刘权　王涛

摘要：基于云计算的特点和移动互联网存在的安全问题，提出了云计算环境下移动互联网应用的新特点，指出了由此带来的新的安全问题，如通过移动互联网对云服务的攻击、云服务可用性面临严峻考验、企业的业务流程和业务数据面临更大风险等，并指出移动互联网一些固有安全问题更为突出，如个人隐私泄露、不良信息传播、个人信息滥用、综合信息挖掘等；从终端安全、网络通信安全、云端安全等方面，提出了提升云计算环境下移动互联网安全防护能力的对策与建议。

关键词：移动互联网；云计算；信息安全

云计算和移动互联网是近年来发展十分迅速的IT领域，云计算颠覆了传统的IT资源管理和运营模式，实现了资源的按需使用和灵活配置，移动互联网前所未有地扩展了互联网的应用深度和广度。云计算和移动互联网具有天然的互补性，移动互联网内在要求应用随时随处可用、跨终端、跨平台且具有一致的用户体验，云计算的特性恰恰满足这些要求。在云计算环境下，移动互联网的安全问题更值得重视，一方面，云计算环境下移动互联网的一些固有问题会更加突出，另一方面，云计算环境催生移动互联网产生新的安全问题。因此需要采取有针对性的措施来提升云计算环境下移动互联网安全防护能力。

1 云计算概念与特点

1.1 云计算概念

云计算是通过互联网提供的一种动态可伸缩的虚拟化资源计算模式[1]。广义云计算是指服务的交付和使用模式，即通过网络以按需、易扩展的方式获得所需服务[2]，这种服务可以是和软件、互联网相关的IT服务，也可是其他非IT服务。狭义云计算IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源。

1.2 云计算特点

一是资源的动态调拨与调整。实现云计算的基础是虚拟化技术，通过将主机、存储设备、网络、操作系统、数据库等各类资源的虚拟化，实现资源的动态调拨与调整，既实现了资源的高效利用，又实现了按需求提供资源。

二是一切皆服务。云计算实现了IT资源的集中与统一管理，在基础设施、平台及应用3个层次实现了由购买资源到购买服务的转变，即基础设施即服务（IaaS）、平台即服务（PaaS）及软件即服务（SaaS）[2-3]，用户只要按需租用虚拟资源、购买相应服务即可。

三是一切尽在云端。云计算提供的基础设施、平台和应用都在云端统一管理[4]，用户侧的需求被极大简化。与此同时，IT资源使用模式的转变，使得数据的所有权与管理权产生了分离，用户数据被转移到云端。除此之外，随着企业应用云计算的不断深入，企业的业务流程也被迁移到了云端。

2 移动互联网特点及其

安全问题

2.1 移动互联网概念

移动互联网是一种通过移动智能终端，采用移动无线通信方式获取业务和服务的新兴业态，包含网络、终端、软件、应用和数据5个层面。网络层包括多种无线通信技术的接入设施；终端层包括智能手机、平板电脑等；软件层包括操作系统、中间件、数据库和安全软件等[2]；应用层包括数字娱乐、生活服务、社交网络、商务财经等多种类别的应用与服务；数据层包括存储在移动终端、应用提供商、运营商等处的用户、系统、设备等的各类相关数据。

2.2 移动互联网特点

一是实现了随时随地接入互联网。移动互联网与传统互联网的本质区别，就是通过应用无线通信技术，使得接入互联网的终端具备了移动性，只要有网络信号支持，就可以实现随时随地接入互联网，随时随地地访问各类资源和服务。

二是终端类型多种多样。随着技术的不断发展和应用场景的不断丰富，移动互联网接入终端的类型也种类繁多。除了智能手机、平板电脑等之外，其他创新型接入终端不断产生，如形式各异的可穿戴设备。另外，随着移动互联网应用的深度、广度不断扩展，接入终端也不再仅仅是直接和人交互的，如汽车厂商应用移动互联网技术，推出了“互联网汽车”，在全球名声大噪的特斯拉电动车，更是将移动互联网作为其核心竞争力之一。

三是网络中的数据由静态向动态发展。传统互联网将现实中静态的数据搬到了互联网上，在传统互联网上发布的文本、声音、视频等各类信息，数据之间缺乏明显关联，本质上是静态的和离散的。移动互联网将现实中动态的、连续的数据转移到了互联网上。由于用户随时随地可以接入移动互联网，用户数据具备时间和空间上的动态连续性，例如，可以不断收集用户地理位置和终端操作数据，这些数据具备时间上的因果关系和空间上的轨迹。同时，移动终端收集数据种类的丰富程度和粒度的精细程度都是传统互联网难以比拟的，使得移动互联网上的数据具有横向间的复杂关联。

四是向众多传统行业渗透力强。众多传统行业，其关键要素难以接入传统固定互联网，而应用移动互联网则可使这些要素轻松接入互联网，使这些行业对互联网的应用程度极大提升，产生根本性的变化。如物流行业，众多车辆只有依靠移动互联网才能实现精细管理与调度，又如医疗行业，通过应用移动互联网，可实现对人体生理指标的连续监测，大大提升服务效率和医治效果[5]。

2.3 移动互联网面临的安全问题

目前，移动互联网面临的安全威胁主要包括以下几方面：

一是智能终端安全无法保证。移动智能终端面临比传统计算机更严峻的安全问题，由于用户安全防范意识薄弱、终端本身存在安全漏洞，导致用户手机终端受攻击的概率比传统PC机高得多。由于移动智能终端的随身性和私密性，用户还面临着隐私泄露等安全问题。

二是移动网络的不可靠性。在移动互联网环境下，传统网络中存在的明显的网络边界不再存在，用户可以随处接入并且可以跨区漫游[6]，因此像安全域划分、防火墙部署这样的边界防护机制在移动互联网环境下不再适用，使得移动互联网较传统网络具有更大的不可靠性。

三是业务的安全威胁。移动互联网固有的随身性、身份可识别等特性带来了更多的安全隐患，如多种途径的对信息系统的攻击、敏感数据泄露、资费盗取、垃圾信息泛滥、非法内容的传播、产品和内容盗版等问题。尤其移动办公、移动支付、社交网络等对移动互联网信息安全提出了更高要求。

四是运营支撑安全问题严重。运营支撑涉及的安全内容包括用户身份及鉴权、流量控制、安全审计、资费管理、非法内容过滤与舆情管控、版权内容保护与访问控制等。移动互联网具有移动性大、业务种类丰富、用户身份与权限管理复杂[7]等特点，网络安全监控和管理的工作也更加繁重。

3 云计算环境下移动互联网

新特点及带来的安全问题

3.1 云计算环境下移动互联网应用

新特点

移动互联网与云计算的结合，一方面拓展了移动互联网的应用范围，同时也增强了移动互联网应用功能。云计算环境下移动互联网应用呈现以下新特点：

一是云存储与数据分享广泛应用。云存储是最适于移动互联网应用的，国内的众多互联网巨头都积极推动其云存储业务向移动互联网普及，如百度、腾讯、360等推出的云存储服务都在移动互联网上使用[8]。用户在云存储上存储的数据种类十分丰富，包括视频、照片、通讯录、通话记录、网上交易信息、位置记录、应用备份等。同时，数据分享十分便利，用户只需指定特定数据的访问权限，即可轻松地将其共享给使用同一服务的特定人群。除了用户间的数据分享，云服务之间的数据分享也十分容易，如百度的云存储服务，即可实现与其旗下应用市场、健身应用等之间的数据分享。

二是越来越多的移动互联网应用向云端转移。早期移动互联网应用大多是下载到移动终端安装的本地程序，随着应用的功能复杂度不断提升，移动终端的处理能力、存储空间等难以满足应用要求，同时，移动终端的种类多样化，本地应用的维护和升级都十分困难。此外，移动互联网速度快速提升，终端系统和浏览器等对云服务的支持不断完善，促使移动应用向云端转移。一方面是一些本地的应用在后台利用云计算提供的服务，例如杀毒软件的云查杀、社交软件的云同步等，另一方面是一些应用从本地应用转换为云应用，通过云端的高效处理能力提供良好的用户体验，例如微软和谷歌公司都提供云办公软件[1]，在移动终端用浏览器即可随时使用。

3.2 云计算环境下移动互联网面临

新的安全问题

一是通过移动互联网对云服务的多种攻击。移动终端上的病毒和恶意软件等会窃取云服务的账号、密码以及用户数据等。黑客通过对无线通信信号的嗅探，窃取云服务信息或破坏云服务。通过移动互联网对云服务的分布式拒绝服务（DDoS）攻击也日益频繁。基于移动互联网的攻击对云计算服务的威胁不断增大。

二是移动互联网使云服务可用性面临更加严峻的考验。移动互联网终端数量众多，一旦发生众多用户同时访问云服务的情况，将使云服务的可用性面临严峻考验。例如，2014年双十一期间，天猫一天的订单数近3亿，其中约一半来自移动互联网，后台云服务负载是平时的数十倍；2015年春节期间，腾讯的摇手机抢红包活动一晚就有上百亿人次参与，高峰时一分钟内摇手机8亿多人次，其背后的云服务压力可想而知。

三是企业的业务流程和业务数据面临更大风险。云计算环境下，企业通过不断将业务迁移到移动互联网上，通过无线网络获得移动办公便利的同时，也将业务流程和业务数据暴露在移动互联网中，面临诸多风险。第一个方面是移动终端对高安全性的身份认证技术支持不够好，使得仿冒用户、破解终端与云服务的通信等更加容易；第二个方面是移动终端较易丢失，云服务容易被他人冒用；第三个方面是无线通信安全性较差，容易受到攻击或截取信息。

3.3 云计算使移动互联网固有安全

问题更为突出

一是云应用使得对个人信息的收集和分析规模空前，影响更为严重。移动终端随时随地收集大量个人相关信息，各类云应用通过收集这些信息，经过分析，可以获得个人的隐私信息、活动范围、生活习惯、消费习惯、社会关系等大量有价值信息。终端上不同的云应用可能会互相交互分享各自获得的信息，以获取单个应用不可能得到的信息。这些信息若被滥用，会造成个人经济损失、隐私泄露等问题[9]。

二是云存储等服务使个人相关信息集中存储，隐私泄露问题更加严重。云存储的应用使移动互联网产生的用户数据向云端转移[9]，集中存储，其中包含大量用户隐私数据，如照片、账号密码、通讯录、通话记录、交易记录等，一旦云端的安全措施不足或出现防护漏洞，就可能导致大量用户隐私数据泄露，相较与未应用云计算一般只会有个别或少量用户隐私数据泄露，其影响范围会大大增加，后果更加严重。

三是云应用收集大量用户信息并进行综合分析，威胁国家利益。云计算应用不仅对个体的信息收集更加全面，同时云计算的数据集中效应使得云平台可以获得大量个体的信息，通过对这些数据的综合分析，可以获得关于国家、社会的一些全局性、深层次的信息[10]，如大范围人员流动情况、经济运行数据、工业发展趋势等，这些信息具有极大价值，若被敌对势力利用，可能会威胁社会稳定和国家利益。

四是云平台使得通过移动互联网的不良信息传播更加快速，影响国家安全。移动终端可以通过拍照、摄像、录音等方式十分方便地记录信息，若反动、违法、色情等不良信息，一旦通过移动互联网上传到云平台并加以分享，可以迅速被大量用户获取，使得不良信息的传播呈现爆炸式，往往在监管部门感知和处理之前，已经扩散，造成不良后果。

4 提升云计算环境下移动

互联网安全防护能力的

对策与建议

4.1 提升终端安全防护水平

终端安全是移动互联网安全的核心，提升终端安全防护水平，对云计算环境下移动互联网安全具有重要意义。通过安装杀毒和防护软件，提高终端对病毒、恶意软件等的安全防护能力。对应用权限进行检测和限制，采用严格的资源访问控制策略，对应用私有资源进行隔离和保护。积极采用电子签名、反跟踪调试、代码加密等应用加固技术，防止逆向工程、非法篡改、动态注入、协议分析、漏洞挖掘等攻击，确保云服务账号密码等相关信息不被窃取，减少通过移动终端对云服务发起的DDoS等攻击。及时修补终端软硬件漏洞，加强操作系统、浏览器、硬件的安全性，提高访问云服务的安全性，防止利用系统漏洞窃密或攻击云服务。

4.2 加强网络通信安全

移动互联网由于网络制式众多、终端计算能力较弱、软件限制等，以及安全性较低的2G和Wi-Fi网络还在普遍应用，网络通信安全保护能力较传统网络更低。移动互联网下的大量云应用没有采取加密等强化网络通信安全的措施，例如通过不加密的HTTP协议访问云服务等。为保障

访问云服务的网络通信安全，需要在移动互联网普及应用HTTPS、VPN、IPSec等安全协议，减少通信过程中信息泄露，加强对中间人攻击等网络攻击的抵御能力。

4.3 强化云端的安全防护与安全管理

通过移动互联网对云端进行攻击日益频繁，需要加强云端安全设施及防护能力。强化安全管理，确保信息加密、信息隔离，防止隐私泄露和信息滥用。加强云端安全防护能力，采用专业的云漏洞扫描技术发现漏洞或弱点，及时修补，应用新一代的入侵检测防护系统，智能区分正常流量与异常流量，加强抵御DDoS、SQL注入、撞库等攻击的能力。移动互联网也对云服务的可用性提出了更高要求，需要加强云端技术水平和维护水平，提升云端架构的灵活性和资源配置与利用能力，保证服务能力和资源消耗的平衡。制订并实施合理的云服务等级协议，提高云服务质量。

5 结束语

IT资源集中化和服务化是大势所趋，云计算必然在未来更为普及，移动互联网同样如此，会成为获取云服务的主要管道。云计算环境下移动互联网的安全问题也会不断暴露、发展、翻新。如何保障云计算环境下移动互联网安全，将成为学术界和业界共同关注的重大领域。

参考文献

[1] SHIAU W L， HSIAO C M. A Unified Framework of the Cloud Computing Service Model [J]. Journal of Electronic Science and Technology， 2013，11（2）：40-50

[2] FAN X P， CAO J N， MAO H X. A Survey of Mobile Cloud Computing [J]. ZTE Communications， 2011， 9（1）：4-8

[3] KEVIN Y. Cloud Computing： Concept， Model， and Key Technologies [J]. ZTE Communications， 2010， 8（4）：21-26

[4] 何永江. 基于云计算的移动互联网服务提供模式 [J]. 邮电设计技术， 2011， 28（10）：39-42

[5] 柏秋云. 大数据的价值与挑战 [J]. 科技信息， 2013， 35（17）：479

[6] LIU Y， WU J P， ZHANG Z， XU K. Research achievements on the new generation Internet architechure and protocols [J]. Science China， 2013，56（11）：1-25

[7] 刘辛越. 云计算、云计算与密码安全体系 [J]. 信息安全与通信保密， 2012，17（11）：25-26

[8] 黄伟. 新技术新业务发展提出新要求 网络建设与技术引入需持续推进 [J]. 世界电信， 2012，25（12）：54-58

[9] 房秉毅， 张云勇， 徐雷. 移动互联网环境下云计算安全浅析 [J]. 移动通信， 2011，35（9）：25-28

[10] LUO S M， WANG Z K， WANG Z P. Big-Data Analytics： Challenges， Key Technologies and Prospects [J]. ZTE Communications， 2013，11（2）：15-21