“2012智慧城市高层论坛”分论坛“移动智能终端应用安全分论坛”12月7日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
中国软件评测中心智能终端软件测试实验室总经理 王晓芹
王晓芹:各位嘉宾,大家下午好。我是来自信息化部为电子发展中心的王晓芹,在这里给大家透露一下,中国软件评测中心和刚刚提到的发展研究中心是一个十几年的牌子,是属于工业信息化部下面的单位。
今天我给大家带来的是移动智能终端应用的安全问题评测,我讲这个内容分为两个方面,一个是移动智能终端的应用现状及其所带来的安全问题。面对这些安全问题我们在评测方面的相关工作。比如说他的安全评测的内容和方法,在这里做一下介绍。
首先,因为PPT播放有一点问题,咱们就及这种状态来进行讲解。首先讲到的问题是移动智能终端的应用和安全问题。我们今天大会的主体是移动智能终端的应用。首先我们要了解一下大家怎么理解应用的。作为我们来讲,从我们的角度来讲,这个应用分为两个方面。第一个是移动智能终端的个人应用,这种分类方法是根据应用所面对的应用群体不同来进行分类的。大家每个人手里都有手机。这个手机上大家下载了各种各样的应用软件,我们的这个应用软件针对个人来讲,我分了三类,首当其冲的是从手机的最基本这个功能使用,也就是说通讯类,手机的短信息的使用,手机的通话功能,这是功能机使用的最基本功能。
第二类是生活娱乐与工具。大家从各个应用软件商店来可以看到,比如说游戏的下载量是最多的,还有就是说咱们开车的时候用到的交通导航。像浏览器,大家常用的UC浏览器等等。还有其他的比如说阅读类的和系统工具等等,这是娱乐及工具类,这是第二个分类。第三个分类是金融支付。按说金融支付也是属于我们生活的一部分,应该划在第二类。但是因为考虑到钱的问题是大家最为关注的。所以我把这一类单独的提取出来。这是从个人应用的角度来讲是这么理解的。
第二个方面是随着我们智能手机,一个是手机的运算速度,大家有人用到手机都已经是双核的了,运算速度的提升,移动网络的带宽在不断的提升,作为企业来讲,移动信息化的需求越来越强烈。前不久我们走访了地方政府,他们对于移动的OA需求就很强烈。就是说移动信息化目前应用的状况,其实在各个行业都有了一定的应用。首先,是一些通用性的软件,比如说OA,CRM,ERP等等,这是一些通用的。
另外还有特色需求的,比如说话移动政务,移动的医疗。我们在医院里面像移动的查房,护理,这个方面移动医疗和咱们目前比较火热的物联网的这个概念,这些技术是融合在一起的,这是未来移动信息化发展的一个趋势。
移动执法是像交管局,安监局作为执法部门在外场地去方便进行办公的应用。那么移动应用所带来的价值在什么地方呢?我总结了一下。第一个是说可以充分利用碎片时间,也就是说我们今天过来开会,有一些人来得早,利用这个时间,我可以做一些我们跟业务相关的事情,提高工作效率。第二个是说我可以摆脱有线网络和笔记本的依赖。第三个是这个应用以后,我们的手机上承载了很多的主要的业务的数据,是作为我们公司内部业务流程的一部分。这是企业移动信息化的应用。我们再延伸一下,我这里列出来是基于移动信息技术的一个分类,移动应用表现在哪些方面,第一个基于短信的信息采集与发布。这一块主要是应用哪些方面,像公告,业务的提醒用在这个方面。第二个是基于虚拟拨号上网。因为应用一到手机上以后,如果走这种公用网的话,安全会带来一定的问题。我们采用虚拟的拨号上网的方式。
现在我知道有一些企业在做移动办公的时候,就采用了手机终端上装了这么一个拨号上网的应用。这个方面比如说像智能交通,煤矿,安全生产这一块得到了一些普及。
第三类技术是基于GPS这个定位系统。比如说像路线的跟踪,车辆状态的监控,就用到了这个技术。第四个类是基于流媒体视频传输的一个技术。现在对于一些人工很难去,或者是很危险的地方,一些环境比较恶劣的地方,我们采用了这种技术。像消防爆破这种行业,像高速公路,环境监视都采用了流媒体的监控技术。
移动应用在个人和企业上面得到应用以后,随之而来又带来了一系列的安全问题,大家渐渐对安全的重视程度越来越高,从个人用户和企业用户,他们所关注的安全问题,表现在哪几个方面呢。对于个人用户而言,首先是跟我的钱相关的,因为大家目前都用了移动支付,像吸费,觉得大家的话费用得特别快这种问题。
还有像病毒和木马,很多的病毒和木马都希望从钱财上能获取这些非法的钱财。第三个是对于手机上个人的隐私信息。比如说还有一些骚扰的电话,这是个人用户所关注的安全问题。对于企业用户来讲,他关注的最主要是我的业务数据,一些核心的业务数据,不能得到泄露,还有一个病毒和木马,比如说我的服务器上被木马所控制,有可能我的服务器会导致瘫痪。
第三个是我企业用户的身份,被别别人冒名顶替,进到我的系统,最终其实是导致了我的数据被一些无法分子得到了获取。下面一个这张PPT列出了安全应用的典型的案例。我们看到第一个是在拉斯维加斯一个年度国际黑客大会上,一个著名的黑客在发言的时候,要求几个嘉宾同时拨打一个电话,然后他就用了一个装置来靠近这个电话,就显示出这几个人的通话被这个装置所截获,与这个案例是比较相似的是前一阵闹得沸沸扬扬的“X卧底”这个软件,这是以软件的形式拦截通话记录,他是怎么实现的,是在你不知情的情况下,有可能是你有一些夫妻之间,我想跟踪你,偷听你和谁谈话,或者是说你下载软件的时候,绑定了你的软件,在你不知情的情况下装在了手机上,在你的后台运行,当你使用手机的时候就启动了第三方的监控工具。通话记录就被上传到服务器上。
第二个例子是广发银行的银行系统在一次升级以后就出现了网银的失窃。
第三个例子是前一段时间影响挺大的Carrier IQ,他们官方称这是进行通讯故障的分析诊断,因为这个软件默认运行在后台,记录了大量的用户信息,所以会导致很多的用户对此表示质疑。以上所讲的是移动终端应用的现状和存在的一些问题。
第二个话题是我们在安全方面做了一些评审工作,我们是怎么考虑的。
我们既然要去测试它的安全,首先我们要知道它的安全防护是什么样的,从我们的理解角度来讲,移动智能应用介入传统信息化这一块分为五个部分,从物理安全,网络安全,系统安全,安全管理,应用安全五个层面进行评测。左边这张图是一个典型的移动信息化的拓扑图,从这张图可以分为两部分。上边这部分是引入我们智能移动终端之后的情况。整张图有五个链路第一部分是智能终端通过短信网关进入后台服务器。第二个链路是说我的移动终端通过移动网络进入互联网,最后进入我们的服务器。第三部分是一些PC机,在企业内部的PC机,通过交换机最后进入了服务器。第四部分是一些移动的终端,通过WIFI进入我们的后台服务器。
在引入这个智能终端之后,刚才讲到了五个方面来讲,都带来了一些安全挑战。第一个就是说移动设备从物理安全上来讲,就是说移动设备丢失带来了物理安全隐患。刚才我跟在座的一个嘉宾手机丢了。因为手机丢了以后,如果是你引入这个以后,你手机上除了个人信息以外,还装了企业的业务数据,这个丢失会导致企业的损失比较大,这个怎么样保证我的手机丢失以后数据的安全性如何来把握。
第二种是无线网络自身的隐患。因为无线性本身是一个开放性的信道,从通信标准上来讲,安全性不是很高。我知道在2G个时代,他的通讯是用64位加密,3G以后加密引用了128位加密。通信的标准安全性就不是很高。另外就缺乏了身份的引证。在引入移动网络之后,网络的安全就面临了一个新挑战。
第三个是从系统的角度来讲,第一个问题是安卓天生缺乏对安全的支持。因为他这方面大家去吸引更多人在平台上做开发,所以他开发了很多的权限,这就导致了安全性隐患很大,除此之外,移动终端的体积,他的芯片,他的电池,是吧?都不太可能像笔记本那样,或者是台式机一样做得那么完善,能够运行比较大的,比如说安全防护的软件去保护我们的系统。刚才和一个嘉宾在交流,因为安卓系统这种安全问题,就很难去解决。
第四个问题是应用安全,这个应用安全是因为伴随着我们用户从应用软件上下载了很多很多的软件,很多的这些就会有一些不法分子就想从中获取非法的利润。那就会成了病毒发到新站上,这就损害的用户的利益。
第五个从安全管理来讲,之前从移动这些设备没有引进我们的企业系统之前,那么我们对内部的设备的管控,可能相对来说已经完善了。但是现在加入了这个智能设备,大家携带起来是很方便,但是,一旦这个设备的丢失,就是说在这个管理层次上我们是怎么样去进行把控的。以上讲的是说在引入智能移动终端之后所带来的这些安全的挑战,下边我们讲我们对这个企业移动信息化的评测的工作。目前我们的评测依据主要是有两类,第一个是国家的标准。
国家标准目前我们参照两个主要的国家标准。第一个是移动终端的信息测试方法,这是2007年出台的一个国家保准。这个标准主要是从终端设备本身的一些底层的安全来进行一些规范的。包括三部分,第一部分是接入安全。从通信网络安全这一块,就是说如何进行测试,做了一些规定。第二个部分是他的自身的安全。手机在出厂之前,我的操作系统上面的安全是怎么测评的,我终端硬件,比如说芯片这一块的安全测评怎么来做。这一块关于安全防护这一块,刚刚有一位嘉宾交流,在做这个方面的工作。
第三块是终端卡的接口,就是对手机卡的接口测试。
第二部分我们参照的依据是信息安全技术的保护,因为在企业移动信息化这一块,除了引入移动智能终端之外,更多的系统还是基于状况的信息系统,所以我们在进行系统这一级测试的时候,参与的标准也是我们重要的参考之一。除了国家测试标准之外,我们自己依据这些国家标准研制了我们自己的企业测试规范。
具体到测试方法上,我们基于传统的信息系统的安全测试,接见测试方法,我们测试也从两个方面进行测评。第一个是从管理的手段来看,其实管理这一块比技术占的更高。我们大家都知道,这个安全本身是一个双刃剑。如果让他变得更安全,那么在辩解性上肯定是要弱的,所以当你看到个,把安全看对这个级别的重视程度有多高。当你从管理层身上把安全看得很重要的话,它可能会变得更安全。
所以说管理的手段在安全防护上是站得更高的。
第二个安全防护是技术的手段。比如说我们在系统化建设过程中添加了一些从网络层次上添加了比如说防火墙。是吧?添加了加密卡,然后数据传回引入了加密机制,这都是从技术手段上做防护。从我们的安全测评上来讲,也从这两个方面去考虑。对于管理的手段,我们主要是安全检查,检查从各个层次上,从物理安全上,是不是对一些数据中心的管理手段是不是到位。从对于这些设备的管理,对于人员的管理是不是有相应的管理措施。从对于技术的防护上,我们有两种应对措施。第一个也是安全检查。因为有一些技术的防护,我们无法去进行测试。因为测试与这个防护本身是一个矛与盾的关系,比如说他加入了防火墙,我们防火墙上他的配制措施是不是合理。我们这一块采取了检查的策略。
另外我们采取了安全测试。比如说从技术的手段,这一块主要是有两个方面,一个是静态的一些测试,一个是动态的测试。打个不太恰当的一个例子。对于静态测试来讲是什么样的呢?比如说一个人他可能说我有一个邪念想去实施犯罪行为。但是实际上他可能并没有做,只是这么去想。如果是说我们只是去和他进行面谈,知道他有这个想法,我们再对他进行实施教育。这是一个静态测试。
假如说他执行了这么一个犯罪行为,这说明他确确实实是实施了一个犯罪,我们可能有相应的法律手段对他进行制裁。这可以说是一个动态测试。静态测试是从我们安全测试方面来讲的话,其实是对原程序或者是对语法结构进行检查。动态测试是我们执行这个程序,看看这个程序是不是真的去恶意代码是不是执行了,来对他进行一个验证。
基于这种静态测试和动态测试这个原理,我们是搭建了一个应用的安全测试平台,这个平台实现之后,就用户可以通过远程提交我的应用的程序,比如说APK文件,通过我后台程序的处理。最后用户可以远端查看这个测试结果,看看我这个程序是不是真的有一些恶意的软件。我们的平台可以替客户解决哪些问题呢。第一个是恶意扣费的问题。第二个是流量是不是得到了盗用,远程控制,窃取隐私,像来电电话,短信恶意传播,破坏系统的稳定性这些问题都可以查找出来。
目前我们的实验室测评的服务对象主要是面向这四类。第一类是企业信息化的建设单位。你在信息化建设成以后,加了一些自有的防护体系。这些防护体系是不是真正起到了作用。这一块可以帮这些单位进行把关。第二类是研发企业。我研发出来一款软件,你要推向市场。我的软件是不是有一些漏洞让不法分子能够有机可乘,这一块我们可以帮助企业去做这个方面的安全测试。
第三类是移动应用的商店,因为商店里面集中了大量的应用软件。你在推向普通用户的时候,这些软件是不是安全的。
第四类是我们的服务对象可以是手机厂商,他们出厂之前,这个手机上也是绑定了很多的,预装了很多的软件。
我们提供服务的类型分为三类,第一个是面向软件产品的安全测评。第二个是面向系统的,对企业的信息化可以提供这种安全的监测服务。第三个是安全管理体系的咨询。帮助企业在信息化建设的前期,给他做一个安全的管理的咨询。
以上是我讲的主要内容。下面是对我们单位做一个大致的介绍。首先这是一个总体,我们单位刚才讲到了是工信部的直属事业单位。我们是通过国家认可委认可的软件测试实验室,也是国家一级保密资格的单位。右边是我们单位获得的一系列的资质,右边我们中心有三百多个人,绝大多数是硕士以上的学历。我们近年来承担了项目,在智能移动终端这个领域,2011年承担了发展基金项目,智能移动公交服务平台。第二年我们又承担了一个面向移动终端的嵌入式的移动测试的基建项目。今年和奇虎360申报了一个移动互联网智能应用终端个人信息保护这么一个项目。现在我们的实验室已经被工信部推荐为国家智能终端软件产品质量监督检验中心。
我们的测试业务除了刚才讲到的主要的一个安全测评业务。另外我们还做移动信息系统的验收测试。主要是面对手机类型这个软件平台的多样性,我们推出了这个平台适配性的测试。针对手机厂商,我们有手机场次服务。另外对研发企业来讲,我们主要推出了移动应用软件产品的坚定测试,这是我们实验室的主要业务。今天我的介绍就到这里,谢谢大家。
