移动智能终端安全思考_图文

1、 2013-6-24中国联通 目录第一部分 终端安全发展需求 第二部分 终端安全产业现状分析 第三部分 终端安全思考第四部分 终端安全发展建议 移动智能终端生态系统概述移动智能终端生态系统定义:由移动智能终端硬件、操作系统及其向外延伸的网络、应用与服务等产业链环 节构成的综合系统 特点:以用户为根本,智能终端操作系统为核心,以移动智能终端硬件为载体,通过 丰富的应用、宽带网络、高质量服务向用户提供综合解决方案,从而增加产业链中各 成员的价值由苹果、谷歌、微软等主导的多要素 耦合、垂直一体化的生态系统成为业 界的主流模式 国内运营商纷纷打造此模式 构建完整的产业生态系统,可以获得核心竞争力 产业

2、链中的角色无法仅靠自身产品取得市场竞争优势,单纯产品间的竞争 演变为产业生态系统间的竞争12封闭的生态系统开放的生态系统3半开放的生态系统颠覆 了传 统手 机的 运营 模式 3。截止 2012年底,我国手机网民数量超过 4.2亿(CNNIC ;智 能手机用户接近 2.3亿(MIIT 终端操作系统市场份额-Gartner用户规模操作系统 平台 2012年 第 二 季度 季度(万 市场份额 2011年 第 二 季度 季度(万 市 场 份额Android 9852.9364.1%4677.5943.4%iOS 2893.5018.8%1962.8818.2%Symbian 907.155.9%238

3、5.3222.1%RIM 799.125.2%1265.2311.7%WMobile 408.702.7%172.381.6%Other OS 86.330.6%105.061.0%总计 15368.61100%10774.04100%移动智能终端生态系统的产业环境 安全威胁可能出现在生态系统的各个环节,但最终的攻击目标都集中于终端,其目的 是通过侵入终端,控制移动用户,从而获得经济利益 如不对智能终端生态系统的发展进行整体管理和控制,则会导致开发者、用户、运营 商的利益受到损失,并影响整个终端生态系统的发展移动恶意软件、网络攻击、 资源滥用等技术研发能力和 实施环境均已具备以前产业链各环节的

4、安全是 独立的 现在产业链是紧密结合在一 起的整体的生态系统,一个 环节受到威胁,会影响系统 中的其他成员移动智能终端生态系统安全 现状智能终端生态系统安全威胁分类 从攻击者侵入终端的接触点来看 ：应用中含有大量恶意代码和木马病 毒，以及对应用商店的攻击和恶意应用商店的存在， 对终端生态系统造成吸费、窃取隐私的巨大损失。 Web ：Web2.0和HTML5的发展使得对基于 Web环境的业务和应用的攻击成为终端生态系统安 全威胁的入口，对终端生态系统造成各种严重危害。 ：操作系统存在的漏洞和后门使 得终端操作系统很容易遭受攻击，达到控制系统和 破坏系统的目的，对终端生态系统造成巨大影响。 ：终端

5、的丢失或者故障造成隐私数据 的泄露或者遗失，恶意软件对硬件的破坏，对终端 生态系统造成严重损失。 Hardware & Equipment 运营商曾经的安全之道 被动式 安全 6 被动式安全模式下的困境-1 赔付案例：江阴的朱先生到国外 赔付案例： 旅游，当9天后他满意地回国时， 手机病毒 竟然欠费多达1.2万元。最后，运 大规模爆发 营商免收了其因中毒而产生的高 额话费 用户投诉， 用户投诉，要求赔付 流量查询 继续投诉， 继续投诉，要求赔付 定期推送流量提醒 手机病毒屏蔽提醒短信 继续投诉， 继续投诉，要求赔付 官网主页推荐用户使用360、 、 官网主页推荐用户使用 腾讯安全产品杀

6、毒 没有能力保障用户安全， 没有能力保障用户安全， 影响品牌形象， 影响品牌形象，运营商遭受经济损失 被动式安全模式下的困境-2 2011年某市公司 口监测数据统计 年某市公司Gn口监测数据统计 年某市公司 GPRS传播事件 ： 3854598 ；WAP传播事件 ： 2671466 ；彩信传播事件 ： 850条彩信 感染用户数目 ： 94908 （已去重复）； 监控确认的恶意代码总数 ： 125种 恶意软件TOP15监控感染事件数排名 监控感染事件数排名 恶意软件 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Merogo.C InstallGuideDy.A DuM

7、usicPlay.A FakeNokiaOvi.A FakeNokiu.A Fontal.A BotSMS.A FakeMtune.A CReadMe.A ShaduQQ.A Upadapter.E Drever.A flexispy Appw.D LanPackage.A InstallGuide NokiaOvi Fontal Nokiu Mtunes SHADUQQ Drever X BT 4076760 2232915 49971 44574 35709 23931 19016 13100 7265 6166 5534 4698 2502 830 765 2054 10814 3058

8、 2088 2712 19689 186 3363 543 1615 1244 1315 20 548 37 被动式安全模式下的困境-3 2012 2 14 10 运营商应该怎么做? 制定明确的规划与战略 提供安全保障能力 主动式 安全 目录第一部分 终端安全发展需求 第二部分 终端安全产业现状分析 第三部分 终端安全思考第四部分 终端安全发展建议 移动智能终端安全的产业角色政府部门行业协会、标准组织 运营商终端厂商内容提供商 软件提供商服务提供商安全厂商智能终端 生态系统芯片厂商 移动智能终端生态系统安全的政策环境随着智能终端生态系统安全问题的日益严峻,国家政府部门予以高度重 视,相继出台了

9、一系列针对终端生态系统安全的法律法规和管理办法, 同时加大了监管力度。 2011年 8月,中国最高人民法院、最高人 民检察院联合发布 关于办理危害计算 机信息系统安全刑事案件应用法律若干 问题的解释 2011年 9月,工信部发布 关于加强工业 控制系统信息安全管理的通知 2011年 12月,工信部发布 移动互联网 恶意程序监测与处置机制 ,运营商负 责向 CNCERT 报送移动互联网恶意程序 疑似样本,对移动互联网恶意程序进行 监测、处置和反馈 , 建设完善技术平台 2010年 1月,工信部发布 通信网络安全 防护管理办法 ,规定运营商应当按照 电信管理机构的规定和通信行业标准开 展通信网络安

10、全防护工作 2012年 6月,工信部发布 关于加强移动 智能终端进网管理的通知 ,规定申请进 网许可的移动智能终端不得安装含有恶意 代码或者擅自调用终端通信功能造成用户 流量耗费、费用损失、信息泄露的软件 IT系统 国内首部针对个人信息保护专门国家标 准 信息安全技术公共及商用服务信息 系统个人信息保护指南 将于年内出台, 该指南将对个人信息处理包括收集、加 工、转移和删除四个主要环节予以规范 2012年 3月,工信部发布公告称组织开展 为期 3个月的端口类短信群发业务清理整 顿专项行动,要求运营商尽快在全国范围 内部署垃圾短信发端、收端过滤系统 移动智能终端安全相关技术标准 Auth4API

11、 ,目的 是构建网络编程接 口安全机制,防止 业务开放平台上的 第三方应用访问用 户的受保护资源 移动垃圾信息上报 (SpamRep ,已 投入商用,用户收 到垃圾信息后,主 动发送报告给服务 器 安全内容身份管理 机制(SCIDM TC5 WG5&TC8 WG2联合立项 移动终端安全 威胁及其解决方 案研究 TC11 WG3立项 智能终端信息 安全 移动终端安 全能力技术要求 中国联通在 TC11 WG2牵头立项 移动恶意软件 主动防御技术研 究全球安全运营网 络 (GSON 项目 Remote Mobile Malware Removal Study 移动恶意软 件定义、检测、远程

12、移除 Mobile device security patching 发现终端操作系统 弱点,业界共享 A guide to mobile malware 为运营商 提供关于移动恶意 软件防御技术及治 理措施SG17 Q6从 2009年 启动 Xmsec-6 Recommandation Security aspects of mobile phones项目, 主要研究终端安全 威胁、安全需求、 安全机制。本标准 力图建立通用的终 端安全框架,并不 涉及对特定操作系 统及生态系的针对 性研究。移动智能终端安全的市场环境 巨大的经济利益驱动下， 巨大的经济利益驱动下， 黑色产业链形成 网络攻击从

13、个体到产业化, 年收益超过100亿 向渠道商提需 求，希望将其 经营信息扩散 给广大用户 负责业务推 广，信息扩 散，出方案 技术支持，具 备制造工具发 现漏洞，实施 犯罪活动 雇佣者 渠道商 黑客 国外运营商终端安全的相关工作 Orange UK与ST合作推进安 全手机平台，改进SIM卡IC的 体系结构以及在手机平台内 的连通性能，为个人多媒体 服务和下一代便携平台开发 与厂商合作定制 一个安全开放的环境，最终 行业安全终端， 制定一个完整的信任平台体 收取终端费用。 系结构。 2011年5月，Orange 销售内置生物指纹识别器以保障个 人信息安全的智能手机为消费者提供了新水平的安全防 护

14、措施，可以满足一些特殊岗位工作人员的需求。 Vodafone：提供从内容过滤到源控制的内容安 全解决方案，在两个月内比其他开发者速度提 AT&T：致力于智 高50%，来自高端客户和集团客户的收入增加。 提供个性化的整体解决 能手机安全加固 方案，通过扩展的安全 2011年11月，Verizon与VMware结成战略合 和标准化，提供 服务，获得增值收益。 作伙伴，推出VMware Horizon Mobile解决 企业用户设备移 方案，为移动用户接入云平台提供安全移动 动性的安全管理。 服务和设备管理。 NTT DoCoMo：超过5千 与厂商合作定制 万3G用户部署McAfee手 行业

15、安全终端， 机终端安全软件。 收取终端费用。 中国联通智能终端安全现状 终端：加强终端安全管理，并研究 安全 终端：加强终端安全管理，并研究OS安全 开展移动恶意软件防治、终端弱点分析相关研究工作 开展系列终端定制管理、终端预置应用管理工作 推出了自主知识产权的智能终端操作系统以及沃Phone终端。 网络： 网络：具备初步网络流量监控和分析基础 开展分组域信令监测工作 开展移动用户手机用户上网记录查询及分析 移动互联网恶意程序专项治理工作 业务： 业务：开展业务安全研究工作 开展业务平台风险评估与加固、移动互联网信息安全管理工作 开展新型垃圾短信识别 云环境安全研究与防护工作 目录 第一部分

16、第二部分 第三部分 第四部分 终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议 运营商在移动智能终端产业中的优势 2012 6 1.6 3G 5753 2012 2 360 7000 1459 2012 2 2931 2012 QQ 7.5 19 运营商移动智能终端安全发展目标为个人用户提供个性化终端相关安全服务 ,保障用户终端安全,提高用户黏度; 为行业用户提供定制服务及生态系统安全整体解决方案。基础设施是对内保障、对外服务的支撑平台基础设施为发展、推进安全工作的基础基础设施是业合作的关键深度挖掘产业链各个角色与运营商合作的可能性;积极参与产业链探索拓展安全增值服务模式

17、;为自身及合作伙伴提供安全保障。 移动智能终端安全内涵 21 加强自有应用的防护,为服务提供商、内容提供商、软件提供商的业务应用提供安 全服务。核心资源数据的安全防护 业务数据的安全应用以运营商自身网络资源与能力为依托,通过产业合作,构建网络监测与安全态势感 知平台,通过此平台将网络优势向终端、应用侧延伸。划分行业用户与个人用户场景,结合安全厂商安全解决方案或运营商自身能力与资 源,创建运营商终端增值安全服务模式。从多维度深入挖掘各类用户行为、习惯、需求等有价值数据,开发安全客户端软件, 有利于进一步制定各场景用户终端安全服务,增加用户黏度。 从终端硬件、操作系统、应用层三个维度,分别开展终端

18、安全关键技术研究。安全威胁的接触点为终端,但终端不是唯一战场。 威胁来自于终端生态系统中的各个层面,因此,要从终端、网络、业务三个层面的角度审 视安全问题,建立端到端的生态系统安全防御体系,为用户提供整体安全解决方案。 移动智能终端安全体系总体思路:依托网络优势、构建基础设施平台,以终端为安全服务入口,加强应 用层面的安全防护,从而建立移动智能终端生态系统安全的技术体系。 操作 系统硬件芯片 终端硬件芯片可信技术 终端操作系统安全机制 终端应用终端应用安全防护技术 终端层 网络层网络安全基础设施 业务层业务安全管理基础设施 大数据安全管理 业务融合认证 云安全管理 应用审核 终 端 安 全 基 础 设 施 安全工具开发 终端虚拟化终端操作系统弱点及加固 123 手机安全服务 安全态势推送 安全预警与自有业务、 产品推荐 提供扩展功能 可以作