来极大挑战。移动互联网具有用户规模更大、个人隐私信息相对集中、数据信息来源更广泛、传播迅速等特点，其信息安全问题与互联网的有所不同。针对于此，我国政府除了依靠《公共互联网网络安全应急预案》等政策法规外，还出台了《移动互联网恶意程序检测和处置机制》。但是，目前的政策法规中还有很多重点问题没有解决，如惩治手机恶意程序源头的措施、利用移动互联网犯罪、源自境外的安全问题处理方式方法等。这些问题已经相继出现，完善移动互联网安全的政策法规体系迫在眉睫。

（二）安全监管能力亟待提升

APP数量大、增长快，且下载无需认证和许可，给监管提出了新课题。目前大量的手机病毒、木马和恶意程序隐藏在APP中，能轻易地进入手机，造成极大的安全隐患。2013年上半年，我国有关APP安全问题的数量达到362万件，手机病毒感染量超过4.8亿人次。然而，目前APP都是开发者通过第三方提供的平台（如APPStore、安卓市场等）将服务和应用提供给用户，如果监管部门无法与平台提供商达成某种共识，就不可能从根本上限制和解决APP染毒的问题。同时，移动互联网技术的复杂性也给安全监管工作带来诸多挑战。例如，为了解决IPv4地址资源有限的问题，移动互联网引入了NAT（网络地址转换）技术，这种技术不遵守互联网“端到端透明性”的体系架构，使安全监管难度增大。

（三）信息安全技术有待升级

智能终端的安全问题比PC更加复杂，传统的信息安全技术无法满足移动互联网安全需求。相对PC，智能终端的恶意代码散布路径更多样、业务应用环节更复杂、储存和计算成本更高，相应安全防护技术的开发存在很大的局限性。例如，终端病毒库的储存和更新就是一个棘手的难题。此外，移动通信持久在线的特点使窃听和监视变得更加容易，较PC而言，智能终端与用户的关联性更强，储存着用户的隐私、位置和金融等敏感信息，攻击诱惑性更大。总而言之，智能终端作为服务和信息的载体，随着技术进展，其安全问题将会越来越复杂多变。

（四）部门职责还需进一步明确

移动互联网涉及的范围越来越广，参与的主体日益增多，若各相关部门的职责不明，安全防护将形同虚设，安全问题也无法及时地发现和解决。在移动互联网产业链生态体系中，电信运营商、手机制造商、互联网企业和应用服务提供商等处于核心位置，在产业链上下游还有众多的设备制造商、网络服务商、研发设计企业和软件开发者等。同时，随着移动互联网业务的不断延展，媒体、金融、电商、教育、医疗、交通等行业的企业也纷纷加入，使得与移动互联网相关联的部门众多。职责界限难以厘清，导致安全问题肆意蔓延。此外，很多移动互联网企业是外籍企业，为监管部门的管理叠加了一定的困难。

三、加强移动互联网信息安全的对策建议

（一）建立健全政策法规体系

一是针对移动互联网等新兴产业制定有针对性的法律法规，例如“数据保护法”、“个人信息保护法”、“移动互联网信息安全保护管理办法”等适用于新网络环境下的法律，针对新产业出现的新技术、新业态提高法律法规的适应性和可操作性。二是加快研究具有前瞻性的行业管理办法，例如针对移动互联网新技术、新业务建立网络与信息安全评估机制，建立移动互联网企业信用记录、评估与公示制度，制定移动上网日志留存规范等，使安全隐患在业务推广普及前得到及时有效的解决。三是鼓励行业协会等行业组织牵头制定行业公约、行业协议等自律措施，自我规范组织内企业提供危害信息安全的恶意软件、恶意服务等不正当行为，以引导社会各方共同参与移动互联网信息安全建设，加强社会监督力量。四是主动融入国际信息安全法律体系，在制订政策和法律的时候注意和现有国际规则的兼容，包括在立法思想、方式方法上和具体法律规定等各方面的相互兼容。积极主动地参与国际规则的创设，以维护我国的实际利益。

（二）加快推进标准体系建设

一是加快完成移动互联网产业安全标准体系框架的建设，全面梳理产业各个环节安全保障方面的国内外相关标准，做好整体布局和顶层设计，加快构建层次分明的安全标准体系框架。二是加快制定产品、服务、应用和技术的共性标准，为相关产品和服务的市场准入提供安全评测的依据，强化和保证我国移动互联网产品、服务的可控性。三是研究建立移动互联网评估认证机制，构建涵盖产业各环节的测试评估能力，支持第三方机构开展评估评测工作。四是不断加大国际标准制定时的参与度，大力推动国内标准与国际标准接轨，积极争取国内标准的国际化。

（三）加强关键技术和核心产品研发

一是加快移动互联网安全关键技术研发，重点加大对安全评估测评工具及技术、数据防泄漏及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入。二是加强移动智能终端硬件产品的研发，鼓励终端企业加大创新投入，加强自主知识产权终端双模芯片、多模芯片的研发，鼓励电信运营商给予国产高端智能终端与三星、苹果同样的补贴支持。三是加强智能终端操作系统的研发，加强对Linux内核源码、安卓内核源码的分析，研发出具有自主知识产权的安全可靠的手机操作系统，并推动国际级产业标准的制定。

（四）完善安全监管体制

一是加强部门间的协同协调合作，探索跨部门协调机制有效发挥作用的新模式，就移动互联网安全发展的重大问题达成共识。二是进一步细化并明确各部门职责，做到信息数据、个人隐私、软件硬件等不同类型的安全问题与相关部门一一对应，有效防范监管体系中的脱节、错位问题。三是建立健全并严格落实部际移动互联网安全联席会议制度，推进安全监管工作的规范化和制度化，着力提升监管水平和抗风险能力。四是建立与境外移动互联网企业和第三方应用平台运营商的沟通机制，要求其遵守国内的法律法规，远期通过谈判或法律法规等手段，要求其将服务器搬移到境内，纳入国内监督管理体系。