首页|滚动|国内|国际|运营|制造|监管|原创|业务|技术|报告|测试|博客|特约记者
手机|互联网|IT|5G|光通信|LTE|云计算|芯片|电源|虚拟运营商|移动互联网|会展
首页 >> 现场直播 >> 正文

中国移动刘利军:移动互联网将是扁平化+承载IP化

2013年5月24日 14:25  CCTIME飞象网  

    “2013智慧城市论坛”分论坛“移动互联网业务创新与信息安全分论坛”5月24日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:

    中国移动高级工程师刘利军博士

    谢谢项总的介绍,各位领导,各位专家,大家下午好!很高兴能够有这个机会跟大家分享一下移动互联网的业务和终端安全的问题。我今天主要讨论的内容有三部分,首先,移动互联网总体趋势及安全热点。大家都知道移动互联网是移动和互联网深度的融合。移动互联网终端的发展趋势是智能化、社交化。第二个趋势是移动互联网的网络结构和整体架构的一个发展,主要是架构扁平化+承载IP化。第三个是移动互联网业务方面的趋势,主要是各大厂商,包括iPhone,包括Android,包括运营商可能都纷纷的推出各自的应用商店,通过平台运营业务的接口,同时这些平台都向开发者开发接口。

    我们好的移动互联网经常也应该基于这么几个大的发展变化策略来探讨。首先,在终端的智能化方面,这分析我们可以看到主要有这么几个特点,移动终端更加接近个人,同时一些敏感的应用,相应的带来了终端上的软件所提到的。第二方面IP化方面,电信网络的IP化使得传统的互联网的开放特征相应的可能原来IP的价格多。第三个方面是业务的多元化,首先我们从业务的逻辑的角度来看,从业务的信息的理解,我们还不能叫信息传播,也包括信息的泄露。从物理的角度看,业务的多元化带来安全的责任,这些都为安全带来很大的压力,同时,移动互联网目前和云计算也成为一个比较典型的趋势。

    下面跟大家探讨在业务板块的看法,首先我们觉得业务安全成为保障难点,业务层次的按照性并不等于各个层次的安全问题都解决了。而业务安全的后果,包括用户信息泄露、业务内容泄露等。根据2010年到2012年的某漏洞平台的统计数据,共有约4200个业务漏洞记录,其中运营商相关的170起,这个值得引起重视。在这些数据当中还有几个特征,就是WEB系统漏洞仍然是主要的入侵途径,同时也有业务设计缺陷和逻辑错误在所有入侵事件中占13%的比例,同时也有服务器配制不当和敏感信息泄露也对信息安全造成了威胁。Web系统主要安全威胁是四个方面:

    第一、SQL注入漏洞。正常我们在网站输入一些信息,然后提交,在输入参数的地方,同时输入数据库命令,使数据库执行命令并返回敏感用户信息。

    第二、非法文件上传。利用网页对文件类型监察部严的漏洞,把后门、木马等恶意程序上传到网站系统并执行,可以控制网站系统执行命令并获取敏感信息等。

    第三、第三方组件。第三方组件在目前的Web开发领域逐渐的成为了一种形式,这些组件现在你会发现非常多的漏洞,可以直接上传后门、木马等恶意程序或者可以直接获取网站管理员权限等,从而控制网站系统。Web第三方组件类型主要包括如网页编辑组件、论坛组件等。

    第四、系统管理后台。这方面的问题主要是在一个Web系统进行服务以后,有一个管理工作界面,利用网站管理后台被远程访问。当然,还有现在很泛滥的各种夸大的东西。

    针对这方面的问题,总的来讲安全防护总体思路是三个方面:

    事前主要是两个方面:第一、制定技术规范,强化安全编码,这个非常难做。但是,这是必须要做的,在系统的设置开发,规划阶段对服务的提供要深入到代码级的控制,这是一个。第二、加强系统安全评估。对于系统的安全评估,这是从不同的角度需要做的,第一个就是规划安全评估,这个主要在设计阶段,因为很多问题在设计的阶段就没有考虑安全的问题,到后来再去加安全措施难度就非常高了,所以在规划上要加强,要提前防范。第二个就是实现安全评估,在实现完成以后,交付的时候要做。同时,在商店和运维当中。这是事前的走势。

    事中两个方面:第一、强化Web安全管控,网站安全监控。这方面重点关注是网站安全监控,以及Web安全的监控。第二、主要是对Web进行多层次的,包括强化Web安全防护,网站纵深安全防护。

    事后的措施主要就是强化审计及应急响应,提升快速反映能力。接到安全事件分析任务,对事件进行初步分析确认。这是针对Web安全。

    第三个方面就是终端安全问题的探讨。归纳一下,这是移动终端面临的五类威胁。首先看终端的失窃和信息的丢失方面的威胁,这是非常普遍的,而且我开始都讲iPhone的泄露,获取你的位置信息,还有通讯录信息是非常普遍的。那么,这儿有两个例子,一个就是发不到网上,第二个就是Carrier IQ窃取隐私事件,它是在用户通知的情况下获取信息,这是两个例子。

    第二类是对终端供给网络的威胁。举两个例子,一个是存在一个呼死基站的问题,通过控制拨打电话,比如使用微软智能手机SDK中的API PhoneVake-call。这是ATSM的主机站,它也可以不断的激活网络,使得你的服务器丢失资源。包括苹果,在越狱的过程当中也会造成类似的问题。

    现在非常典型的是恶意吸费,这种吸费的问题,在这儿简单举一个例子,就是某“打地鼠”游戏被嵌入了恶意代码,接受远程服务器的控制指令,它主动在后台上发送扣费短信。导致这种问题非常重要的原因实际上就是开放性的问题,导致恶意软件开发门槛低,Android系完全开放的模式,给软件开发过高授权,是导致恶意吸费软件泛滥的重要原因,以短信发送功能调用为例。如果对这种非常典型的KPI的调用如果做一些限制,实际上能大大的降低恶意润色入侵的可能性,这也是要求我们对操作系统,对KPI作出一些规范。这是中央电视台去年7月份做的一个报道,由于手机恶意软件赚钱更容易,电脑黑客正在大批向移动互联网领域转移,这个已经基本上成为一个产业链。同时,我们也可以看到恶意软件的传播,在山寨机和刷机方面,调研发现一批仿N95山寨机”在出厂的时候内置了自动后门程序。

    刚才讲了几个方面,从开发、传播,到危害,从我们运营商的角度,我们目前做的工作是两个方面。在网络侧建立监测系统,来监测发现某些软件特制,分布到用户手机上以后会有一个终端。同时,建设手机应用安全管控中心,对商城应用程序的全生命周期进行安全审计和管控。这是在网络侧做的工作。同时,终端侧主要是安装软件,在终端侧执行病毒查杀、隐私保护等功能。安全的预装应用,预装应用程序经过安全监测,并通过可靠途径升级。真正要解决这个问题,就是对传播的应用商店做管理,还有流通的方面,需要产业链的各方大家一起合作,才能够真正的把这个工作做好!

编 辑:刘妍
免责声明:刊载本文目的在于传播更多行业信息,不代表本站对读者构成任何其它建议,请读者仅作参考,更不能作为投资使用依据,请自行核实相关内容。
相关新闻              
 
人物
信通院许志远:ICT产业在未来五年将有七大增长点
精彩专题
MWC19 上海 - 智联万物
2019年世界电信和信息社会日大会
中国电信5G创新合作大会
2019年世界移动大会
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2017 By CCTIME.COM
京ICP备08004280号  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像