手機安全方案

FortiClient Mobile 4.0 移動運營商 /手機提供商的安全助手 手機通信安全威脅的發(fā)展 手機 OS發(fā)展的開放性 Symbian Windows Mobile 手機程序發(fā)展的多樣 性帶來的軟件漏洞 個人信息的商業(yè)價值 挖掘 惡意威脅和商業(yè)敲詐 經(jīng)濟利益驅動，國際 性信息的頻繁交互 病毒增長趨勢0501001502002503003502004年5月2004年7月2004年9月2004年11月2005年1月2005年3月2005年5月2005年7月2005年9月2005年11月2006年1月2006年3月2006年5月2006年7月時間病毒數(shù)量Cabir Mquito Skulls Comwarrior Onehop Doomboot Cardtrap PBSTealer 病毒增長趨勢0501001502002503003502004年 5月2004年 7月2004年 9月2004年 11月2005年 1月2005年 3月2005年 5月2005年 7月2005年 9月2005年 11月2006年 1月2006年 3月2006年 5月2006年 7月時間病毒數(shù)量手機病毒的發(fā)展趨勢 智能終端發(fā)展趨勢（單位：元， % ）3 . 0 % 2 . 9 % 3 . 1 %3 . 4 %3 . 7 %4 . 3 %4 . 6 %5 . 0 % 4 . 9 %5 . 3 %6 . 2 %5 . 7 %457442994119391838613672351233443167311728503000J a n - 0 5 F e b - 0 5 M a r - 0 5 A p r - 0 5 M a y -05J u n - 0 5 J u l - 0 5 A u g - 0 5 S e p - 0 5 O c t - 0 5 N o v - 0 5 D e c - 0 5市場比重 價格 病毒數(shù)增長 7.5倍 終端比例增長 1.7倍 危害尚未形成規(guī)模 但發(fā)展迅速， 應及早準備應對 并適時部署措施！ 2005-2006年 手機病毒安全風險概況 當前風險級別 手機病毒傳播和分類 本地傳播 傳播方式：藍牙、文件拷貝 典型 樣本： Cabir、 RedBrowser、 Skulls 網(wǎng)絡傳播 傳播方式：彩信、 WAP、 push email 典型樣本： Comm Warrior（彩信） 病毒 代表為 Skull病毒，主要特征如下： 藍牙本地復制傳播 使感染手機圖標成 “ 骷髏頭 ” 木馬 代表為 DoomBoot.A： 偽裝游戲，手工安裝 刪除或修改數(shù)據(jù) 藍牙搜索，耗電 蠕蟲 代表為 Commwarrior 通過彩信自動傳播 自動發(fā)送彩信 增加戶彩信費 間諜軟件 代表為 “ FlexiSpy” 需要手工安裝 竊取短信內(nèi)容，通話記錄 可竊聽 手機病毒發(fā)展歷程 第一階段： 手機短信病毒階段 利用了類似操作系統(tǒng)中的緩沖區(qū)溢出原理，系統(tǒng)為固化程序，處理特定信息格式的溢出可以造成故障 ( 世界首例手機病毒“ VBS.TimoFonica”于 2000年 6月發(fā)現(xiàn)于西班牙。該手機病毒會導致被感染的手機向其他用戶發(fā)送辱罵短信。我國最早的手機病毒“洪流（ Hack.SMS_blood）”出現(xiàn)于2002年，該病毒會使手機瀏覽短信時自動關機） 第二階段： 智能手機病毒階段 產(chǎn)品本身由于內(nèi)置了操作系統(tǒng)，病毒利用操作系統(tǒng)提供的 API(應用程序接口 )進行編寫，只要了解操作系統(tǒng)的這些知識，就能編寫出感染這類手機的病毒 (2004年 6月出現(xiàn)的 Cabir(caribe) 是第一種針對智能手機的病毒，被感染的手機會不停的進行藍牙搜索，發(fā)送藍牙請 求，導致手機終端的電量被很快耗盡） 第三階段： 網(wǎng)絡手機病毒階段 病毒可以通過藍芽等傳輸，可以形成對整個無線網(wǎng)絡進行攻擊。 新型的彩信功能包括了動態(tài)控制信息，就像網(wǎng)頁里的 Java Script的程序一樣， 能夠被病毒編寫者利用，編寫出通過這些控制信息來傳播的病毒來。 利用 MMS傳 播的病毒 Commwarrior.A （2005.3) 復制自身前查詢系統(tǒng)時間 Commwarrior.B 不再查詢系統(tǒng)時間 , 因此更加流行 Commwarrior.Q (Aug-2006) 變種更加難于防范 使用電話地址簿中的手機號碼傳播 監(jiān)聽所有收到的 MMS/SMS，并自動回復一條帶有 Commwarrior.Q病毒的 MMS 監(jiān)聽所有向外發(fā)送的 SMS，并在 SMS發(fā)送完成后自動發(fā)送一條帶有Commwarrior.Q病毒的 MMS給此收件人 MMS中的文本內(nèi)容取此手機的短信收件箱 商業(yè)間諜軟件 遠程話筒激活 SMS記錄 電話撥打記錄 短信內(nèi)容監(jiān)控 木 馬 : Red Browser 2006-3-12日發(fā)現(xiàn) ! RedBrowser虛假的下載 Wap網(wǎng)頁 RedBrowser 持續(xù)的提示 RedBrowser 標識顯示 Source: /VirusEncyclopedia/encysearch.jsp?fid=130406 Beselo蠕蟲 2008年 1月 21日 發(fā)現(xiàn) 該蠕蟲病毒被命名為 SymbOS/Beselo.A!worm，可以在不同 Symbian S60的設備上傳播。這些設備包括 Nokia 6600, 6630, 6680, 7610, N70和 N72等型號的智能手機。在安裝階段，蠕蟲病毒傳播的方式如下：通訊錄中的電話號碼將被收集起來，然后向他們通過 MMS發(fā)送含有病毒安裝文件 (SIS).但是該 SIS文件不是使用 sis擴展名，而是顯示為多媒體文件類型，比如Beauty.jpg, Sex.mp3和 Love.rm。與 Microsoft Windows操作系統(tǒng)不同的是， Symbian 操作系統(tǒng)執(zhí)行文件是基于內(nèi)容而不是根據(jù)擴展名的，因此接收到感染病毒的 MMS文件后點擊該附件就會得到被感染。用戶很容易被擴展名所欺騙，在不知情的情況下安裝這類的惡意軟件。 除了收集通訊錄中的電話號碼意外， Beselo蠕蟲也會向自動生成的號碼來發(fā)送感染文件。有意思的是，這些自動生成的號碼全是中國區(qū)域內(nèi)的，而且都屬于一個移動運營商的。這些號碼中會有一部分是真實用戶的，而非收費的服務號碼。它為什么采用這樣的行為還待進一步考察。 媒體報道 Fortinet 公司概況 第一個基于 ASIC硬件技術的多層安全技術提供商 專業(yè)網(wǎng)絡安全廠商 800+名員工 / 超過 500名工程 技術人員 2000年成立 發(fā)展最快的專業(yè)安全公司 全球化的銷售服務體系 ( 美國，歐洲，亞洲 ) 權威的安全認證 8項 ICSA認證 最高級政府安全認證 (FIPS-2, Common Criteria EAL4+) 50+ 安全行業(yè)認證 美國病毒專業(yè)評測試 VB 100認證 歐洲專業(yè) IPS安全評測 NSS認證 多層安全降低移動風險級別 多層安全平臺能夠使移動運營商 保護其用戶和服務商業(yè)模型 完善的安全網(wǎng)絡產(chǎn)品線 安全審計管理中心 安全客戶端，郵件管理 FortiGate-50B FortiGate-100A 小型分支 辦 公室 FortiGate-200A FortiGate-800F 中型企 業(yè) FortiGate-1000A FortiGate-5000 大型企 業(yè) 運 營 商 統(tǒng)一安全網(wǎng)絡解決方案 Antivius (病毒防御） IDS/IPS （入侵檢測） Webfilter（網(wǎng)頁過濾） Antispam (垃圾郵件） 安全平臺 防病毒 入侵檢測 防火墻 VPN Web 過濾 垃圾郵件 流量控制 安全管理 FortiManager FortiAnalyzer FortiGuard 24X7 安全升級服務 FortiGuard全球安全響應中心 100+ 安全響應工程師提供 24X7安全特征庫更新 美國 加拿大 倫敦 巴黎 中國 馬來西亞 新加坡 東京 SLA 3小時攻擊庫特征更新響應 24X7全球安全實驗室 中國天津病毒安全中心 Anti-Virus (AV) 21%9%9%7%7%2%2%2%2%1%38%1 W 32/ B a g le . D W -m m 2 W 32/ N e t s k y ! s im ila r 3 W 32/ G re w . A ! w m 4 H T M L / I f ra m e _C I D ! e x p lo it 5 W 32/ B a g le . D Y -m m 6 W 32/ B a g le . D X -m m 7 W 32/ M y T o b . f a m -m m 8 W 32/ M y D o o m . M -m m 9 W 32/ M y t o b ! s im ila r 10 W 32/ M y T o b . B H . f a m -m m . N o n T o p 10(Includes Anti-Spyware) Intrusion Prevention System (IPS) e d o n k e yb i t _ t o r r e n tg n u t e l l aM i c r o s o f t . I E . C r e a t e T e x t R a n g e . R e m o t e . C o d e . E x e c u t i o no v e r l o n g _ u r i S l a m m e r M S . W i n d o w s . A S N . 1 . B i t s t r i n g . H e a p . O v e r f l o w . H T T P . BM S . E x c h a n g e . X L I N K 2 S T A T E . C H U N K . O v e r f l o wC y b e r K i t . 2 . 2 A p a c h e . C G I . B y t e r a n g e . R e q u e s t . D o SFortiClient Mobile Security v4.0 智能手機的多層安全工具 Symbian 和 Windows Mobile 系 統(tǒng) Symbian 7.x, 8.x and 9.x support (Series 60/UIQ) Windows 2003 SE, Mobile 5.0 and 6.0 安全功能 個人防火 墻 VPN 呼入 過濾 垃圾短信 病毒 過濾 電話 安全 多 語 言支持 特性列表 Windows Mobile Symbian 個人防火 墻 VPN 呼入 過濾 垃圾短信 病毒 過濾 病毒隔離 電話 安全 多 語 言支持 * * Requires FortiClient Mobile 4.1 功能說明 個人防火墻 提供三個保護層次 Low 允許進出的呼叫 Medium 拒絕呼入 / 允許呼出 High 拒絕呼入 / 允許通常呼出 IPSec VPN 允許通過 GPRS / Wi-Fi 建立安全通道 支持 pre-shared key 和 VPN/Xauth FortiClient 基于 PC的軟件利用 Active Sync功能可以和手機上的 VPN配置進行同步 功能說明 (2) 呼入過濾 允許用戶對呼入的用戶進行限制 靜音或掛斷 發(fā)送短信 轉發(fā)呼叫到另一個號碼 自動應答允許主叫方留言 垃圾短信 過濾 SMS 和 MMS 空號碼 ,未知號碼 黑 /白名單支持 可選擇刪除或者移動到垃圾文件夾 功能說明 (3) 病毒掃描 允許掃描系統(tǒng)存儲空間 ,外置存儲卡 和當前內(nèi)存 可用戶化的全路徑掃描 預定置的掃描 實時文件保護 ,支持 Bluetooth, IrDA 支持啟發(fā)式和特征庫掃描 隔離 任何刪除的文件可以放置在 ”隔離 ”文件夾 文件夾大小可在 500k to 4M間配置 功能說明 (4) 電話安全 提供數(shù)據(jù)的加密 /解密 SMS / MMS 信息 呼叫記錄和聯(lián)系記錄 可選的安全記事本 多語言支持 (v4.1) 支持中文 ,英文 ,法文 ,德文等 手機平臺支持 Symbian Windows Series 60 Pocket PC OS 7.0, 8.0a, 8.1, 9.0*, 9.1*,9.2* 2003, SE, Phone Edition UIQ OS 2.0/2.1/3.0 Mobile (Professional) 5.0, 6.0 * Requires Symbian Sign 部署方式 一 用戶模式 用戶可以直接通過 Fortinet 網(wǎng)站進行購買 授權號碼和病毒庫升級通過 FortiGuard服務進行 購買軟件并注冊 通 過 FortiGuard 服 務進 行注冊更新 下 載 病毒 庫 部署方式 二 服務提供商方式 軟件和升級授權由運營商控制 Fortinet為運營商 提供特征庫升級 附加的服務器進行管理跟蹤 購買軟件并注冊 下載軟件 注冊 運營商門戶入口 同步注冊服務 病毒庫更新 下載更新病毒庫 軟件 更新 服務提供商工作流程 登陸運營商提供的 portal,點擊 ”購買” 移動用戶 運營商 運營商 Fortinet 廠家 請求購買軟件 在 RegServer完成注冊 通過下載請求 RegDB: MID, FUID, Activate Code, SN, 通過 WAPServer校驗請求 通過下載認證 ,提供下載鏈接和激活碼 點擊下載軟件 輸入激活碼 處理激活和更新的請求 WAP Server Reg Server, RegDB, etc. 主服務器 第二服務器 和廠家主服務器同步 廠家第二服務器提供軟件和病毒庫更新給 FortiManager RegDB: MID, FUID, Activate Code, SN, 請求病毒庫更新 FortiManager 為有效的客戶端提供軟件和病毒庫的更新 服務提供商模式 可定制開發(fā)和運營商當前的 portal和計費系統(tǒng)接口 客戶軟件界面的定制化 FortiClient Mobile 管理服務器 Primary Server Secondary Server RegServer WapServer FortiManager Mobile WapServer WapServer 提供了基于 WAP的網(wǎng)絡下載界面 ,提供用戶認證授權 移動運營商的 Portal 和 RegServer支持用戶注冊 移動運營商需要提供 WAP服務器的硬件 RegServer RegServer 和廠家的主服務器需要同步用戶的注冊數(shù)據(jù)庫 RegServer 提供下列服務 用戶可以通過運營商提供的 Web 網(wǎng)頁進行注冊 維護用戶注冊信息 運營商需要提供硬件 FortiClient Mobile 管理服 務 器 病毒庫更新由 FortiGuard service提供 病毒特征庫本地存儲 同步由服務器自己完成 響應 FortiClient Mobile客戶端發(fā)出的更新請求 ,傳送更新庫給客戶端 FortiManager Mobile獲得每個客戶端信息并本地存儲 FortiManager Mobile管理服務器維護一個最新的可用的服務器列表 ,并定期傳送給客戶端 彩信網(wǎng)關側安全 為移動運營商定制的安全功能 MMS 病毒掃描 MM1, MM3, MM4, MM7 接口掃描 動態(tài)用戶保護內(nèi)容表 基于 MSISDN和 RADIUS記錄 手機病毒安全防御部署 GPRS / 3G PS GGSN GGSN 病毒網(wǎng)關隔離彩信或其他數(shù)據(jù)業(yè)務傳播病毒 MMSC 病毒網(wǎng)關隔離Internet 網(wǎng)絡中的病毒 3G 手機病毒軟件 隔離本地病毒傳播 Internet 3G 移動 MMS網(wǎng)絡結構 MMS USER DATABASES HLR AAA FOREIGN MMS SERVER MMS VAS APPLICATIONS MMS BILLING SYSTEM EXTERNAL SERVER (FAX) MM6 MM5 MM4 MM3 MM7 MM8 EXTERNAL SERVER (EMAIL) MMS USER AGENT MM1 MM1 MM3 MMSC MM2 安全防御點 INTERNET OTHER OPERATOR MMSC MM3 MM1 MM4 CONTENT PROVIDER MM7 MM1防病毒掃描 FortiGate可以工作在透明模式 部屬于 WAP網(wǎng)關與 MMSC之間 多個物理接口 , 支持 VLAN HA集群 , 支持 Active/Active和 Active/Passive模式 防病毒掃描和文件類型過濾 基于消息內(nèi)容（關鍵字