3G 运营商Web内容安全过滤

1、3g 运营商web内容安全过滤 2009 移移动动网网络络服服务务的的发发展展 pre-imsims voice sms voip media iptv im 移移动终动终端内容安全威端内容安全威胁胁来源于何来源于何 处处？ 终端消息服务终端消息服务 1.彩信服务彩信服务 2.email服务服务 3.web数据访问数据访问 移动智能设备移动智能设备 通过不同的连接方法 2g-3g 运营商基础网络运营商基础网络 internet访问访问 web浏览和下载 移移动动基基础础构架安全分析构架安全分析 移动客户端保护移动客户端保护 windows, windows mobile 和 symbian o

2、s: - 个人防火墙 - ipsec vpn - 垃圾短信过滤 - 实时病毒扫描 - 内容过滤 fortiguard更新管理更新管理 服务提供商自有的安全更新服务器: - 防病毒 - 内容过滤 - 反垃圾邮件 - 系统软件更新 - ips 2.5g / 3g 核心安全内容网关核心安全内容网关 - 扫描email, 和web内容中的病毒、色情及各种web网站的分类,支持82 种分类控制能力,同时扫描web内容安全 - 双向垃圾邮件过滤 - 灵活和全面的内容过滤、日志和报告 病毒增长趋势 0 50 100 150 200 250 300 350 2004年5月 2004年7月 2004年9月 20

3、04年11月 2005年1月 2005年3月 2005年5月 2005年7月 2005年9月 2005年11月 2006年1月 2006年3月 2006年5月 2006年7月 时间 病毒数量 手机病毒的手机病毒的发发展展趋势趋势 市场市场 比重比重 价格价格 病毒数增长病毒数增长 7.5倍倍 终端比例增长终端比例增长 1.7倍倍 终端威胁发展迅速终端威胁发展迅速 ， 应及早准备应对应及早准备应对 并适时部署措施！并适时部署措施！ 2005-2006年年 手机病毒传播和分类 n 本地传播本地传播 传播方式：蓝牙、文件拷贝 典型样本：cabir、redbrowser、 skulls n 网络传播网

4、络传播 传播方式：彩信、wap、push email 典型样本：comm warrior（彩信） 病毒病毒 代表为代表为skull病毒，主要特征病毒，主要特征 如下：如下： n蓝牙本地复制传播蓝牙本地复制传播 n使感染手机图标成使感染手机图标成“骷髅头骷髅头” 木马木马 代表为代表为doomboot.a： n 伪装游戏，手工安装伪装游戏，手工安装 n 删除或修改数据删除或修改数据 n 蓝牙搜索，耗电蓝牙搜索，耗电 蠕虫蠕虫 代表为代表为commwarrior n 通过彩信自动传播通过彩信自动传播 n 自动发送彩信自动发送彩信 增加户彩信费增加户彩信费 间谍软件间谍软件 代表为代表为“flexi

5、spy” n需要手工安装需要手工安装 n窃取短信内容，通话记录窃取短信内容，通话记录 n 可窃听可窃听 利用利用mms传传播的病毒播的病毒 commwarrior.a （2005.3) 复制自身前查询系统时间 commwarrior.b 不再查询系统时间, 因此更加流行 commwarrior.q (aug-2006) 变种更加难于防范 使用电话地址簿中的手机号码传播 监听所有收到的mms/sms，并自动回复一条带有commwarrior.q病 毒的mms 监听所有向外发送的sms，并在sms发送完成后自动发送一条带有 commwarrior.q病毒的mms给此收件人 mms中的文本内容取此手

6、机的短信收件箱 色情色情间谍软间谍软件件 远程话筒激活 sms记录 电话拨打记录 短信内容监控 3g 网络滥用情况统计 9 员工30% 40% 的互联网使用花费在新闻、娱乐、 购物、无意义的闲聊（qq、msn)等于工作无关的活动上 全球70的色情网站访问流量集中在上班时间（色情网 站的浏览量集中在每天9-17时） 媒体媒体报报道道 国国际际运运营营商的商的3g终终端安全服端安全服务务 2004年年:提供终端安全服务：提供终端安全服务： 欧洲：finland、欧洲沃达丰、英国orange、法国电信开始提供手机杀毒服 务，按照2.5欧元/月提供服务 台湾：中华电信提供杀毒服务，每月69新台币 网关

7、安全服务增值模式网关安全服务增值模式 智能手机的用户为高端用户，病毒危害对这些用户的负面影响，对运营商 品牌、客户忠诚度、数据业务的推广有较大影响 个性化服务个性化服务 根据手机人群进行个性化的服务套餐,提供彩信安全,邮件安全,网页安全等 多样化运营商级服务. fortigate内容安全网关内容安全网关 fortigate 5000 移动安全网关 移动运营商定制的安全功能 fortigate 5050 fortigate 5020 fortigate 3810a fortinet公司概况公司概况 l首位基于asic硬件技术的移动网络 内容安全技术提供商 l专业网络安全厂商 1000+名员工 /

8、 超过500+工程 技术人员 2000年成立 发展最快的专业安全公司 全球化的销售服务体系( 美国，欧洲，亚洲) l权威的安全认证 7项icsa(国际计算机安全组织)认证 最高级政府安全认证 (fips-2, common criteria eal4+) 50+ 安全行业认证 美国病毒专业评测试vb 100认证 欧洲专业ips安全评测nss认证 全球全球电电信安全运信安全运营营商合作客商合作客户户 forticarrier移移动动安全网安全网络络解决之道解决之道 中文管理中文管理 日志日志审计审计 集中网管集中网管 cli 安全分析安全分析 snmp 策略策略 控制控制 虚拟用户管理虚拟用户管

9、理流量控制流量控制 数据数据 加密加密 fortios 安全操作系统 fortiasic 独特内容加速 垃圾垃圾 邮件邮件 彩信安全彩信安全 sipsip安全安全 网页网页 过虑过虑 gtpgtp安全安全 fortiguard全球安全威全球安全威胁胁响响应应中心中心 100+ 安全响应工程师提供24x7安全特征库更新 n美国 n加拿大 n伦敦 n巴黎 n中国 n马来西亚 n新加坡 n东京 sla 3小时攻击库特征更新响应小时攻击库特征更新响应 24x7全球安全实验室全球安全实验室 中国天津病毒安全中心中国天津病毒安全中心 病毒病毒/间谍软间谍软件件(av) 各种攻各种攻击击特征特征库库 edo

10、nkey bit_torrent gnutella microsoft.ie.createtextrange.remote.code.execution overlong_uri slammer ms.windows.asn.1.bitstring.heap.overflow.http.b ms.exchange.xlink2state.chunk.overflow cyberkit.2.2 apache.cgi.byterange.request.dos 专业专业移移动动安全安全风险监风险监控控 当前风险级别当前风险级别 全球全球 24x7 安全安全监监控中心控中心 fg5000移移动动安全

11、网关安全网关-运运营营商商级别级别 fortinet全球移全球移动动运运营营商客商客户户 england italy ireland iceland germany france 安全网关的彩信病毒安全网关的彩信病毒扫扫描描 1 fortigate可以工作在透明模式 部属于wap网关与mmsc之间 多个物理接口, 支持vlan ha集群, 支持active/active和active/passive模式 防病毒扫描和文件类型过滤 基于消息内容（关键字）的过滤 移动网络移动网络 mm1 wap 网关网关 mmsc 病毒扫描 http内容检测 mmsc 日志分析 基于smtp 当equivalen

12、t smtp (rfc822) 域不存在时添加x-mms头信息 fortigate设备支持透明smtp代理 mm3 (internet网关) mm4 (网间通信) mm7 (增值服务) fortigate设备可以同时使用这些功能 通过fortiprotect网络实时更新病毒特征库 mobile network 外部服务器或网关 mmsc 基础构架和基础构架和 其它运营商其它运营商 mm4 mm3 增值服务和增值服务和 内容提供商内容提供商 mm7 mm1 wap 安全网关的安全网关的彩信病毒彩信病毒扫扫描描 2 如何启用彩信内容保如何启用彩信内容保护护 可以仅仅监控 而不作阻断文件类型过滤 彩

13、信文件彩信文件过滤选择过滤选择 可以针对文件类型 进行阻挡（如.sis,exe,jpeg文件） 头信息/cookie 获取电话号码的方式 可添加其它前缀 （如国家代码） 彩信信息告警彩信信息告警/拦拦截通知截通知 电话电话号号码码黑白名黑白名单单 根据来源和目的的msisdn地址进行过滤 和防火墙策略进行关联 建立基于用户的mms安全扫描配置 根据 msisdn号码拦截彩信 msisdn黑名单 msisdn白名单 可以完全隔离备份原始彩信到存储设备 彩信内容彩信内容过滤过滤 使用一个可配置的字典 5000个条目，每条目最多80字符 完全utf-8支持 可支持泰语、阿拉伯语、北印度语、乌尔都语等

14、 保护内容表允许给单独条目一个分值。 超过了配置阈值的信息可被阻止。 也可被使用为免除(白名单)内容 日志输出 彩信速度彩信速度/重复频率控制重复频率控制 彩信安全日志和彩信安全日志和报报告告 syslog日志日志 从mms消息中提取的发件人/收件人的msisdn信息 使用fortianalzyer产生超过300种图形报表 2006-11-17 08:49:29 log_id=0211060000 type=virus subtype=infected pri=warning vd=root src= dst=4 src_int=port2 dst_i

15、nt=port1 service=mm1 status=blocked from=491740430400 to=+4915200459450 file=commw.sis virus=symbos/commwar.b-net msg=the file commw.sis is infected with symbos/commwar.b-net. ref =http:/ quicksearchdirectly&virusname= symbos%2fcommwar.b-net. snmp trap 当fortigate发现病毒时，向统一的网管系统发出信号 email报警报警 基于时间的报警邮

16、件（例如：每小时）发送给客户服务中心 可订制的报警信息（包括msisdn及病毒名称等信息） mms告警告警 由fortigate安全网关生成 报警信息发送给病毒发送者 可订制消息内容 可设置网关自身的msisdn标识 频率设置 不会针对每个病毒事件发送mms，以避免mmsc和发件人的性能过载 可以定义发送mms的时间间隔（如每24小时） 安全日志中心安全日志中心 网关网关 手机手机 web分分类过滤类过滤 基于msisdn的url过滤，包括病毒扫描 使用自动更新的分类数据库，并可进行用户自定义设置 多种分类 为成年人/未成年人用户提供不同的保护 为网上内容重新加上头信息 移动网络移动网络 in

17、ternet 用户数据库 3g 色情内容（基于http头） 根据urm分类允许或拒绝站点 url database 安全安全web检测检测工作流程工作流程 安全网关安全网关 ggsn off-net fortiguard 安全云网安全云网络络 云安全云安全检测检测 1 网网页请页请求求 2 3 internet 3g sgsn web 网网页请页请求求 4 安全安全扫扫描描过过的内容的内容 日志日志审计审计 wap 网关网关 安全网关 web 网址过滤 34 fortiguard网址过滤 82个网址类个网址类 别控制别控制 超过超过20亿个亿个 url 实时数据库实时数据库 更新更新 配置需要

18、阻止访问 的网站类型 基于3g用户认证的web过滤 35 使用不同的用户名进行防火墙认证，过滤网址的类型也不同 在保护内容表中定义不同的网址过滤类型 对不同的用户组使用不同的保护内容表 对上传文件的文件名进行过滤 36 在论坛中上传文件，文件名为网页内容阻断里定义的样式 网页被阻断网页被阻断 阻挡网页视频 37 把网页内容阻断在保护内容表中应用，并把保护内容表在防 火墙策略中应用 找到在线视频网页中嵌入播放视频的关键字内容 在网页内容阻断中定义该关键字 阻挡网页视频 38 网页视频网站首页可以打开，但观看视频时被阻止 访问被屏蔽的网页 39 可以自定义提示信息 web论坛中上传数据泄漏内容 4

19、0 可以自定义提示信息 阻挡访问含有非法内容的网页 42 可以自定义提示信息 标准的标准的web内容搜索内容搜索 安全控制后安全控制后web内容搜索内容搜索 安全内容存档审计 45 数据泄漏防护功能可对邮件、访问的网页、im聊天记录及传输的文件、 ftp传输的文件进行存档，管理员可查看内容 谢谢! 更多信息请访问更多信息请访问 http:/ majpjmvcyzj21hlfrvy96dv02lppfygxus7iymzkyemz0kgeyzs3bplckyh1lt4ek7cxmux3ijoysoer7zuavwygz4epzruirvpmzzvntf1xzw5oswsxotfaejnocmfe1lzgnn1rsxg8wlcg8cvq3xpjmvodpfwcpiyjgzaznsepniaklysu7qsd1upaxmzdlpn9zw7kljfslcli26yv109ffbndh8lbun1g6acurq39eg12khl9txsz1jzgock8g1kunoh5efvcmvt5zyvqt9zk3rp3qlnf02fovexxvrxjccfrnppijljniouk6fonnyx7fygg7sxz49bmcn5oy9ve