《计算机信息安全风险管理发展展望.docx》由会员分享,可在线阅读,更多相关《计算机信息安全风险管理发展展望.docx(12页珍藏版)》请在第一文库网上搜索。
1、计算机信息安全风险管理发展展望目录摘要11 .序言22 .计算机信息安全风险管理的初期发展33 .计算机信息安全风险管理体系的渐趋成熟44 .计算机信息安全风险管理在我国的发展趋势和主要问题45 .智能移动终端的安全威胁56 .智能移动终端的信息安全防护机制66. 1.硬件端的安全防护机制66.2.操作系统的安全防护机制76. 3.应用程序的安全防护机制77 .智能移动终端平台结构的主要特征87.1. SoC性能不断提升87.2. 软件发布和开发环境趋向一元化87.3. 基于智能手机的周边设备发展迅速98 .智能移动终端信息安全风险现状及对策98.1. 硬件设备的风险与对策98.2. 软件系统
2、的风险与对策108.3. 操作使用的风险与对策108.4. 通过加强安全技术研究,提高应对智能移动终端安全威胁的能力118.5. 需要建立智能移动终端相关安全标准规范118.6. 网络安全目前已经成为影响国家社会、经济安全的关键问题119 .结语1210 文献12摘要随着移动互联网和计算机技术的高速发展,智能移动终端已得到广泛应用,但随之而来的个人隐私泄漏、恶意代码传播等安全威胁也大大影响了其用户体验和信心。本文通过分析现有的智能移动终端安全问题,给出相应的安全对策,以提高智能移动终端的安全性。【关键词】移动互联网;智能移动终端;安全威胁1 .序言计算机信息技术在促进交流、助力生产、提升效率等
3、方面业已产生了惊人效果,对世界发展和全球化进程具有不可替代的作用,已经潜移默化、无孔不入地改变了人们的工作方式、生活方式、学习方式,如今无论是在个体层面,还是在国家层面,计算机信息网络的影响和应用均愈来愈广。但与此同时,对于计算机信息网络的个体依赖性和社会依赖性愈来愈大,计算机信息网络中稍有脆弱、稍生紊乱,则在很短时间之内便会产生个体性安全威胁和整体性安全威胁。因此,计算机信息安全在个体生活、可持续发展、信息化网络的正常运行、国家安全、社会经济等方面均有异常重要的意义,必须对计算机信息安全进行风险管理的理论和实践探索,摸索出最具实用性、最能商业化、最有科学性的预防计算机信息风险的成果,从而使得
4、计算机信息网络体系的风险出现几率和扩散几率降到极限,从而有效维护国家安全、经济安全和社会安全。随着移动互联网的飞速发展,智能移动终端也迎来了爆发式的增长,各种智能硬件象可穿戴设备(Apple watch,小米手环等)、智能家居、智能汽车、无人机等层出不穷而且还在不断涌现。在享受移动智能终端带来的便利高效服务的同时,其安全问题不断出现。木马病毒、垃圾短信等问题也已经对人们生活造成了诸多不便甚至经济损失。以手机病毒为例,2015年腾讯手机管家安全实验室发现手机病毒数为1670.37万个,相比2014年增长15.65倍。未来智能移动终端会更加丰富多样、用户也将不断增长,但其安全威胁也将不断扩大,安全
5、形势会更加严峻。近年来,以智能手机及其周边设备为代表的智能移动终端迅速普及,但涉及智能移动终端信息安全问题的相关报道也呈现上升趋势。通过以当前智能移动终端与信息安全发展现状为出发点,梳理智能移动终端信息安全功能的发展历史,总结平台结构的主要特征,论述了智能移动终端信息安全风险现状及对策,展望未来信息安全风险的研究方向。信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。当前,以智能手机及其周边设备为代表的智能移动终端迅速普及,正逐渐替代个人计算机成为用户连
6、接互联网的主要终端设备。在经济、社会和文化等领域中,智能移动终端作为各种信息交互的载体,给用户带来便利服务的同时,也带来了很多信息安全风险。近年来,通过各类研究发现,智能移动终端面临的信息安全风险正在不断加剧。2 .计算机信息安全风险管理的初期发展当代计算机信息安全的风险管理是建立在相关理论基础之上的。其理论主要源于风险管理理论。而风险管理理论发源于二十世纪六七十年代的西方国家,主要目的是从战略层面维护经济安全和市场安全,当然对于国家安全也有一定意义,不过,最初的风险管理理论主要基于经济考量、市场考量而生。如今,风险管理理论已经发展到颇为成熟的境地,适用范围扩展到各种领域和各行各业,对于计算机
7、信息安全的风险管理理论的萌生和发展具有异常重要的作用。在二十世纪六十年代,早期计算机网络萌生并应用于某些社会领域,计算机资源共享领域的问题与日俱增,计算机信息安全问题渐次凸显出来。面对此种状况,美国国防科学委员会委托迈特公司、兰德公司等知名企业、机构对计算机信息网络安全问题进行历经数年之久的研究,最后,于1970年提交了相关报告。美国在此报告的基础之上,参考风险管理理论,对计算机信息安全制订了系列标准,如1974年制定的FIPS PUB 31,即自动数据处理系统的物理性安全和风险管理指南。后来,在二十世纪八十年代,美国国防部国安局又制订了一系列的关于计算机信息安全的标准,如TM,即可信网络之解
8、释等,此后,美国相关部门又陆续推出一些关于计算机信息安全的标准。这些标准被称为“彩虹系列”,被很多国家通用,为世界计算机信息安全作出了重大贡献,为计算机信息安全的风险管理奠定了理论基础、技术基础和实践基础。3 .计算机信息安全风险管理体系的渐趋成熟美国推出关于计算机信息安全风险管理的“彩虹系列”之后,计算机普及速度与日俱增,计算机网络民用技术也不断发展,不仅为计算机信息安全风险管理的进一步完善提出了新的要求,也为计算机信息安全风险管理的不断成熟创造了客观条件。美国陆续推出了有关计算机信息安全风险管理的组织、论坛,更为详细和完备的计算机信息安全风险管理理论应运而生。如,由美国国防部牵头,制订了有
9、关计算机信息安全漏洞防护的评估分析标准,并将风险管理理论置于美国国家信息安全理论的基础地位,以“信息战”的战略高度来衡量、构建计算机国家安全风险管理理论体系,推出了 “PDR模型”.随后,基于“PDR模型”的计算机信息风险管理理论体系在国际层面被推向一个新的应用广度和理性高度。在1990年,欧洲出台了 TTSEC标准,并于1993年与美国等美洲国家联合推出了一个横跨大洋和大洲的计算机信息安全风险管理理论体系,后来,这一体系发展成为CC标准。随着计算机信息安全风险管理理论体系的国际标准的构建不断完善,更为系统化、大众化的国际计算机信息安全风险管理理论体系和标准不断推出,更为注重实践性、通俗化和时
10、效性,为计算机信息安全风险管理理论体系的个性化运用奠定了强大基础,CCC等标准陆续问世,通过BS7799认证的相关计算机信息网络公司不断增多。4 .计算机信息安全风险管理在我国的发展趋势和主要问题作为一名中国研究者,必然关注计算机信息安全风险管理对我国的影响。我国自二十世纪九十年代逐渐开始普及计算机,因此在此时开始重视计算机信息安全风险管理的引进、应用和创新。随着计算机在我国各个领域迅速普及,计算机信息安全风险管理的重要性愈来愈受重视。我国政府顺应这一潮流,从战略高度、应用高度、防范高度对计算机信息安全风险管理展开系统化研究,取得了一系列的丰硕成果,计算机信息安全风险管理的重要性不断为社会所认
11、知,所重视,不少科研机构、着名国内企业、高等院校开始引入计算机信息安全风险管理,有力促进了我国计算机信息安全风险的积极管控。然而,必须看到,我国计算机信息安全风险管理虽然取得了较大的发展成绩,但是,我国计算机事业毕竟起步很晚,因此,计算机信息安全风险管理体系的应用和建设还存在不少的不足之处。譬如,由于我国国情较为特殊,一些党政机关部门对于计算机信息安全要求较高,但这样的高要求,与民间计算机信息安全风险管理的标准不相匹配。而且,我国政府部门对于国际计算机信息安全风险管理理论体系还只是停留在照抄照搬的阶段,不能将理论与实践密切结合,不能对国际计算机信息安全风险管理理论体系进行有效的国情化、地域化、
12、单位化、个体化的引用。诸如此类的问题,应引起我国政府相关部门和我国计算机行业人员的高度重视。5 .智能移动终端的安全威胁1)首先,硬件层面:智能移动终端面临的安全威胁主要包括:终端丢失、硬件损坏、SIM卡复制、芯片安全等等。其中终端丢失后,可能会面临终端上的个人信息泄漏,而硬件损坏则导致设备无法正常工作;SIM卡复制是指通过接触或近距离接近相关人员手机复制其SIM卡的相关信息,以冒充该用户;芯片安全则是移动智能终端的计算核心安全,黑客通过电路分析、芯片漏洞等方式,获取芯片内部数据,从而达到攻击目的。2)其次,系统层面:操作系统是智能移动终端的控制核心,因此由操作系统漏洞引起的安全问题往往会导致
13、严重的后果。目前智能移动终端的操作系统一般分为两大类:Android和iOS。Android系统是开放开源模式,各个公司可以根据自身产品特点进行深度定制,但是存在碎片化的特点,由此引起的安全问题更加复杂。而苹果公司的iOS系统则采取封闭的端到端模式,由苹果公司自身开发操作系统、应用平台,并对第三方开发的APP进行检测、审查。2015年9月爆发的XcodeGhost事件则打破了 iOS系统牢不可破的神话。3)再次,网络层面:智能移动终端的广泛应用离不开无处不在的移动互联网。特别是目前速度最快的4G网络,使得智能移动终端被越来越多的人所接受。而目前伪基站带来的电信诈骗、移动广告和垃圾短信大大影响了
14、用户对4G网络的体验。而另一种更为严重的威胁就是无线局域网WIFI的安全隐患。目前越来越多的用户通过WIFI接入移动互联网,统计表明,约80%的移动数据流量来自WIFI,而WIFI的安全性却没有这么乐观,目前公共场所覆盖的WIFI大多存在安全隐患,容易泄漏个人隐私甚至是关键的财务信息。4)最后,应用层面:移动互联网带来了功能强大、种类多样的应用服务,而这也使得某些恶意应用得以鱼龙混杂,以隐秘的方式进入用户的移动智能终端。目前,存在于Android系统的恶意应用最多,主要攻击行为有:远程控制、恶意吸费、隐私窃取和系统破坏等。而这些恶意应用的主要来源有两个,分别是手机应用商店和手机论坛。恶意软件通
15、常是没有经过安全认证的,可以在用户不知情的情况下在后台运行,对用户造成极大的危害和损失。特别是“越狱”和root过的Android手机6 .智能移动终端的信息安全防护机制合理的信息安全机制可以有效提高智能移动终端的信息安全性,最大限度上保护用户的个人隐私。从功能结构上,可以分为硬件端、操作系统和应用程序3个层次。6.1 .硬件端的安全防护机制通信运营商在确定智能移动终端的各类规格参数后,由设备运营商负责向设备制造商提供安全功能需求,以保障应用程序与各设备的适配性。一方面,设备制造商需要基于设备自身参数,参考来自通信运营商提供的信息安全机制,选择对应所需安全强度的协议与安全机制;另一方面,产品运营商在没有通信运营商介入的情况下,可以通过设备制造商提供的硬件参数标准,审查软件运营商在该设备应用商店中发布的应用程序。虽然设备制造商提供的应用程序标准不同,但通过使用操作系统(OperatingSystem, OS)供应商提供的应用程序接口(Application Programming