新闻链接：http://roll.sohu.com/20130524/n376983388.shtml
新闻时间：2013年05月24日
新闻正文：
（吉利/文）5月24日消息，在今天的“移动互联网业务创新与信息安全分论坛”上，中国移动高级工程师刘利军在谈到终端安全时表示，Android系统完全开放的模式，给软件开发过高授权，是导致恶意吸费软件泛滥的重要原因。他同时透露，目前正在网络侧建立监测系统，来监测发现某些软件特制。

　　在“2013移动互联网业务创新与信息安全分论坛”上，中国移动高级工程师刘利军分析移动终端智能化的特点时表示，移动终端更加接近个人，同时移动互联网和云计算也成为一个比较典型的趋势。因此，“业务安全成为保障难点，而其后果就会导致用户信息泄露、业务内容泄露等”。

　　刘利军称，目前WEB系统漏洞仍然是主要的入侵途径，而Web系统主要安全威胁表现在四个方面：

　　第一、SQL注入漏洞。“正常我们在网站输入一些信息，然后提交，在输入参数的地方，同时输入数据库命令，使数据库执行命令并返回敏感用户信息”。

　　第二、非法文件上传。“利用网页对文件类型监察部严的漏洞，把后门、木马等恶意程序上传到网站系统并执行，可以控制网站系统执行命令并获取敏感信息等”。

　　第三、第三方组件。“第三方组件在目前的Web开发领域逐渐的成为了一种形式，这些组件存在非常多的漏洞，可以直接上传后门、木马等恶意程序或者可以直接获取网站管理员权限等，从而控制网站系统。Web第三方组件类型主要包括如网页编辑组件、论坛组件等”。

　　第四、系统管理后台。“这方面的问题主要是在一个Web系统进行服务以后，有一个管理工作界面，利用网站管理后台被远程访问。”

　　针对这些问题的安全防护，刘利军认为，事前要制定技术规范，强化安全编码，“在系统的设置开发，规划阶段对服务的提供要深入到代码级的控制，同时加强系统安全评估。”

　　而在事中，第一要强化Web安全管控，网站安全监控。“这方面重点关注是网站安全监控，以及Web安全的监控”；第二是对Web进行多层次的，包括强化Web安全防护，网站纵深安全防护。

　　对于事后措施，“主要就是强化审计及应急响应，提升快速反映能力。接到安全事件分析任务，对事件进行初步分析确认”。

　　在谈到终端安全问题时刘利军坦言，现在非常典型的是恶意吸费。“导致这种问题非常重要的原因实际上就是开放性的问题，恶意软件开发门槛低，Android系完全开放的模式，给软件开发过高授权，是导致恶意吸费软件泛滥的重要原因”。

　　他表示，“如果对这种非常典型的KPI的调用做一些限制，能大大降低恶意软件入侵的可能性，这也是要求我们对操作系统，对KPI作出一些规范。”

　　刘利军同时透露，“目前正在网络侧建立监测系统，来监测发现某些软件特制。并同时在建设手机应用安全管控中心，对商城应用程序的全生命周期进行安全审计和管控。”来源CCTIME飞象网)

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课