手机安全方案

FortiClient Mobile 4.0 移动运营商 /手机提供商的安全助手 手机通信安全威胁的发展 手机 OS发展的开放性 Symbian Windows Mobile 手机程序发展的多样 性带来的软件漏洞 个人信息的商业价值 挖掘 恶意威胁和商业敲诈 经济利益驱动，国际 性信息的频繁交互 病毒增长趋势0501001502002503003502004年5月2004年7月2004年9月2004年11月2005年1月2005年3月2005年5月2005年7月2005年9月2005年11月2006年1月2006年3月2006年5月2006年7月时间病毒数量Cabir Mquito Skulls Comwarrior Onehop Doomboot Cardtrap PBSTealer 病毒增长趋势0501001502002503003502004年 5月2004年 7月2004年 9月2004年 11月2005年 1月2005年 3月2005年 5月2005年 7月2005年 9月2005年 11月2006年 1月2006年 3月2006年 5月2006年 7月时间病毒数量手机病毒的发展趋势 智能终端发展趋势（单位：元， % ）3 . 0 % 2 . 9 % 3 . 1 %3 . 4 %3 . 7 %4 . 3 %4 . 6 %5 . 0 % 4 . 9 %5 . 3 %6 . 2 %5 . 7 %457442994119391838613672351233443167311728503000J a n - 0 5 F e b - 0 5 M a r - 0 5 A p r - 0 5 M a y -05J u n - 0 5 J u l - 0 5 A u g - 0 5 S e p - 0 5 O c t - 0 5 N o v - 0 5 D e c - 0 5市场比重 价格 病毒数增长 7.5倍 终端比例增长 1.7倍 危害尚未形成规模 但发展迅速， 应及早准备应对 并适时部署措施！ 2005-2006年 手机病毒安全风险概况 当前风险级别 手机病毒传播和分类 本地传播 传播方式：蓝牙、文件拷贝 典型 样本： Cabir、 RedBrowser、 Skulls 网络传播 传播方式：彩信、 WAP、 push email 典型样本： Comm Warrior（彩信） 病毒 代表为 Skull病毒，主要特征如下： 蓝牙本地复制传播 使感染手机图标成 “ 骷髅头 ” 木马 代表为 DoomBoot.A： 伪装游戏，手工安装 删除或修改数据 蓝牙搜索，耗电 蠕虫 代表为 Commwarrior 通过彩信自动传播 自动发送彩信 增加户彩信费 间谍软件 代表为 “ FlexiSpy” 需要手工安装 窃取短信内容，通话记录 可窃听 手机病毒发展历程 第一阶段： 手机短信病毒阶段 利用了类似操作系统中的缓冲区溢出原理，系统为固化程序，处理特定信息格式的溢出可以造成故障 ( 世界首例手机病毒“ VBS.TimoFonica”于 2000年 6月发现于西班牙。该手机病毒会导致被感染的手机向其他用户发送辱骂短信。我国最早的手机病毒“洪流（ Hack.SMS_blood）”出现于2002年，该病毒会使手机浏览短信时自动关机） 第二阶段： 智能手机病毒阶段 产品本身由于内置了操作系统，病毒利用操作系统提供的 API(应用程序接口 )进行编写，只要了解操作系统的这些知识，就能编写出感染这类手机的病毒 (2004年 6月出现的 Cabir(caribe) 是第一种针对智能手机的病毒，被感染的手机会不停的进行蓝牙搜索，发送蓝牙请 求，导致手机终端的电量被很快耗尽） 第三阶段： 网络手机病毒阶段 病毒可以通过蓝芽等传输，可以形成对整个无线网络进行攻击。 新型的彩信功能包括了动态控制信息，就像网页里的 Java Script的程序一样， 能够被病毒编写者利用，编写出通过这些控制信息来传播的病毒来。 利用 MMS传 播的病毒 Commwarrior.A （2005.3) 复制自身前查询系统时间 Commwarrior.B 不再查询系统时间 , 因此更加流行 Commwarrior.Q (Aug-2006) 变种更加难于防范 使用电话地址簿中的手机号码传播 监听所有收到的 MMS/SMS，并自动回复一条带有 Commwarrior.Q病毒的 MMS 监听所有向外发送的 SMS，并在 SMS发送完成后自动发送一条带有Commwarrior.Q病毒的 MMS给此收件人 MMS中的文本内容取此手机的短信收件箱 商业间谍软件 远程话筒激活 SMS记录 电话拨打记录 短信内容监控 木 马 : Red Browser 2006-3-12日发现 ! RedBrowser虚假的下载 Wap网页 RedBrowser 持续的提示 RedBrowser 标识显示 Source: /VirusEncyclopedia/encysearch.jsp?fid=130406 Beselo蠕虫 2008年 1月 21日 发现 该蠕虫病毒被命名为 SymbOS/Beselo.A!worm，可以在不同 Symbian S60的设备上传播。这些设备包括 Nokia 6600, 6630, 6680, 7610, N70和 N72等型号的智能手机。在安装阶段，蠕虫病毒传播的方式如下：通讯录中的电话号码将被收集起来，然后向他们通过 MMS发送含有病毒安装文件 (SIS).但是该 SIS文件不是使用 sis扩展名，而是显示为多媒体文件类型，比如Beauty.jpg, Sex.mp3和 Love.rm。与 Microsoft Windows操作系统不同的是， Symbian 操作系统执行文件是基于内容而不是根据扩展名的，因此接收到感染病毒的 MMS文件后点击该附件就会得到被感染。用户很容易被扩展名所欺骗，在不知情的情况下安装这类的恶意软件。 除了收集通讯录中的电话号码意外， Beselo蠕虫也会向自动生成的号码来发送感染文件。有意思的是，这些自动生成的号码全是中国区域内的，而且都属于一个移动运营商的。这些号码中会有一部分是真实用户的，而非收费的服务号码。它为什么采用这样的行为还待进一步考察。 媒体报道 Fortinet 公司概况 第一个基于 ASIC硬件技术的多层安全技术提供商 专业网络安全厂商 800+名员工 / 超过 500名工程 技术人员 2000年成立 发展最快的专业安全公司 全球化的销售服务体系 ( 美国，欧洲，亚洲 ) 权威的安全认证 8项 ICSA认证 最高级政府安全认证 (FIPS-2, Common Criteria EAL4+) 50+ 安全行业认证 美国病毒专业评测试 VB 100认证 欧洲专业 IPS安全评测 NSS认证 多层安全降低移动风险级别 多层安全平台能够使移动运营商 保护其用户和服务商业模型 完善的安全网络产品线 安全审计管理中心 安全客户端，邮件管理 FortiGate-50B FortiGate-100A 小型分支 办 公室 FortiGate-200A FortiGate-800F 中型企 业 FortiGate-1000A FortiGate-5000 大型企 业 运 营 商 统一安全网络解决方案 Antivius (病毒防御） IDS/IPS （入侵检测） Webfilter（网页过滤） Antispam (垃圾邮件） 安全平台 防病毒 入侵检测 防火墙 VPN Web 过滤 垃圾邮件 流量控制 安全管理 FortiManager FortiAnalyzer FortiGuard 24X7 安全升级服务 FortiGuard全球安全响应中心 100+ 安全响应工程师提供 24X7安全特征库更新 美国 加拿大 伦敦 巴黎 中国 马来西亚 新加坡 东京 SLA 3小时攻击库特征更新响应 24X7全球安全实验室 中国天津病毒安全中心 Anti-Virus (AV) 21%9%9%7%7%2%2%2%2%1%38%1 W 32/ B a g le . D W -m m 2 W 32/ N e t s k y ! s im ila r 3 W 32/ G re w . A ! w m 4 H T M L / I f ra m e _C I D ! e x p lo it 5 W 32/ B a g le . D Y -m m 6 W 32/ B a g le . D X -m m 7 W 32/ M y T o b . f a m -m m 8 W 32/ M y D o o m . M -m m 9 W 32/ M y t o b ! s im ila r 10 W 32/ M y T o b . B H . f a m -m m . N o n T o p 10(Includes Anti-Spyware) Intrusion Prevention System (IPS) e d o n k e yb i t _ t o r r e n tg n u t e l l aM i c r o s o f t . I E . C r e a t e T e x t R a n g e . R e m o t e . C o d e . E x e c u t i o no v e r l o n g _ u r i S l a m m e r M S . W i n d o w s . A S N . 1 . B i t s t r i n g . H e a p . O v e r f l o w . H T T P . BM S . E x c h a n g e . X L I N K 2 S T A T E . C H U N K . O v e r f l o wC y b e r K i t . 2 . 2 A p a c h e . C G I . B y t e r a n g e . R e q u e s t . D o SFortiClient Mobile Security v4.0 智能手机的多层安全工具 Symbian 和 Windows Mobile 系 统 Symbian 7.x, 8.x and 9.x support (Series 60/UIQ) Windows 2003 SE, Mobile 5.0 and 6.0 安全功能 个人防火 墙 VPN 呼入 过滤 垃圾短信 病毒 过滤 电话 安全 多 语 言支持 特性列表 Windows Mobile Symbian 个人防火 墙 VPN 呼入 过滤 垃圾短信 病毒 过滤 病毒隔离 电话 安全 多 语 言支持 * * Requires FortiClient Mobile 4.1 功能说明 个人防火墙 提供三个保护层次 Low 允许进出的呼叫 Medium 拒绝呼入 / 允许呼出 High 拒绝呼入 / 允许通常呼出 IPSec VPN 允许通过 GPRS / Wi-Fi 建立安全通道 支持 pre-shared key 和 VPN/Xauth FortiClient 基于 PC的软件利用 Active Sync功能可以和手机上的 VPN配置进行同步 功能说明 (2) 呼入过滤 允许用户对呼入的用户进行限制 静音或挂断 发送短信 转发呼叫到另一个号码 自动应答允许主叫方留言 垃圾短信 过滤 SMS 和 MMS 空号码 ,未知号码 黑 /白名单支持 可选择删除或者移动到垃圾文件夹 功能说明 (3) 病毒扫描 允许扫描系统存储空间 ,外置存储卡 和当前内存 可用户化的全路径扫描 预定置的扫描 实时文件保护 ,支持 Bluetooth, IrDA 支持启发式和特征库扫描 隔离 任何删除的文件可以放置在 ”隔离 ”文件夹 文件夹大小可在 500k to 4M间配置 功能说明 (4) 电话安全 提供数据的加密 /解密 SMS / MMS 信息 呼叫记录和联系记录 可选的安全记事本 多语言支持 (v4.1) 支持中文 ,英文 ,法文 ,德文等 手机平台支持 Symbian Windows Series 60 Pocket PC OS 7.0, 8.0a, 8.1, 9.0*, 9.1*,9.2* 2003, SE, Phone Edition UIQ OS 2.0/2.1/3.0 Mobile (Professional) 5.0, 6.0 * Requires Symbian Sign 部署方式 一 用户模式 用户可以直接通过 Fortinet 网站进行购买 授权号码和病毒库升级通过 FortiGuard服务进行 购买软件并注册 通 过 FortiGuard 服 务进 行注册更新 下 载 病毒 库 部署方式 二 服务提供商方式 软件和升级授权由运营商控制 Fortinet为运营商 提供特征库升级 附加的服务器进行管理跟踪 购买软件并注册 下载软件 注册 运营商门户入口 同步注册服务 病毒库更新 下载更新病毒库 软件 更新 服务提供商工作流程 登陆运营商提供的 portal,点击 ”购买” 移动用户 运营商 运营商 Fortinet 厂家 请求购买软件 在 RegServer完成注册 通过下载请求 RegDB: MID, FUID, Activate Code, SN, 通过 WAPServer校验请求 通过下载认证 ,提供下载链接和激活码 点击下载软件 输入激活码 处理激活和更新的请求 WAP Server Reg Server, RegDB, etc. 主服务器 第二服务器 和厂家主服务器同步 厂家第二服务器提供软件和病毒库更新给 FortiManager RegDB: MID, FUID, Activate Code, SN, 请求病毒库更新 FortiManager 为有效的客户端提供软件和病毒库的更新 服务提供商模式 可定制开发和运营商当前的 portal和计费系统接口 客户软件界面的定制化 FortiClient Mobile 管理服务器 Primary Server Secondary Server RegServer WapServer FortiManager Mobile WapServer WapServer 提供了基于 WAP的网络下载界面 ,提供用户认证授权 移动运营商的 Portal 和 RegServer支持用户注册 移动运营商需要提供 WAP服务器的硬件 RegServer RegServer 和厂家的主服务器需要同步用户的注册数据库 RegServer 提供下列服务 用户可以通过运营商提供的 Web 网页进行注册 维护用户注册信息 运营商需要提供硬件 FortiClient Mobile 管理服 务 器 病毒库更新由 FortiGuard service提供 病毒特征库本地存储 同步由服务器自己完成 响应 FortiClient Mobile客户端发出的更新请求 ,传送更新库给客户端 FortiManager Mobile获得每个客户端信息并本地存储 FortiManager Mobile管理服务器维护一个最新的可用的服务器列表 ,并定期传送给客户端 彩信网关侧安全 为移动运营商定制的安全功能 MMS 病毒扫描 MM1, MM3, MM4, MM7 接口扫描 动态用户保护内容表 基于 MSISDN和 RADIUS记录 手机病毒安全防御部署 GPRS / 3G PS GGSN GGSN 病毒网关隔离彩信或其他数据业务传播病毒 MMSC 病毒网关隔离Internet 网络中的病毒 3G 手机病毒软件 隔离本地病毒传播 Internet 3G 移动 MMS网络结构 MMS USER DATABASES HLR AAA FOREIGN MMS SERVER MMS VAS APPLICATIONS MMS BILLING SYSTEM EXTERNAL SERVER (FAX) MM6 MM5 MM4 MM3 MM7 MM8 EXTERNAL SERVER (EMAIL) MMS USER AGENT MM1 MM1 MM3 MMSC MM2 安全防御点 INTERNET OTHER OPERATOR MMSC MM3 MM1 MM4 CONTENT PROVIDER MM7 MM1防病毒扫描 FortiGate可以工作在透明模式 部属于 WAP网关与 MMSC之间 多个物理接口 , 支持 VLAN HA集群 , 支持 Active/Active和 Active/Passive模式 防病毒扫描和文件类型过滤 基于消息内容（关键字