《第12章-移动互联网的安全管理.ppt》由会员分享,可在线阅读,更多相关《第12章-移动互联网的安全管理.ppt(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、12.1 移动互联网信息安移动互联网信息安全管理全管理12.2 移动互联网安全管移动互联网安全管理技术理技术12.3 移动互联网安全相移动互联网安全相关的政策法规关的政策法规第第12章章 移动互联网的安全管理移动互联网的安全管理12.4 本章小结本章小结12.5 习题习题 12.1.1 移动互联网信息安全风险评估 12.1.2 移动互联网信息安全标准与规范12.1 12.1 移动互联网信息安全管理移动互联网信息安全管理12.1.1 移动互联网信息安全风险评估 移动互联网已进入爆发式增长阶段,而移动互联网独特的网络环境也对信息安全带来了很多新的挑战。虽然移动互联网已经采取了多种安全机制,但仍然存
2、在很多安全漏洞,面临很多如下的安全威胁。1.通信信息泄密隐患由于移动互联网传播的广播特性,开放式的无线接口成为移动电话安全的薄弱环节,通过无线接口传送的信息很容易被窃听。2.位置信息泄密隐患3.身份和个人信息泄密隐患随着用户在智能终端上保存的信息越来越多,对智能终端的信息窃取行为也越来越多。4.恶意软件安全威胁12.1.2 移动互联网信息安全标准与规范随着移动互联网安全问题日益突出,移动互联网安全标准化已经成为我国信息安全保障体系建设的重要内容。这一体系可以支撑移动互联网产业生态,保障个人信息安全、组织机构安全乃至国家安全。目前,我国移动互联网信息安全国家标准建设尚处于起步阶段,亟需在移动智能
3、终端安全架构、移动设备安全保护技术要求等现有国家标准的基础上,补充完善移动设备管理、移动应用App等配套标准,以形成移动互联网的核心安全标准体系。在此基础上,一方面细化技术领域,深入研究硬件、可信、签名等具体的技术要求,制定安全技术标准;另一方面,从产品、产业链入手,推进产品标准和产业标准的制定,从而形成一个完整全面的移动互联网安全标准体系。移动互联网的安全策略同传统互联网一样,都需要从两个方面来建设:一是从安全管理体系入手,二是从安全管理技术角度入手。安全管理体系的建设是从政策、法律、质量模型、监管体系、监管措施的角度,将整个移动互联网的安全问题在组织上、策略上、制度上明确下来,以便对破坏移
4、动互联网安全的人或组织实施有效的监管和打击;而安全管理技术则是从技术上实现对移动互联网运行状况以及安全现状的监管,对影响移动互联网安全事件进行有针对性的应对和补救。12.2 移动互联网安全管理技术安全管理从技术上涉及4个参与方:从事移动互联网安全防护的公司,移动互联网智能终端应用软件生产商,移动互联网的运营商,智能终端使用者。1.从事移动互联网安全防护的公司从移动互联网安全防护公司的角度,可以采用的技术手段有以下几种。(1)固件(BSP)安全评估技术针对移动智能终端的固件代码,采用固件代码完整性检查分析技术和基于固件漏洞的库固件漏洞信息的检查分析技术,判定移动智能终端固件的安全隐患并提供修复建
5、议。(2)终端源代码安全分析技术(3)智能终端安全软件12.2 移动互联网安全管理技术2.移动互联网智能终端应用软件生产商智能终端操作系统和第三方开发的应用软件,应该在软件设计时就考虑到安全性问题,并随时更新软件中的安全漏洞列表,及时提供包括应用功能和安全功能的软件升级。3.移动互联网的运营商移动互联网运营商应加强以手机终端和应用软件为主体的整体解决方案研究,建立可信的终端访问服务网站,加强对ISP/ICP的共同监管,打造健康良性发展的移动互联网产业链。4.智能终端使用者对于移动互联网,移动应用软件安全主要体现在终端的安全可用性、个人信息的私密性以及个人信息的可用性几个方面。个人用户的安全需求
6、主要体现在“四防”:防盗、防骚扰、防泄密和防病毒。12.2 移动互联网安全管理技术另外,终端用户在使用移动互联网的过程中,需要从以下几个方面做好防范措施。(1)为移动终端设备设置密码(2)使用移动终端中的各种安全功能(3)从正规网站下载应用软件和升级包(4)为移动终端安装安全软件(5)经常为移动终端做数据同步备份(6)减少移动终端的本地分享(7)对移动终端中的Web站点提高警惕(8)对程序执行权限加以限制12.2 移动互联网安全管理技术近年来,我国已经制定了关于移动互联网的相关法律法规,主要有以下几部。(1)通信网络安全防护管理办法(2)移动互联网恶意代码描述规范(3)移动智能终端管理办法(4
7、)移动互联网恶意程序监测与处置机制(5)信息安全技术公共及商用服务信息系统个人信息保护指南(6)网络安全法(7)移动互联网应用程序信息服务管理规定(8)电子商务法(9)网络安全评估标准(例如:TCSEC标准,ITSEC标准,CC标准)12.3 移动互联网安全相关的政策法规本章小结移动互联网所具有的网络融合化、终端智能化、应用多样化、平台开发化的特点,造成的监管复杂化给用户信息保护、社会稳定和国家安全带来了新的安全风险。移动互联网背景下的信息安全面临通信信息泄露、位置信息泄露、个人信息泄露和恶意软件等安全威胁。移动互联网的安全策略同传统互联网一样,都需要从两个方面来建设:一是立足于安全管理体系,
8、二是从安全管理技术的角度入手。安全管理体系的建设是从政策、法律、质量模型、监管体系、监管措施的角度,将整个互联网的安全问题在组织上、策略上、制度上明确下来,以便对破坏移动互联网安全的个人或组织实施有效的监管和打击;而安全管理技术则是从技术上实现对移动互联网运行状况以及安全现状的监管,对影响移动互联网安全的事件进行有针对性的应对和补救。习题1.请简述在移动互联网背景下,移动用户的信息安全面临哪些威胁和挑战。2.移动互联网的安全管理从技术角度可分为哪几个方面?3.请列举两部以上与移动互联网安全相关的政策法规。4.网络安全的评估标准主要有哪些?5.为了将移动互联网信息安全风险降到最低,我们应该怎样做?移动互联网移动互联网安全安全牛少彰牛少彰牛少彰牛少彰 童小海童小海童小海童小海 韩滕跃韩滕跃韩滕跃韩滕跃 编著编著编著编著