張慶勇:各位嘉賓、各位領(lǐng)導(dǎo)下午好!我是來(lái)自北京信安世紀(jì)科技有限公司張慶勇,接下來(lái)我給大家做匯報(bào)主要內(nèi)容有幾個(gè):移動(dòng)互聯(lián)網(wǎng)安全威脅與風(fēng)險(xiǎn),安全接入的技術(shù)、安全風(fēng)險(xiǎn)監(jiān)測(cè)相關(guān)研究、我們?cè)诎踩I(lǐng)域所做的應(yīng)對(duì)。
一、移動(dòng)互聯(lián)網(wǎng)安全威脅與風(fēng)險(xiǎn)
其實(shí)關(guān)于移動(dòng)互聯(lián)網(wǎng)安全之前演講者也做了很多情況的說(shuō)明,我們認(rèn)為移動(dòng)互聯(lián)網(wǎng)這些年快速發(fā)展有幾個(gè)方面促成的,一個(gè)是基礎(chǔ)網(wǎng)絡(luò)建設(shè)快速的布局發(fā)展,這個(gè)大家也都清楚,包括中國(guó)移動(dòng)、中國(guó)電信、聯(lián)通基礎(chǔ)建設(shè)這方面做了很大的布局,另外尤其是智能移動(dòng)終端產(chǎn)品迅速普及,這個(gè)大家能夠看到,我想在座各位也都能拿到智能移動(dòng)終端設(shè)備,特別是iPhone,這個(gè)把我們智能移動(dòng)終端產(chǎn)品線(xiàn)快速帶動(dòng)起來(lái),隨著移動(dòng)設(shè)備發(fā)展,另外一項(xiàng)移動(dòng)終端APP得到爆發(fā)式的增長(zhǎng)。除了上述三個(gè)原因之外,還有一個(gè)重要的原因是電商的發(fā)展,尤其近十年發(fā)展,隨著阿里、淘寶、京東等電子商城發(fā)展,給移動(dòng)互聯(lián)網(wǎng)做快速的知識(shí)普及。
上個(gè)星期京東剛做完6.18活動(dòng)總結(jié),雖然最終6.18銷(xiāo)售額并沒(méi)有給出最后的結(jié)論,他們認(rèn)為是商業(yè)機(jī)密,但是我從他發(fā)布數(shù)據(jù)里邊可以看出端倪,其中有一條我看的很仔細(xì),京東商城今年6.18全天下單1500萬(wàn)單,有60%多訂單是通過(guò)移動(dòng)終端發(fā)起的,這個(gè)比例非常大,將近1000萬(wàn)訂單是移動(dòng)終端發(fā)起的。我之前也看過(guò)愛(ài)立信對(duì)未來(lái)移動(dòng)發(fā)展的報(bào)告,上面明確指出未來(lái)五年內(nèi),移動(dòng)終端網(wǎng)絡(luò)流量占到整個(gè)全世界所有流量90%,這是非常大的比例。這也就說(shuō)明我們移動(dòng)互聯(lián)網(wǎng)發(fā)展非常快速的。
那么伴隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展,其實(shí)我認(rèn)為在移動(dòng)互聯(lián)網(wǎng)安全這一塊沒(méi)有跟上的,從原來(lái)大家剛開(kāi)始對(duì)移動(dòng)互聯(lián)網(wǎng)在PC終端防護(hù)體系沒(méi)有完全做到位情況下,在移動(dòng)終端這一塊開(kāi)始快速發(fā)展。我們綜合這些年移動(dòng)終端受到安全威脅,我覺(jué)得應(yīng)該三個(gè)方面重點(diǎn)看一下移動(dòng)互聯(lián)網(wǎng)安全威脅:
1、業(yè)務(wù)應(yīng)用本身、自身的安全,這個(gè)可能在傳統(tǒng)PC行業(yè)成為遇到這個(gè)問(wèn)題,比如一般業(yè)務(wù)系統(tǒng)都是兩類(lèi),BS、CS應(yīng)用,后臺(tái)業(yè)務(wù)系統(tǒng)做的好壞,直接影響你安全性,舉一個(gè)簡(jiǎn)單的例子COS注入,沒(méi)有做好從PC端到移動(dòng)端面臨一樣的問(wèn)題。
2、客戶(hù)端和服務(wù)器端中間網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)和威脅,這一塊大家也做過(guò)很多的描述,包括去年3.15晚會(huì)說(shuō)過(guò)wifi風(fēng)險(xiǎn),特別是免費(fèi)wifi風(fēng)險(xiǎn),另外整個(gè)網(wǎng)絡(luò)里邊有各種各樣抓包工具,即使安全通道也通過(guò)中間人攻擊獲得中間獲取。網(wǎng)絡(luò)通信和安全風(fēng)險(xiǎn),也是很大一個(gè)方面。
3、最主要終端設(shè)備本身環(huán)境安全風(fēng)險(xiǎn),原來(lái)PC端面臨一大堆的問(wèn)題,PC中毒需要?dú)⒍荆瑯影堰@些風(fēng)險(xiǎn)轉(zhuǎn)嫁終端上。
二、移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)
剛才說(shuō)這些風(fēng)險(xiǎn),很大一塊內(nèi)容我們移動(dòng)端接入的時(shí)候,風(fēng)險(xiǎn)都會(huì)轉(zhuǎn)嫁惡果。簡(jiǎn)單向大家介紹移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)。我總結(jié)一下大概有四個(gè)方面:1、PKI技術(shù)作為移動(dòng)安全接入的基礎(chǔ)安全技術(shù)保障;2、數(shù)字簽名技術(shù);3、VPN技術(shù);4、虛擬化安全沙箱技術(shù)
1、PKI技術(shù)
PKI基礎(chǔ)設(shè)施本身能夠完成對(duì)身份認(rèn)證訪問(wèn)控制、機(jī)密性、完整性、以及抗抵賴(lài)不可復(fù)制性等等最全面的防護(hù)機(jī)制,應(yīng)該說(shuō)目前來(lái)看99%安全防護(hù)體系都是跟PKI相關(guān)的,因?yàn)镻KI涉及算法更多,PKI技術(shù)有很多構(gòu)成,其實(shí)以數(shù)字證書(shū)作為基礎(chǔ),由C產(chǎn)生的通用電子標(biāo)簽,和生活中使用的用戶(hù)身份證類(lèi)似,每個(gè)人在網(wǎng)絡(luò)有身份ID,身份ID就是數(shù)字證書(shū),目前有三家頒發(fā)機(jī)構(gòu),除了CN之外,還有RN注冊(cè)中心等,數(shù)字證書(shū)里邊含有公鑰,有證書(shū)發(fā)布的地方,還有證書(shū)的有效性。這是整個(gè)PKI技術(shù)的組成。
2、數(shù)字簽名技術(shù)。
數(shù)字簽名技術(shù)簡(jiǎn)單說(shuō)就是通過(guò)密碼技術(shù)對(duì)電子文件進(jìn)行電子形式的簽名,電子文件經(jīng)過(guò)電子簽名識(shí)別簽名人身份、以及數(shù)字簽名是否被實(shí)際人認(rèn)可。在電商領(lǐng)域整個(gè)移動(dòng)互聯(lián)網(wǎng)領(lǐng)域,電子簽名有一個(gè)法律支撐,也是唯一作為法律支撐的技術(shù)就是《電子簽名法》,2004年修訂,2005年正式發(fā)布,經(jīng)過(guò)十多年發(fā)展,在電商逐漸慢慢利用起來(lái)。去年也經(jīng)過(guò)電子簽名法修訂,可以通過(guò)下面圖簡(jiǎn)單看一下實(shí)現(xiàn),利用PKI非對(duì)稱(chēng)算法,利用私鑰對(duì)原文加密,形成密文是簽名值,不能說(shuō)做簽名不認(rèn)可,這是不可以的。法律上也不認(rèn)可,當(dāng)然簽名實(shí)現(xiàn)方式很多,我下邊只列IC算法,這個(gè)跟其他簽名算法不一樣的。
3、VPN技術(shù)
利用公共網(wǎng)絡(luò)建設(shè),建設(shè)專(zhuān)用、私有網(wǎng)絡(luò)技術(shù),里邊包括L2TP第三二層隧道協(xié)議、IPSec隧道模式,SSL? VPN這幾種技術(shù)方式,PC端通過(guò)類(lèi)似的方式實(shí)現(xiàn)。
4、虛擬化技術(shù)和沙箱技術(shù)
它們兩個(gè)完全不在一個(gè)層面上,安全沙箱限制不可信代碼訪問(wèn)的權(quán)限,移動(dòng)虛擬化是移動(dòng)設(shè)備實(shí)現(xiàn)外部隔離的基礎(chǔ)技術(shù)。我簡(jiǎn)單舉一個(gè)例子,大家用沙箱技術(shù),它的底層操作系統(tǒng)還是原生操作系統(tǒng),沙箱都是使用原始操作系統(tǒng)一部分?jǐn)?shù)據(jù)進(jìn)行隔離,而虛擬化技術(shù)依賴(lài)于硬件、依賴(lài)于操作系統(tǒng)、甚至下方硬件,虛擬化另外一個(gè)操作系統(tǒng),這個(gè)是虛擬化技術(shù),虛擬化不限于操作系統(tǒng)虛擬化、桌面虛擬化,主要技術(shù)內(nèi)容差不多的。
但是這兩個(gè)緊密貼合我們?cè)谝苿?dòng)端環(huán)境安全,老說(shuō)環(huán)境中了木馬、中了病毒,最好的解決方案不是裝殺毒軟件,最好的方式給你相對(duì)安全的執(zhí)行環(huán)境,這是最終好的解決方案。
大家看了之上四種技術(shù),我估計(jì)很多人覺(jué)得這個(gè)并不是先進(jìn)的技術(shù),其實(shí)這四種技術(shù)應(yīng)該有很多年歷史,但是它發(fā)生很大的變化,就是我們載體從原來(lái)PC遷移移動(dòng)設(shè)備,遷移過(guò)程技術(shù)發(fā)生很多轉(zhuǎn)變。例如PKI技術(shù),在社會(huì)應(yīng)用非常廣泛了,我舉最簡(jiǎn)單的例子,網(wǎng)銀大家都上過(guò),合乎銀行網(wǎng)銀都上過(guò),那這個(gè)網(wǎng)銀技術(shù),在網(wǎng)銀技術(shù)怎么利用PKI相關(guān)交易和查詢(xún)權(quán)限保障,我知道U盾。大家辦網(wǎng)銀發(fā)U盾,U盾儲(chǔ)存三樣?xùn)|西:公鑰、私鑰、個(gè)人數(shù)字證書(shū),有的人登錄之后用到、有的時(shí)候查詢(xún)轉(zhuǎn)帳用到。用到數(shù)字簽名,每個(gè)發(fā)給SDK,這個(gè)SDK和用戶(hù)身份綁定,你在進(jìn)行轉(zhuǎn)帳交易通過(guò)私鑰簽名,通過(guò)銀行端審核就可以。這是我們?cè)赑C端做的。
移動(dòng)端使用非常弱,有的銀行發(fā)了音頻K,使用音頻通訊,音頻通訊口不一樣,甚至蘋(píng)果下一代版本音頻K可能取消。這種情況下怎么辦?需要新的數(shù)字證書(shū)的保護(hù)機(jī)制,比如音頻K繼續(xù)使用外設(shè),另外藍(lán)牙K方式完成數(shù)字簽名技術(shù)、包括認(rèn)證證書(shū)。甚至我安全性可以降低一些,把數(shù)字證書(shū)直接頒發(fā)移動(dòng)端本地,這都是PKI轉(zhuǎn)身的方式,它的技術(shù)發(fā)生一些變化。另外VPN,VPN原始方式差不太多,從PC端轉(zhuǎn)到移動(dòng)端一樣,在手機(jī)平臺(tái)也需要做客戶(hù)端,基本使用方式?jīng)]有太多的變化。但是沙箱技術(shù)和虛擬化技術(shù)發(fā)生比較大的變化,沙箱依托硬件實(shí)現(xiàn)虛擬化標(biāo)準(zhǔn),移動(dòng)端主要R平臺(tái),支持硬件化可以做虛擬化,現(xiàn)在來(lái)看使用幾乎沒(méi)有。
但是我們?cè)谝苿?dòng)端做虛擬化研究,主要基于容器虛擬化,在硬件基礎(chǔ)上有一個(gè)容器的,可以基于容器做虛擬化技術(shù),這些都是虛擬化在移動(dòng)端不同的技術(shù)特點(diǎn)。
另外在移動(dòng)接入其他技術(shù)特點(diǎn),包括移動(dòng)數(shù)字證書(shū)、IPSECVPN、虛擬化沙箱技術(shù),包括彩信短信語(yǔ)音安全防護(hù),剛才演講嘉賓也講短信,短信危險(xiǎn)性很大的。其實(shí)現(xiàn)在更好的短信方式,大家知道發(fā)短信的時(shí)候,很多APP直接讀取短信庫(kù)的短信內(nèi)容,抓短信甚至抓驗(yàn)證碼,包括短信、彩信、語(yǔ)音需要安全防護(hù),我們跟一些客戶(hù)做安全短信的加密方式,就是從短信網(wǎng)關(guān)發(fā)出數(shù)據(jù)被我們做加密。客戶(hù)端通過(guò)你手機(jī)取得短信驗(yàn)證碼加密的東西,只有通過(guò)APP解密,才能把加密的短信重新解密原始驗(yàn)證碼,這都是移動(dòng)接入的防護(hù)。另外Arm、TrustZone構(gòu)建安全防護(hù)。
三、移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)
我們?cè)诨ヂ?lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)做一些,它不同于之前安全風(fēng)險(xiǎn)和防護(hù),之前我們說(shuō)木馬、病毒、網(wǎng)絡(luò)都是被動(dòng)的防御,有了木馬使用相關(guān)殺毒軟件進(jìn)行殺毒,有了病毒也殺毒,安全防護(hù)使用安全的防護(hù)wifi,這些都是被動(dòng)的防護(hù),隨著現(xiàn)在移動(dòng)快速發(fā)展,被動(dòng)防護(hù)機(jī)制遠(yuǎn)遠(yuǎn)跟不上我們移動(dòng)發(fā)展速度,更多需要主動(dòng)去防御,主動(dòng)防御就需要我們進(jìn)行對(duì)相關(guān)風(fēng)險(xiǎn)監(jiān)測(cè)有一個(gè)了解。
我簡(jiǎn)單說(shuō)一下風(fēng)險(xiǎn)監(jiān)測(cè)必要性不用說(shuō)了,之前我們都說(shuō)了被動(dòng)防御并不是主動(dòng)防御,我們?cè)?jīng)說(shuō)最好的防守就是進(jìn)攻。在風(fēng)險(xiǎn)監(jiān)測(cè)主要涉及幾個(gè)方面:
1、數(shù)據(jù)采集,客戶(hù)端大量采集,形成大量數(shù)據(jù)發(fā)到后臺(tái),對(duì)這些數(shù)據(jù)進(jìn)行挖掘,通過(guò)數(shù)據(jù)挖掘建立好自己風(fēng)險(xiǎn)模型,完成提前預(yù)警對(duì)應(yīng)基本數(shù)據(jù)整理。終端快速搜集能內(nèi)容包括網(wǎng)絡(luò)情況,使用wifi還是網(wǎng)線(xiàn),設(shè)備情況本身是蘋(píng)果還是Android,行為習(xí)慣,明天打開(kāi)網(wǎng)銀上午晚上中午,這都是使用行為習(xí)慣。另外配合應(yīng)用獲取異常信息,這是最簡(jiǎn)單的收集,比如一些APP出現(xiàn)崩潰、不兼容,尤其Android平臺(tái),操作系統(tǒng)版本一直在升級(jí),由原生操作系統(tǒng)隱身出很多其他廠商的操作系統(tǒng),包括華為、三星、小米操作系統(tǒng)等。金融形使我們系統(tǒng)不同平臺(tái)出現(xiàn)問(wèn)題,這些問(wèn)題主動(dòng)搜集。另外還有性能實(shí)時(shí)參數(shù),包括網(wǎng)速快慢、手機(jī)硬盤(pán)、還有終端環(huán)境快速監(jiān)測(cè)包括你病毒木馬預(yù)警查殺,使用APP主動(dòng)察看一下本地的防御情況,進(jìn)行風(fēng)險(xiǎn)提示,還有行為預(yù)警等。這是前端數(shù)據(jù)的搜集。
2、后臺(tái)有安全風(fēng)險(xiǎn)體系,這里邊涉及幾個(gè)知識(shí)點(diǎn):包括統(tǒng)計(jì)方法、推理建模、機(jī)器自我學(xué)習(xí)、列舉分析、大數(shù)據(jù)并行計(jì)算,大家了解最多是大數(shù)據(jù)計(jì)算,這一塊包括大數(shù)據(jù)并行計(jì)算涉及很多。
形成最主要的內(nèi)容,本身客戶(hù)端收集數(shù)據(jù),包括日志數(shù)據(jù)、事件、行為數(shù)據(jù)等進(jìn)行提升,提升后臺(tái)進(jìn)行收集和數(shù)據(jù)關(guān)聯(lián)性分析,運(yùn)用智能數(shù)據(jù)分析包括威脅防護(hù)的分析,根據(jù)我們自己內(nèi)置模型、計(jì)算方式、相關(guān)策略、動(dòng)作等完成持續(xù)監(jiān)控的分析,并將分析內(nèi)容及時(shí)提供給業(yè)務(wù)系統(tǒng),來(lái)整個(gè)完成一整套風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制。
四、信安世紀(jì)移動(dòng)安全領(lǐng)域應(yīng)對(duì)
我們應(yīng)對(duì)之前說(shuō)的安全風(fēng)險(xiǎn)和產(chǎn)品技術(shù)。簡(jiǎn)單介紹一下我們信安全世紀(jì),我們是1998年成立,是中科院衍生出來(lái)做信息安全的公司,涉及六大機(jī)構(gòu),分別上海、成都、西安、武漢、北京,我們也是數(shù)據(jù)工作組成員,包括涉及保密局成員單位,這是我們公司主持制定國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。這是簡(jiǎn)單的獲獎(jiǎng)證書(shū)。
信安世紀(jì)從剛才說(shuō)的幾個(gè)風(fēng)險(xiǎn)點(diǎn)衍生兩個(gè)產(chǎn)品和一個(gè)解決方案,兩個(gè)產(chǎn)品分別移動(dòng)統(tǒng)一認(rèn)證平臺(tái),主要功能移動(dòng)設(shè)備的安全接入和認(rèn)證,它包括認(rèn)證平臺(tái)的后臺(tái)系統(tǒng),還有前端的APP,另外有自己安全監(jiān)測(cè)平臺(tái),主要移動(dòng)采集和后臺(tái)監(jiān)控,表現(xiàn)形式也是監(jiān)測(cè)平臺(tái)系統(tǒng)是后臺(tái),前端提供SDK。另外給金融機(jī)構(gòu)或者銀行、證券提供移動(dòng)安全解決服務(wù)方案。
我們信安世紀(jì)移動(dòng)統(tǒng)一認(rèn)證平臺(tái)包括幾個(gè)類(lèi):一個(gè)安全類(lèi),我們支持兩種數(shù)字證書(shū)管理,一個(gè)本地軟證書(shū)管理,還有對(duì)外部硬件設(shè)備管理,數(shù)字證書(shū)既安全放在手機(jī)上,可以使用安全外設(shè)。另外相關(guān)的動(dòng)態(tài)口令管理、文件安全管理方面;第二應(yīng)用管理類(lèi),可以管理到之前所說(shuō)設(shè)備管理、應(yīng)用市場(chǎng)、地理圍欄,另外后臺(tái)有策略管理和策略管理
從PC到移動(dòng)端有策略的變化,尤其移動(dòng)端對(duì)移動(dòng)外設(shè)支持不是特別好,我們也經(jīng)過(guò)這么多年技術(shù)研究,我們做出新的技術(shù)嘗試,就是無(wú)私鑰安全防護(hù),在一個(gè)SDK有安全證書(shū)的,私鑰安全性最高的,我們?cè)谝苿?dòng)端第一次產(chǎn)生密鑰產(chǎn)生即放棄,產(chǎn)生用它幫助用戶(hù)下載證書(shū),下載之后私鑰就內(nèi)存中消失了,私鑰根據(jù)用戶(hù)輸入口令、硬件信息、自有算法算出,每次需要的時(shí)候重新計(jì)算出來(lái),不需要會(huì)從內(nèi)存清空。即使我手機(jī)丟失也無(wú)法獲得私鑰,使用的時(shí)候每次生成,生成也會(huì)消失。這是底層技術(shù)的實(shí)現(xiàn)。這也是我們這么多年移動(dòng)安全研究上做的工作。
移動(dòng)統(tǒng)一認(rèn)證平臺(tái)主要包括內(nèi)容一個(gè)APP安全接入、還有PC端認(rèn)證,它主要包括內(nèi)容有包括統(tǒng)一用戶(hù)認(rèn)證、授權(quán)、審計(jì)、賬戶(hù)管理都在后臺(tái)里邊,另外所有信息加密傳輸,通過(guò)我APP業(yè)務(wù)系統(tǒng)連到APP上,所有傳輸都可以做到內(nèi)容加密。另外統(tǒng)一用戶(hù)管理,如果企業(yè)有很多業(yè)務(wù)系統(tǒng),每個(gè)業(yè)務(wù)系統(tǒng)都有自己的用戶(hù)管理,可以統(tǒng)一納入統(tǒng)一認(rèn)證管理里邊去。
另外PC端認(rèn)證可以像微信一樣,就像大家掃一掃登錄外部的微信,另外支持第三方應(yīng)用。最后我們本身APP首先是雙因素認(rèn)證、包括數(shù)字證書(shū)包括動(dòng)態(tài)口令認(rèn)證等。另外VPN安全接入,和以前類(lèi)似只不過(guò)切換移動(dòng)端,安全防護(hù)機(jī)制沒(méi)有變化。
最后安全檢測(cè)平臺(tái),已經(jīng)給大家做了匯報(bào),通過(guò)根據(jù)相關(guān)理也有自己安全檢測(cè)平臺(tái)機(jī)制,做大數(shù)據(jù)分析等。這是我們檢測(cè)平臺(tái)后臺(tái)可以做掃描、模擬器監(jiān)測(cè)、包括惡意注冊(cè)的風(fēng)險(xiǎn)、垃圾消息風(fēng)險(xiǎn)、賬戶(hù)被盜風(fēng)險(xiǎn),業(yè)務(wù)系統(tǒng)根據(jù)風(fēng)險(xiǎn)值控制自身的業(yè)務(wù)。
最后我們還有一個(gè)解決方案,主要給一些大企業(yè)用戶(hù)做一個(gè)安全服務(wù)平臺(tái),包括一些實(shí)現(xiàn)用戶(hù)平臺(tái)的安全密鑰、加減密鑰等等功能。包括數(shù)字簽名加解密,我們公司圍繞剛才說(shuō)的功能,也在做移動(dòng)外設(shè),移動(dòng)外設(shè)也有可能繼續(xù)發(fā)展,雖然目前來(lái)看,大家使用的習(xí)慣包括技術(shù)實(shí)現(xiàn)問(wèn)題,現(xiàn)在移動(dòng)外設(shè)發(fā)展并不是很好,反而包括手環(huán)移動(dòng)外設(shè)用的更好一些,真實(shí)對(duì)安全性這一塊并沒(méi)有好的發(fā)展,所以現(xiàn)在做了一些包括移動(dòng)終端適用二維碼KEY,藍(lán)牙KEY,也是我們公司針對(duì)移動(dòng)領(lǐng)域所做的研究,謝謝大家!