1、LTELTE网络环境下的业务安全保障体系网络环境下的业务安全保障体系 何文杰何文杰 恒安嘉新(北京恒安嘉新(北京)科技有限公司 科技有限公司 目录目录 一 一 LTELTE带来的安全挑战 带来的安全挑战 二 二 LTELTE环境下的业务安全体系 环境下的业务安全体系 三 三 “云管端“云管端”安全解决方案 安全解决方案 LTELTE蓬勃发展蓬勃发展 20122012年 年 时间 进 展 20132013年 年 20142014年 年 2012年开展15个城市扩大规模试验,共建设了2万个基站。 2013年,扩大TD-L T E 网 络 建 设,2013年建设超过20万基站,推出可商用网络。 4G
2、基站总数超过100万个; 终端销售数量达2.5亿部;其中4G手机销量达2亿部; 4G用户规模达2.5亿 上海移动计划今年推出VoLTE服务 试验网初期建设 试验网初期建设 网络规模扩建 网络规模扩建 持续建设 持续建设 中中国国移移动 动 中中国国电电信 信 中中国国联联通 通 LTE实验网网点现有的广东、江苏等4个省扩展到全国31个省,重点城市逐 步 展 开 T D D FDD融合组网 年底,中国电信在 上 海 、 南 京、广东等城市开展4G试验,主要以FDD LTE试验网为主 2013年12月4日工信部给三大运营商发放了LTE(TDD)的牌照 从2013年末开始,中国联通即宣布启动4G建设
3、招标 “双4G”战略,4G终端销售1亿台 2015年将再建设15万FDD1800站,实现地市、县市区、镇、国省道沿线、高速公路沿线、高速、快速铁路沿线的“沃4G”连续覆盖。 三大运营商积极推进LTE网络基础设施建设,同时伴随经营牌照的下发更加促进LTE产业的蓬勃发展。 工信部目前放开了虚拟运营商,使得民间资本打破垄断参与市场运营。 LTE已经成为发展最快的宽带移动通信网络,在全球也已进入规模化阶段,截止14年底,全球供有124个国家拥有360张LTE网络, FDD网络占312个,TDD则占31个,其余17个采用FDD和TDD混合模式,全球LTE用户数为4.97亿户. 网络建设与商用提速 网络建
4、设与商用提速 4G用户超过8000万,4G基站超过70万个 超过340个城市开通4G网络业务 中国移动的4G“元年” 加大3G/4G一体化精品网建设,设计3G/4G一体化资费策略 小时终端8000万部 在201个城市部署TDD/FDD混合组网 累计建成12万个基站 超 过 百 个 城 市 部 署FDD/TDD混合组网 建成46万个基站,全国覆盖率达95%以上 15年8月1日部分重点城市正式上市 “ 天 翼 4 G + ” , 下 行 速 率300Mbps 2017年底统一实现VoLTE商用 2015年2月27日工信部给中国联通和中国电信商发放了LTE(FDD)的牌照 20152015年 年 L
5、TELTE的网络特点的网络特点 ITU(国际电信联盟)定义的 4G标准有5种,分别是 WiMax、HSPA+、LTE、LTE-advanced和Wireless-Advanced。 LTE改进并增强了3G的空中接入技术,在20MHz频谱带宽下能够提供下行100Mbps与上行50Mbps的峰值速率,相对于3G网络大大提高了基站辐射扇区的容量,同时将网络延时大大降低。 整个网络包括了UE(智能终端)、E-UTRAN、S-GW、MME、P-GW、PCRF及HSS等网络实体。E-UTRAN由eNB构成,EPC (Evolved Packet Core)由MME(Mobility Management
6、Entity),S-GW(Serving Gateway)及P-GW(PDN Gateway)构成。 快!快! LTELTE带来的业务安全挑战带来的业务安全挑战 无线侧智能终端面临僵木蠕、恶意代码等攻击; 无线智能侧终端成为DDoS攻击源对整个LTE EPS网络发起DDoS 攻击; EPC核心网元面 临 信 令 风暴问题; 智能终端通过LTE EPC、Internet等非信任网络时进行明文传输敏感数据时,面临泄露数据的问题 LTE EPS综合业务平台面临攻击的威胁; EPC (P GWInternet)面临来自Internet攻击的威胁; LTE的高速网络访问能力,也将驱动用户关注流量消费 L
7、TE面临恶意订购等资费安全风险 LTE的网络从空口无线侧开始就是IP网络,同时智能终端只要开启电源就会附着IP地址,因而智能终端、LTE无线接入侧、传输网侧和EPC(核心网)都面临着原来IP网络固有的安全威胁,同时还有着移动互联网环境下的特定业务安挑战: 目录目录 一 一 LTELTE带来的安全挑战 带来的安全挑战 二 二 LTELTE环境下的业务安全体系 环境下的业务安全体系 三 三 “云管端“云管端”安全解决方案 安全解决方案 LTELTE网络环境下的业务安全保障重点网络环境下的业务安全保障重点 参考X.805标准的通信网络端到端安全通用框架,电信系统安全领域划分为基础安全层电信系统安全领
8、域划分为基础安全层、通信安全层以及业务安全层通信安全层以及业务安全层。其中伴随LTE商用、网络/业务推广与日趋成熟,针对业务安业务安全保障尤为突出全保障尤为突出。 通信安全层 通信安全层 基础安全层 基础安全层 隐私隐私(资产(资产) 安全 安全 资费资费 安全 安全 资源资源 安全 安全 流量透支 恶意订购 社交隐私 财务隐私 通信协议安全 通信接口安全 设备配置安全 物理链路安全 业业务务安安全全层 层 LTE高速上网体验,驱动用户将更加依赖移动应用带来的方便快捷,用户信息尤用户信息尤其隐私保护则成为保障重点其隐私保护则成为保障重点。 LTE的高速网络访问能力,将使用对流量感知度进一步降低
9、,防护诱导欺诈的恶防护诱导欺诈的恶意订购以及未知情况下流量透支是用户意订购以及未知情况下流量透支是用户资费安全重要保护环节资费安全重要保护环节。 LTE带来更丰富的业务和信息资源,各类App和SaaS服务将成爆发式增长,防范防范和杜绝不良信息和恶意网站任重道远和杜绝不良信息和恶意网站任重道远。 1 2 3 1 2 3 不良信息 恶意网站 LTELTE安全保障安全保障隐私(资产隐私(资产)安全安全 根据CNNIC 2013年中国网民信息安全状况研究报告,在5亿多手机网民中,个人信息泄露和账号密码被盗的发生比例分别为13.4%和8.9%,并呈程序上升趋势。 社交隐私 社交隐私 用户的社会属性与虚拟
10、属性将进一步融合,智能终端将成为LTE时代的“门禁卡”,身份、号码、通讯录、虚拟帐号、物理位置、访问行为、社交言论等社交隐私安全直接关系到移动互联网能否健康发展。 财务隐私 财务隐私 随着互联网金融、在线购物、移动支付、NFC的飞速发展,银行信息、支付信息、财务记录、消费记录越来越多的存储在智能终端中,个人财务隐私成为影响金融体系安全的“蚁穴”。 隐私访问隐私访问 隐私存储隐私存储 隐私使用隐私使用 安安全全目目标标与与需需求 求 保保障障思思路 路 涉及隐私信息的存储要进行加密,降低敏感信息泄露/滥用风险 监测访问行为,及时发现越权访问,及高风险操作,必要时进行预警和拒止。 监测传输行为,及
11、时发现隐私信息扩散并及时阻断。 LTELTE安全保障安全保障隐私(资产隐私(资产)安全安全 LTELTE安全保障安全保障资费安全资费安全 运营商掘金LTE的同时,资费安全成为LTE时代的新焦点。100Mbps的峰值速率,“4G网络使1秒钟产生不同的体验”。从“没得用”到“不敢用”,明显快于3G的网速让4G用户大呼过瘾的同时也不禁担忧:这么快的速度,流量hold不住怎么办? 流量透支 流量透支 LTE网络带来的大带宽、高速率,使得平均流量成本降低,无意识的“流量透支”和蓄意的“流量透支”不仅困扰用户,更考验着运营商的市场营销策略,合理控制流量使用,才能合理发挥LTE的优势。 恶意订购 恶意订购
12、3G时代的恶意订购问题,随着互联网支付手段的完善,在LTE时代将更加突出。利用订购漏洞篡改订购信息、假冒伪造订购业务、手机病毒预制吸费等恶意订购时刻威胁着用户的资费安全,治理移动互联网地下产业链刻不容缓。 保保障障思思路 路 事中发现事中发现 事前防范事前防范 事后“补偿事后“补偿” 鉴别潜在透支用户,评估恶意订购源头和漏洞,对风险进行预警。 通过更安全的计费方法对流量透支和恶意订购进行“智能冲抵”。 对已知恶意访问链接进行及时阻断,对风险链接访问出示预警。 安安全全目目标标与与需需求 求 LTELTE安全保障安全保障资源安全资源安全 App、云服务、O2O业务极大丰富了手机网民的生活,但是也
13、带来各种各样的资源安全问题。 手机病毒、伪基站、不良信息、恶意网站成为LTE时代绕不过的安全话题。 保保障障环环节 节 移动管道移动管道 智能终端智能终端 互联网应用互联网应用 安全的操作系统、安全的App程序,从终端侧保障资源安全 从根源上治理手机病毒分发源、恶意网址,保护广大网民的上网安全 加大移动管道对病毒App、不良信息和恶意网站的监测和处置能力 安安全全目目标标与与需需求 求 不良信息 不良信息 根据CNNIC数据,手机恶意 软 件 越 来 越 猖 獗 , 过 去 半 年 有23.9%的网民遇到过手机恶意软件;色情、赌博、政治类不良信息泛滥;伪基站发送垃圾短信愈演愈烈。 恶意网站 恶
14、意网站 网上欺诈和诱骗现象继续恶化,钓鱼网站/假冒网站仍旧泛滥,过去半年有36.3%的网民遇到过欺诈和诱骗信息,21.6%的网民遇到过钓鱼网站/假冒网站。 目录目录 一 一 LTELTE带来的安全挑战 带来的安全挑战 二 二 LTELTE环境下的业务安全体系 环境下的业务安全体系 三 三 “云管端“云管端”安全解决方案 安全解决方案 “云管端“云管端”的业务安全需求的业务安全需求 不管是存储-访问-传输的数据生命周期模型,还是防范-监测-处置的安全风险管控流程,都涉及相似的业务行为,即用户使用终端借助通信运营商网络管道访问/获取云资源。因而终端、管道与云资源便成为开展业务安全保护的三个着力点实
15、现业务安全需求。 预警处置 预警处置 综合防范 综合防范 防御监测 防御监测 防患于未然,尽可能在事前和事中就发现并处置相关风险。为实现有效的防御监测的保障需求,解决方案应具备信息获取收集能力,对所有相关信息进行全量监测 在安全事件发生后,不但能够将信息进行集中上报备案,同时实现相关安全责任人预警,并依据预先策略采取封堵、拦截等应急处置手段,避免造成更大损失和破坏 安全问题有的是疏于管理,而有的是能力不足,面对疑似问题时,需要提供能力开放手段,对疑似的安全风险进行确认与问题 定 位 , 并 与 终 端、管道能力协同配合 “云管端“云管端”的安全解决方案的安全解决方案 BSC BTS BTS G
16、ERAN GERAN DNS DNS SGSN SGSN GGSN GGSN RADIUS RADIUS 应用应用 Gb Gb 手机终端 GWGW internet 管管 移动互联网管道监测和处置能力提供安全新体验 服务器服务器 手机终端 手机终端 端端 为终端用户提供安全解决方案 云云 从源头杜绝业务有害资源 1-1-实现智能管控实现智能管控 通过构建覆盖智能终端-移动管道-云端服务的闭环“云管端”安全解决方案,保障网络环境下的业务安全。 手机恶意程序已经成为智能终端窃取用户隐私的主要威胁,“隐私窃取”类恶意程序常年占据移动互联网恶意程序分类排名前三位。 管道主动监测管道主动监测:对现网流量
17、捕获与分析,实时监测用户隐私上传的安全事件,并通过拆链方式实现阻断或者策略路由实现流量牵引。虚拟root功能,WP、IOS设备定向防护。 云端分析研判云端分析研判:对疑似隐私盗取App进行捕获与分析研判,更新特征库,同时将特征规则同步到网络侧和终端侧 客户端联动客户端联动:客户端安全卫士及时清除终端已安装的具有隐私盗取行为的木马或者后门程序 “云“云+ +管管+ +端端”解决方案 解决方案 “云管端“云管端”解决方案解决方案隐私安全隐私安全 隐私防泄露 隐私防泄露 某省级运营商2014年某报告显示,手机游戏强行定制客户占当月新增客户62%,手机游戏不知情定制费用估计为4.5亿元,手机视频估计为
18、7.1亿元。 管道检测管道检测:依靠恶意订购特征库,对现网流量捕获与分析,实时监测用户访问高风险订购的安全事件。 客户端取证客户端取证:实现对客户订购短信交互信息以及上网行为日志本地留存,按照预订时间周期进行上报。 云端分析云端分析:远端云检查平台在获取相关日志后进行基于恶意代码的分析与研判。 “云“云+ +管管+ +端端”解决方案 解决方案 传统基于用户投诉获取待分析上网日志 传统基于用户投诉获取待分析上网日志 基于“端基于“端+ +管云管云”的解决方案 的解决方案 订购行为相关短信 用户上网访问日志 日志分析研判 日志分析研判 “云管端“云管端”解决方案解决方案资费安全资费安全 保障用户访
19、问资源的安全性与合规性,对利用移动方式访问的URL进行监测,对访问内容进行合规性检查;同时为了保证恶意网站列表与不良信息内容及时更新完善,需要基于网站自动爬取分析与研判的技术,降低访问资源风险。 云端集中策略管理云端集中策略管理:依靠主动爬取分析与第三方资源共享,扩充完善恶意网站列表与不良信息特征,同时同步到各个监测节点。 管道主动监测管道主动监测:对现网流量捕获与分析,实时监测用户访问恶意网站或者浏览不良信息等行为,并通过拆链方式实现阻断或者策略路由实现流量牵引。 客户端联动客户端联动,依靠黑名单及时获得风险提示与安全预警,从源头保障资源安全。 “云“云+ +管管+ +端端”解决方案 解决方案 “云管端“云管端”解决方案解决方案资源安全资源安全 访问过滤保护 访问过滤保护 欢迎大家关注移动互联网安全欢迎大家关注移动互联网安全 关注恒安嘉新关注恒安嘉新 结束语结束语
