4G移動互聯網安全威脅及防護需求

中國移動通信集團廣東有限公司網絡管理中心　鐘雪慧

4G移動互聯網安全威脅及防護需求

中國移動通信集團廣東有限公司網絡管理中心鐘雪慧

本文描述4G時代下移動互聯網安全現狀，以針對移動互聯網的DDoS安全事件為切入點，描述移動互聯網技術演進與變化趨勢、拆解相應安全事件，分析移動互聯網的信息安全特點。通過分解移動互聯網的三個要素：終端、管道、云端，分析其面臨的安全威脅、可采用的安全防護措施，并提出筆者考慮的相應防護建議。

4G；移動互聯網；評估；威脅；防護思路

1　引言

伴隨著寬帶無線接入技術和智能終端技術的演進與變化，人們迫切希望能夠隨時隨地從互聯網獲取信息和服務，4G移動互聯網應運而生并迅猛發展，不僅網絡接入速率快速提高，而且出現終端智能化、移動應用APP化、服務端云化的變化趨勢。4G時代的技術演進與變化主要有：

網絡速率高：LTE-長期演進技術（Long Term Evolution），是在3GPP的R8版本中引入的無線網絡新標準，按照理論計算，在20MHz帶寬下，TD-LTE的最大下行速率為326Mbps（4x4 MIMO），最大上行速率為86Mbps（沒有MIMO）。

網絡扁平化：LTE采用扁平網絡架構，降低網絡時延。原來RNC功能被分散到了eNodeB和網關（GW）中，eNodeB直接接入EPC，LTE網絡結構更加扁平化，降低了用戶可感知的時延，大幅提升用戶的移動通信體驗。

承載IP化：LTE網絡承載網絡標準采用全IP化，該標準取消了傳統電路域（CS域），全IP的EPC（Evolved Packet Core，移動核心網演進）支持各類技術統一接入，實現固網和移動融合（FMC），靈活支持VoIP及基于IMS多媒體業務。

終端智能化：與此同時，移動終端的處理性能高速增長，甚至達到了普通PC的性能，且隨著智能家電、家居的普及，此類設備更加智能化，底層系統都是采用Linux或Windows系統，用戶可通過4G網絡或無線網絡直接訪問及管理。

然而，4G移動互聯網在智能終端、接入網絡、應用服務的信息安全與隱私保護方面還面臨著嚴峻的挑戰。

2　安全威脅分析

2.1終端：智能/移動終端，應用APP安全威脅

2.1.1智能終端面臨的安全威脅

終端的操作系統主要分為IOS、Android兩大陣營，一個以優美的界面，統一的交互設計，賞心悅目的交互體驗讓人愛不釋手；一個以豐富的內容，開放的系統，多樣的應用令人砰然心動。因此，帶來的病毒與惡意代碼等安全威脅日益突出，攻擊者可利用終端數量多、智能化、速率高、應用多、人員安全意識普遍偏低等特性，通過應用程序或惡意程序，主動向基站或4G核心網發起攻擊，如信令風暴、回傳網絡攻擊等。據CNCERT 2013年統計，針對智能終端的惡意程序較往年增長3.3倍，其中針對Android平臺的惡意程序占99.5%。

2.1.2APP應用安全威脅

開放平臺的安全威脅主要來自兩點：一方面是開放性允許開發者對其進行定制開發，由于開發者中魚龍混雜，對開發的質量和安全性缺乏統一的監管和控制，無法保障自身的安全性。另一方面是APP應用審核機制不健全，由于沒有任何機構對這些應用進行審核和監管，其應用的安全可靠性無法保障。據CNCERT 2013年統計，惡意扣費類位居首位。

2.2管端：網絡安全威脅

結合當前主流4G網絡技術演進現狀，從4G核心網、基礎服務設施兩方面進行安全威脅分析。

2.2.14G核心網面臨的安全威脅

LTE網絡扁平化、承載IP化帶來便利的同時也導致LTE網絡中的攻擊更加容易實現。面臨的主要安全風險主要包括智能終端化帶來的攻擊，扁平化的網絡結構導致數據傳輸過程不可靠，終端可直接攻擊核心設備，承載IP化使得設備被攻擊的可能性及容易性更大。

（1）扁平化網絡結構引入的安全風險

缺少對在回傳網上的數據的保護，數據存在泄露風險；IP承載的語音易被竊聽；來自終端和eNodeB的攻擊可以直達EPC，導致信令風暴和業務擁塞。同時為了擴展LTE網絡覆蓋范圍和LTE-A容量，目前在街巷中廣泛采用小基站的移動網絡，此類網絡因為街道級別的小基站很容易被不法設備調包，攻擊者可通過該方法直接訪問MME，造成鏈路/設備層易受到攻擊。

（2）承載IP化引入的安全風險

無連接以及開放的IP網絡使得攻擊更加容易，面對的主要威脅是身份欺騙和DDoS；相對于E1/T1鏈路，IP化的物理接口很容易獲得。

2.2.2基礎服務設施安全威脅

（1）針對基礎服務設施的異常流量攻擊

4G網絡下的商用及普及，手機、智能終端等設備都屬于寬帶網絡，此類設備均需使用傳統互聯網下的DNS、Email等基礎服務設施。黑客通過攻擊此類基礎服務設施，如對某基礎服務設施發送異常流量，使得基礎服務設施上層鏈路堵塞，造成鏈路下業務無法對外提供服務。

（2）基礎服務設施漏洞攻擊

隨著管端各業務系統規模的擴大，各業務系統的設備數量越來越多，對應需檢查修補的漏洞也越多，增加了運維管理壓力。同時因部分對外基礎服務設施在業務流程等設計不規范，使攻擊者可以利用其從事惡意行為，如Wifi認證服務器短信檢測及限制等機制不全，攻擊者可利用其發送垃圾短信或欺詐信息。

2.3云端：云平臺安全問題

隨著4G網絡的不斷發展，越來越多語音、視頻、媒體服務以及網游業務都可直接在智能終端上運行，促使現有傳統服務向云服務整合，而儲存智能終端用戶資料和服務器信息的”云”正成為黑客攻擊的新對象。

2.3.1外部網絡針對云的安全威脅

（1）數據泄露

近年來，越來越多的數據泄露事件發生在云端網絡，如蘋果iCloud數據泄露事件、盛大云數據丟失事件等安全事件。以互聯網金融業務為例，快速發展導致開發周期明顯縮短，開發內容中的安全需求經常被壓縮。因此，其業務平臺主要包含平行越權查詢、修改，垂直越權操作等權限類設計缺陷，這些直接導致數據泄露安全事件發生風險提升。

（2）DDOS攻擊

智能終端接收在線云服務的同時，主動向云端發送DDoS攻擊包，云鏈路或服務器在遭受DDoS攻擊的情況下，將造成網絡緩慢甚至服務的中斷，會直接影響到用戶應用，甚至影響到云平臺所有對外的服務。

2.3.2云內部之間及云對外的安全威脅

（1）僵木蠕惡意代碼感染

黑客通過僵尸程序與蠕蟲技術的結合，使得僵尸程序能夠在云計算中心內部業務區域、服務器/虛擬機之間進行自動傳播，大量感染的服務器/虛擬機自動向控制端連接和注冊，從而在云計算中心內部形成一個具備一定規模的僵尸網絡。

（2）資源消耗

云計算中心內部的服務器/虛擬機性能與帶寬配置相對都較高，如被黑客控制后，利用服務器/虛擬機高性能、高帶寬的特性，向云計算中心外部網絡或云內主機發起的異常行為，如DDoS攻擊、不良信息傳播、敏感信息泄露、惡意代碼感染等。

3　安全防護分析

安全防護工作重點在于對系統進行安全風險評估，以識別出系統的風險狀況，包括系統面臨的威脅、系統自身存在的脆弱性等，并通過實施整改加固、部署技術手段、采取管理措施等方式，全面提升系統的安全防護能力。

3.1終端

3.1.1智能終端與移動應用

（1）安裝手機防護APP：這類軟件通常是提供快速查殺手機病毒木馬和惡意軟件、網購時候提供安全支付環境、攔截惡意吸費行為、防個人信息和位置竊取防錄音偷拍，除了上述殺毒防御功能外，還具備流量監控、騷擾攔截、手機防盜、手機加速、安全備份、兒童模式、訪客模式、私密空間等功能，基本上可以從軟件層面解決手機的基本安全問題。

（2）智能終端底層權限防護：增強終端底層權限防護，增加操作提示，減少用戶被誘導而越獄或ROOT 終端的行為。

（3）廠商自建安全體系：各大手機廠商建立安全體系，包含操作系統固件定期修補漏洞并公開發布、云端推送；自建移動應用商店，并加強審核與管理，通過采取人工與工具結合方式掃描移動應用，確保未發現病毒木馬和惡意軟件，才允許在應用商店發布；智能終端自帶安全中心、安全工具，可以方便用戶隨時使用，做到事前防護。

（4）提升用戶信息安全意識：終端用戶的使用習慣直接關系到終端安全，大多病毒木馬和惡意軟件利用用戶的好奇心理、隨意安裝未知來源的移動應用的使用行為，傳染病毒、盜取用戶敏感數據。因而，互聯網金融行業應該在各自平臺上明顯位置提示用戶信息安全威脅，宣傳正確的智能終端、移動應用使用習慣，告知用戶不要盲目越獄或ROOT終端權限，并提供快速掃描安全工具，實時檢測終端環境是否安全，發現異常及時告警。

3.1.2防護建議

智能終端與移動應用的安全防護建議為事前、事中防護兩方面，最主要是廠商需提高自身的責任意識，用戶需提升信息安全意識，防止終端被惡意程序控制。

3.2管端

3.2.1運營商骨干網/核心網

（1）網絡架構設計：根據系統的業務需求和安全策略，從面臨的安全威脅、隱患分析、業務性能、業務容量等多方面充分考慮，以支持網絡可靠性、擴展性、安全性等特性。

（2）網絡訪問控制：將網絡分解為更小的、結構化的區域，以便對各網絡進行精細的訪問控制，以有效的解決非授權互訪，網絡入侵，網絡病毒傳播等安全問題。該類網絡區域劃分可按照“統一防護、重點把守、縱深防御”等原則，實現對系統業務的分域、分級的安全保護。

（3）網絡流量監控：針對網絡中各重要網元設備進行健康狀況檢查，檢查包括性能、功能兩大特性，如鏈路狀態、鏈路負載、路由轉發等情況等，通過實時監控，可以及時發現問題并處置。

（4）網絡安全監控：在核心網的互聯邊界部署相關安全設備，如入侵檢測、用戶行為分析、異常流量監測、網絡病毒監測等，通過此類設備產生的告警信息進行趨勢、態勢等感知分析，提前預知網絡安全攻擊行為，盡早采取相關安全響應措施。

3.2.2基礎服務設施

（1）系統冗余設計：業務系統在設計前，應根據實際業務需求，按業務最高峰設計系統，采用集群、主備、負載均衡等方式，確保業務系統非單點運行。

（2）上線安全管理：業務上線前按照規范要求滿足設備自身安全功能及配置，包括設備賬號、口令認證、權限授權、日志配置、安全功能及要求。運維過程中需要定期對安全配置進行檢查，對于不符合規范的進行整改，防止設備“帶病”入網。

（3）業務安全監控：業務系統應通過網管平臺實時監測業務運行情況，定期通過測試機模擬正常用戶請求，以檢測業務運行是否正常。

（4）業務風險管理：業務上線、運行期間，需定期或不定期開展業務風險評估工作，以發現業務潛在的安全威脅，通過開展風險管理工作可有效將業務面臨的風險降低，防止黑客對業務系統的破壞。

（5）業務安全審計：通過安全審計系統，對業務設備身份認證、操作行為、網絡流量、系統操作、數據庫操作等日志進行記錄，并定期進行審計，防止濫權操作等行為。

（6）安全應響處置：業務系統應根據業務自身，建立針對業務層面相關的安全攻擊事件應急處置預案，當發生類似安全事件時可快速響應并恢復業務，確保業務不間斷運行。

3.2.3防護建議

管端安全防護建議為安全設計及架構上應合理，采用冗余設計等措施確保數據鏈路的不間斷性，通過有效的機制檢測異常事件（如異常流量、不良信息等），及時的發現網絡異常情況并通過溯源定位、應急響應等措施進而處置，防止事件惡化。

3.3云端

3.3.1外對內

（1）鏈路帶寬保證：云端應該結合云內應用，為各網絡用戶提供多路鏈路互聯備份，并保證鏈路帶寬充足，避免帶寬被異常流量堵死上聯鏈路。

（2）流量控制：在云端出口側統一部署流量控制等設備，對非業務流量帶寬進行控制，防止帶寬資源濫用。同時對相關敏感數據進行檢測，當發現數據對外傳輸達到一定量時，中斷傳輸鏈路等安全措施。

（3）異常流量監測及清洗：在云端出口側應部署安全檢測系統及防御設備，以防止外部網絡對云內主機的掃描、入侵及攻擊。

3.3.2內對外及內對內

（1）資源使用監控：云內應設立監控系統對云資源使用進行監控，包括CPU、內存、網絡、存儲等基礎資源，以發現網內惡意資源占用。

（2）網絡隔離：通過網絡訪問控制或安全域劃分等方式，將云按業務應用或用戶不同等方式邏輯隔離劃分，防止云內主機因病毒而相互傳播感染，同時可防止黑客在云內的橫向移動。

（3）安全審計：云端內應采用相關日志關聯分析審計系統或平臺，對于設備日志、安全設備告警等進行統一記錄存儲，在安全事件發生后可快速的通過關聯分析功能對事件進行還原。

3.3.3防護建議

結合云端整體安全防護分析結果，針對云端安全，需要加強外防與內控措施，形成云端網絡特有的縱深安全防護體系，橫向及縱向方式為云端網絡提供保護。外防主要通過統一安全手段進行檢測、控制及防護方式，對云端整體面臨的外部威脅進行防護；內控主要通過加強云內自身需具備的安全要求特性，對云端網絡內部進行安全管理及控制。

4　結語

本文通過分解移動互聯網的三個要素：終端、管道、云端，逐項分析其面臨的安全威脅、可采用的安全防護措施，從而給對應的安全防護建議。

［1］國家互聯網應急中心.2013年我國互聯網網絡安全態勢綜述［C］.2014.

［2］郝帥，張國力.4G時代的安全威脅與防護［C］.2014.

［3］蘇洪斌.新技術下的移動通信網絡安全［S］.2006.

鐘雪慧，女，碩士研究生，電子技術高級工程師，現任職于中國移動通信集團廣東有限公司網絡管理中心，主要研究方向：網絡與信息安全風險管理、手段建設等。

4G mobile Internet security threats and protection needs

Zhong Xuehui
（China Mobile Group Guangdong Co.，Ltd.，network management center，Guangzhou，Guangdong，China 510500）

This article describes mobile Internet Security Situation under 4G era in mobile Internet security incidents against DDoS as a starting point，describing the evolution of mobile Internet technology and trends，dismantling the appropriate security event，the analysis information security features of the mobile Internet.By decomposing the three elements of the mobile Internet: terminals，pipes，clouds，analyze security threats it faces，security measures can be employed，and propose recommendations protection consider the author.

4G；mobile Internet；assessment；threat；protection ideas