飞象网讯(吉利/文)5月24日消息,在今天的“移动互联网业务创新与信息安全分论坛”上,中国移动高级工程师刘利军在谈到终端安全时表示,Android系统完全开放的模式,给软件开发过高授权,是导致恶意吸费软件泛滥的重要原因。他同时透露,目前正在网络侧建立监测系统,来监测发现某些软件特制。
在“2013移动互联网业务创新与信息安全分论坛”上,中国移动高级工程师刘利军分析移动终端智能化的特点时表示,移动终端更加接近个人,同时移动互联网和云计算也成为一个比较典型的趋势。因此,“业务安全成为保障难点,而其后果就会导致用户信息泄露、业务内容泄露等”。
刘利军称,目前WEB系统漏洞仍然是主要的入侵途径,而Web系统主要安全威胁表现在四个方面:
第一、SQL注入漏洞。“正常我们在网站输入一些信息,然后提交,在输入参数的地方,同时输入数据库命令,使数据库执行命令并返回敏感用户信息”。
第二、非法文件上传。“利用网页对文件类型监察部严的漏洞,把后门、木马等恶意程序上传到网站系统并执行,可以控制网站系统执行命令并获取敏感信息等”。
第三、第三方组件。“第三方组件在目前的Web开发领域逐渐的成为了一种形式,这些组件存在非常多的漏洞,可以直接上传后门、木马等恶意程序或者可以直接获取网站管理员权限等,从而控制网站系统。Web第三方组件类型主要包括如网页编辑组件、论坛组件等”。
第四、系统管理后台。“这方面的问题主要是在一个Web系统进行服务以后,有一个管理工作界面,利用网站管理后台被远程访问。”
针对这些问题的安全防护,刘利军认为,事前要制定技术规范,强化安全编码,“在系统的设置开发,规划阶段对服务的提供要深入到代码级的控制,同时加强系统安全评估。”
而在事中,第一要强化Web安全管控,网站安全监控。“这方面重点关注是网站安全监控,以及Web安全的监控”;第二是对Web进行多层次的,包括强化Web安全防护,网站纵深安全防护。
对于事后措施,“主要就是强化审计及应急响应,提升快速反映能力。接到安全事件分析任务,对事件进行初步分析确认”。
在谈到终端安全问题时刘利军坦言,现在非常典型的是恶意吸费。“导致这种问题非常重要的原因实际上就是开放性的问题,恶意软件开发门槛低,Android系完全开放的模式,给软件开发过高授权,是导致恶意吸费软件泛滥的重要原因”。
他表示,“如果对这种非常典型的KPI的调用做一些限制,能大大降低恶意软件入侵的可能性,这也是要求我们对操作系统,对KPI作出一些规范。”
刘利军同时透露,“目前正在网络侧建立监测系统,来监测发现某些软件特制。并同时在建设手机应用安全管控中心,对商城应用程序的全生命周期进行安全审计和管控。”
