前言:尋找寫作靈感?中文期刊網用心挑選的移動手機軟件項目實施信息安全,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
摘要:隨著國家移動互聯網基礎設施的建設及移動終端的科技發展,如今在大中小城市居民基本上達到了人手一部移動手機的水平,個人可以通過手機進行通信、娛樂、教育、支付等活動,基于移動手機的各類應用軟件如百花齊放、百家爭鳴,各類用戶存儲在手機中的數據的重要性越來越大,價值越來越高、范圍越來越廣,隨著用戶數量的增加、應用場景的豐富直接將對信息安全保護提出了更高的要求。文章對移動手機軟件項目實施信息安全進行了分析。
關鍵詞:應用場景;移動互聯網;移動手機;信息安全
隨著國務院關于加快推進“互聯網+政務服務”工作的指導意見的推行,國家移動互聯網基礎設施的建設及移動終端的科技發展都有了長足的進步,如今在城市居民基本上達到了人手一部移動手機的水平,個人可以通過手機進行通信、醫療、娛樂、教育、支付等活動,個人用戶存儲在手機中的數據的重要性越來越高、范圍越來越廣、價值越來越大,用戶所面臨的網絡空間安全問題也越來越多。隨著用戶數量的增加、應用場景的豐富直接將對信息安全保護提出了更高的要求,了解、熟悉移動手機軟件項目實施信息安全問題就顯得尤為重要。
1移動互聯網手機軟件技術架構分析
移動互聯網手機應用技術架構主要分為以下3類。
1.1基于第三方應用軟件的移動手機軟件
此類移動手機軟件主要基于移動瀏覽器或支持擴展開發的應用程序,移動瀏覽器如Chrome,Firefox,UC等,直接在瀏覽器中輸入手機軟件的服務地址,訪問后進行相關的操作,另外基于支持擴展開發的應用程序,如微信小程序、支付寶服務號等,用戶通過主程序檢索相應的應用名稱進行訪問操作,此類應用程序不需要針對多種手機操作系統平臺做獨立開發,多采用HTML5技術即可完成跨平臺的互聯網的應用,開發復雜度相對較小,但此種方式業務處理都需要與服務器交互,降低了業務處理的效率,用戶需要先啟動瀏覽器然后再輸入網址,或安裝第三方主程序,才能使用應用,比較繁瑣且需要用戶記憶或收藏應用的入口。
1.2基于移動操作系統的移動手機軟件
目前主流的移動操作系統包括3種Android,IOS,WindowsPhone,考慮到應用的執行效率和應用本身的特點,開發者會針對移動操作系統開發獨立的應用,此類應用的主要特點是可以直接訪問、調用手機硬件操作系統的資源,應用僅在關鍵節點上與服務器通信,或者是單機版工具類軟件,類似于計算器、秒表或一些閱讀器軟件。
1.3基于瀏覽器插件與本地應用相結合的移動手機軟件
基于某一種移動操作系統開發的應用程序,應用程序加載HTML解析模塊插件進行相關操作,此種方式較第一種的優點在于在移動終端上具有了一個單獨入口,默認了瀏覽的地址,用戶啟動應用程序可直接訪問到相關的服務系統,較第二種開發難度較小,只需要提供加載瀏覽器插件功能即可,軟件升級在服務端完成,升級快捷方便。
2移動互聯網個人手機應用面臨的信息安全威脅
通過對移動互聯網手機軟件技術架構分析,我們可以清楚地認識到針對不同的應用場景,我們會選擇相應的技術架構,不同的技術架構所面臨的安全問題也不盡相同,但抽象出來移動互聯網手機軟件面臨的信息安全威脅主要來自于以下3個方面,需要我們在手機軟件項目實施的過程中加以關注。
2.1移動手機本身的安全
移動手機本身的安全威脅主要來自于數據的保密性、完整性、真實性和可用性,主要體現在用戶存儲在移動手機的視頻、照片、短信等數據的保密性,訪問應用賬號、密碼的完整性及真實性。移動互聯網的數據更多的是個人數據,如通訊錄數據、短信數據、通話記錄、用戶上網行為記錄數據,手機網上銀行信息數據、個人電子文檔等,這些數據的安全性及可用性尤為重要。
2.2互聯網信息傳輸的安全
互聯網信息傳輸的安全威脅,主要體現在數據傳輸過程中數據被監聽、竊取、修改、破壞。移動應用需要傳輸信息,必然要借助某種傳輸通道,針對傳輸通道的攻擊,勢必造成了相關安全隱患。
2.3互聯網應用服務器的安全
互聯網應用服務器的安全,對外體現在攻擊者對數據資料的竊取、修改和破壞3個方面,對內體現在內部人員監守自盜,業務不熟練、服務器設備損壞等方面,造成數據的完整性、保密性、可行性的特征遭到損壞,在此外患內憂的情況下,急需尋找一個可靠的解決方案。
3針對移動互聯網手機軟件項目實施面臨的信息安全威脅采取的措施
3.1移動手機本身的安全防護措施
3.1.1引入密碼技術
密碼算法[1]主要分為3種算法類型,對稱算法、非對稱算法和雜湊算法,針對不同的應用場景可以選擇相應的算法。國家商用密碼管理辦公室推行了相關國產密碼算法,可以引入到互聯網個人信息的保護中去,針對需要保護的信息進行加密處理,從而在一定程度上增加了軟件被攻擊的難度,達到了安全防護的目標。
3.1.2發揮國家監管機關的作用
目前移動應用軟件以商業運作為主,國家對移動互聯網的發展還在鼓勵促進的層面,讓軟件企業發揮自身特長自由競爭,但這樣勢必會存在軟件中的安全[2]得不到保證的情況,建議重點發揮可信第三方檢測機構的作用,豐富移動軟件產品的檢測范圍,規范業務流程,聯合重點軟件企業對用戶常用類別軟件進行安全保密的規范起草,促進行業協會的發展,做好宣傳工作,讓用戶了解安全問題、提高安全意識,用戶使用的重要軟件通過可信第三方的相關檢測,這樣就能夠更好地保障用戶的信息安全。
3.1.3構建可信的互聯網環境
對移動應用程序的使用者及者都進行實名認證,移動互聯網世界是虛擬的,針對使用者,用戶大部分是通過虛擬賬戶進行登錄,這樣無疑給用戶不正當的上網行為提供了溫床,各類音頻、影像文件隨意傳輸、電子圖書任意共享。對用戶實名認證后再進行相關的操作,這樣做到操作溯源、人與賬號關聯會大大規范用戶的上網行為,個人的信息也會得到一定程度的保障;針對者,引入公信的電子認證服務機構[3]認證證書,將每一個應用程序都加上數字簽名,用戶在安裝的過程中查看是否具有可信的數字簽名,從而選擇是否安裝,這樣就能夠為軟件溯源提供依據,一定程度上規范軟件提供商的行為。
3.2互聯網信息傳輸的安全
目前針對互聯網傳輸的信息安全的保護最有效直接的辦法是通過3個機制來操作,首先是加密機制,引入密碼技術、將互聯網傳輸的信息進行加密處理,比較常用的技術手段是架設加密套接字協議層(SecuritySocketLayer,SSL)通道,SSL通道目前國際上是基于RSA密鑰算法,我國推行的非對稱性商用密碼算法SM2[4]近幾年在我國使用得也比較多;其次是安全認證機制,通過數字證書、人臉識別、動態口令等技術手段達到身份認證的作用;最后是訪問控制機制,嚴格控制授權用戶訪問相應的資源,并分析用戶訪問的時間、地點及時常周期等數據,從這3個點出發可以對互聯網傳輸的安全做到很好的保護。
3.3互聯網應用服務器的安全
互聯網應用服務器的安全應做到:(1)規范機房管理制度,安裝監控攝像頭及相關監測軟件,達到規范管理、安全保密的目的。(2)豐富技術安全保障手段,通過密碼算法、磁盤陣列、異地備份等技術手段保障信息的完整性及可用性。(3)及時升級服務器系統軟件、修補發現的漏洞,配備專業防護軟硬件,提高系統的抗攻擊能力。應用服務器是移動互聯網應用的數據中心,是移動互聯網的信息安全的重要組成部分,保障好移動互聯網應用軟件的各個環節才能達到全面保護的目的。
4結語
移動互聯網的發展是廣闊的、長遠的,移動手機在一定的時間內也會是人們生活用品的重要組成部分,移動手機軟件的種類也會越來越多,我們需要了解移動手機軟件的相關信息安全問題,在享受移動手機軟件帶來的方便快捷之時,也要考慮到個人及他人的信息安全,這樣才能用得舒心,用得放心。沒有十全十美的保護,信息安全是一條長遠的路,我們只有增強意識,不斷完善保護的范圍,提高抗攻擊的能力,才能在信息安全的激流中站穩腳跟。
[參考文獻]
[1]安德森.信息安全工程[M].2版.齊寧,韓志文,劉國萍,譯.北京:清華大學出版社,2012.
[2]斯坦普.信息安全原理與實踐[M].張戈,譯.北京:清華大學出版社,2013.
[3]高富平.電子合同與電子簽名法研究報告[M].北京:北京大學出版社,2005.
[4]馮登國.可信計算:理論與實踐[M].北京:清華大學出版社,2013.
作者:張健 陳尚浩 李蓮珠 單位:江蘇諾安科技有限公司 江蘇翔晟信息技術股份有限公司
