“移动智能终端安全思考”
中国联通
2013-6-24
目录
第一部分 第二部分 第三部分 第四部分
终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议
移动智能终端生态系统概述
移动智能终端生态系统
1 2 3
移动智能终端生态系统的产业环境
2.3 MIIT 4.2 CNNIC 2012
-Gartner
2012 年 第 二 操作系统 季度( 平台 季度(万) Android 9852.93 iOS 2893.50 Symbian 907.15 RIM 799.12 WMobile 408.70 Other OS 86.33 总计 15368.61 市场份额 64.1% 18.8% 5.9% 5.2% 2.7% 0.6% 100% 2011 年 第 二 市 场 季度( 季度(万) 份额 4677.59 43.4% 1962.88 18.2% 2385.32 22.1% 1265.23 11.7% 172.38 1.6% 105.06 1.0% 3 10774.04 100%
移动智能终端生态系统安全
安全威胁可能出现在生态系统的各个环节,但最终的攻击目标都集中于终端,其目的 是通过侵入终端,控制移动用户,从而获得经济利益 如不对智能终端生态系统的发展进行整体管理和控制,则会导致开发者、用户、运营 商的利益受到损失,并影响整个终端生态系统的发展
智能终端生态系统安全威胁分类
从攻击者侵入终端的接触点来看
:应用中含有大量恶意代码和木马病 毒,以及对应用商店的攻击和恶意应用商店的存在, 对终端生态系统造成吸费、窃取隐私的巨大损失。 Web :Web2.0和HTML5的发展使得对基于 Web环境的业务和应用的攻击成为终端生态系统安 全威胁的入口,对终端生态系统造成各种严重危害。 :操作系统存在的漏洞和后门使 得终端操作系统很容易遭受攻击,达到控制系统和 破坏系统的目的,对终端生态系统造成巨大影响。 :终端的丢失或者故障造成隐私数据 的泄露或者遗失,恶意软件对硬件的破坏,对终端 生态系统造成严重损失。
Hardware & Equipment
运营商曾经的安全之道
• • •
被动式 安全
• − − • − −
6
被动式安全模式下的困境-1
赔付案例:江阴的朱先生到国外 赔付案例: 旅游,当9天后他满意地回国时, 手机病毒 竟然欠费多达1.2万元。最后,运 大规模爆发 营商免收了其因中毒而产生的高 额话费
用户投诉, 用户投诉,要求赔付 流量查询 继续投诉, 继续投诉,要求赔付 定期推送流量提醒 手机病毒屏蔽提醒短信 继续投诉, 继续投诉,要求赔付
官网主页推荐用户使用360、 、 官网主页推荐用户使用 腾讯安全产品杀毒
……
没有能力保障用户安全, 没有能力保障用户安全, 影响品牌形象, 影响品牌形象,运营商遭受经济损失
被动式安全模式下的困境-2
2011年某市公司 口监测数据统计 年某市公司Gn口监测数据统计 年某市公司
‒ ‒ GPRS传播事件 : 3854598 ;WAP传播事件 : 2671466 ;彩信传播事件 : 850条彩信 感染用户数目 : 94908 (已去重复); 监控确认的恶意代码总数 : 125种
恶意软件TOP15监控感染事件数排名 监控感染事件数排名 恶意软件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Merogo.C InstallGuideDy.A DuMusicPlay.A FakeNokiaOvi.A FakeNokiu.A Fontal.A BotSMS.A FakeMtune.A CReadMe.A ShaduQQ.A Upadapter.E Drever.A flexispy Appw.D LanPackage.A
InstallGuide NokiaOvi Fontal Nokiu
Mtunes SHADUQQ Drever X BT
’
4076760 2232915 49971 44574 35709 23931 19016 13100 7265 6166 5534 4698 2502 830 765
2054 10814 3058 2088 2712 19689 186 3363 543 1615 1244 1315 20 548 37
被动式安全模式下的困境-3
2012 2 14
运营商应该怎么做?
• • • •
主动式 安全
10
目录
第一部分 第二部分 第三部分 第四部分
终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议
移动智能终端安全的产业角色
政府部门
行业协会、标准组织 运营商
服务提供商 终端厂商
智能终端 生态系统
芯片厂商
内容提供商 软件提供商
安全厂商
移动智能终端生态系统安全的政策环境
随着智能终端生态系统安全问题的日益严峻,国家政府部门予以高度重 视,相继出台了一系列针对终端生态系统安全的法律法规和管理办法, 同时加大了监管力度。
• 2012
6
• 2011
12 CNCERT ,
• 2010
1
IT
• 2012 3 3 • 2011 8 •
• 2011
9
移动智能终端安全相关技术标准
GSMA ITU SG17 Q6 2009 [Xmsec-6] Recommandation Security aspects of mobile phones OMA Auth4API CCSA TC5 WG5&TC8 WG2
GSON Remote Mobile Malware Removal Study
TC11 WG3 Mobile device security patching SpamRep TC11 WG2 A guide to mobile malware SCIDM
移动智能终端安全的市场环境
巨大的经济利益驱动下, 巨大的经济利益驱动下, 黑色产业链形成
网络攻击从个体到产业化, 年收益超过100亿
向渠道商提需 求,希望将其 经营信息扩散 给广大用户
负责业务推 广,信息扩 散,出方案
技术支持,具 备制造工具发 现漏洞,实施 犯罪活动
雇佣者
渠道商
黑客
国外运营商终端安全的相关工作
Orange UK与ST合作推进安 全手机平台,改进SIM卡IC的 体系结构以及在手机平台内 的连通性能,为个人多媒体 服务和下一代便携平台开发 与厂商合作定制 一个安全开放的环境,最终 行业安全终端, 制定一个完整的信任平台体 收取终端费用。 系结构。
2011年5月,Orange 销售内置生物指纹识别器以保障个 人信息安全的智能手机为消费者提供了新水平的安全防 护措施,可以满足一些特殊岗位工作人员的需求。
Vodafone:提供从内容过滤到源控制的内容安 全解决方案,在两个月内比其他开发者速度提 AT&T:致力于智 高50%,来自高端客户和集团客户的收入增加。 提供个性化的整体解决 能手机安全加固 方案,通过扩展的安全 2011年11月,Verizon与VMware结成战略合 和标准化,提供 服务,获得增值收益。 作伙伴,推出VMware Horizon Mobile解决 企业用户设备移 方案,为移动用户接入云平台提供安全移动 动性的安全管理。 服务和设备管理。 NTT DoCoMo:超过5千 与厂商合作定制 万3G用户部署McAfee手 行业安全终端, 机终端安全软件。 收取终端费用。
中国联通智能终端安全现状
终端:加强终端安全管理,并研究 安全 终端:加强终端安全管理,并研究OS安全
• 开展移动恶意软件防治、终端弱点分析相关研究工作 • 开展系列终端定制管理、终端预置应用管理工作 • 推出了自主知识产权的智能终端操作系统以及沃Phone终端。
网络: 网络:具备初步网络流量监控和分析基础
• 开展分组域信令监测工作 • 开展移动用户手机用户上网记录查询及分析 • 移动互联网恶意程序专项治理工作
业务: 业务:开展业务安全研究工作
• 开展业务平台风险评估与加固、移动互联网信息安全管理工作 • 开展新型垃圾短信识别 • 云环境安全研究与防护工作
目录
第一部分 第二部分 第三部分 第四部分
终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议
运营商在移动智能终端产业中的优势
2012 6 1.6 3G 5753
2012 2 • 360 7000 • 1459
2012 2 • 2931 2012 QQ 7.5
19
运营商移动智能终端安全发展目标
为个人用户提供个性化终端相关安全服务,保障用户终端安全,提高用户黏度; 为行业用户提供定制服务及生态系统安全整体解决方案。
基础设施是对内保障、对外服务的支撑平台
基础设施为发展、推进安全工作的基础
基础设施是业合作的关键
深度挖掘产业链各个角色与运营商合作的可能性; 积极参与产业链探索拓展安全增值服务模式; 为自身及合作伙伴提供安全保障。
移动智能终端安全内涵安全威胁的接触点为终端,但终端不是唯一战场。威胁来自于终端生态系统中的各个层面,因此,要从终端、网络、业务三个层面的角度审视安全问题,建立端到端的生态系统安全防御体系,为用户提供整体安全解决方案。
划分行业用户与个人用户场景,结合安全厂商安全解决方案或运营商自身能力与资源,创建运营商终端增值安全服务模式。从多维度深入挖掘各类用户行为、习惯、需求等有价值数据,开发安全客户端软件,有利于进一步制定各场景用户终端安全服务,增加用户黏度。从终端硬件、操作系统、应用层三个维度,分别开展终端安全关键技术研究。
以运营商自身网络资源与能力为依托,通过产业合作,构建网络监测与安全态势感知平台,通过此平台将网络优势向终端、应用侧延伸。
加强自有应用的防护,为服务提供商、内容提供商、软件提供商的业务应用提供安全服务。21核心资源数据的安全防护业务数据的安全应用
移动智能终端安全体系
总体思路:依托网络优势、构建基础设施平台,以终端为安全服务入口,加强应用层面的安全防护,从而建立移动智能终端生态系统安全的技术体系。业
务
层
网
络
层
终端
应用
终
端
层操作系统
硬件
芯片终端安全基础设施应用审核大数据安全管理云安全管理业务融合认证业务安全管理基础设施网络安全基础设施终端应用安全防护技术安全工具开发终端操作系统安全机制终端操作系统弱点及加固终端硬件芯片可信技术终端虚拟化
个人用户应用展望
•通过客户端推送安全态势
•尊敬的客户,本周网络安全态势及您的安
全状况评估如下,如有问题请与10010咨询。1
•通过客户端或多种途径推送
2•尊敬的客户,您x 月x 日访问了n 次XX 网站
,并产生了XX 流量,请您及时查询账户。建议您到XX 下载联通安全客户端,同时使用联通的网络防火墙功能。如有问题与10010联系。 手机安全服务 安全态势推送
安全预警与自有业务、产品推荐•通过客户端实现扩展功能
3•地理位置隐藏
•手机号码隐藏
提供扩展功能
•可以作为一个有偿的业务推广,可以作为一个有偿的业务推广,也可以免费提供给VIP 客户提升服务! •可以提高客户感知,可以提高客户感知,提升服务品牌
行业用户应用展望
•安全定制机 行业安全服务
安全定制机
整体解决方案
单独提供安全服务1公安、金融…•基于芯片级的可信平台•端到端的数据加密•生物指纹识别
•面向终端的安全管道服务
2合作伙
伴、中
小企
业…•流量监控、内容过滤•业务保障•安全态势、安全咨询
•面向终端的云安全服务
3
政府、
金融、
水利…•强认证方式接入云环境•端到端数据加密•云环境漏洞扫描、检测
•可以单独向行业用户提供有偿SAAS 服务,服务,也可以和现有业务捆绑! •可以提高客户感知,可以提高客户感知,提升中国联通服务品牌
目录
第一部分
第二部分
第三部分
第四部分终端安全发展需求终端安全产业现状分析终端安全思考终端安全发展建议
移动智能终端发展建议加快移动智能终端生态系统安全标准的制定建设安全基础设施依托安全基础设施、提供安全服务,开放安全能力依托安全基础设施、开展安全关键及前瞻技术的研究积极参加产业链建设
26
“移动智能终端安全思考”
中国联通
2013-6-24
目录
第一部分 第二部分 第三部分 第四部分
终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议
移动智能终端生态系统概述
移动智能终端生态系统
1 2 3
移动智能终端生态系统的产业环境
2.3 MIIT 4.2 CNNIC 2012
-Gartner
2012 年 第 二 操作系统 季度( 平台 季度(万) Android 9852.93 iOS 2893.50 Symbian 907.15 RIM 799.12 WMobile 408.70 Other OS 86.33 总计 15368.61 市场份额 64.1% 18.8% 5.9% 5.2% 2.7% 0.6% 100% 2011 年 第 二 市 场 季度( 季度(万) 份额 4677.59 43.4% 1962.88 18.2% 2385.32 22.1% 1265.23 11.7% 172.38 1.6% 105.06 1.0% 3 10774.04 100%
移动智能终端生态系统安全
安全威胁可能出现在生态系统的各个环节,但最终的攻击目标都集中于终端,其目的 是通过侵入终端,控制移动用户,从而获得经济利益 如不对智能终端生态系统的发展进行整体管理和控制,则会导致开发者、用户、运营 商的利益受到损失,并影响整个终端生态系统的发展
智能终端生态系统安全威胁分类
从攻击者侵入终端的接触点来看
:应用中含有大量恶意代码和木马病 毒,以及对应用商店的攻击和恶意应用商店的存在, 对终端生态系统造成吸费、窃取隐私的巨大损失。 Web :Web2.0和HTML5的发展使得对基于 Web环境的业务和应用的攻击成为终端生态系统安 全威胁的入口,对终端生态系统造成各种严重危害。 :操作系统存在的漏洞和后门使 得终端操作系统很容易遭受攻击,达到控制系统和 破坏系统的目的,对终端生态系统造成巨大影响。 :终端的丢失或者故障造成隐私数据 的泄露或者遗失,恶意软件对硬件的破坏,对终端 生态系统造成严重损失。
Hardware & Equipment
运营商曾经的安全之道
• • •
被动式 安全
• − − • − −
6
被动式安全模式下的困境-1
赔付案例:江阴的朱先生到国外 赔付案例: 旅游,当9天后他满意地回国时, 手机病毒 竟然欠费多达1.2万元。最后,运 大规模爆发 营商免收了其因中毒而产生的高 额话费
用户投诉, 用户投诉,要求赔付 流量查询 继续投诉, 继续投诉,要求赔付 定期推送流量提醒 手机病毒屏蔽提醒短信 继续投诉, 继续投诉,要求赔付
官网主页推荐用户使用360、 、 官网主页推荐用户使用 腾讯安全产品杀毒
……
没有能力保障用户安全, 没有能力保障用户安全, 影响品牌形象, 影响品牌形象,运营商遭受经济损失
被动式安全模式下的困境-2
2011年某市公司 口监测数据统计 年某市公司Gn口监测数据统计 年某市公司
‒ ‒ GPRS传播事件 : 3854598 ;WAP传播事件 : 2671466 ;彩信传播事件 : 850条彩信 感染用户数目 : 94908 (已去重复); 监控确认的恶意代码总数 : 125种
恶意软件TOP15监控感染事件数排名 监控感染事件数排名 恶意软件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Merogo.C InstallGuideDy.A DuMusicPlay.A FakeNokiaOvi.A FakeNokiu.A Fontal.A BotSMS.A FakeMtune.A CReadMe.A ShaduQQ.A Upadapter.E Drever.A flexispy Appw.D LanPackage.A
InstallGuide NokiaOvi Fontal Nokiu
Mtunes SHADUQQ Drever X BT
’
4076760 2232915 49971 44574 35709 23931 19016 13100 7265 6166 5534 4698 2502 830 765
2054 10814 3058 2088 2712 19689 186 3363 543 1615 1244 1315 20 548 37
被动式安全模式下的困境-3
2012 2 14
运营商应该怎么做?
• • • •
主动式 安全
10
目录
第一部分 第二部分 第三部分 第四部分
终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议
移动智能终端安全的产业角色
政府部门
行业协会、标准组织 运营商
服务提供商 终端厂商
智能终端 生态系统
芯片厂商
内容提供商 软件提供商
安全厂商
移动智能终端生态系统安全的政策环境
随着智能终端生态系统安全问题的日益严峻,国家政府部门予以高度重 视,相继出台了一系列针对终端生态系统安全的法律法规和管理办法, 同时加大了监管力度。
• 2012
6
• 2011
12 CNCERT ,
• 2010
1
IT
• 2012 3 3 • 2011 8 •
• 2011
9
移动智能终端安全相关技术标准
GSMA ITU SG17 Q6 2009 [Xmsec-6] Recommandation Security aspects of mobile phones OMA Auth4API CCSA TC5 WG5&TC8 WG2
GSON Remote Mobile Malware Removal Study
TC11 WG3 Mobile device security patching SpamRep TC11 WG2 A guide to mobile malware SCIDM
移动智能终端安全的市场环境
巨大的经济利益驱动下, 巨大的经济利益驱动下, 黑色产业链形成
网络攻击从个体到产业化, 年收益超过100亿
向渠道商提需 求,希望将其 经营信息扩散 给广大用户
负责业务推 广,信息扩 散,出方案
技术支持,具 备制造工具发 现漏洞,实施 犯罪活动
雇佣者
渠道商
黑客
国外运营商终端安全的相关工作
Orange UK与ST合作推进安 全手机平台,改进SIM卡IC的 体系结构以及在手机平台内 的连通性能,为个人多媒体 服务和下一代便携平台开发 与厂商合作定制 一个安全开放的环境,最终 行业安全终端, 制定一个完整的信任平台体 收取终端费用。 系结构。
2011年5月,Orange 销售内置生物指纹识别器以保障个 人信息安全的智能手机为消费者提供了新水平的安全防 护措施,可以满足一些特殊岗位工作人员的需求。
Vodafone:提供从内容过滤到源控制的内容安 全解决方案,在两个月内比其他开发者速度提 AT&T:致力于智 高50%,来自高端客户和集团客户的收入增加。 提供个性化的整体解决 能手机安全加固 方案,通过扩展的安全 2011年11月,Verizon与VMware结成战略合 和标准化,提供 服务,获得增值收益。 作伙伴,推出VMware Horizon Mobile解决 企业用户设备移 方案,为移动用户接入云平台提供安全移动 动性的安全管理。 服务和设备管理。 NTT DoCoMo:超过5千 与厂商合作定制 万3G用户部署McAfee手 行业安全终端, 机终端安全软件。 收取终端费用。
中国联通智能终端安全现状
终端:加强终端安全管理,并研究 安全 终端:加强终端安全管理,并研究OS安全
• 开展移动恶意软件防治、终端弱点分析相关研究工作 • 开展系列终端定制管理、终端预置应用管理工作 • 推出了自主知识产权的智能终端操作系统以及沃Phone终端。
网络: 网络:具备初步网络流量监控和分析基础
• 开展分组域信令监测工作 • 开展移动用户手机用户上网记录查询及分析 • 移动互联网恶意程序专项治理工作
业务: 业务:开展业务安全研究工作
• 开展业务平台风险评估与加固、移动互联网信息安全管理工作 • 开展新型垃圾短信识别 • 云环境安全研究与防护工作
目录
第一部分 第二部分 第三部分 第四部分
终端安全发展需求 终端安全产业现状分析 终端安全思考 终端安全发展建议
运营商在移动智能终端产业中的优势
2012 6 1.6 3G 5753
2012 2 • 360 7000 • 1459
2012 2 • 2931 2012 QQ 7.5
19
运营商移动智能终端安全发展目标
为个人用户提供个性化终端相关安全服务,保障用户终端安全,提高用户黏度; 为行业用户提供定制服务及生态系统安全整体解决方案。
基础设施是对内保障、对外服务的支撑平台
基础设施为发展、推进安全工作的基础
基础设施是业合作的关键
深度挖掘产业链各个角色与运营商合作的可能性; 积极参与产业链探索拓展安全增值服务模式; 为自身及合作伙伴提供安全保障。
移动智能终端安全内涵安全威胁的接触点为终端,但终端不是唯一战场。威胁来自于终端生态系统中的各个层面,因此,要从终端、网络、业务三个层面的角度审视安全问题,建立端到端的生态系统安全防御体系,为用户提供整体安全解决方案。
划分行业用户与个人用户场景,结合安全厂商安全解决方案或运营商自身能力与资源,创建运营商终端增值安全服务模式。从多维度深入挖掘各类用户行为、习惯、需求等有价值数据,开发安全客户端软件,有利于进一步制定各场景用户终端安全服务,增加用户黏度。从终端硬件、操作系统、应用层三个维度,分别开展终端安全关键技术研究。
以运营商自身网络资源与能力为依托,通过产业合作,构建网络监测与安全态势感知平台,通过此平台将网络优势向终端、应用侧延伸。
加强自有应用的防护,为服务提供商、内容提供商、软件提供商的业务应用提供安全服务。21核心资源数据的安全防护业务数据的安全应用
移动智能终端安全体系
总体思路:依托网络优势、构建基础设施平台,以终端为安全服务入口,加强应用层面的安全防护,从而建立移动智能终端生态系统安全的技术体系。业
务
层
网
络
层
终端
应用
终
端
层操作系统
硬件
芯片终端安全基础设施应用审核大数据安全管理云安全管理业务融合认证业务安全管理基础设施网络安全基础设施终端应用安全防护技术安全工具开发终端操作系统安全机制终端操作系统弱点及加固终端硬件芯片可信技术终端虚拟化
个人用户应用展望
•通过客户端推送安全态势
•尊敬的客户,本周网络安全态势及您的安
全状况评估如下,如有问题请与10010咨询。1
•通过客户端或多种途径推送
2•尊敬的客户,您x 月x 日访问了n 次XX 网站
,并产生了XX 流量,请您及时查询账户。建议您到XX 下载联通安全客户端,同时使用联通的网络防火墙功能。如有问题与10010联系。 手机安全服务 安全态势推送
安全预警与自有业务、产品推荐•通过客户端实现扩展功能
3•地理位置隐藏
•手机号码隐藏
提供扩展功能
•可以作为一个有偿的业务推广,可以作为一个有偿的业务推广,也可以免费提供给VIP 客户提升服务! •可以提高客户感知,可以提高客户感知,提升服务品牌
行业用户应用展望
•安全定制机 行业安全服务
安全定制机
整体解决方案
单独提供安全服务1公安、金融…•基于芯片级的可信平台•端到端的数据加密•生物指纹识别
•面向终端的安全管道服务
2合作伙
伴、中
小企
业…•流量监控、内容过滤•业务保障•安全态势、安全咨询
•面向终端的云安全服务
3
政府、
金融、
水利…•强认证方式接入云环境•端到端数据加密•云环境漏洞扫描、检测
•可以单独向行业用户提供有偿SAAS 服务,服务,也可以和现有业务捆绑! •可以提高客户感知,可以提高客户感知,提升中国联通服务品牌
目录
第一部分
第二部分
第三部分
第四部分终端安全发展需求终端安全产业现状分析终端安全思考终端安全发展建议
移动智能终端发展建议加快移动智能终端生态系统安全标准的制定建设安全基础设施依托安全基础设施、提供安全服务,开放安全能力依托安全基础设施、开展安全关键及前瞻技术的研究积极参加产业链建设
26