飛象網(wǎng)訊(吉利/文)5月24日消息,在今天的“移動互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新與信息安全分論壇”上,中國移動高級工程師劉利軍在談到終端安全時表示,Android系統(tǒng)完全開放的模式,給軟件開發(fā)過高授權(quán),是導(dǎo)致惡意吸費(fèi)軟件泛濫的重要原因。他同時透露,目前正在網(wǎng)絡(luò)側(cè)建立監(jiān)測系統(tǒng),來監(jiān)測發(fā)現(xiàn)某些軟件特制。
在“2013移動互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新與信息安全分論壇”上,中國移動高級工程師劉利軍分析移動終端智能化的特點(diǎn)時表示,移動終端更加接近個人,同時移動互聯(lián)網(wǎng)和云計算也成為一個比較典型的趨勢。因此,“業(yè)務(wù)安全成為保障難點(diǎn),而其后果就會導(dǎo)致用戶信息泄露、業(yè)務(wù)內(nèi)容泄露等”。
劉利軍稱,目前WEB系統(tǒng)漏洞仍然是主要的入侵途徑,而Web系統(tǒng)主要安全威脅表現(xiàn)在四個方面:
第一、SQL注入漏洞!罢N覀冊诰W(wǎng)站輸入一些信息,然后提交,在輸入?yún)?shù)的地方,同時輸入數(shù)據(jù)庫命令,使數(shù)據(jù)庫執(zhí)行命令并返回敏感用戶信息”。
第二、非法文件上傳!袄镁W(wǎng)頁對文件類型監(jiān)察部嚴(yán)的漏洞,把后門、木馬等惡意程序上傳到網(wǎng)站系統(tǒng)并執(zhí)行,可以控制網(wǎng)站系統(tǒng)執(zhí)行命令并獲取敏感信息等”。
第三、第三方組件!暗谌浇M件在目前的Web開發(fā)領(lǐng)域逐漸的成為了一種形式,這些組件存在非常多的漏洞,可以直接上傳后門、木馬等惡意程序或者可以直接獲取網(wǎng)站管理員權(quán)限等,從而控制網(wǎng)站系統(tǒng)。Web第三方組件類型主要包括如網(wǎng)頁編輯組件、論壇組件等”。
第四、系統(tǒng)管理后臺。“這方面的問題主要是在一個Web系統(tǒng)進(jìn)行服務(wù)以后,有一個管理工作界面,利用網(wǎng)站管理后臺被遠(yuǎn)程訪問!
針對這些問題的安全防護(hù),劉利軍認(rèn)為,事前要制定技術(shù)規(guī)范,強(qiáng)化安全編碼,“在系統(tǒng)的設(shè)置開發(fā),規(guī)劃階段對服務(wù)的提供要深入到代碼級的控制,同時加強(qiáng)系統(tǒng)安全評估。”
而在事中,第一要強(qiáng)化Web安全管控,網(wǎng)站安全監(jiān)控!斑@方面重點(diǎn)關(guān)注是網(wǎng)站安全監(jiān)控,以及Web安全的監(jiān)控”;第二是對Web進(jìn)行多層次的,包括強(qiáng)化Web安全防護(hù),網(wǎng)站縱深安全防護(hù)。
對于事后措施,“主要就是強(qiáng)化審計及應(yīng)急響應(yīng),提升快速反映能力。接到安全事件分析任務(wù),對事件進(jìn)行初步分析確認(rèn)”。
在談到終端安全問題時劉利軍坦言,現(xiàn)在非常典型的是惡意吸費(fèi)。“導(dǎo)致這種問題非常重要的原因?qū)嶋H上就是開放性的問題,惡意軟件開發(fā)門檻低,Android系完全開放的模式,給軟件開發(fā)過高授權(quán),是導(dǎo)致惡意吸費(fèi)軟件泛濫的重要原因”。
他表示,“如果對這種非常典型的KPI的調(diào)用做一些限制,能大大降低惡意軟件入侵的可能性,這也是要求我們對操作系統(tǒng),對KPI作出一些規(guī)范!
劉利軍同時透露,“目前正在網(wǎng)絡(luò)側(cè)建立監(jiān)測系統(tǒng),來監(jiān)測發(fā)現(xiàn)某些軟件特制。并同時在建設(shè)手機(jī)應(yīng)用安全管控中心,對商城應(yīng)用程序的全生命周期進(jìn)行安全審計和管控!