3G智能时代的到来推进的手机移动产业的蓬勃发展,据最新资料显示,我国手机用户已经达到了7亿之众,而通过手机平台进行上网的人士也已经超过了1.5亿。随之衍生的,短信骚扰,恶意软件,还有举不胜举的移动终端网络诈骗等也步入用户的视野。针对种种智能终端的安全缺口问题日趋严重化,以“创新与发展”为主题,由中国通信学会主办的“2009中国手机安全产业论坛”将于9月25日在北京新世纪日航饭店隆重举行,来自业界各个层面的关注者们齐聚一堂,就手机安全问题现状与未来发展展开深入讨论。
在上午的会议上,中国电信集团网络安全实验室副主任沈军上台就“移动互联网安全策略探讨”为题发表演讲,以下为实录:
沈军:各位领导、各位专家,上午好!我是中国电信集团网络安全实验室的沈军,很高兴有机会跟大家探讨“移动互联网安全策略探讨”。我介绍的内容主要包括三部分:首先是分析移动互联网的安全发展趋势,然后是探讨在这样的安全发展背景下,运营商如何做好网络的安全保障,最后介绍如何针对客户的需求适当的开展安全增值业务,提出一些我们的想法和建议。
首先看一下移动互联网应用的发展历程。随着网络和终端的不断发展,移动互联网的应用也从最初的文本浏览、下载等方式逐渐对传统互联网形式进行靠拢和融合,由于移动互联网所固有的随身性、可身份识别等特性也产生了很多独特的业务形态。我们可以看到由于移动互联网逐渐向应用类和行业信息化的方向发展,所以对安全也会提出越来越高的要求。
刚才说的是应用对安全提出的要求,同样,终端的发展也对安全提出了巨大挑战。随着移动通信技术和应用的演进,移动终端逐渐的由通信工具向个人的信息处理中心转变,由于终端中存载着很多个人信息,一旦丢失或被窃取会造成很大的损失。另外智能手机普及率越来越高,手机也面临着木马、病毒的传统PC的威胁。 刚才谈了应用和终端对安全提出的需求,同时移动互联网所处的环境也比传统互联网更为复杂,一方面是威胁的来源以及脆弱性的分布更加广泛,同时移动互联网的使用者对安全性的防护要求也更为多样化,包括对终端的安全防护,对接入的安全防护和各类新型防护等等。
通过上面的分析,我们可以看到移动互联网的安全发展呈现出以下趋势。一个是智能的移动终端日益普及,更多的互联网应用通过移动终端承载,使得移动终端安全成为了新的安全热点。第二个是,移动电子商务、移动办公等新型应用提出了更高的要求。同时行业用户的安全保障也成为安全服务的重要领域。 针对移动互联网的发展特点和安全环境的变化,我们的思路是:一方面要加强运营商基础网络设施的安全建设,同时做好用户终端基础保障,还可以针对个人和行业客户的需求适当的开展安全增值服务。
下面首先介绍一下我们在网络安全保障方面的思路和想法。我们对移动互联网的安全保障思路是实施分层、分域的保障,我们可以把移动互联网的安全划分为四个层面:接入安全、终端安全、核心集成在网络安全以及应用安全。 在承载网络安全方面,我们的主要措施,一个是根据网络不同区域的风险等级来合理划分安全域,并实现浏览的隔离。第二是部署网络设备把威胁尽量挡在网外。第三是保证部署安全平台,保障网络持续稳定的运行。在数据传输安全方面,我们的思路主要是利用VPDN、SSVPN的方式为客户构建安全网络,实现内网的安全接入。
由于移动办公、移动电子商务对安全提出了比较高的要求,我们的思路是打造移动的PKI基础设施,主要包括采用专用的SJP对终端进行统一的管理,提供身份认证、数据加密等服务。我们还会在网络层部署安全防护系统,把用户的流量牵引到安全防护系统上,情况清洗后再把信息传输给用户,拦截各种威胁。 最后是对企业用户实施企业终端管理,主要是通过集中的移动终端管理平台和OTA技术对终端实施远程管理,包括采集信息、下载终端更新软件,实现病毒库的更新和操作系统版本更新等等,实施远程的故障诊断等功能。
刚才是讲了我们在网络安全保障方面的思路,接下来介绍一下在安全增值服务开展方面的一些想法和建议。个人和企业用户他们在移动互联网的应用过程中都会存在着不同的安全需求,对于个人用户来讲,需求主要体现在,保障个人移动终端以及服务的安全性,以及防垃圾信息、防骚扰等,对企业用户就比较关注企业的移动信息化应用的安全性,以及对外移动业务的安全保障等。具体来说,对于个人移动应用安全主要体现在,终端的安全可用性,个人信息的私密性以及个人信息的可用性几个方面,个人用户的安全需求主要体现在四防:防骚扰、防泄密、防盗和防毒。在终端层上可以提供针对个人移动终端的安全业务,具体的业务形式可以体现为移动终端的综合防护和网络层防护。在应用层方面主要是提供安全的个人移动互联网应用,业务形式可以体现为个人应用的安全性升级。对于企业移动应用来讲主要是同时保障内部应用和外部应用的安全,主要是保障员工使用移动终端的安全使用性,对于外部应用来讲,一方面需要提升对外移动业务的安全性,其次要增强外部应用系统的安全可用性。
针对上面的需求我们可以从终端层、网络层和应用层这几方面提供服务,在终端层方面,对内可以提供统一安全管理服务,对外可以与企业合作,为企业外部用户提供安全管理服务。具体的业务形式可以体现为,移动终端的集中管理服务,可以提供移动的端到端VPN服务,可以体现为移动的VPN接入服务,在应用层方面,提供通用的PKI基础设施。这些基础的技术成熟度我们也做了一些排列,可以优先选取成熟度比较高的提供服务,以保障用户的安全需求。 以上就是我针对移动互联网安全策略的主要内容,谢谢大家!
