手機(jī)安全方案

FortiClient Mobile 4.0 移動(dòng)運(yùn)營商 /手機(jī)提供商的安全助手 手機(jī)通信安全威脅的發(fā)展 手機(jī) OS發(fā)展的開放性 Symbian Windows Mobile 手機(jī)程序發(fā)展的多樣 性帶來的軟件漏洞 個(gè)人信息的商業(yè)價(jià)值 挖掘 惡意威脅和商業(yè)敲詐 經(jīng)濟(jì)利益驅(qū)動(dòng)，國際 性信息的頻繁交互 病毒增長趨勢(shì)0501001502002503003502004年5月2004年7月2004年9月2004年11月2005年1月2005年3月2005年5月2005年7月2005年9月2005年11月2006年1月2006年3月2006年5月2006年7月時(shí)間病毒數(shù)量Cabir Mquito Skulls Comwarrior Onehop Doomboot Cardtrap PBSTealer 病毒增長趨勢(shì)0501001502002503003502004年 5月2004年 7月2004年 9月2004年 11月2005年 1月2005年 3月2005年 5月2005年 7月2005年 9月2005年 11月2006年 1月2006年 3月2006年 5月2006年 7月時(shí)間病毒數(shù)量手機(jī)病毒的發(fā)展趨勢(shì) 智能終端發(fā)展趨勢(shì)（單位：元， % ）3 . 0 % 2 . 9 % 3 . 1 %3 . 4 %3 . 7 %4 . 3 %4 . 6 %5 . 0 % 4 . 9 %5 . 3 %6 . 2 %5 . 7 %457442994119391838613672351233443167311728503000J a n - 0 5 F e b - 0 5 M a r - 0 5 A p r - 0 5 M a y -05J u n - 0 5 J u l - 0 5 A u g - 0 5 S e p - 0 5 O c t - 0 5 N o v - 0 5 D e c - 0 5市場比重 價(jià)格 病毒數(shù)增長 7.5倍 終端比例增長 1.7倍 危害尚未形成規(guī)模 但發(fā)展迅速， 應(yīng)及早準(zhǔn)備應(yīng)對(duì) 并適時(shí)部署措施！ 2005-2006年 手機(jī)病毒安全風(fēng)險(xiǎn)概況 當(dāng)前風(fēng)險(xiǎn)級(jí)別 手機(jī)病毒傳播和分類 本地傳播 傳播方式：藍(lán)牙、文件拷貝 典型 樣本： Cabir、 RedBrowser、 Skulls 網(wǎng)絡(luò)傳播 傳播方式：彩信、 WAP、 push email 典型樣本： Comm Warrior（彩信） 病毒 代表為 Skull病毒，主要特征如下： 藍(lán)牙本地復(fù)制傳播 使感染手機(jī)圖標(biāo)成 “ 骷髏頭 ” 木馬 代表為 DoomBoot.A： 偽裝游戲，手工安裝 刪除或修改數(shù)據(jù) 藍(lán)牙搜索，耗電 蠕蟲 代表為 Commwarrior 通過彩信自動(dòng)傳播 自動(dòng)發(fā)送彩信 增加戶彩信費(fèi) 間諜軟件 代表為 “ FlexiSpy” 需要手工安裝 竊取短信內(nèi)容，通話記錄 可竊聽 手機(jī)病毒發(fā)展歷程 第一階段： 手機(jī)短信病毒階段 利用了類似操作系統(tǒng)中的緩沖區(qū)溢出原理，系統(tǒng)為固化程序，處理特定信息格式的溢出可以造成故障 ( 世界首例手機(jī)病毒“ VBS.TimoFonica”于 2000年 6月發(fā)現(xiàn)于西班牙。該手機(jī)病毒會(huì)導(dǎo)致被感染的手機(jī)向其他用戶發(fā)送辱罵短信。我國最早的手機(jī)病毒“洪流（ Hack.SMS_blood）”出現(xiàn)于2002年，該病毒會(huì)使手機(jī)瀏覽短信時(shí)自動(dòng)關(guān)機(jī)） 第二階段： 智能手機(jī)病毒階段 產(chǎn)品本身由于內(nèi)置了操作系統(tǒng)，病毒利用操作系統(tǒng)提供的 API(應(yīng)用程序接口 )進(jìn)行編寫，只要了解操作系統(tǒng)的這些知識(shí)，就能編寫出感染這類手機(jī)的病毒 (2004年 6月出現(xiàn)的 Cabir(caribe) 是第一種針對(duì)智能手機(jī)的病毒，被感染的手機(jī)會(huì)不停的進(jìn)行藍(lán)牙搜索，發(fā)送藍(lán)牙請(qǐng) 求，導(dǎo)致手機(jī)終端的電量被很快耗盡） 第三階段： 網(wǎng)絡(luò)手機(jī)病毒階段 病毒可以通過藍(lán)芽等傳輸，可以形成對(duì)整個(gè)無線網(wǎng)絡(luò)進(jìn)行攻擊。 新型的彩信功能包括了動(dòng)態(tài)控制信息，就像網(wǎng)頁里的 Java Script的程序一樣， 能夠被病毒編寫者利用，編寫出通過這些控制信息來傳播的病毒來。 利用 MMS傳 播的病毒 Commwarrior.A （2005.3) 復(fù)制自身前查詢系統(tǒng)時(shí)間 Commwarrior.B 不再查詢系統(tǒng)時(shí)間 , 因此更加流行 Commwarrior.Q (Aug-2006) 變種更加難于防范 使用電話地址簿中的手機(jī)號(hào)碼傳播 監(jiān)聽所有收到的 MMS/SMS，并自動(dòng)回復(fù)一條帶有 Commwarrior.Q病毒的 MMS 監(jiān)聽所有向外發(fā)送的 SMS，并在 SMS發(fā)送完成后自動(dòng)發(fā)送一條帶有Commwarrior.Q病毒的 MMS給此收件人 MMS中的文本內(nèi)容取此手機(jī)的短信收件箱 商業(yè)間諜軟件 遠(yuǎn)程話筒激活 SMS記錄 電話撥打記錄 短信內(nèi)容監(jiān)控 木 馬 : Red Browser 2006-3-12日發(fā)現(xiàn) ! RedBrowser虛假的下載 Wap網(wǎng)頁 RedBrowser 持續(xù)的提示 RedBrowser 標(biāo)識(shí)顯示 Source: /VirusEncyclopedia/encysearch.jsp?fid=130406 Beselo蠕蟲 2008年 1月 21日 發(fā)現(xiàn) 該蠕蟲病毒被命名為 SymbOS/Beselo.A!worm，可以在不同 Symbian S60的設(shè)備上傳播。這些設(shè)備包括 Nokia 6600, 6630, 6680, 7610, N70和 N72等型號(hào)的智能手機(jī)。在安裝階段，蠕蟲病毒傳播的方式如下：通訊錄中的電話號(hào)碼將被收集起來，然后向他們通過 MMS發(fā)送含有病毒安裝文件 (SIS).但是該 SIS文件不是使用 sis擴(kuò)展名，而是顯示為多媒體文件類型，比如Beauty.jpg, Sex.mp3和 Love.rm。與 Microsoft Windows操作系統(tǒng)不同的是， Symbian 操作系統(tǒng)執(zhí)行文件是基于內(nèi)容而不是根據(jù)擴(kuò)展名的，因此接收到感染病毒的 MMS文件后點(diǎn)擊該附件就會(huì)得到被感染。用戶很容易被擴(kuò)展名所欺騙，在不知情的情況下安裝這類的惡意軟件。 除了收集通訊錄中的電話號(hào)碼意外， Beselo蠕蟲也會(huì)向自動(dòng)生成的號(hào)碼來發(fā)送感染文件。有意思的是，這些自動(dòng)生成的號(hào)碼全是中國區(qū)域內(nèi)的，而且都屬于一個(gè)移動(dòng)運(yùn)營商的。這些號(hào)碼中會(huì)有一部分是真實(shí)用戶的，而非收費(fèi)的服務(wù)號(hào)碼。它為什么采用這樣的行為還待進(jìn)一步考察。 媒體報(bào)道 Fortinet 公司概況 第一個(gè)基于 ASIC硬件技術(shù)的多層安全技術(shù)提供商 專業(yè)網(wǎng)絡(luò)安全廠商 800+名員工 / 超過 500名工程 技術(shù)人員 2000年成立 發(fā)展最快的專業(yè)安全公司 全球化的銷售服務(wù)體系 ( 美國，歐洲，亞洲 ) 權(quán)威的安全認(rèn)證 8項(xiàng) ICSA認(rèn)證 最高級(jí)政府安全認(rèn)證 (FIPS-2, Common Criteria EAL4+) 50+ 安全行業(yè)認(rèn)證 美國病毒專業(yè)評(píng)測(cè)試 VB 100認(rèn)證 歐洲專業(yè) IPS安全評(píng)測(cè) NSS認(rèn)證 多層安全降低移動(dòng)風(fēng)險(xiǎn)級(jí)別 多層安全平臺(tái)能夠使移動(dòng)運(yùn)營商 保護(hù)其用戶和服務(wù)商業(yè)模型 完善的安全網(wǎng)絡(luò)產(chǎn)品線 安全審計(jì)管理中心 安全客戶端，郵件管理 FortiGate-50B FortiGate-100A 小型分支 辦 公室 FortiGate-200A FortiGate-800F 中型企 業(yè) FortiGate-1000A FortiGate-5000 大型企 業(yè) 運(yùn) 營 商 統(tǒng)一安全網(wǎng)絡(luò)解決方案 Antivius (病毒防御） IDS/IPS （入侵檢測(cè)） Webfilter（網(wǎng)頁過濾） Antispam (垃圾郵件） 安全平臺(tái) 防病毒 入侵檢測(cè) 防火墻 VPN Web 過濾 垃圾郵件 流量控制 安全管理 FortiManager FortiAnalyzer FortiGuard 24X7 安全升級(jí)服務(wù) FortiGuard全球安全響應(yīng)中心 100+ 安全響應(yīng)工程師提供 24X7安全特征庫更新 美國 加拿大 倫敦 巴黎 中國 馬來西亞 新加坡 東京 SLA 3小時(shí)攻擊庫特征更新響應(yīng) 24X7全球安全實(shí)驗(yàn)室 中國天津病毒安全中心 Anti-Virus (AV) 21%9%9%7%7%2%2%2%2%1%38%1 W 32/ B a g le . D W -m m 2 W 32/ N e t s k y ! s im ila r 3 W 32/ G re w . A ! w m 4 H T M L / I f ra m e _C I D ! e x p lo it 5 W 32/ B a g le . D Y -m m 6 W 32/ B a g le . D X -m m 7 W 32/ M y T o b . f a m -m m 8 W 32/ M y D o o m . M -m m 9 W 32/ M y t o b ! s im ila r 10 W 32/ M y T o b . B H . f a m -m m . N o n T o p 10(Includes Anti-Spyware) Intrusion Prevention System (IPS) e d o n k e yb i t _ t o r r e n tg n u t e l l aM i c r o s o f t . I E . C r e a t e T e x t R a n g e . R e m o t e . C o d e . E x e c u t i o no v e r l o n g _ u r i S l a m m e r M S . W i n d o w s . A S N . 1 . B i t s t r i n g . H e a p . O v e r f l o w . H T T P . BM S . E x c h a n g e . X L I N K 2 S T A T E . C H U N K . O v e r f l o wC y b e r K i t . 2 . 2 A p a c h e . C G I . B y t e r a n g e . R e q u e s t . D o SFortiClient Mobile Security v4.0 智能手機(jī)的多層安全工具 Symbian 和 Windows Mobile 系 統(tǒng) Symbian 7.x, 8.x and 9.x support (Series 60/UIQ) Windows 2003 SE, Mobile 5.0 and 6.0 安全功能 個(gè)人防火 墻 VPN 呼入 過濾 垃圾短信 病毒 過濾 電話 安全 多 語 言支持 特性列表 Windows Mobile Symbian 個(gè)人防火 墻 VPN 呼入 過濾 垃圾短信 病毒 過濾 病毒隔離 電話 安全 多 語 言支持 * * Requires FortiClient Mobile 4.1 功能說明 個(gè)人防火墻 提供三個(gè)保護(hù)層次 Low 允許進(jìn)出的呼叫 Medium 拒絕呼入 / 允許呼出 High 拒絕呼入 / 允許通常呼出 IPSec VPN 允許通過 GPRS / Wi-Fi 建立安全通道 支持 pre-shared key 和 VPN/Xauth FortiClient 基于 PC的軟件利用 Active Sync功能可以和手機(jī)上的 VPN配置進(jìn)行同步 功能說明 (2) 呼入過濾 允許用戶對(duì)呼入的用戶進(jìn)行限制 靜音或掛斷 發(fā)送短信 轉(zhuǎn)發(fā)呼叫到另一個(gè)號(hào)碼 自動(dòng)應(yīng)答允許主叫方留言 垃圾短信 過濾 SMS 和 MMS 空號(hào)碼 ,未知號(hào)碼 黑 /白名單支持 可選擇刪除或者移動(dòng)到垃圾文件夾 功能說明 (3) 病毒掃描 允許掃描系統(tǒng)存儲(chǔ)空間 ,外置存儲(chǔ)卡 和當(dāng)前內(nèi)存 可用戶化的全路徑掃描 預(yù)定置的掃描 實(shí)時(shí)文件保護(hù) ,支持 Bluetooth, IrDA 支持啟發(fā)式和特征庫掃描 隔離 任何刪除的文件可以放置在 ”隔離 ”文件夾 文件夾大小可在 500k to 4M間配置 功能說明 (4) 電話安全 提供數(shù)據(jù)的加密 /解密 SMS / MMS 信息 呼叫記錄和聯(lián)系記錄 可選的安全記事本 多語言支持 (v4.1) 支持中文 ,英文 ,法文 ,德文等 手機(jī)平臺(tái)支持 Symbian Windows Series 60 Pocket PC OS 7.0, 8.0a, 8.1, 9.0*, 9.1*,9.2* 2003, SE, Phone Edition UIQ OS 2.0/2.1/3.0 Mobile (Professional) 5.0, 6.0 * Requires Symbian Sign 部署方式 一 用戶模式 用戶可以直接通過 Fortinet 網(wǎng)站進(jìn)行購買 授權(quán)號(hào)碼和病毒庫升級(jí)通過 FortiGuard服務(wù)進(jìn)行 購買軟件并注冊(cè) 通 過 FortiGuard 服 務(wù)進(jìn) 行注冊(cè)更新 下 載 病毒 庫 部署方式 二 服務(wù)提供商方式 軟件和升級(jí)授權(quán)由運(yùn)營商控制 Fortinet為運(yùn)營商 提供特征庫升級(jí) 附加的服務(wù)器進(jìn)行管理跟蹤 購買軟件并注冊(cè) 下載軟件 注冊(cè) 運(yùn)營商門戶入口 同步注冊(cè)服務(wù) 病毒庫更新 下載更新病毒庫 軟件 更新 服務(wù)提供商工作流程 登陸運(yùn)營商提供的 portal,點(diǎn)擊 ”購買” 移動(dòng)用戶 運(yùn)營商 運(yùn)營商 Fortinet 廠家 請(qǐng)求購買軟件 在 RegServer完成注冊(cè) 通過下載請(qǐng)求 RegDB: MID, FUID, Activate Code, SN, 通過 WAPServer校驗(yàn)請(qǐng)求 通過下載認(rèn)證 ,提供下載鏈接和激活碼 點(diǎn)擊下載軟件 輸入激活碼 處理激活和更新的請(qǐng)求 WAP Server Reg Server, RegDB, etc. 主服務(wù)器 第二服務(wù)器 和廠家主服務(wù)器同步 廠家第二服務(wù)器提供軟件和病毒庫更新給 FortiManager RegDB: MID, FUID, Activate Code, SN, 請(qǐng)求病毒庫更新 FortiManager 為有效的客戶端提供軟件和病毒庫的更新 服務(wù)提供商模式 可定制開發(fā)和運(yùn)營商當(dāng)前的 portal和計(jì)費(fèi)系統(tǒng)接口 客戶軟件界面的定制化 FortiClient Mobile 管理服務(wù)器 Primary Server Secondary Server RegServer WapServer FortiManager Mobile WapServer WapServer 提供了基于 WAP的網(wǎng)絡(luò)下載界面 ,提供用戶認(rèn)證授權(quán) 移動(dòng)運(yùn)營商的 Portal 和 RegServer支持用戶注冊(cè) 移動(dòng)運(yùn)營商需要提供 WAP服務(wù)器的硬件 RegServer RegServer 和廠家的主服務(wù)器需要同步用戶的注冊(cè)數(shù)據(jù)庫 RegServer 提供下列服務(wù) 用戶可以通過運(yùn)營商提供的 Web 網(wǎng)頁進(jìn)行注冊(cè) 維護(hù)用戶注冊(cè)信息 運(yùn)營商需要提供硬件 FortiClient Mobile 管理服 務(wù) 器 病毒庫更新由 FortiGuard service提供 病毒特征庫本地存儲(chǔ) 同步由服務(wù)器自己完成 響應(yīng) FortiClient Mobile客戶端發(fā)出的更新請(qǐng)求 ,傳送更新庫給客戶端 FortiManager Mobile獲得每個(gè)客戶端信息并本地存儲(chǔ) FortiManager Mobile管理服務(wù)器維護(hù)一個(gè)最新的可用的服務(wù)器列表 ,并定期傳送給客戶端 彩信網(wǎng)關(guān)側(cè)安全 為移動(dòng)運(yùn)營商定制的安全功能 MMS 病毒掃描 MM1, MM3, MM4, MM7 接口掃描 動(dòng)態(tài)用戶保護(hù)內(nèi)容表 基于 MSISDN和 RADIUS記錄 手機(jī)病毒安全防御部署 GPRS / 3G PS GGSN GGSN 病毒網(wǎng)關(guān)隔離彩信或其他數(shù)據(jù)業(yè)務(wù)傳播病毒 MMSC 病毒網(wǎng)關(guān)隔離Internet 網(wǎng)絡(luò)中的病毒 3G 手機(jī)病毒軟件 隔離本地病毒傳播 Internet 3G 移動(dòng) MMS網(wǎng)絡(luò)結(jié)構(gòu) MMS USER DATABASES HLR AAA FOREIGN MMS SERVER MMS VAS APPLICATIONS MMS BILLING SYSTEM EXTERNAL SERVER (FAX) MM6 MM5 MM4 MM3 MM7 MM8 EXTERNAL SERVER (EMAIL) MMS USER AGENT MM1 MM1 MM3 MMSC MM2 安全防御點(diǎn) INTERNET OTHER OPERATOR MMSC MM3 MM1 MM4 CONTENT PROVIDER MM7 MM1防病毒掃描 FortiGate可以工作在透明模式 部屬于 WAP網(wǎng)關(guān)與 MMSC之間 多個(gè)物理接口 , 支持 VLAN HA集群 , 支持 Active/Active和 Active/Passive模式 防病毒掃描和文件類型過濾 基于消息內(nèi)容（關(guān)鍵字