构建移动互联网业务安全框架.docx
《构建移动互联网业务安全框架.docx》由会员分享,可在线阅读,更多相关《构建移动互联网业务安全框架.docx(5页珍藏版)》请在冰豆网上搜索。
构建移动互联网业务安全框架
构建移动互联网业务安全框架
1概述
近些年来,移动互联网的安全问题受到越来越多从业者的关注和研究,如何构建移动互联网安全框架的课题也变得越来越重要。
如果参照传统的7层OSI网络架构的思路去构建移动互联网安全框架,类似从物理安全、主机安全、中间件安全、操作系统安全到应用层安全这样的分层分类方式则呼之欲出。
遗憾的是移动互联网业务种类和场景的多样性使得这种通用型的框架在实际工作中并没有多少实用价值。
不同业务特性的巨大差异使得这些业务面临的安全威胁及其安全侧重点也各不相同,为这些不同种类的业务设计一个相对统一的、有实际参考价值的安全框架正在成为一个重要的研究课题。
如果回想一下我们耳熟能详的移动互联网业务,最先浮现在我们脑海的是如微信、QQ、飞信这样的即时通讯业务,如新浪微博、XX视频这样的内容型业务,如豌豆荚、机锋市场这样的应用商城业务,如XX地图这样的基于位置的应用。
用户在使用这些业务的时候可能涉及注册、登录等环节,可能会阅读他人发布的文字或多媒体内容,可能会从应用商城中购买、下载一些应用,可能会使用GPS定位功能。
如果这些场景的安全漏洞被利用,用户可能会因为业务流程的漏洞在注册过程中遭受短信炸弹的攻击,可能因为下载了带有恶意代码的应用使得手机感染病毒;业务可能因为恶意用户发布、转载色情内容遭受大面积投诉和舆情主管部门的处罚,也可能因为内部管理不善造成大面积的用户信息泄露事件。
在对现有移动互联网业务进行统计分析的基础上,笔者发现纷繁复杂的业务可以大致分为内容发布型、信息交互型、在线电商型这几大类。
对于这些业务,首先需要保证它们在流程和逻辑上不能有漏洞,否则很容易被恶意用户利用;其次,需要保证其内容的安全性,即无论是业务官方发布的还是用户交互的内容都要合法合规,不能包含宗教、种族、政治、色情等违规内容;第三,业务的重要入口――客户端,不能含有恶意代码;最后,业务如果保留了用户的隐私信息,则有义务保证这些信息的机密性。
综上所述,本文将从业务流程安全、内容安全、手机应用安全、用户信息安全4个角度构建移动互联网业务安全框架。
一方面,这4个角度是基于对现有移动互联网业务进行总结分析而来的,所以若有新的业务形态、安全威胁场景出现,这个框架需要进一步更新;另一方面,这4个角度是平行的领域,没有先后,不同业务在这4个领域各有侧重。
2移动互联网业务安全框架
2.1业务流程安全
业务流程安全风险是移动互联网业务最直观的风险。
若某业务在注册页面未加载图形验证码,这可能会导致该业务被批量注册;在登录的时候未采用未成功尝试次数限制,可能会导致账户被暴力破解。
所以在移动互联网业务的设计过程中,为了保证业务的正常运转,首先要考虑的就是设计一个全面、完整、安全的业务流程,防范因流程不完善造成的风险。
最典型的流程包括注册、登录、订购和计费。
在用户注册过程中,一些业务由其业务特性决定了必须采用实名注册的方式方可使用(如微博),但业务流程未强制要求用户输入手机号、身份证号等实名信息。
这可能导致信息发布不可控、用户行为不可追溯等风险。
在注册过程中,图形验证码、短信验证码、电子邮件验证是防范批量注册风险的重要手段。
与此同时,业务还需要对使用同一手机号、邮箱地址注册的用户做出注册次数限制,否则有可能会造成短信炸弹或者邮件炸弹。
另外,业务还需要对用户的密码强度进行限制,防范弱密码风险。
在登录过程中,很多业务通过下发短信验证码或者邮件验证码的方式保证账号的安全性。
但是需要注意的是,业务也需要对短信验证码和邮件验证码的下发次数做出限制,否则也可能造成短信炸弹或邮件炸弹。
除此之外,登录过程最常见的风险之一就是账户的暴力破解、字典攻击。
为了克服此类风险,除了在注册阶段强制用户使用强密码以外,还需要为用户账户和IP地址设置登录尝试次数的限制。
订购和计费是用户使用过程中产生费用、业务获得收入的主要步骤。
它面临多个方面的安全风险,为此:
首先,在订购关系的产生过程中,需要保证该订购出自于用户的真实意愿。
这就需要业务通过各种手段(如上行消息确认、上行短信确认等)二次确认用户的订购意愿。
这样一来,一可以防止用户因客户端病毒造成恶意订购或者不知情订购的现象,二可以保证订购结果的可追朔性和不可否认性。
其次,订购关系在用户客户端产生并上传后必须实时同步到业务系统中的相关模块。
这可以避免因同步不及时造成的运营风险。
最后,订购关系无论在传输还是存储的过程中,都应该根据实际情况考虑该类数据传输及存储的机密性和完整性。
因为对于任何一种业务来说,订购关系数据的丢失或者不准确就意味着该业务的收入无法对账和确认。
2.2内容安全
内容安全风险源于对内容管控的不利,大量违规内容(如宗教、种族、政治、色情等)的扩散会引起恶劣的社会反响。
前不久中央电视台曝光的微博“大V”用户利用个人影响力左右舆论的案例表明,移动互联网业务内容安全风险需要进行大力防范。
违规内容可能来自业务本身的运营团队,也可能来自用户。
内容安全的目标就在于保证该业务的所有内容扩散渠道没有违规内容出现。
(1)广告位:
广告位一般位于业务醒目的位置以方便将此位置的内容广而告之。
若它被恶意利用作为扩散违规信息的载体,则会给业务带来灾难性的后果。
这就要求业务运营团队在发布、更新广告位内容时遵循“编”、“审”、“发”分离的原则。
即广告内容的编辑、审核和发布必须分离,且由不同人来完成,这样可以很好地克服单人操作的风险。
除此之外,如果业务运营团队能够搭建一个内容发布平台将此流程固化到平台中,则可以保证所有的操作人员严格地执行“编”、“审”、“发”分离的要求;平台也能够记录每一步操作的日志,保证了操作的可追溯性和不可否认性。
(2)短彩信:
租用运营商的短彩信端口,并将短彩信发送能力提供给用户是很多移动互联网业务的重要功能之一。
当然,业务运营团队也可以利用该短彩信端口开展业务营销。
所以移动互联网业务短彩信内容的安全风险一般需要从两个角度去考量:
业务运营团队营销短彩信的内容安全和用户自写短彩信的安全。
用户自写短彩信的内容安全属于UGC(UserGenerateContent)安全的范畴,将在下文集中讨论。
对于营销短彩信的安全来说,内容合规以及对发送对象的管控是主要管控目标。
与广告位内容合规一样,营销短彩信的内容合规性可以通过遵循“编”、“审”、“发”分离的原则达成。
对于短信发送对象的管控则比较复杂。
近年来,垃圾短信的现象日益严重,2014年2月,国家开始研究设立新广告法,并将短信广告纳入其约束范围:
在没有用户允许的情况下,向其发送含有广告内容的短信将成为违法行为。
所以,在业务团队群发营销短彩信时需要注意该发送对象是否已经同意接收此短信。
如果在不知用户是否同意的情况下,则可以考虑在发送给用户的短信后面添加类似“回复‘X’不再收到此类短信”的字样。
(3)用户自写信息(UGC):
它的种类多种多样,包括微博发文、论坛发帖、评论、昵称、头像、个人文件共享、短彩信等。
它可以以文字、图片、音频、视频、文件等多种形态出现。
UGC内容安全面临的最大挑战是业务运营团队必须保证用户自写内容的合规性,不能让业务成为非法传播违规内容的手段和渠道。
实现UGC内容合规的主要手段有两个:
自动化过滤和人工审核。
自动化过滤是通过过滤引擎自动识别非法内容。
到目前为止,自动化文字过滤相对来说比较成熟,但是图片和视频过滤准确度较低,音频、文件等内容尚无自动化过滤手段。
所以,业务运营团队可以通过人工审核的方式为自动化过滤进行修正和补充。
(4)App:
绝大部分App中都包含着文字和图片,有些还包含有音频和视频。
一方面,业务运营团队需要严格控制自有App的内容发布流程,遵循“编”、“审”、“发”分离的原则;另一方面,第三方App(如“豌豆荚”应用商城发布来自于个人或企业开发者的应用)的内容管控则可以借鉴UGC内容安全管控的方法。
需要注意是,App的开发者可能会将违规的内容放置在加密文件夹中,用户安装且输入密码后才能浏览,这就造成应用商城无法对其进行过滤和审核。
另外,App可以通过在线更新的方式将非法内容更新到新版本的App中。
这两种场景对于应用商城业务运营团队来说,都没有较好的方案在第三方应用上线前将其发现和解决,只能通过例如用户投诉或在线监测等手段了解哪些App带有不合规内容,随后进行处理。
2.3手机应用安全
手机应用安全风险是移动互联网时代重要且典型的安全风险之一。
用户在手机上安装了某款手机应用(App)以后,如果App中包含或被植入(因为本身的漏洞)恶意代码,手机终端可能会被修改系统的设置、被申请敏感的权限甚至被窃取隐私信息。
比如“不知情订购”可以在用户不知情或未授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户的经济损失;又如“隐私窃取”可以在用户不知情或未授权的情况下,收集涉及用户个人的信息,并以短信、联网等形式泄露这些信息,导致用户隐私泄露。
手机应用安全的目标就在于通过对App恶意性的研判、识别和对恶意应用的查杀,帮助用户很好地面对这些安全场景、解决这些安全问题。
到目前为止,恶意应用和行为的检测与识别技术主要包括两大类:
基于特征值匹配技术和基于行为的启发式检测技术。
基于特征值匹配技术是目前反病毒公司普遍采用的恶意代码检测技术。
该技术主要通过将手机应用与恶意代码数据库进行匹配的方式判定该应用是否包含恶意代码或者感染病毒。
它主要包含两类方案:
第一,通过扫描引擎将手机应用的安装包进行解压,逐一对单个文件计算特征值,并与恶意代码特征库中的特征值逐一比对,从而判断应用中是否包含恶意性代码。
第二,扫描引擎将安装包反编译成虚拟机识别的Dalvik字节码,以每个语句单元的“操作码”为主特征码,以细节信息为辅助特征码,与恶意代码特征库进行匹配,若发现匹配项则可判断该应用包含恶意代码或感染了病毒。
基于行为的启发式扫描是基于特征值匹配技术的升级,与后者相比有着对未知恶意代码和病毒进行防御的优点。
由于恶意代码要达到感染和破坏的目的,具备一定的行为特征,因此可以通过动态的分析和监测手机应用的代码与行为来判断其是否具有恶意性,而不依赖恶意代码特征库。
2.4用户信息安全
在移动互联网时代,手机逐渐演变为用户的个人辅助性数字终端,它包含了用户非常多的个人信息,如手机号码、通讯录、短信信息、位置信息、各类账户密码信息等。
个人信息和隐私保护问题变得愈发重要。
从理论上说,信息保密的原则在于信息的产生、传输、存储、处理的各个环节的保密。
典型的信息产生阶段是用户的注册阶段,用户密码显然就是敏感的、需要被保护的信息。
除此之外,一些有实名注册需求的业务(如微博)要求输入用户的手机号码和身份证号码。
这些信息在用户提交给系统的时候,可以采用加密通道传输的方式防止信息在传输的过程中被截获和窃听,如SSLVPN、IPSECVPN。
当用户敏感信息上传到系统中以后,可采用加密存储的方式保证信息的机密性。
当业务系统需要访问、处理这些信息的时候,可采用多人操作的模式,通过遵循“授权不操作、操作不授权”的原则防止个人权限过大带来的信息泄露风险。
但是在实际的业务运营过程中,是很难达到这种理论的效率的。
从用户角度来说,一旦其敏感信息被业务运营方获取以后,他们很难相信业务方能够真正地保障其隐私信息的机密性。
基于这种需求,近些年学术界兴起了一个新的研究方向:
如何使得业务方在并不真正拥有用户隐私信息的情况下顺利地开展业务。
比如业务方只拥有用户的地理位置的加密信息,不了解用户真实的地理位置(如经纬度),却能够为用户提供类似“附近的人”等信息。
但是这一类技术尚在理论研究的阶段,并没有大规模的商业应用。
另外,大数据挖掘技术能够从一些看似不包含隐私信息的公开数据中挖掘出非常有用的隐私信息。
比如“表哥”佩戴的手表的价格显然是隐私信息,但是通过搜集、分析网络上公开的十余张照片,我们不难了解他的收入水平。
这也使得在大数据时代用户隐私的保护变得越来越困难。
3结束语
本文着眼于移动互联网业务的形态和特点,梳理了移动互联网业务安全框架。
随着移动互联网的飞速发展,构建其安全框架其实是一个开放性的命题。
传统通信领域中使用同一框架(如ITUX.805)去适配多个场景、多种网络的思路已不再适用移动互联网领域,那会使得安全框架的可用性和可落地性有限。
新的业务必将引发新的安全威胁,这就需要安全从业者不断地从业务形态和场景出发,设计面向业务的安全解决方案,不断地更新和完善业务安全框架。
参考文献:
[1]孙泽锋.移动互联网发展技术与安全分析[J].电信科学,2011(S1).
[2]ZhangBin,XuMiao,WuMinli.ResearchonWebFilteringTechnologyBasedontheDualFeatureSelection[C]//2012Proceedingsofthe3rdIEEEInternationalConferenceontheNetworkInfrastructureandDigitalContent(IEEEIC-NIDC2012).Beijing:
[s.n.],2012:
675-679.
[3]罗喧,梁柏青,潘军彪,等.智能手机应用安全关键技术探讨[J].电信科学,2013(5).
[4]霍峥,孟小峰,徐建良.云计算中面向隐私保护的查询处理技术研究[J].计算机科学与探索,2012(5).
[5]张寿华,刘振鹏.网络舆情热点话题聚类方法研究[J].小型微型计算机系统,2013(3).
升级会员 