3G智能时代的到来推进的手机移动产业的蓬勃发展,据最新资料显示,我国手机用户已经达到了7亿之众,而通过手机平台进行上网的人士也已经超过了1.5亿。随之衍生的,短信骚扰,恶意软件,还有举不胜举的移动终端网络诈骗等也步入用户的视野。针对种种智能终端的安全缺口问题日趋严重化,以“创新与发展”为主题,由中国通信学会主办的“2009中国手机安全产业论坛”将于9月25日在北京新世纪日航饭店隆重举行,来自业界各个层面的关注者们齐聚一堂,就手机安全问题现状与未来发展展开深入讨论。
在上午的会议上,中国移动技术部高级经理常嘉岳上台就移动通信终端的安全分析发表演讲,以下为演讲实录:
常嘉岳:尊敬的各位领导、各位来宾,大家上午好!非常高兴借此机会跟大家分享一下中国移动在移动终端安全领域的一些成果。 我演讲主要分成三部分:一个是移动终端安全现状,另外是移动重担风险分析,最后对移动终端安全解决思路。 在一个多月之前我看过一部电影《窃听风云》,里面有非常重要的一个环节,香港的那些警察人员只要想窃听谁的电话,只要输入电话号码就能窃听到内容,当时就有人问我,你们移动的手机信号真的那么不安全吗,我反问他,电影里开锁也很容易啊,随便找个什么东西就能打开锁了。听到这个话很多人就跟我探讨手机安全的问题,从这里面我有一个深深的体会,就是说随着人们用手机越来越多、越来越广,手机安全问题也会非常容易的吸引大家的重视,那么我们看现在的移动终端有哪些问题。
5年全世界手机用户是35亿,而我们国家现在不完全统计是7亿,也就是说手机已经成为人们日常生活中必不可少的工具,同时可以看到现在出现的一些问题,像流氓软件,刚才也有同事介绍了,还有监听和恶意短信,这些都导致终端安全隐患,威胁了用户的利益,对我们社会也造成了非常大的不良影响。对中国移动运营商必须让用户有一种安全感。 下面介绍一些案例,04年有第一款的手机病毒出现,现在已经有超过200种的手机病毒,而且爆发趋势是愈演愈烈,像类似于S卧底的软件已经出现,而且明码标价,1980元就能买到这样一款软件,也说明危害手机的技术越来越增强,也对我们提出了很大的挑战。
同时随着智能手机的日益普及,手机和PC越来越相似,这样手机上其实安全漏洞也逐渐的像PC领域那样逐渐的泛滥起来,还有网络速度不断的提升,用户下载软件的手段越来越方便,手机终端实际上比PC还更难管理。另外还有手机终端失窃的问题,有一个数据,每53秒钟全世界就有一部移动终端失窃,这样就会造成很大的危害。 另外更细致的分析一下移动终端面临哪些风险,像丢失的风险,一旦丢失你的数据就会丢失,另外作为身份认证,窃贼可以用你的终端干各种各样的事情,可以通过群发短信、彩信、订购一些业务,造成很多财产上的损失,还有以后随着移动电子商务的发展,可以用来支付,这方面的损失会更大,还有E-mail、监听,都会造成很大的损失。
因此移动终端一旦丢失或者一旦造成攻击,造成的损失是难以估量的,而我们看到的攻击途径,像蓝牙、红外、SD卡、浏览器等等各种攻击途径,会对我们的终端造成影响。而目前透露的一些风险包括垃圾短信、语音和短信被窃听,终端上也有木马或病毒趁装软件的时候进来,那么我们怎么办呢?大家先看一下终端的安全模型,其实我们通过对终端安全模型的分析就可以很容易找到对策,针对系统安全层、应用安全层这几方面对终端进行安全上的保护,像对文件系统的安全、软件安全、身份鉴别等等手段,从系统层面对安全进行保证,实际上这也是最根本的基础。同时对系统层的安全,像防火墙、杀毒软件、外设保护。当然对应用层面的,像存储加密、身份认证可能会层出不穷,推动这三个层面进行保护。我们要从这几个方面下手,一个是对设备管理,还有对失窃密的防护,一旦失窃就要进行防护,还有终端传输的安全,最重要的还是系统的安全,像防火墙、防病毒、VPN等等。先看一下终端自身的系统安全,我们可以通过个人的防火墙,在座的有一些防病毒软件会开发,还有一些外设,还有过滤软件,还有来电防火墙。其实说到移动操作系统这块,就不得不多说几句,实际我国也有一系列的相应规定,像17859等等标准,还有一批基于Linux的安全操作系统也已经出现了,但是对于我们国家的手机操作系统这块起步还是相对比较晚的,我们现在的产品状况也不尽如人意,因此我们以后在做移动操作系统领域的事情的时候一定要认真考虑安全的问题,因为操作系统是移动终端方面的安全基石。中国移动也在开发Ophone系统,其实不仅仅是,很多手机操作系统都应该从这方面考虑。像涉及到核心的,比如核心进程的调度,这方面的访问必须要做安全级别的保护,当硬件、软件被篡改的时候系统能够监测到。用户对于一些非法的删除、修改等等也需要控制,安全域的隔离,外设的安全,系统维护等等,由于时间关系就不做过多的说明。对于系统安全来说应该是考虑最多的,必须要提供一个安全的基石。
我们针对不同的安全需求可以提供不同的服务,这样的话才能保证用户端对端进行通信的安全。另外还有终端的防丢失机制,现在丢终端的人很多,看看身边的同事或者亲属、朋友,很多人会经常说“我的手机丢了”。所以我们要通过一种安全机制,使得你终端即使丢失也不会造成什么损失,像通讯录的取回,丢失了还可以把通讯录取回,另外还有远程控制,当手机丢失或手机不在身边的时候,通过发送一个短信或者等等方法把手机锁定,还有进行信息转移等等,尽量对手机丢失不造成严重后果,我们通过各种各样的手机把这种后果降低、最小化。
刚才我们已经提到过很多用户实际上目前对手机安全并没有高度的认识,像恶意的软件、恶意的短信、手机病毒等等,还没有提高到,认为必须要采取相应的措施进行保护。
先看一下终端自身的系统安全,我们可以通过个人的防火墙,在座的有一些防病毒软件会开发,还有一些外设,还有过滤软件,还有来电防火墙。其实说到移动操作系统这块,就不得不多说几句,实际我国也有一系列的相应规定,像17859等等标准,还有一批基于Linux的安全操作系统也已经出现了,但是对于我们国家的手机操作系统这块起步还是相对比较晚的,我们现在的产品状况也不尽如人意,因此我们以后在做移动操作系统领域的事情的时候一定要认真考虑安全的问题,因为操作系统是移动终端方面的安全基石。中国移动也在开发Ophone系统,其实不仅仅是,很多手机操作系统都应该从这方面考虑。像涉及到核心的,比如核心进程的调度,这方面的访问必须要做安全级别的保护,当硬件、软件被篡改的时候系统能够监测到。用户对于一些非法的删除、修改等等也需要控制,安全域的隔离,外设的安全,系统维护等等,由于时间关系就不做过多的说明。对于系统安全来说应该是考虑最多的,必须要提供一个安全的基石。
我们针对不同的安全需求可以提供不同的服务,这样的话才能保证用户端对端进行通信的安全。另外还有终端的防丢失机制,现在丢终端的人很多,看看身边的同事或者亲属、朋友,很多人会经常说“我的手机丢了”。所以我们要通过一种安全机制,使得你终端即使丢失也不会造成什么损失,像通讯录的取回,丢失了还可以把通讯录取回,另外还有远程控制,当手机丢失或手机不在身边的时候,通过发送一个短信或者等等方法把手机锁定,还有进行信息转移等等,尽量对手机丢失不造成严重后果,我们通过各种各样的手机把这种后果降低、最小化。
刚才我们已经提到过很多用户实际上目前对手机安全并没有高度的认识,像恶意的软件、恶意的短信、手机病毒等等,还没有提高到,认为必须要采取相应的措施进行保护,有很多手机用户对互联网的使用并没有非常的熟悉,可能在未来随着智能手机的普及,还有系统状态的监控,刚才我们提到一个审计的功能,把系统的状况进行记录,还要进行分析,更好的统计系统终端是否安全,我的网络要监控到用户的状态,因此我们也通过设备管理把终端运行状态、系统信息、运行报告发到系统中来,这样才能为用户提供更好的服务。 我就演讲到这里,谢谢大家。
