李金成

摘要：随着现代社会的高速发展，移动社交俨然已成为了人们日常生活中不可或缺的一部分，其社交性、移动性与快捷性作为移动社交网络的三大显著特征，为千万用户提供了个性化、多样化的便携式服务，与此同时用户数目多、数据量大、信息开放、联结形式多样性，终端分布不均匀性，用户关系难以管理等特点，致使网络易受黑客的攻击等一些潜在的安全威胁。这样一来，保障用户隐私安全、身份系统认证和信息数据访问控制等成为不可忽视的网络安全问题。移动社交网络中用户的隐私安全和支付安全方面的攻击和窃取问题尤为突出，需加以重视并制定对策。

关键词：移动社交网络；攻击和窃取问题；隐私和支付安全；对策研究

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）28-0042-02

近几年来，由于智能系统的兴起和普及，移动社交网络也乘势迅猛发展，其安全问题也接踵而来。第三方提供的社交软件在给诸多用户提供生活工作和交流便利的同时，个人信息泄露，资金账户被窃取等问题已经威胁到使用者的生活和财产安全。当用户与外界进行通信时应用程序自动读取用户通讯录存储的联系人信息，并将正在使用该应用的联系人主动提供并推荐给用户。此项功能具有高效性和便利性，同时也能够证明移动社交通信类应用软件成为用户生活必不可少的生活方式之一。然而，鉴于通讯录所含内容普遍涵盖使用者的个人信息，因此在现实生活中应用软件在获取用户通讯录之前，需首先通过用户的许可验证，包括合法访问的权限许可等。人们乐于将自己的个人信息在社交网络上与他人共享，如果没有良好的保护手段，如认证、加密、防火墙及入侵检测等，用户信息的私密性将受到严重威胁。那么采取安全高效的隐私保护措施和高效便捷的支付安全，便成为移动社交网络安全领域的重要研究内容，对国家网络安全的发展具有重要意义。

1 移动社交网络的隐私窃取以及对策

目前，智能手机和平板的大量涌现，APP应用软件也随之快速更新，不良动作往往在运作过程中对用户存在威胁。例如在使用移动社交软件中普遍采用通讯录匹配功能，但使用前提不可忽视，一要确保手机号码是否是绑定在用户 本身上而非第三方使用者，二要确保用户在相关应用程序上传通讯录或具有其特征性的摘要信息获得认证。在应用程序的系统默认下，向用户主动提供并推送其联系人信息就会极少构成潜在的网络安全威胁。但实际情况下并非如此，在便利的同时更不能忽视安全性，在没有访问控制与权限设置的前提下也给用户隐私带来隐患。通常情况下，账户作为使用者的标识，在用户想要判断对方的个人资料和身份时能获取的信息范围很小，这样一来，用户便倾向于认同那些资料详细、完整的账户。但有些账户看似可信，一旦被其他人通过不法手段进行控制并大量盗取用户个人信息及资料并加以利用进行伪装诈骗、非法监听时，隐私保护问题就岌岌可危了。

1.1 隐私窃取手段

1）通讯录、通话记录及内容、地理位置及定位，各类账户信息及网络交易密码都是可能被当做隐私窃取的手段。通过该方法大量使用者的个人信息和账号密码会被攻击者获取，通常情况下由于手机号码是普遍用于核实用户真实身份的手段，因此在结合用户资料后，提供给攻击者更多方位的信息。

2）与此同时，恶意制作垃圾不良短信的人通过向社交应用服务器提供给已获取的用户信息，就能够获取到其选定的手机号码是否处于使用期间或在线状态。由此不良用户就会凭借已盗取的号码中，将用户的个人资料与信息用于非法的商业活动等中。

3）在用户注册多个应用程序的情况下，不法分子可以综合其安装的不同类别软件中获取到包括学校、院系和工作单位等详细资料，会对诸多用户的财产安全甚至人身安全受到不同程度的威胁；更严重的问题是，不法分子还可以根据所获取的用户信息伪造虚假的用户身份进而盗取信息。一旦被克隆，就等于为攻击者开了一扇后门，达到克隆出一个和目标用户完全符合其标准的不实账户的目的。依靠微软的终端服务不会释放任何病毒文件，因此极具隐蔽性，所创建的克隆身份迷惑性越大，攻击后产生的危害性就会越大。

1.2 主要对策

1）基于实名制的移动社交网络，账户的用户名往往能提供其他用户明确的身份提示，用户实际上已提示了对目标联系人好友的先验知识，为了有效防止用户个人信息被攻击者收集，可以通过身份认证对用户身份进行识别并仅返回该账户的用户名，而不返回除此以外的其他个人信息。

2）对于未采取实名制的移动社交应用，建议利用访问认证确认访问权限并提供有关于用户的个人信息的问题作为亲密度的验证，这样就降低了攻击者窃取信息的可能性。使用通讯录匹配功能的用户通过此类提示来核实推荐好友的身份，其他信息应设置为仅对已添加好友可见，这样就能避免和有效阻止攻击者获得通讯录联系人对应的账户信息。

3）手机号码的隐私程度反映出二人的用户关系的亲密度，因此在通过通讯录匹配功能推荐好友时，建议把通讯录中将拥有该用户的手机号码推荐为可信好友，双方拥有对方的手机号码更能够反映出双边的朋友关系，此办法可信度高的同时也最大限度地降低了不法分子利用通讯录匹配功能来获取用户资料的可能性。

2 移动社交网络的支付安全攻击以及对策研究

由于TCP/IP协议在设计时容易忽视网络自身的一些特点以及安全问题，但移动社交网络安全协议都架设在TCP/IP之上，因此TCP/IP协议本身的安全问题极大地影响了移动社交网络安全。由于网络安全环境的不完善，让用户对手机等移动设备缺乏安全感，移动社交网络的环境下支付安全更是如此。这些问题因移动支付背后的产业链庞大以及影响范围广而造成，宏观来看其中的运营商与服务商在复杂的支付产业链中运营体系存在差异，同时其表现形式也各不相同。为防止整个产业链中单个环节被攻击，因此有必要通过内部入侵、外部入侵和误操作的实时保护认真分析各环节的安全问题隐患以及对策研究。

2.1 支付安全攻击手段

1）金融机构是用户移动设备绑定的银行账户管理者，它是整个移动支付环节的重中之重。若用户在手机银行绑定期间，不慎将手机遗失，就意味着手机卡号与其绑定的相关信息都会被别人轻易获取。与此同时各金融机构独立开发的网络银行业务的交易安全标准应被统一的广泛认可，移动社交网络方面金融机构的总体安全状况不乐观。

2）第三方移动支付服务提供商作为非银行类金融机构的第三方移动支付服务提供商，此类机构其职能不在传统的行业监管范围内，当然存在着一些安全问题，例如对沉淀资金的管理是很容易产生资金风险问题的，有必要对沉淀资金进行界定并保证沉淀资金的安全从而不会影响交易的完整性。在交易信息传输过程中，如果信息不能及时的在客户端与服务端间进行传输，会影响客户支付的准确性甚至重复支付等问题；若黑客利用该漏洞设法控制用户和服务提供商两者间的通信，那双方交易过程就会被黑客所控制，并从中非法获利，使用户和服务提供商造成损失。

3）移动通信网络运营商是介于金融机构、用户和服务提供商之间的通信桥梁，移动通信网络运营商在促进移动支付业务发展中起着中流砥柱的作用。移动社交网络开放的环境中，SIM卡存储着用户签约的所有敏感数据信息，若SIM卡被复制或者遗失意味着所有机密信息将被非法获取。一般情况数据信息都使用明文通过移动社交网络或硬件技术进行传输，而明文未加密易于被拦截或窃取，以至于机密信息在交易中被破解。

4）设备终端提供商是整个移动支付环节的硬件，在4G网络和移动终端的愈加完善的环境下，移动终端具备的功能也愈加完善，移动支付应用的支付功能与种类更是层出不穷。用户需要通过注册签约信息、传递账号及密码等数据信息才能与移动终端接入支付平台，若因为使用移动终端设备不当而导致签约用户的敏感信息被病毒或木马程序攻击，使用户银行账号信息安全受到威胁。

2.2 主要对策

1）金融机构必须建立一套完整体系的防火墙防范黑客的攻击，加密处理用户的ID及密码，尤其是对重要的数据信息甚至进行重点加密处理，不得使用明文进行信息传输。应有安全日志记录用户对系统的访问及时得到用户客户端的访问动态信息；在错误日志中记录所有应用系统发生的错误并在金融机构相关部门及用户客户端得到反馈。用户手机如果意外丢失或者被盗，为保证其手机卡号绑定的银行签约信息的安全，挂失后金融机构应迅速采取加密保护用户信息。除此之外，金融机构还应制定可行的行业安全标准来规范移动支付业务，建立统一完整的移动支付安全机制。

2）制订和完善相关法规来约束第三方移动支付服务提供商，并且通过相关的法律将其纳入日常监管，必要时采取限额等针对性措施，为了规避其在运营过程中的风险也可以同时建立合理的信用评价体系。若出现重复支付或造成用户损失的情况时，为保证用户支付信息的准确性，第三方移动支付服务提供商应限制用户短时间内发送支付请求的次数，必要时做出灾难备份与恢复技术方面的对策。

3）移动通信网络运营商应制定统一完整的加密标准在移动社交网络中使用，这样能够增强通信信息的安全性，通过采取实名认证和指纹验证等方法，既能确保交易双方身份认证又能防止不法分子窃取交易信息，严格控制交易数据的真实可行性和不可逆转性。若发生SIM卡被复制或者入侵的情况，为保证个人信息的安全，用户应立即更换新的SIM卡，通过身份识别验证SIM卡的唯一加密ID，将原SIM卡中的数据库数据更新至新SIM卡中得以使用并且删除原卡的全部信息。由于手机卡号及密码等信息容易被黑客攻击，移动通信网络运营商应采取密文传递方式来加强信号传播的安全问题，防止信号被黑客截获。此外，移动通信网络运营商应建立完整灾难体系方案和应急预案用来处理网络的不稳定性和支付行为的难以追踪性引起的不必要行为和损失。

4）作为整个移动支付产业链硬环境的设备终端提供商，加强移动终端技术和后台支持技术的开发是必须保证的，可以通过安装金融级智能安全芯片、加密软硬件、数字证书等方法使移动设备终端的安全性得以提升，同时可以将用户的密码进行加密技术处理后再进行移动支付的交易来确保交易的安全。

3 结束语

随着全球信息化步伐的加快，网络安全问题频出，移动社交网络安全的保障之路任重而道远。不能仅仅需要网络安全技术的支持更需要网络用户提高网络安全意识。移动社交网络在其产业链的大力推进下，移动社交网络正进入一个黄金时代，因此解决移动社交网络中存在的各种安全威胁刻不容缓，同时也应加强各安全领域之间的合作，制定通用具有实效性的网络安全标准和相关配套法规，共同促进移动社交网络安全、高效和谐的发展。

参考文献：

[1] 邱均平， 李艳红. 社交网络中用户隐私安全问题探究[J]. 情报资料工作，2012，33（6）.

[2] 罗再阳. 移动支付风险与安全机制分析[J]. 金融科技时代，2015（9）.

[3] 程瑶. 移动社交应用的用户隐私泄漏问题研究[J]. 计算机学报，2014（1）.