随着3G网络的大规模建设、移动互联网应用的不断丰富,以及智能终端的迅速普及,移动互联网发展突飞猛进,成为互联网信息时代最主要的特征。据统计,2010年中国国内移动互联网市场规模达到637亿元,较2009年上涨64.2%,预计2011年中国移动互联网用户将突破6亿,首次超过互联网用户数。但是由于移动互联网具有网络融合化、终端智能化、应用多样化、平台开放化等特点,使得信息安全问题日益凸显,给国家安全、社会稳定和用户隐私保护等带来新的安全隐患,具体表现如下:
一是技术融合新增安全隐患,用户行为难以溯源。相比传统互联网,移动互联网增加了无线空口接入,并将大量移动电信设备如WAP网关、IMS设备等引入IP承载网,给互联网产生了新的安全威胁,其中网络攻击、失窃密等问题将更为突出。例如,通过破解空口接入协议非法访问网络,对空口传递信息进行监听和盗取等。同时,与传统互联网不同,移动互联网因IPv4地址有限而引入了NAT(网络地址转换)技术,NAT技术有效解决了地址资源紧缺问题,但其破坏了互联网“端到端透明性”的体系架构,同时由于目前部分移动上网日志留存信息的缺失,使得侦查部门只能追溯到某一对应多个私网用户的公网IP地址,而无法精确溯源、落地查人,给不法分子提供了可乘之机。加之手机实名制尚未在我国普遍推广,使得目前移动互联网成为不法分子实施网络犯罪的主要途径之一。
二是移动终端智能化给国家信息安全监管和用户隐私保护带来新的挑战。移动智能终端打破了传统手机应用的封闭性,其不仅具有与电脑相当的强大功能和业务能力,而且记录并存储了大量用户隐私数据。同时,移动智能终端安全防护能力较弱及主流产品由国外企业掌控的现状,给我国移动互联网用户的个人隐私带来了潜在安全风险,也对国家信息安全监管工作造成极大威胁。如某些国外厂商开发的操作系统可为用户提供数据同步上传及位置定位等功能。其中同步上传功能可将用户手机中的通讯录、邮件、日程表、即时通信内容等信息通过手机上网实时上传到国外服务器上,存在被泄露和被滥用等问题,国外企业可通过存储在其服务器上海量的中国用户数据,分析并获知社情民意、社会热点、舆情动向和用户社交关系等信息,对我国家安全构成威胁。定位功能将用户锁定在数十米范围内,从而对我国用户尤其是重要用户的行踪了如指掌。又如移动智能终端采用加密技术,给国家信息安全监管也带来极大挑战。目前,部分移动智能终端采用了应用层加密技术,如RIM公司的黑莓手机,采用非公开加密算法对数据进行加密后传输,其保密系数不低于银行数据系统。该手机的加密功能给恐怖分子以可乘之机,如2008年印度孟买恐怖袭击事件中,恐怖分子正是利用黑莓手机的加密功能逃避了印度政府监管。除此以外,部分移动智能终端甚至可内嵌VPN和SSH隧道实施加密传输,这也将为违法有害信息如淫秽色情等信息提供更为隐蔽安全的传播渠道,使其逃避监管,破坏互联网社会的和谐健康。
三是移动互联网业务对传统互联网监管模式形成新的挑战。移动互联网使“人人时时处处在线”成为现实,网民发布和获取信息将更加隐秘快捷;网上信息传播的无中心化和交互性特点更加突出,手机网民“人人都是信息源”,特别是微博业务的发展,使信息的发布和传递达到了空前的便捷和快速。而现有传统互联网的监管技术手段难以覆盖移动互联网,缺乏针对移动互联网的有效管控平台,管理的难度和复杂性前所未有。
综上所述,移动互联网信息安全已经成为信息时代保障国家安全、社会稳定、人民安居乐业、社会健康发展的前提和基础,应当高度关注和重视,建议从法律法规、技术规范、安全评估等方面加强对移动互联网管理。
一、建议由政府牵头,社会各界共同参与,尽快建立移动互联网信息安全体系。
如今,信息安全问题对人们所能造成的影响,在很多方面已超出计算机、网络的技术领域,移动互联网的信息安全体系建设也是一个非一方努力就能解决的问题,需要政府、通信产业链各方及其他相关领域的共同推进。这其中,政府在移动互联网信息安全体系建设中所能起到的作用更是重中之重。首先应提供良好的法律法规政策环境,针对移动互联网技术发展和业务管理尽快制定相应的法律法规和技术规范,如出台个人信息保护法、建立移动互联网络安全防护制度、制定移动上网日志留存规范等,并督促各方的积极建设,监管执行效果。目前,我国还没有一部统一的全国性《信息安全管理法》,相关的信息资源管理法规散见于《专利法》、《商标法》等法规中,而其中有关信息管理的规定,多为一些层次较低的规章条例,法律地位远远不够高。而在这方面,发达国家的信息安全建设远远领先于我国,其中,美国的国家信息安全管理,对于我们具有重要的借鉴意义。早在1993年,美国政府便制定了密码管理标准,并逐年完善该措施。1998年,美国国家安全局制定了《信息技术保障框架》(IATF),2000 年,《国家安全战略报告》的颁布,使得信息安全被正式列入到国家战略安全的框架。2001年,“9·11事件”后,美国同时也加强了信息安全与企业及其他科学领域的研究合作,如工业、金融、医疗、教育等。美国目前信息安全研究者正在与法律界、保险界共同对个人隐私犯罪进行定义,通过对其进行法律定性,为信息保险业务的发展创造条件。其次,加强政府对信息安全的监管力度也是十分重要的。尤其在移动互联网时代,来自云计算的安全隐患更为严重,政府不仅需要对信息内容进行监管,对于能够掌握大量用户数据信息的企业和机构也需要进行监督管理,通过立法严格界定企业或机构对于相关信息的使用权限及范围,并建立执法机构来严格执行相关法令法规。第三,加强安全意识教育亦是政府所需重视的有效手段。安全意识教育应不仅针对民众,更重要的是在企业级组织机构间的开展,通过将信息安全纳入企业发展战略,层层缩小安全技术实施单元,快速有效的执行相关法令法规,加速信息安全体系的建设。
二、建议运营商通力合作,加强对SP/CP的共同监管,打造健康良性发展的产业链。
有了完善的政策法规,信息安全体系的建设还需要移动互联网产业链各方的积极参与和执行。在整个产业链中,运营商处于核心主导位置,掌控着整个网络的运作。移动互联网使得运营商的各子网络系统都存在更大的安全隐患,如何加强各子网络系统安全体系建设、降低各系统内部及之间互联的安全风险应首当其冲。其次,运营商应更加重视来自于业务网的安全隐患。尤其在未来开放式业务平台的趋势下,有创造性的个体CP/SP将成为业务开发的主体,运营商在鼓励这些CP/SP的积极性的同时,需要对一些规章制度条款进行严格的界定并制定相应的奖惩措施。在业务种类和数量将迅猛增长的移动互联网时代,对于每一个业务的信息过滤与监控是十分困难的,将给运营商的网络处理能力带来巨大的负荷,这就需要运营商对CP的内容进入,根据政府相关法律和政策,给出严格的制度条款,明确规定信息的危害等级和禁止内容的定义(如涉黄等),使整个内容体系检测有法可依,并与奖惩制度相呼应。另外,作为整个产业链的枢纽和掌控者,运营商还应承担起督促产业链其他方进行安全体系建设的责任,如对于终端提供商实施安全体系建设鼓励政策,以促进整个产业链的安全体系建设良好快速发展,最大程度的保障用户安全。
三、建议政府推动安全技术创新,研究以手机终端和应用为主体的整体解决方案。
从2005年手机安全产品在中国出现起,到2009年中国手机安全市场逐步成形,国内手机安全产品从手机杀毒、抵御病毒侵害的简单功能,拓展到更加贴近用户需求的手机防骚扰、手机隐私保护等全方位安全应用,发展速度远远超越了其他国家。预计到2014年,中国手机安全产品活跃用户数将达到6480万,市场收入规模将达到13.61亿元。因此,国家应站在战略高度,联合电信运营商、手机制造商、手机安全软件开发商,构建完善的产业链,密切合作,加强研发,推动政府主导下的信息安全技术创新,统一不同技术制式下的安全技术标准,从源头上解决大部分手机面临的信息安全问题。要扶持、鼓励国内企业积极研究开发手机芯片和操作系统;要进一步推动信息交换技术、传导技术、信息安全加密技术的开发和创新;要进一步扶持和发展中国的信息安全应用产业,开发和推广信息安全应用体系、产品。积极发展政府主导和支持下的手机安全技术创新,有助于打造国家信息安全堡垒,并在产业链中占据制高点的位置。同时,鉴于当前移动互联网发展产生的服务配套和信息安全问题,必须着眼于移动互联网的基础性应用,在用户进入移动互联网之门伊始,就为之提供一条安全、便捷、规范的移动信息通道。一是扩展延伸现有互联网安全监管措施,使其覆盖移动互联网范围,并针对移动互联网技术和业务特点研究更有针对性的管理手段;二是针对移动互联网新技术、新业务建立网络与信息安全评估机制,使安全隐患在业务推广普及前得到及时有效的解决。
