4G移动互联网安全威胁及防护需求
2016-03-13中国移动通信集团广东有限公司网络管理中心钟雪慧
中国移动通信集团广东有限公司网络管理中心 钟雪慧
4G移动互联网安全威胁及防护需求
中国移动通信集团广东有限公司网络管理中心钟雪慧
本文描述4G时代下移动互联网安全现状,以针对移动互联网的DDoS安全事件为切入点,描述移动互联网技术演进与变化趋势、拆解相应安全事件,分析移动互联网的信息安全特点。通过分解移动互联网的三个要素:终端、管道、云端,分析其面临的安全威胁、可采用的安全防护措施,并提出笔者考虑的相应防护建议。
4G;移动互联网;评估;威胁;防护思路
1 引言
伴随着宽带无线接入技术和智能终端技术的演进与变化,人们迫切希望能够随时随地从互联网获取信息和服务,4G移动互联网应运而生并迅猛发展,不仅网络接入速率快速提高,而且出现终端智能化、移动应用APP化、服务端云化的变化趋势。4G时代的技术演进与变化主要有:
网络速率高:LTE-长期演进技术(Long Term Evolution),是在3GPP的R8版本中引入的无线网络新标准,按照理论计算,在20MHz带宽下,TD-LTE的最大下行速率为326Mbps(4x4 MIMO),最大上行速率为86Mbps(没有MIMO)。
网络扁平化:LTE采用扁平网络架构,降低网络时延。原来RNC功能被分散到了eNodeB和网关(GW)中,eNodeB直接接入EPC,LTE网络结构更加扁平化,降低了用户可感知的时延,大幅提升用户的移动通信体验。
承载IP化:LTE网络承载网络标准采用全IP化,该标准取消了传统电路域(CS域),全IP的EPC(Evolved Packet Core,移动核心网演进)支持各类技术统一接入,实现固网和移动融合(FMC),灵活支持VoIP及基于IMS多媒体业务。
终端智能化:与此同时,移动终端的处理性能高速增长,甚至达到了普通PC的性能,且随着智能家电、家居的普及,此类设备更加智能化,底层系统都是采用Linux或Windows系统,用户可通过4G网络或无线网络直接访问及管理。
然而,4G移动互联网在智能终端、接入网络、应用服务的信息安全与隐私保护方面还面临着严峻的挑战。
2 安全威胁分析
2.1终端:智能/移动终端,应用APP安全威胁
2.1.1智能终端面临的安全威胁
终端的操作系统主要分为IOS、Android两大阵营,一个以优美的界面,统一的交互设计,赏心悦目的交互体验让人爱不释手;一个以丰富的内容,开放的系统,多样的应用令人砰然心动。因此,带来的病毒与恶意代码等安全威胁日益突出,攻击者可利用终端数量多、智能化、速率高、应用多、人员安全意识普遍偏低等特性,通过应用程序或恶意程序,主动向基站或4G核心网发起攻击,如信令风暴、回传网络攻击等。据CNCERT 2013年统计,针对智能终端的恶意程序较往年增长3.3倍,其中针对Android平台的恶意程序占99.5%。
2.1.2APP应用安全威胁
开放平台的安全威胁主要来自两点:一方面是开放性允许开发者对其进行定制开发,由于开发者中鱼龙混杂,对开发的质量和安全性缺乏统一的监管和控制,无法保障自身的安全性。另一方面是APP应用审核机制不健全,由于没有任何机构对这些应用进行审核和监管,其应用的安全可靠性无法保障。据CNCERT 2013年统计,恶意扣费类位居首位。
2.2管端:网络安全威胁
结合当前主流4G网络技术演进现状,从4G核心网、基础服务设施两方面进行安全威胁分析。
2.2.14G核心网面临的安全威胁
LTE网络扁平化、承载IP化带来便利的同时也导致LTE网络中的攻击更加容易实现。面临的主要安全风险主要包括智能终端化带来的攻击,扁平化的网络结构导致数据传输过程不可靠,终端可直接攻击核心设备,承载IP化使得设备被攻击的可能性及容易性更大。
(1)扁平化网络结构引入的安全风险
缺少对在回传网上的数据的保护,数据存在泄露风险;IP承载的语音易被窃听;来自终端和eNodeB的攻击可以直达EPC,导致信令风暴和业务拥塞。同时为了扩展LTE网络覆盖范围和LTE-A容量,目前在街巷中广泛采用小基站的移动网络,此类网络因为街道级别的小基站很容易被不法设备调包,攻击者可通过该方法直接访问MME,造成链路/设备层易受到攻击。
(2)承载IP化引入的安全风险
无连接以及开放的IP网络使得攻击更加容易,面对的主要威胁是身份欺骗和DDoS;相对于E1/T1链路,IP化的物理接口很容易获得。
2.2.2基础服务设施安全威胁
(1)针对基础服务设施的异常流量攻击
4G网络下的商用及普及,手机、智能终端等设备都属于宽带网络,此类设备均需使用传统互联网下的DNS、Email等基础服务设施。黑客通过攻击此类基础服务设施,如对某基础服务设施发送异常流量,使得基础服务设施上层链路堵塞,造成链路下业务无法对外提供服务。
(2)基础服务设施漏洞攻击
随着管端各业务系统规模的扩大,各业务系统的设备数量越来越多,对应需检查修补的漏洞也越多,增加了运维管理压力。同时因部分对外基础服务设施在业务流程等设计不规范,使攻击者可以利用其从事恶意行为,如Wifi认证服务器短信检测及限制等机制不全,攻击者可利用其发送垃圾短信或欺诈信息。
2.3云端:云平台安全问题
随着4G网络的不断发展,越来越多语音、视频、媒体服务以及网游业务都可直接在智能终端上运行,促使现有传统服务向云服务整合,而储存智能终端用户资料和服务器信息的”云”正成为黑客攻击的新对象。
2.3.1外部网络针对云的安全威胁
(1)数据泄露
近年来,越来越多的数据泄露事件发生在云端网络,如苹果iCloud数据泄露事件、盛大云数据丢失事件等安全事件。以互联网金融业务为例,快速发展导致开发周期明显缩短,开发内容中的安全需求经常被压缩。因此,其业务平台主要包含平行越权查询、修改,垂直越权操作等权限类设计缺陷,这些直接导致数据泄露安全事件发生风险提升。
(2)DDOS攻击
智能终端接收在线云服务的同时,主动向云端发送DDoS攻击包,云链路或服务器在遭受DDoS攻击的情况下,将造成网络缓慢甚至服务的中断,会直接影响到用户应用,甚至影响到云平台所有对外的服务。
2.3.2云内部之间及云对外的安全威胁
(1)僵木蠕恶意代码感染
黑客通过僵尸程序与蠕虫技术的结合,使得僵尸程序能够在云计算中心内部业务区域、服务器/虚拟机之间进行自动传播,大量感染的服务器/虚拟机自动向控制端连接和注册,从而在云计算中心内部形成一个具备一定规模的僵尸网络。
(2)资源消耗
云计算中心内部的服务器/虚拟机性能与带宽配置相对都较高,如被黑客控制后,利用服务器/虚拟机高性能、高带宽的特性,向云计算中心外部网络或云内主机发起的异常行为,如DDoS攻击、不良信息传播、敏感信息泄露、恶意代码感染等。
3 安全防护分析
安全防护工作重点在于对系统进行安全风险评估,以识别出系统的风险状况,包括系统面临的威胁、系统自身存在的脆弱性等,并通过实施整改加固、部署技术手段、采取管理措施等方式,全面提升系统的安全防护能力。
3.1终端
3.1.1智能终端与移动应用
(1)安装手机防护APP:这类软件通常是提供快速查杀手机病毒木马和恶意软件、网购时候提供安全支付环境、拦截恶意吸费行为、防个人信息和位置窃取防录音偷拍,除了上述杀毒防御功能外,还具备流量监控、骚扰拦截、手机防盗、手机加速、安全备份、儿童模式、访客模式、私密空间等功能,基本上可以从软件层面解决手机的基本安全问题。
(2)智能终端底层权限防护:增强终端底层权限防护,增加操作提示,减少用户被诱导而越狱或ROOT 终端的行为。
(3)厂商自建安全体系:各大手机厂商建立安全体系,包含操作系统固件定期修补漏洞并公开发布、云端推送;自建移动应用商店,并加强审核与管理,通过采取人工与工具结合方式扫描移动应用,确保未发现病毒木马和恶意软件,才允许在应用商店发布;智能终端自带安全中心、安全工具,可以方便用户随时使用,做到事前防护。
(4)提升用户信息安全意识:终端用户的使用习惯直接关系到终端安全,大多病毒木马和恶意软件利用用户的好奇心理、随意安装未知来源的移动应用的使用行为,传染病毒、盗取用户敏感数据。因而,互联网金融行业应该在各自平台上明显位置提示用户信息安全威胁,宣传正确的智能终端、移动应用使用习惯,告知用户不要盲目越狱或ROOT终端权限,并提供快速扫描安全工具,实时检测终端环境是否安全,发现异常及时告警。
3.1.2防护建议
智能终端与移动应用的安全防护建议为事前、事中防护两方面,最主要是厂商需提高自身的责任意识,用户需提升信息安全意识,防止终端被恶意程序控制。
3.2管端
3.2.1运营商骨干网/核心网
(1)网络架构设计:根据系统的业务需求和安全策略,从面临的安全威胁、隐患分析、业务性能、业务容量等多方面充分考虑,以支持网络可靠性、扩展性、安全性等特性。
(2)网络访问控制:将网络分解为更小的、结构化的区域,以便对各网络进行精细的访问控制,以有效的解决非授权互访,网络入侵,网络病毒传播等安全问题。该类网络区域划分可按照“统一防护、重点把守、纵深防御”等原则,实现对系统业务的分域、分级的安全保护。
(3)网络流量监控:针对网络中各重要网元设备进行健康状况检查,检查包括性能、功能两大特性,如链路状态、链路负载、路由转发等情况等,通过实时监控,可以及时发现问题并处置。
(4)网络安全监控:在核心网的互联边界部署相关安全设备,如入侵检测、用户行为分析、异常流量监测、网络病毒监测等,通过此类设备产生的告警信息进行趋势、态势等感知分析,提前预知网络安全攻击行为,尽早采取相关安全响应措施。
3.2.2基础服务设施
(1)系统冗余设计:业务系统在设计前,应根据实际业务需求,按业务最高峰设计系统,采用集群、主备、负载均衡等方式,确保业务系统非单点运行。
(2)上线安全管理:业务上线前按照规范要求满足设备自身安全功能及配置,包括设备账号、口令认证、权限授权、日志配置、安全功能及要求。运维过程中需要定期对安全配置进行检查,对于不符合规范的进行整改,防止设备“带病”入网。
(3)业务安全监控:业务系统应通过网管平台实时监测业务运行情况,定期通过测试机模拟正常用户请求,以检测业务运行是否正常。
(4)业务风险管理:业务上线、运行期间,需定期或不定期开展业务风险评估工作,以发现业务潜在的安全威胁,通过开展风险管理工作可有效将业务面临的风险降低,防止黑客对业务系统的破坏。
(5)业务安全审计:通过安全审计系统,对业务设备身份认证、操作行为、网络流量、系统操作、数据库操作等日志进行记录,并定期进行审计,防止滥权操作等行为。
(6)安全应响处置:业务系统应根据业务自身,建立针对业务层面相关的安全攻击事件应急处置预案,当发生类似安全事件时可快速响应并恢复业务,确保业务不间断运行。
3.2.3防护建议
管端安全防护建议为安全设计及架构上应合理,采用冗余设计等措施确保数据链路的不间断性,通过有效的机制检测异常事件(如异常流量、不良信息等),及时的发现网络异常情况并通过溯源定位、应急响应等措施进而处置,防止事件恶化。
3.3云端
3.3.1外对内
(1)链路带宽保证:云端应该结合云内应用,为各网络用户提供多路链路互联备份,并保证链路带宽充足,避免带宽被异常流量堵死上联链路。
(2)流量控制:在云端出口侧统一部署流量控制等设备,对非业务流量带宽进行控制,防止带宽资源滥用。同时对相关敏感数据进行检测,当发现数据对外传输达到一定量时,中断传输链路等安全措施。
(3)异常流量监测及清洗:在云端出口侧应部署安全检测系统及防御设备,以防止外部网络对云内主机的扫描、入侵及攻击。
3.3.2内对外及内对内
(1)资源使用监控:云内应设立监控系统对云资源使用进行监控,包括CPU、内存、网络、存储等基础资源,以发现网内恶意资源占用。
(2)网络隔离:通过网络访问控制或安全域划分等方式,将云按业务应用或用户不同等方式逻辑隔离划分,防止云内主机因病毒而相互传播感染,同时可防止黑客在云内的横向移动。
(3)安全审计:云端内应采用相关日志关联分析审计系统或平台,对于设备日志、安全设备告警等进行统一记录存储,在安全事件发生后可快速的通过关联分析功能对事件进行还原。
3.3.3防护建议
结合云端整体安全防护分析结果,针对云端安全,需要加强外防与内控措施,形成云端网络特有的纵深安全防护体系,横向及纵向方式为云端网络提供保护。外防主要通过统一安全手段进行检测、控制及防护方式,对云端整体面临的外部威胁进行防护;内控主要通过加强云内自身需具备的安全要求特性,对云端网络内部进行安全管理及控制。
4 结语
本文通过分解移动互联网的三个要素:终端、管道、云端,逐项分析其面临的安全威胁、可采用的安全防护措施,从而给对应的安全防护建议。
[1]国家互联网应急中心.2013年我国互联网网络安全态势综述[C].2014.
[2]郝帅,张国力.4G时代的安全威胁与防护[C].2014.
[3]苏洪斌.新技术下的移动通信网络安全[S].2006.
钟雪慧,女,硕士研究生,电子技术高级工程师,现任职于中国移动通信集团广东有限公司网络管理中心,主要研究方向:网络与信息安全风险管理、手段建设等。
4G mobile Internet security threats and protection needs
Zhong Xuehui
(China Mobile Group Guangdong Co.,Ltd.,network management center,Guangzhou,Guangdong,China 510500)
This article describes mobile Internet Security Situation under 4G era in mobile Internet security incidents against DDoS as a starting point,describing the evolution of mobile Internet technology and trends,dismantling the appropriate security event,the analysis information security features of the mobile Internet.By decomposing the three elements of the mobile Internet: terminals,pipes,clouds,analyze security threats it faces,security measures can be employed,and propose recommendations protection consider the author.
4G;mobile Internet;assessment;threat;protection ideas
