作 者:中國(guó)移動(dòng)通信研究院安全研究所 楊光華
一直以來(lái)��,互聯(lián)網(wǎng)信息安全的問(wèn)題都是業(yè)內(nèi)外關(guān)注的焦點(diǎn)�����,而移動(dòng)互聯(lián)網(wǎng)的安全也是移動(dòng)互聯(lián)網(wǎng)健康可持續(xù)發(fā)展的關(guān)鍵所在。在移動(dòng)互聯(lián)網(wǎng)環(huán)境下�����,由TCP/IP協(xié)議族脆弱性��、終端操作系統(tǒng)安全漏洞���、攻擊技術(shù)普及等缺陷所導(dǎo)致的傳統(tǒng)互聯(lián)網(wǎng)環(huán)境中的安全問(wèn)題依然存在�,同時(shí)�,還體現(xiàn)出一些新的安全問(wèn)題和需求。在網(wǎng)絡(luò)安全方面��,以L(fǎng)TE+�����、P2P技術(shù)等為代表的網(wǎng)絡(luò)扁平化�、分布式網(wǎng)絡(luò)架構(gòu)的發(fā)展,對(duì)建立基于分布式架構(gòu)的可信網(wǎng)絡(luò)提出了要求�����;在復(fù)雜的異構(gòu)網(wǎng)絡(luò)環(huán)境下�����,需要基于統(tǒng)一的鑒權(quán)控制體系確保用戶(hù)的嚴(yán)格接入控制、實(shí)現(xiàn)可靠的行為溯源能力���;隨著帶寬的迅猛增長(zhǎng)和協(xié)議類(lèi)型的極大豐富��,需要建立更加有效的流量管控能力,包括網(wǎng)絡(luò)����、業(yè)務(wù)語(yǔ)義監(jiān)控和安全監(jiān)控機(jī)制與能力。在終端與業(yè)務(wù)安全方面�����,由于移動(dòng)互聯(lián)網(wǎng)中用戶(hù)可以永久在線(xiàn)�����,加之智能終端日益普及���,手機(jī)病毒����、木馬等對(duì)終端的攻擊將更加顯著;在內(nèi)容安全方面����,非法、有害和垃圾信息的大量傳播嚴(yán)重污染了信息環(huán)境�,干擾和妨礙了人們的信息利用。
對(duì)于2011年的移動(dòng)互聯(lián)網(wǎng)安全�,筆者認(rèn)為主要存在如下幾方面的熱點(diǎn)技術(shù)問(wèn)題:
一 手機(jī)病毒將呈多發(fā)趨勢(shì),需預(yù)先準(zhǔn)備防護(hù)手段
日前���,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)監(jiān)測(cè)發(fā)現(xiàn)�,手機(jī)病毒Spy.Flexispy出現(xiàn)新變種即“X臥底”���,不但可以監(jiān)控用戶(hù)收發(fā)短信和通話(huà)記錄����,還可遠(yuǎn)程開(kāi)啟手機(jī)聽(tīng)筒��,監(jiān)聽(tīng)手機(jī)周?chē)曇?����,?shí)時(shí)監(jiān)聽(tīng)部分用戶(hù)的通話(huà)��,并且利用GPS功能監(jiān)測(cè)到手機(jī)用戶(hù)所在位置,給用戶(hù)安全隱私造成極大威脅����。
手機(jī)病毒是一種具有破壞性的惡意手機(jī)程序,一般利用短信�、彩信、電子郵件�、瀏覽網(wǎng)站等方式在移動(dòng)通信網(wǎng)內(nèi)傳播;同時(shí)可利用紅外��、藍(lán)牙等方式在手機(jī)終端間傳播��。
隨著智能終端的普及和操作系統(tǒng)的統(tǒng)一���,手機(jī)病毒的影響面將逐步擴(kuò)大。手機(jī)病毒的傳播和爆發(fā)可能會(huì)造成用戶(hù)隱私泄露��、信息丟失��、設(shè)備損壞�、話(huà)費(fèi)損失等危害,并對(duì)通信網(wǎng)的運(yùn)行安全造成一定威脅�。
由于手機(jī)病毒是隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展而產(chǎn)生的新型問(wèn)題,目前國(guó)家尚未出臺(tái)相關(guān)法律法規(guī)明確手機(jī)病毒防治的責(zé)任主體�����、防治要求;手機(jī)病毒界定范圍�、判定標(biāo)準(zhǔn)也尚未發(fā)布,現(xiàn)有防治工作尚無(wú)標(biāo)準(zhǔn)可以遵循�����。
據(jù)Gartner預(yù)計(jì)���,到2013年��,全球PC保有量將達(dá)到16.2億部��,而智能手機(jī)和具備瀏覽器的傳統(tǒng)手機(jī)的保有量將達(dá)到16.9億部��。手機(jī)將超越PC而成為人們的主要上網(wǎng)工具���。隨著終端操作系統(tǒng)統(tǒng)一手機(jī)病毒將呈現(xiàn)多發(fā)趨勢(shì)。手機(jī)存量市場(chǎng)上Symbian 已經(jīng)超過(guò)70%的市場(chǎng)�����,在此操作系統(tǒng)上能夠感染的手機(jī)病毒占病毒總數(shù)的九成以上��。隨著基于Adroid開(kāi)放操作系統(tǒng)的智能手機(jī)快速發(fā)展,基于此種操作系統(tǒng)的手機(jī)也日漸成為黑客攻擊的目標(biāo)�;
因此,為保證網(wǎng)絡(luò)和業(yè)務(wù)正常運(yùn)營(yíng)��,保護(hù)用戶(hù)合法權(quán)益����,需預(yù)先采取有效措施應(yīng)對(duì)手機(jī)病毒的泛濫,手機(jī)病毒防護(hù)技術(shù)成為安全領(lǐng)域熱點(diǎn)�����。通過(guò)建立檢測(cè)�����、研判�����、控制�����、預(yù)警以及應(yīng)急響應(yīng)等一系列的防護(hù)流程促使手機(jī)病毒不在泛濫����。
二 數(shù)據(jù)泄露將成為熱點(diǎn)安全問(wèn)題
隨著信息化的全面普及和應(yīng)用,數(shù)據(jù)資產(chǎn)已經(jīng)成為各部門(mén)����、團(tuán)體和企業(yè)的核心資產(chǎn),敏感數(shù)據(jù)的安全已經(jīng)成為關(guān)系到企業(yè)生存的關(guān)鍵問(wèn)題�,敏感信息防泄露技術(shù)已經(jīng)成為一項(xiàng)提高運(yùn)營(yíng)安全、確保競(jìng)爭(zhēng)力的重要安全技術(shù)���。
自2007年以來(lái)���,賽門(mén)鐵克、麥咖啡����、趨勢(shì)科技等跨國(guó)信息安全巨頭,紛紛收購(gòu)數(shù)據(jù)泄露防護(hù)(DLP)公司�����、技術(shù)和產(chǎn)品����,在全球推出以?xún)?nèi)容檢測(cè)為核心技術(shù)����、輔以身份認(rèn)證和訪(fǎng)問(wèn)控制�、日志審計(jì)等技術(shù)的DLP產(chǎn)品。而國(guó)內(nèi)產(chǎn)品的技術(shù)水平相對(duì)于國(guó)外的同類(lèi)產(chǎn)品還比較落后��,產(chǎn)業(yè)化水平較低��,目前DLP尚無(wú)成熟標(biāo)準(zhǔn)可遵循���。
當(dāng)前主流的敏感信息防泄露技術(shù)主要有三類(lèi):控制類(lèi)技術(shù)����,通過(guò)權(quán)限的設(shè)置�,對(duì)數(shù)據(jù)進(jìn)行集中控制和管理,并定期進(jìn)行檢查和事后審計(jì)��,實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)的傳輸進(jìn)行控制���,防止未經(jīng)授權(quán)的數(shù)據(jù)外泄;加密類(lèi)技術(shù)��,主要包含:文件級(jí)加密技術(shù)�����、磁盤(pán)級(jí)加密技術(shù)、硬件級(jí)加密技術(shù)和網(wǎng)絡(luò)級(jí)加密技術(shù)���;過(guò)濾類(lèi)技術(shù)����,在內(nèi)網(wǎng)的出口���,即網(wǎng)關(guān)處安裝內(nèi)容過(guò)濾設(shè)備�,這些設(shè)備可以分析HTTP�����、POP3��、FTP�����、即時(shí)通訊等常見(jiàn)網(wǎng)絡(luò)協(xié)議��,并且對(duì)協(xié)議的內(nèi)容進(jìn)行分析及過(guò)濾。
三 WLAN安全運(yùn)營(yíng)需注重可控可管
據(jù)不完全統(tǒng)計(jì)���,目前中國(guó)移動(dòng)全國(guó)的WiFi熱點(diǎn)已經(jīng)達(dá)到12萬(wàn)個(gè)���,中國(guó)聯(lián)通有近5萬(wàn)個(gè),而中國(guó)電信的WiFi熱點(diǎn)數(shù)已經(jīng)超過(guò)了10萬(wàn)個(gè)���。目前�����,三大運(yùn)營(yíng)商都將WiFi建設(shè)提到重要3G時(shí)期發(fā)展的議程���。WLAN作為蜂窩網(wǎng)絡(luò)的重要補(bǔ)充,是移動(dòng)運(yùn)管商進(jìn)入寬帶市場(chǎng)的重要基礎(chǔ)和切入點(diǎn)�,在WLAN推廣建設(shè)過(guò)程中,WLAN網(wǎng)絡(luò)存在的網(wǎng)絡(luò)與信息安全問(wèn)題必須引起高度重視���。
在WLAN的建設(shè)與運(yùn)營(yíng)過(guò)程中�����,在認(rèn)證與信息安全、網(wǎng)絡(luò)安全等方面存在多項(xiàng)安全問(wèn)題,其中比較有代表性的有��,偽AP釣魚(yú)攻擊風(fēng)險(xiǎn)�����;利用DNS端口繞開(kāi)計(jì)費(fèi)問(wèn)題��;Web Portal安全問(wèn)題����。
目前在WLAN領(lǐng)域的安全標(biāo)準(zhǔn)主要是IEEE制定的802.11i標(biāo)準(zhǔn)和國(guó)內(nèi)自主制定的WAPI標(biāo)準(zhǔn)。802.11i采用基于共享密鑰的方式實(shí)現(xiàn)認(rèn)證�����,并定義了WPA2/TKIP加密算法���,WAPI采用基于數(shù)字證書(shū)的機(jī)制實(shí)現(xiàn)認(rèn)證����,并定義了國(guó)內(nèi)自主的SMS4加密算法����。兩項(xiàng)標(biāo)準(zhǔn)主要都是解決無(wú)線(xiàn)接入段(用戶(hù)到AP)的認(rèn)證和加密問(wèn)題,目前運(yùn)營(yíng)商WLAN網(wǎng)絡(luò)是在用戶(hù)接入AP后訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)進(jìn)行Web認(rèn)證,同時(shí)用戶(hù)Internet訪(fǎng)問(wèn)的加密需求不強(qiáng)��,因此并未實(shí)施上述標(biāo)準(zhǔn)���。
四 云計(jì)算安全風(fēng)險(xiǎn)應(yīng)重點(diǎn)防護(hù)
云計(jì)算對(duì)傳統(tǒng)計(jì)算模式和商業(yè)服務(wù)模式帶來(lái)了巨大改變��,但卻面臨極大的安全風(fēng)險(xiǎn)����,云安全也成為云計(jì)算領(lǐng)域的熱點(diǎn)����。一方面是云計(jì)算平臺(tái)和系統(tǒng)自身的安全問(wèn)題,云計(jì)算的虛擬化���、多租戶(hù)和動(dòng)態(tài)性不僅加重了傳統(tǒng)的安全問(wèn)題�����,同時(shí)也引入了一些新的安全問(wèn)題���,云計(jì)算環(huán)境下用戶(hù)信息安全保護(hù)、虛擬化安全環(huán)境����、動(dòng)態(tài)安全防護(hù)服務(wù)等安全問(wèn)題需要引起高度重視��。另一方面,基于云安全概念���,業(yè)界安全廠商紛紛利用云計(jì)算技術(shù)實(shí)現(xiàn)傳統(tǒng)的病毒查殺等安全服務(wù)和能力��,從而提供分布�����、高效和低成本的安全服務(wù)��。
云計(jì)算應(yīng)用環(huán)境下����,安全問(wèn)題在如下幾個(gè)方面體現(xiàn)出新的特點(diǎn):
?客戶(hù)數(shù)據(jù)安全和隱私保護(hù):由于云計(jì)算模式下數(shù)據(jù)資產(chǎn)的所有權(quán)和管理權(quán)分離��,客戶(hù)對(duì)數(shù)據(jù)資產(chǎn)安全的擔(dān)憂(yōu)成為云計(jì)算推廣普及的重要障礙���。對(duì)于敏感數(shù)據(jù)的保護(hù)����,通過(guò)單一的手段是遠(yuǎn)遠(yuǎn)不夠的,需要有一個(gè)完備的體系�,涉及用戶(hù)認(rèn)證、數(shù)據(jù)完整性保護(hù)����、對(duì)象訪(fǎng)問(wèn)控制、資源訪(fǎng)問(wèn)審計(jì)等多個(gè)層面���。
?虛擬化運(yùn)行環(huán)境安全:虛擬機(jī)間通過(guò)硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信���,因此,這些通信流量對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來(lái)說(shuō)是不可見(jiàn)的����,無(wú)法對(duì)它們進(jìn)行監(jiān)測(cè)、在線(xiàn)封堵����,類(lèi)似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。需重點(diǎn)關(guān)注虛擬機(jī)隔離��、監(jiān)控����、安全遷移及鏡像文件的安全存儲(chǔ)�,以及虛擬對(duì)象存儲(chǔ)�、塊對(duì)象存儲(chǔ)等云計(jì)算存儲(chǔ)服務(wù)的安全。
?云安全服務(wù):一方面����,是指業(yè)界流行的基于分布式收集安全信息、集中云節(jié)點(diǎn)進(jìn)行安全檢測(cè)的基于云模式的安全服務(wù)���,如病毒查殺服務(wù)、Web信譽(yù)服務(wù)等��;同時(shí)��,也要求在提供云計(jì)算服務(wù)時(shí)要考慮到不同企業(yè)����、不同應(yīng)用的差異化的安全需求,根據(jù)用戶(hù)需求�,提供動(dòng)態(tài)差異化的云安全服務(wù)。
目前�����,國(guó)內(nèi)外有不少標(biāo)準(zhǔn)化組織開(kāi)展云計(jì)算標(biāo)準(zhǔn)研究工作�����,國(guó)外殺毒軟件廠商如賽門(mén)鐵克正在與云安全聯(lián)盟合作,積極加入到云安全的標(biāo)準(zhǔn)化制定工作中�。邁克菲云安全計(jì)劃融合了一流認(rèn)證機(jī)構(gòu)提供的云安全認(rèn)證服務(wù)以及邁克菲提供的自動(dòng)審核、修復(fù)和報(bào)告功能�。國(guó)內(nèi)如:CCSA、中國(guó)電子學(xué)會(huì)云計(jì)算專(zhuān)家委員會(huì)���、全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)TI服務(wù)標(biāo)準(zhǔn)工作組�、SOA標(biāo)準(zhǔn)共組�����,國(guó)外如:TMF��、ITUT-T FG Cloud�、DMTF等。
五 物聯(lián)網(wǎng)的群組認(rèn)證成為重要的安全需求
目前����,現(xiàn)有網(wǎng)絡(luò)認(rèn)證體系是針對(duì)單個(gè)對(duì)象的一對(duì)一的認(rèn)證方式,通過(guò)1-2輪的用戶(hù)和歸屬服務(wù)器之間的交互完成對(duì)用戶(hù)的認(rèn)證��。
但是對(duì)于擁有大量用戶(hù)且這些用戶(hù)的屬性基本一致的某些業(yè)務(wù)�����,尤其是M2M的一些具體業(yè)務(wù),很可能業(yè)務(wù)的用戶(hù)終端會(huì)按照一定的原則(同屬一個(gè)應(yīng)用/在同一個(gè)區(qū)域/有相同的行為特征)形成組���,各組內(nèi)終端設(shè)備的數(shù)量可能不等�,但業(yè)務(wù)都是基于組來(lái)提供的�,例如智能抄表業(yè)務(wù)。
國(guó)家“十二五”規(guī)劃明確提出��,物聯(lián)網(wǎng)將會(huì)在智能電網(wǎng)�、智能交通�、智能物流、金融與服務(wù)業(yè)�����、國(guó)防軍事十大領(lǐng)域重點(diǎn)部署�。
在這些應(yīng)用場(chǎng)景下,當(dāng)組內(nèi)用戶(hù)和終端同時(shí)接入網(wǎng)絡(luò)時(shí)��,若采用現(xiàn)有的一對(duì)一的認(rèn)證方式�,不僅會(huì)增加網(wǎng)絡(luò)信令,容易導(dǎo)致網(wǎng)絡(luò)擁塞��,且會(huì)占用大量寶貴的網(wǎng)絡(luò)資源,因此現(xiàn)有網(wǎng)絡(luò)認(rèn)證體系則不再適用�。
這種情況下,為降低認(rèn)證資源消耗���,減少網(wǎng)絡(luò)擁塞�,需要一次針對(duì)組內(nèi)多個(gè)或所有用戶(hù)進(jìn)行認(rèn)證�����。這種認(rèn)證被稱(chēng)為群組認(rèn)證���。
而群組認(rèn)證是一種網(wǎng)絡(luò)一次認(rèn)證多個(gè)用戶(hù)或終端的認(rèn)證技術(shù)��。這種認(rèn)證技術(shù)能夠?qū)⒁粋€(gè)組內(nèi)的用戶(hù)作為一個(gè)整體進(jìn)行認(rèn)證�,這個(gè)整體將具有唯一的標(biāo)識(shí)�。群組認(rèn)證可以通過(guò)借助認(rèn)證代理或網(wǎng)關(guān)或主設(shè)備來(lái)完成。用戶(hù)設(shè)備和網(wǎng)絡(luò)側(cè)實(shí)體可以根據(jù)組認(rèn)證來(lái)共享某些密鑰��,同時(shí)在需要的情況下��,單個(gè)用戶(hù)設(shè)備也能與網(wǎng)絡(luò)側(cè)實(shí)體產(chǎn)生獨(dú)立的密鑰�����。
此外,群組認(rèn)證與傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的群認(rèn)證有所不同����。計(jì)算機(jī)網(wǎng)絡(luò)中的群認(rèn)證是為了驗(yàn)證某一個(gè)用戶(hù)是否屬于特定群,而群組認(rèn)證則是網(wǎng)絡(luò)將一組用戶(hù)作為一個(gè)整體進(jìn)行認(rèn)證���。
目前�,群組認(rèn)證的標(biāo)準(zhǔn)化工作尚在進(jìn)行中����,大多數(shù)標(biāo)準(zhǔn)化組織中只體現(xiàn)了群組認(rèn)證對(duì)應(yīng)的安全威脅和需求,群組認(rèn)證的具體機(jī)制和流程尚未得以體現(xiàn)�����。
六 大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知的需求將日益凸顯
隨著互聯(lián)網(wǎng)的發(fā)展����,網(wǎng)絡(luò)重要性的日益提高����,安全問(wèn)題逐漸突出,入侵、攻擊和病毒行為正向分布化�、規(guī)模化����、趨利化、復(fù)雜化和間接化等方向發(fā)展����。因此,在網(wǎng)絡(luò)中依靠傳統(tǒng)孤立的采用一種安全產(chǎn)品或技術(shù)��,部署在局部范圍內(nèi)��,來(lái)識(shí)別和發(fā)現(xiàn)網(wǎng)絡(luò)中的安全事件已經(jīng)非常困難或有失準(zhǔn)確性��,迫切需要一種新技術(shù)實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)的安全事態(tài)監(jiān)控�。
安全態(tài)勢(shì)感知技術(shù)是目前安全領(lǐng)域的研究熱點(diǎn)。態(tài)勢(shì)感知(Situation wareness)這個(gè)概念源于航天飛行研究����,此后在軍事戰(zhàn)場(chǎng)、核反應(yīng)控制和空中交通及醫(yī)療應(yīng)急調(diào)度等方面被廣泛研究�。
要實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)的安全事態(tài)監(jiān)控就要解決態(tài)勢(shì)獲取要素、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)重要環(huán)節(jié)����,在此基礎(chǔ)上�,需要進(jìn)一步實(shí)現(xiàn)對(duì)上述態(tài)勢(shì)獲取要素發(fā)現(xiàn)事件的數(shù)據(jù)融合和關(guān)聯(lián)分析��,進(jìn)入到態(tài)勢(shì)理解階段����。
目前,安全態(tài)勢(shì)感知包括安全事件的收集��、安全事件分析和預(yù)測(cè)兩個(gè)層面:安全事件收集主要分為主動(dòng)和被動(dòng)收集���,安全事件分析和預(yù)測(cè)主要包括數(shù)據(jù)挖掘�����,數(shù)據(jù)融合和態(tài)勢(shì)可視化等部分���。
安全態(tài)勢(shì)感知技術(shù)正是將業(yè)務(wù)系統(tǒng)和脆弱性分布與其受攻擊的狀態(tài)有效的結(jié)合,分析和預(yù)測(cè)全網(wǎng)的安全態(tài)勢(shì)和安全事件下一步發(fā)展的狀態(tài)��,提供給安全管理者進(jìn)行準(zhǔn)確及時(shí)的決策�����。
可以說(shuō)�,安全態(tài)勢(shì)感知技術(shù)未在標(biāo)準(zhǔn)化組織中進(jìn)行探討,但在學(xué)術(shù)界已成為熱點(diǎn)研究方向�。主要研究方法采用多傳感器數(shù)據(jù)融合、分層分析����、基于數(shù)據(jù)流和數(shù)據(jù)包分析等技術(shù),圍繞安全態(tài)勢(shì)的主動(dòng)實(shí)時(shí)評(píng)估和感知開(kāi)展研究����。
小結(jié)
隨著移動(dòng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)的不斷融合,網(wǎng)絡(luò)開(kāi)放化��、業(yè)務(wù)多樣化��、終端智能化的特點(diǎn)在移動(dòng)互聯(lián)網(wǎng)環(huán)境中將體現(xiàn)的日趨明顯��,伴隨這些技術(shù)特點(diǎn)的變化���,安全問(wèn)題也會(huì)出現(xiàn)新的特征�����。本文對(duì)移動(dòng)互聯(lián)網(wǎng)將出現(xiàn)的熱點(diǎn)安全技術(shù)問(wèn)題進(jìn)行了初步分析��,希望對(duì)移動(dòng)互聯(lián)網(wǎng)安全技術(shù)研究工作提供有益的借鑒��。
