【技术达人秀（15）】移动终端的安全风险不容忽视

【技术达人秀（15）】移动终端的安全风险不容忽视

清华同方电脑总工程师 刘锋

移动互联网具有以下几个特点：第一，移动互联网依赖于公共网的接入，最为普遍的就是3G或开放的WIFI。为了在广域网内使用，移动互联网的接入点是广域的，而不像传统的企业内网或办公专网，使用者只有进入办公区域才能接入网络。

第二，与传统网络环境相比，移动互联网的终端设备，比如智能手机、平板电脑等容易丢失。而在传统网络环境里，电脑等设备存放在办公室中，丢失概率相对较低。一旦设备丢失，就意味着使用者的数据以及卡内集成芯片、身份授权信息、内置证书等都会随之产生安全风险。

第三，从设备自身来讲，移动互联网终端设备的安全性普遍比个人电脑要低，主要原因是大众对这一领域的信息安全没有引起足够重视。在移动互联网诞生以前，手机系统一般来说都是封闭的，手机的连接方式不外乎手机网络、蓝牙等简单应用。但随着移动互联网的兴起，手机已日渐变成开放的操作系统，接入方式也变得多样化。这时，手机用户并未养成对相关信息的保护意识，市场上可供手机系统使用的安全软件也很少，用户针对手机内容的加密更是稀少。

从使用习惯上来看，如果让使用者每次使用手机前都进行一次解锁，确实会有相当一部分人觉得繁琐。因此，大部分使用者选择了干脆不设置智能手机的安全保护措施。不难看出，移动互联网终端的安全保护措施和安全保护意识比传统网络设备要脆弱得多。

与此同时，手机系统与传统PC系统还有一个不同点，就是手机系统的产业生态链是由单独的设备厂商掌握，这就意味着不够开放。换种说法，就是设备制造商对产品的控制权限很强。而传统PC产品，使用者可按自己的使用需求重新安装操作系统，可在系统中打各种各样的补丁，预装不同种类的软件。

从实践上讲，无论使用者在自己手机中安装何种用途的软件，都必须接受设备厂商的审批，审批通过后才能安装。这就意味着使用者和软件开发人员没有办法对手机系统进行任何设置。这种情况直接导致了设备的安全性完全依赖生产厂商本身的进度，而传统的信息安全防护手段和方案在这一领域很难发挥作用。此外，移动互联网终端还有明确而现实的安全隐患。目前，智能手机的整个产业生态链从头到尾都控制在欧美大国手中。由于智能手机系统本身的封闭性，造成了系统完全受控。这就意味着移动互联网终端更容易被作为安全攻击的跳板或是信息安全的漏洞。（梁爽  广文）