当下,国内3G建设接近尾声。在三大运营商的联合推动下,移动互联网已经逐渐渗透到人们的日常生活中。时尚一族的手机,除了基本的通话、短信、游戏之外,高速度的互联网冲浪、在线视频点播等,早已不是什么新鲜事物。但是无线通信技术和互联网的结合,在更加丰富了人们沟通、娱乐体验的同时,垃圾短信、手机病毒、无端死机等一系列问题,也让消费者头疼不已。随着移动互联网的大规模商用,安全问题迅速凸显,并成为必须要面对的难题之一。
网络演进 危机暗藏
移动互联网出现至今,其演进过程总共经历了三个阶段:从最初的模拟无线通信到GSM无线通信再到3G无线通信,今天,我们已经进入3G移动互联网时代。而移动互联网在演进过程中伴随如下特征。
网络“ALL IP”
在2008年10月中国(北京)国际信息通信展上,华为、中兴通讯、爱立信、上海贝尔和诺基亚西门子通信无一例外地展示了ALL-IP网络解决方案。移动互联网从最初2G网络的核心网IP化,到今天3G接入网、核心网以及内容网络的端到端IP化过程中,都在试图成立移动互联网的ALL-IP标准,移动互联网全部IP化是最终的目标。
移动互联网IP化后,出现了很多优点,它提高了业务的丰富性、组网灵活性、系统的高扩展性以及业务和网络的可管理性等,但是IP化也带来一个很大的问题,就是它把基于IP的互联网存在的安全威胁,全部引入到了移动互联网中来。比如从前只在固网出现的DDoS攻击、蠕虫病毒、恶意网页推送等,如今在我们的移动互联网中也屡见不鲜。
终端“智能化”
单从手机看,无论是引领时尚潮流的“洋品牌”iPhone、黑霉,还是攻城掠地集万千功能于一身的“国产货”山寨机,提供的功能真可谓“应有尽有,无所不有”。之前,我们只能在计算机上完成的功能,现在智能终端几乎都可以完成了。移动终端在实现智能化以后,会出现与我们的计算机终端一样的安全威胁。针对无线终端的攻击除了传统的攻击手段之外,也有其自身的特殊性。如针对手机操作系统的病毒攻击,针对无线业务的木马攻击、恶意广播的垃圾电话、基于彩信应用的蠕虫、手机信息盗用等。
同时,在智能终端冲击下,业务的管道化问题也需要特别重视。当手机智能化之后,在线视频点播、P2P下载等数据业务会像在固网中一样迅速膨胀,如果在移动互联网中提供数据管道,那好比一个高速公路一样,它不管进出的车辆是小车还是卡车,它只管按车的数量收费,而不是按车的大小收费。
比如,谷歌在2008年推出的手机地图业务,用户可以通过手机客户端软件,通过无线网络,实时下载谷歌内容服务器上的地图内容,在这类业务流量非常大的情况下,会给用户造成费用压力,也会造成运营商计费的压力。如果运营商不能针对性地提供业务来满足不同用户的业务需求,那么最终将导致业务收入的流失。
带宽趋“百兆”
3G标准规定提供超过1M的接入带宽,未来可以提供几十兆甚至百兆的接入带宽。如此一来,首先是会对移动互联网上现存的安全设备性能提出挑战。第二点,伴随着接入带宽的提高,用户会把无线上网卡插到计算机上去,体验无线网络,这样会把计算机的安全威胁引入到无线网络中,一旦终端受到了安全威胁,比如成为僵尸主机,那无线网络受到的攻击跟固网是一样的。同时,无线资源对用户数是有限制的,并且数据用户的多少会影响语音业务的体验。如果恶意用户频繁地去攻击别人,或者是用一些垃圾流量去访问别人,则会极大地占用无线资源。另外产生的一个问题就是计费问题,恶意的攻击流量和垃圾流量也会导致用户的计费信息增加,导致了用户费用提升和满意度下降。
总之,移动互联网的发展带来的安全问题很多:移动互联网的ALL-IP化引入了IP互联网的所有安全威胁;终端的智能化凸显了管道化的业务安全问题;接入带宽的提升加剧了有效资源的恶意利用。
安全策略多层面部署
2009年8月,工业和信息化部发布了《通信网络安全防护监督管理办法(征求意见稿)》,征求意见稿提出,通信网络运行单位规划、设计、新建、改建通信网络工程项目,应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施,并与主体工程同时进行验收和投入运行。已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的,通信网络运行单位应当进行改建。
需要补充的是,很多本地网的业务系统MSC、MGW等,目前基本上都是通过DCN实现网管的,对于业务系统而言,DCN网络及网管终端是不可信的,但是很多本地网在DCN和业务系统之间没有进行安全手段隔离和加固,这是非常大的安全隐患,如果网管终端把安全威胁引入到业务系统,后果不堪设想,所以在进行管理安全分析时,一定要考虑业务系统和网管网络的边界隔离问题,在不可信区域边界一定实施相应的安全隔离手段。
技术与安全意识缺一不可
凡事预则立,不预则废。移动互联网的安全防护,既需要吸取在固网安全上成熟的成功经验,又应当考虑其自身特点。在大规模商用之初,统筹安排、灵活部署将为后续的业务发展打下良好的根基。此外,我们也应该看到,安全问题是无时不在、无处不在,技术手段只能被动防御。在此基础上,只有提高网络建设者和消费者的安全防护意识,做到技术和安全意识相结合,才能让移动互联网安全、平稳地长期发展下去。