在线客服
您当前的位置:首页»新闻中心»互联网动态»移动互联网安全策略

移动互联网安全策略

2013/9/13 9:17:00我要评论(0)
字号:T|T

随着3G网络的快速铺开以及智能手机的普及,移动互联网已悄然渗透到我们生活的每个角落;然而,由于网络的开放性以及手机的安全防护措施相对薄弱等因素,给移动互联网应用系统带来了较大的安全威胁。下面以最简单的移动互联网应用为例,结合系统的拓扑结构,围绕网络安全防范、可靠性保障、信息安全检测、通信保密措施以及终端接入控制五方面展开阐述,旨在部署一整套安全可靠的移动互联网应用系统。

1系统结构

麻雀虽小,五脏俱全,移动互联网应用系统在逻辑上包括:网络安全设备(多为硬、软件防火墙,也可能采用操作系统的本地安全策略进行限制),通信机(客户端与应用服务器间通信摆渡),数据库服务器(数据存储),应用服务器(业务流程控制及数据预处理)[1]。系统的结构如下:

2网络安全防范

系统在接入网络上采用二级防火墙组网,以通信机为摆渡,按最小访问原则配置安全策略[2],不允许外部主机直接访问内部网络。在公网防火墙上,仅开放3G网络到通信机业务IP地址(即浮动IP地址,不同于物理IP地址)的特定端口的单向访问策略;在内部网防火墙上,仅开放通信机业务IP地址至应用服务器特定端口的单向访问策略。

这样的配置能够确保:实现内部网络和外部网络的安全隔离;以最小访问原则配置安全访问策略,对通信机以及内部网络进行较强的安全防护;对外采用业务IP地址隐藏物理IP地址,提高内部网络的安全级别。

3可靠性保障

按照移动互联网应用的重要程度不同,对系统可靠性也实施不同级别的保障策略。按由高到低包括:实时双机,冷备份+准实时同步,定时备份+灾难恢复。

实时双机,对关键节点进行冗余配置,为系统提供较高级别的可靠性保障,确保其中任何一台设备的故障时能够自动进行双机倒换,不会对业务造成影响;冷备份+准实时同步,对关键节点进行冷备份配置,为系统提供中等级别的可靠性保障,一旦主用设备发生故障,可以手动启动备份服务器的相关服务进行业务接管,确保在较短时间内恢复业务;定时备份+灾难恢复,为系统提供较低级别的可靠性保障,主要对系统的关键节点的业务程序版本、相关数据进行定时备份,确保一旦系统发生故障时候能够把损失降到最低,该方式仅适合于重要程度较低的移动互联网应用。

4信息安全检测

作为移动互联网应用,不管站在移动互联网健康发展的高度来看,还是仅从移动互联网应用经营者自身的安全责任来说,信息安全检测都是一个必备的功能。虽然有个别互联网应用经营者通过用户的使用协议来规避风险,但笔者还是建议至少要实现最起码的关键字过滤功能。把违规情况记录下来,不仅用于备查,更能有效地和终端接入控制机制联动起来,提高系统的信息安全防范能力。

5通信保密措施

通信保密措施主要是针对移动互联网行业应用而设置的。通信保密主要包括两个方向,即上行消息和下行消息。

上行消息,是移动手机根据双方约定好的通信口令,加密算法进行相关的运算后,把请求密文发送给通信机;通信收到请求密文后会根据通信口令和解密算法还原出请求明文后再根据相关的业务流程进行后续处理。下行消息,是通信机收到应用服务器的响应结果后,根据通信口令和加密算法计算出响应的密文,通过3G网络返回给手机客户端;手机收到响应密文后,会根据通信口令和解密算法,最终得到响应明文后展示给用户浏览。从通信保密角度,建议采用动态通信口令(可根据时间、模块名称、用户类别、终端类型等因素进行列散列运算),以降低通信口令被破解的风险;至于加密和解密算法,只需满足对称加密/解密的要求即可,如DES或自定义算法等。

6终端接入控制

终端接入的安全控制机制主要包括:账号密码验证、校验码验证、移动终端识别码(MEID)验证、手机卡序列号(SIMSN)验证、短信动态验证等[3]。

账号密码验证是最为普遍的安全接入控制机制,只需要验证账号和密码完全匹配即可接入应用系统。校验码验证,是对账号密码验证的一种补充,目的是为了防止穷举法进行口令破解。移动终端识别码验证,如果单独使用的话,主要是为了用户使用的方便快捷考虑;如果和其他方式组合使用的话,是为了对用户使用的终端进行限制。手机卡序列号验证,基本上和移动终端识别码验证类似,但是如果两者结合起来,能够很好的进行互补,因为个别山寨手机或者是用户自行刷机之后,客户端程序可能无法读取到移动终端识别码或者手机卡序列号。短信动态验证,则是根据用户注册时等级的手机号码,由系统随机的生成时效较短的动态登陆令牌,通过该令牌进行登录验证;该方法多用于其他验证方式的辅助手段,旨在为了提高终端接入安全级别。在实际应用中,上述安全控制机制可以单独使用或者组合使用。

7结束语

系统安全是一项动态工程,要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建安全应急响应体系,防范安全突发事件,才能保护系统安全。

评论(已有0条评论)
请登录后文明发言,并遵守相关规定.
评论内容: