鑽石舞台

信息安全風險是指在信息化建設中，各類應用系統及其賴以運行的基礎網絡、處理的數據和信息，由於其可能存在的軟硬件缺陷、系統集成缺陷等，以及信息安全管理中潛在的薄弱環節，而導致的不同程度的安全風險 [1]。當前，以智能手機及其周邊設備為代表的智能移動終端迅速普及，正逐漸替代個人計算機成為用戶連接互聯網的主要終端設備。在經濟、社會和文化等領域中，智能移動終端作為各種信息交互的載體，給用戶帶來便利服務的同時，也帶來了很多信息安全風險。近年來，通過各類研究發現，智能移動終端面臨的信息安全風險正在不斷加劇。

合理的信息安全機制可以有效提高智能移動終端的信息安全性，最大限度上保護用戶的個人隱私。從功能結構上，可以分為硬件端、操作系統和應用程序 3 個層次。

1.1　硬件端的安全防護機制

通信運營商在確定智能移動終端的各類規格參數後，由設備運營商負責向設備製造商提供安全功能需求，以保障應用程序與各設備的適配性。一方面，設備製造商需要基於設備自身參數，參考來自通信運營商提供的信息安全機制，選擇對應所需安全強度的協議與安全機制；另一方面，產品運營商在沒有通信運營商介入的情況下，可以通過設備製造商提供的硬件參數標準，審查軟件運營商在該設備應用商店中發布的應用程序。雖然設備製造商提供的應用程序標準不同，但通過使用操作系統（Operating System，OS）供應商提供的應用程序接口（Application Programming Interface，API），各應用程序的運行安全可得到有效保證。然而，設備運營商可能無法掌握各種設備中包括硬件信任根（Root of Trust，RoT）等在內的全部安全功能來保證應用程序操作的適配性。因此，設備運營商可通過添加保密安全模塊的方式，為智能移動終端提供特定應用程序與硬件適配的信息安全功能。可以認為，在為智能移動終端提供應用程序和服務時，設備運營商管理的關於安全請求和應對方法將變得越來越複雜，對應領域將變得越來越廣泛。

1.2　操作系統的安全防護機制

智能移動終端的操作系統是管理和控制手機硬件與軟件資源的核心控制系統。目前，市面上使用最多的移動操作系統是谷歌安卓Android 和蘋果 iOS。Android 系統是由谷歌公司開發的以 Linux 為核心的開放式操作系統，其特色的安全機制是數字證書機制。數字證書機制要求應用程序在正式發布時必須具有數字簽名，而簽名需要利用開發者的私鑰生成數字證書來實現。已簽發的數字證書是有有效期限的，過期的證書會導致應用無法安裝。Android 系統通過數字證書來確認不同應用是否來自同一開發者，規定只有通過簽名的應用才能被安裝。iOS 系統是由蘋果公司開發的以 Darwin 為基礎的移動操作系統，其特色的安全機制是沙箱安全機制。沙箱安全機制要求所有第三方應用程序都需要使用應用開發者的賬號進行簽名，而該賬號都是通過蘋果官方實名認證審查的賬號，來源透明可靠，從源頭上保證了程序的安全性。此外，開發者在開發應用程序時只能使用蘋果公司提供的加密軟件開發工具包（Software Development Kit，SDK），能限制開發者開發危害手機安全的應用程序，相對於 Android 系統的安全性能更高。

1.3　應用程序的安全防護機制

在智能移動終端上，應用程序的安全機制是由應用程序開發人員結合操作系統的特性實現的，可以有效保證應用程序在用戶使用過程中的安全性。根據功能特點，可將應用程序的安全機制分為 7 類，如下文所述。（1）可移植操作系統接口（Portable Operating System Interface，POSI）機制。主要功能是使每一個應用程序關聯一個唯一的用戶 ID。（2）文件訪問控制機制。主要功能是使每一個應用程序的路徑只能被應用程序自身訪問。（3）內存管理機制。主要功能是使應用進程只能運行在自己所擁有的虛擬地址空間內。（4）強制安全檢查機制。主要功能是在編譯和運行應用程序時用一個特定的格式對變量的內容進行強制性安全檢查。（5）權限控制機制。主要功能是使每個應用程序在安裝時都必須聲明其所需要的權限。（6）組件封裝機制。主要功能是生成每個應用程序對應的優先級別，該級別可用於比較應用程序的優先順序。（7）簽名機制。主要功能是使開發者對自己所開發的應用程序進行簽名。

為進一步研究智能移動終端的信息安全風險，合理預測信息安全風險的發展趨勢，有必要了解智能移動終端平台結構的主要特徵，根據近期智能移動終端的發展情況，可梳理總結為下述 3 點。

2.1　SoC 性能不斷提升

當前智能移動終端平台在硬件方面普遍采 用 高 性 能 系 統 級 芯 片（System-on-a-Chip，SoC）。目前，在設備集成工藝中，將中央處理器（Central Processing Unit/Processor，CPU）、隨機存取存儲器（Random Access Memory，RAM）和圖形處理器（Graphic Processing Unit，GPU）等集成在一個核心芯片的方法已成為主流。因此，基板集成與能耗降低成為各大芯片設備製造商的產品規劃目標。近年來，從高端到低端設備，基本設計共通的 SoC 產品線不斷標準化、流程化。其結果是，高性能 SoC 通過量產降低成本，各設備廠商開發的各型號智能設備均搭載通用的 SoC。另外，作為面向智能移動終端的SoC 的派生形式，面向平板電腦、遊戲主機和可穿戴周邊設備等智能設備的 SoC 標準也逐步向智能手機看齊，其性能也隨芯片集成技術的發展而不斷提升。但若 SoC 標準存在漏洞，則黑客可直接利用該漏洞對設備信息安全造成威脅，如早期任天堂（Nintendo）的 Switch 就因為搭載了存在漏洞的英偉達 GPU 芯片而遭到黑客的大量破解，造成不可估量的經濟損失。

2.2　軟件發布和開發環境趨向一元化

在智能移動終端中，採用從 OS 供應商運營的應用商店中集中獲取應用程序的形式已成為加強設備安全與保證用戶隱私的有效手段。應用程序開發者在發布應用程序 App 後，用戶可以通過 OS 供應商運營的應用商店下載 App。這類 App 在應用程序開發過程中，OS 作為平台可以吸收各設備硬件的差異，向應用程序服務開發者提供統一訪問方法和控制方法的 API。使應用程序的開發者在短時間內開發出可以在許多種類設備上運行的應用程序，而無須考慮各個設備的內部結構。同時，每個 App 在應用商店上架前，應用程序的開發者必須與設備生產商簽訂第三方安全協議，從供應端增強了信息安全防護能力。

2.3　基於智能手機的周邊設備發展迅速

隨着智能手環、智能眼鏡等新型可穿戴智能設備進入我們的生活，以智能手機為中心節點的智能家居可通過手機 App 實現複雜的控制功能。在硬件方面，SoC 供應商以面向智能手機開發的 SoC 為基礎，正在開發面向各種智能設備的新 SoC。屆時，將沿用面向智能手機 SoC 的基本設計，使性能和耗電量符合各周邊智能設備的需求。使開發出來的新 SoC 與智能手機一樣，可以面向各公司的智能設備提供合適的統一標準。在軟件方面，OS 供應商針對面向智能手機的 OS，根據各智能設備的畫面和操作特徵擴充了功能。應用程序的發布與面向智能手機的應用程序商店相通，即使是對應用程序的開發也可以在同一環境下進行，不僅提高了開發效率，還縮減了時間成本。但對於以上設備的信息安全防護尚未有統一的標準，控制失靈、隱私信息泄露等風險仍在很大程度上威脅着用戶的信息安全。

結合智能移動終端的安全防護機制，基於智能移動終端平台結構的主要特徵，可從硬件設備、軟件系統和操作使用 3 個方面總結當前智能移動終端信息安全的風險現狀，並有針對性地研究，提出防範對策。

3.1　硬件設備的風險與對策

智能移動終端一般在出廠前通過設置硬件RoT 來防範因漏洞攻擊導致的軟件一致性缺失。例如，作為檢測軟件篡改的功能，會先進行安全引導。在安全引導中，可通過驗證電子簽名確認設備啟動時讀取的軟件是否被篡改。在包括硬件 RoT 的智能設備中，用於驗證數字簽名的密鑰被存儲在設備的硬件中，這樣就可以保護密鑰免受被篡改後的軟件盜取密鑰等攻擊，從而增強安全引導功能。硬件 RoT 的實現主要包括將 SIM 卡安裝在終端上使用和配備專用芯片等方法，但主流多採用在 SoC 中集成硬件 RoT功能的方法。

為幫助用戶進行數字版權管理（Digital ights Management，DRM），保護敏感數據，可採用可信執行環境（Trusted Execution Environment，TEE）技術。該技術是集成在面向智能移動終端的 SoC中的特色安全功能之一。基於 TEE 的技術原理，可在存儲器中對展開程序的執行空間進行分割，生成運行普通 OS 和應用程序的富執行環 境（Rich Execution Environment，REE） 空 間與運行要求更高安全性認證和加密功能的 TEE空間，這種劃分是通過硬件訪問控制機制實現的。在 TEE 空間中運行的可信應用程序（Trusted Application，TA）可通過 DRM 功能保護數據的解碼，在 REE 空間中運行應用程序的密鑰管理、認證和結算數據生成等功能。另外，基於 TEE的空間分離技術也可以用在智能移動終端配備的傳感器上。例如，可以採用將指紋數據讀取設備僅連接到 TEE 空間配置的方法，達到保護採集的生物數據和認證邏輯的效果。

3.2　軟件系統的風險與對策

由於智能移動終端的應用程序可以從非官方渠道獲取後運行，惡意代碼可能作為應用程序的一部分被安裝到設備上。為了處理個人信息和位置信息等敏感數據，設備生產商從設備出廠前就在 OS 中加入了安全功能。在早期面向智能移動終端的操作系統中加入了控制應用權限的功能和分離應用之間通信的機制。但需要注意的是，部分惡意軟件可利用 OS 運行中的部分缺陷和脆弱性竊取設備敏感信息。用戶為了避免部分應用的功能限制，會通過開放部分功能權限等方式嘗試篡改設備初始設定，因此，OS 中的安全功能會因用戶篡改而失效，故安全防護效果具有一定局限性。具體而言，應用程序的權限在其程序內部已被定義，在安裝或運行時，若能得到用戶的同意，該權限將被 OS 開放給應用程序。

為此，可禁止運行的應用程序之間直接通信，通過操作系統或使用限定可執行權限的沙箱等方式來降低惡意軟件造成的損失。同時，從 OS 層面上對用戶限定能夠訪問的文件系統或變更設定的權限範圍，使不具備相關安全知識的用戶不會因誤操作而使設備處於危險狀態。綜上所述，為提高操作系統的安全性，各設備可不再將安全對策委託給用戶，而是通過 OS 供應商實現信息安全對策的功能機制。

3.3　操作使用的風險與對策

用戶在操作使用智能移動終端時出現的信息安全問題主要與用戶的安全防護意識不強有關。由於用戶數字證書機制無法完全限制惡意程序的開發，使用戶往往無法區分惡意程序和正常程序，在進行操作時會給予程序申請的所有權限，產生安全隱患。例如針對開源的瀏覽器引擎 WebKit 的攻擊和中間人攻擊（MITM）等，都是基於用戶不當操作而對應用程序發起的攻擊，由於此類攻擊成功率較高，已逐漸成為攻擊者頻繁利用的手段。

為降低對智能移動終端操作使用的風險，除增強用戶安全防護意識外，還可從以下幾個方面加以防範：（1）避免連接使用未知安全風險的 Wi-Fi，不點擊陌生短信鏈接；（2）儘量在官方應用商城下載 App，若下載來自第三方應用程序商店的 App，在安裝前需謹慎考慮其安全性；（3）當有應用程序請求授權時，需詳細閱讀其請求授權的內容，防止開放多餘權限；（4）安裝良好聲譽且有效的安防軟件，定期進行病毒查殺；（5）在官方維修店維修設備，同時避免進行 Root、刷機、越獄等操作。

在大數據時代背景下，智能移動終端已成為人們日常生活中不可缺少的組成部分，保障信息安全已成為當下技術發展的重要課題。我們不僅要對信息安全風險的現狀進行深入研究，還應與時俱進，着眼於未來發展，結合智能移動終端的各類特徵做好信息安全的風險評估工作與防護策略，才能在出現問題時及時響應，將風險降到可控範圍內，確保用戶的信息安全。