手機安全問題：自主可控芯片是關鍵部位

　　手機硬件的惡意程序、吸話費吸流量惡意程序、騷擾及詐騙短信和電話、個人隱私竊取、銀行卡信息竊取等手機安全問題，是隨著近些年智能手機不斷普及和網(wǎng)絡技術的逐步提升而逐漸凸顯出來的新問題。而解決手機安全問題的方法，不外乎制度、法規(guī)、監(jiān)管、技術、行業(yè)自律以及消費者教育等。

　　手機安全問題備受關注

　　此前不久，上海市委、市人大、市政協(xié)開始使用國產(chǎn)電信版加密手機來規(guī)避信息泄露風險，這件事又把手機安全的話題擺上了臺面。一位北京的智能手機用戶對記者說：“回想之前的棱鏡事件、監(jiān)聽事件，再想想自己在手機上買東西、辦理理財轉(zhuǎn)賬等銀行業(yè)務，真是對手機安全捏著把汗。公務員換加密手機，一定是他們知道現(xiàn)在的手機都不安全吧?！钡拇_，除了上述手機安全問題外，由于移動互聯(lián)網(wǎng)對各行業(yè)的滲透越來越高，已經(jīng)涉及金融、水利、電力、政務等領域，再加上信息安全事件頻發(fā)，互聯(lián)網(wǎng)安全引起了政府部門的高度重視，消費者也因為越來越離不開手機而更加擔心手機不安全。上述那位智能手機用戶說：“無法想象，我的手機要是被黑了，我都不記得有多少生活中的東西是綁定在上面的。所以現(xiàn)在正考慮著解除一些銀行卡的綁定，心里不踏實?！睆V州的COCO女士更是遭遇了“手機驚魂”，她對記者說：“我收到一個不知道是干什么的網(wǎng)站的注冊邀請，是打著我妹妹的旗號推薦的，我一看，我倆的照片、手機號全都在上面。我問我妹妹，但她根本就不知道是怎么回事。這太嚇人了!”

　　芯片是安全的關鍵部位

　　上述那批加密手機，其原理是通過在手機里增加一塊安全芯片，實現(xiàn)語音通話的加密功能。業(yè)內(nèi)人士認為，從硬件層面而言，由于其核心芯片依然采用了通用型芯片方案，無法實現(xiàn)數(shù)據(jù)傳輸?shù)燃用芩惴ǎ廊淮嬖谑謾C信息安全的隱憂。展訊通信有限公司市場推廣總監(jiān)周偉芳對記者說，從技術層面講，手機芯片是手機安全的關鍵部位。他指出，我們關注手機安全一般都集中在操作系統(tǒng)、軟件、運營商網(wǎng)絡等方面，而忽略了芯片本身的安全問題。作為手機終端的核心部件，任何操作和應用都離不開芯片的參與，它和安全息息相關，是所有安全的基礎。一臺手機如果安裝了防火墻和加密芯片是否就安全了呢?答案是否定的。周偉芳舉例說，從硬件上看，如果黑客在手機芯片設計中埋入后門模塊，就很容易直接獲取到諸如語音、視頻等各種數(shù)據(jù)，甚至可以實時竊取各種信息，因為這些都是在芯片層面就可實現(xiàn)的功能。使用軟件防火墻和第三方加密芯片對此無法防范，甚至于在手機關閉電源后，后門模塊一樣可以繼續(xù)獨立工作，通過信號指令，傳送手機數(shù)據(jù)，造成用戶信息泄露。從軟件上看，Android、IOS之類的操作系統(tǒng)是大家比較熟悉，也是獲得關注較多的系統(tǒng);和運行的各種App應用一樣，通?？梢酝ㄟ^要求廠家開放源代碼來進行檢查。不過有個地方大家往往有所忽略，那就是芯片內(nèi)運行的系統(tǒng)和軟件，通常是固化在芯片ROM內(nèi)的，代碼無法被驗證，即使廠家開放源碼也不能保證芯片內(nèi)固化的就是同一份代碼。這是一個防火墻和第三方加密芯片都無法控制的“黑匣子”，真正的安全只有芯片設計公司才能掌控。

　　芯片層面安全可控是根本

　　現(xiàn)有手機芯片具有高集成性的特點，不僅具有通信功能，還涉及定位(GPS)、數(shù)據(jù)聯(lián)結(Wifi、藍牙等)。由于涉及個人隱私面廣，因此如果在手機芯片內(nèi)被植入惡意模塊，破壞性就更大，例如電話被隨時監(jiān)聽、支付賬號被盜用、個人信息被竊取等。更有甚者，通過手機后臺操作可能導致爆發(fā)性泄密等災害事件。而由于芯片的高集成度，從物理上檢驗芯片是否內(nèi)置了惡意模塊基本是個不可能完成的任務，只有從源頭上杜絕和防范才是可行的方法。隨著互聯(lián)網(wǎng)信息技術的進一步發(fā)展，缺乏信息安全建設的國家和政府將再無任何秘密可言。真正做到“自主可控”，對未來國家信息安全有著更重要的意義。目前，具備中國自主知識產(chǎn)權的安全可控的技術、方案和產(chǎn)品等領域都具有了一定儲備。展訊作為一家中國芯片設計公司，在國家科技重大專項和信息安全領域與國家發(fā)展改革委員會、工業(yè)和信息化部等相關部門都有著良好的合作，與酷派、華為、中興等眾多中國本土品牌在產(chǎn)品研發(fā)方面也都有著廣泛的合作。隨著政府有關部門的進一步推動，企業(yè)研發(fā)的進一步加速，以及政府對于進一步啟動自主可控的信息安全產(chǎn)品進一步重視，我國的信息安全建設也將進入一個全新的發(fā)展階段。

　　●相關政策

　　工信部六項措施保安全

　　工業(yè)和信息化部通信保障局副局長李學林日前表示，針對手機安全問題，工信部采取了六項主要措施。一是健全規(guī)章制度和標準，提高移動互聯(lián)網(wǎng)和移動智能終端安全防護能力。近年來，工信部制定了《通信網(wǎng)絡安全防護管理辦法》等規(guī)章，建立了網(wǎng)絡風險評估和安全防護檢查制度，制定了一系列相關標準，發(fā)布了《關于加強移動智能終端管理的通知》，加強進網(wǎng)環(huán)節(jié)移動智能終端操作系統(tǒng)和預裝應用軟件的安全管理，提高手機終端安全防護能力。近期，工信部還將制定出臺《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作的指導意見》，進一步強化移動互聯(lián)網(wǎng)的安全管理工作。二是加強應用商店安全管理，落實應用商店安全責任。工信部正在通過監(jiān)督檢查和研究制定應用商店安全管理辦法，明確應用商店安全責任，督促應用商店應當建立健全應用程序開發(fā)者真實身份驗證、應用程序安全檢測、社會監(jiān)督舉報、惡意程序下架等安全管理制度。三是加強移動應用程序源頭管理，推動建立移動應用程序第三方數(shù)字簽名認證機制。基于安卓系統(tǒng)應用程序占手機應用程序多數(shù)的現(xiàn)狀，工信部正在研究探索建立移動應用程序第三方數(shù)字簽名認識體系的可行性，實現(xiàn)移動應用程序的防篡改和可溯源。目前正在指導中國互聯(lián)網(wǎng)協(xié)會、電信終端測試技術協(xié)會、電子認證服務產(chǎn)業(yè)聯(lián)盟等，按照試點工作方案，組織部分應用程序開發(fā)者、應用商店、安全軟件廠商、手機終端廠商和電子認證服務機構參與試點。四是開展移動惡意程序監(jiān)測處置工作，維護互聯(lián)網(wǎng)安全環(huán)境。為了在網(wǎng)絡上發(fā)現(xiàn)移動惡意程序，并切斷惡意程序控制端和下載鏈接，工信部指導國家互聯(lián)網(wǎng)應急中心、中國電信、中國移動和中國聯(lián)通三家基礎電信企業(yè)建設了移動互聯(lián)網(wǎng)惡意程序監(jiān)測處置平臺，為及時發(fā)現(xiàn)、處置移動惡意程序發(fā)揮了重要作用。今年上半年，國家互聯(lián)網(wǎng)應急中心發(fā)現(xiàn)移動惡意程序新增數(shù)量超過36.7萬，協(xié)調(diào)運營商和域名注冊管理服務機構切斷了惡意程序?qū)?35萬感染手機用戶的控制。今年8月2日，三家基礎電信企業(yè)和國家互聯(lián)網(wǎng)應急中心通過監(jiān)測處置平臺，第一時間發(fā)現(xiàn)并及時處置了“XX神器”惡意程序，有效防止了其大規(guī)模傳播和信息竊取。五是促進行業(yè)自律，加強用戶安全宣傳教育。指導中國互聯(lián)網(wǎng)協(xié)會等行業(yè)組織通過自律公約等多種形式，建立應用程序黑白名單、應用商店信譽評估、惡意程序社會公眾監(jiān)督舉報等機制，加強行業(yè)自律，規(guī)范企業(yè)行為。積極指導和督促有關行業(yè)協(xié)會組織、基礎電信企業(yè)充分利用網(wǎng)絡媒體、營業(yè)廳等各種手段加強對用戶的網(wǎng)絡安全宣傳教育和技能輔導工作。六是多部門聯(lián)合開展專項行動，打擊治理移動惡意程序。為了維護網(wǎng)絡和信息安全，凈化移動互聯(lián)網(wǎng)安全環(huán)境，保護用戶合法權益，工信部聯(lián)合公安、工商部門，于2014年4月至9月在全國范圍內(nèi)組織開展了打擊治理移動互聯(lián)網(wǎng)惡意程序?qū)ｍ椥袆?，按照各自職責，充分發(fā)揮各自優(yōu)勢，建立協(xié)調(diào)配合機制，集中整治移動惡意程序，打擊利用惡意程序從事違法犯罪的行為。

　　目前各地通信管理局已組織抽查了部分應用商店，抽測應用程序10萬余個，發(fā)現(xiàn)惡意程序3700多個，并通知有關應用商店進行下架處理。(夏冰)

　　●相關新聞

　　企業(yè)簽署手機安全八大承諾

　　本報訊(記者武曉莉)日前，《人民郵電》報社召開了以“新形勢·新特點·新思路”為主題的“2014手機安全研討會”。會上，運營商、安全廠商和移動互聯(lián)網(wǎng)企業(yè)共同簽署了手機安全八項承諾。據(jù)悉，來自工業(yè)和信息化部、中國電信、中國聯(lián)通、國家計算機網(wǎng)絡安全中心、工信部電信研究院、北京郵電大學、南京郵電大學、手機安全軟件企業(yè)、手機終端制造企業(yè)、互聯(lián)網(wǎng)企業(yè)的相關代表齊聚一堂，為進一步維護網(wǎng)絡和信息安全，凈化移動互聯(lián)網(wǎng)環(huán)境，保護手機用戶合法權益獻計獻策。中國電信、中國聯(lián)通、中興通訊、奇虎360、酷派、百度、騰訊、中郵世紀的企業(yè)代表共同簽署了手機安全八大承諾。一是不斷增強本企業(yè)業(yè)務范圍內(nèi)的監(jiān)測處理能力，完善惡意程序監(jiān)測與處置技術手段，落實網(wǎng)絡安全責任。二是建立健全惡意程序、垃圾短信、惡意鏈接等舉報和處理機制。當發(fā)現(xiàn)手機安全隱患(例如用戶手機流量異常激增、大量群發(fā)短信，監(jiān)測并確認惡意鏈接大量傳播等)后，第一時間向本企業(yè)用戶提供信息提示和查殺技術咨詢服務。三是通過技術手段對垃圾短信、病毒短信內(nèi)容關鍵詞進行分析、過濾、封堵，切斷這些短信的傳播途徑。四是不在手機中預裝惡意程序，不將預裝的一般程序設置成系統(tǒng)程序，支持用戶可自主刪除預裝的非系統(tǒng)類程序。五是未經(jīng)用戶許可，不私自獲取并上傳用戶的手機號碼、通訊錄、通話記錄、短信、位置等隱私信息。六是未經(jīng)用戶許可，不向用戶強制推送廣告，不強行篡改手機瀏覽器主頁。七是不誘騙或誤導用戶安裝應用程序，未經(jīng)用戶許可不在手機后臺擅自下載并安裝應用程序。八是妥善保管本企業(yè)在業(yè)務活動中合法收集的公民個人電子信息，確保不泄露、毀損、丟失。一旦出現(xiàn)信息泄露、毀損、丟失的情況，立即采取補救措施。