2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展安全创造价值”。23日进入会议第二天,在分会之“网络安全新技术”会上,中国移动通信集团公司网络部处长徐海东表示,移动互联网融合新凸显的安全面临网络安全、终端安全、业务安全三方面问题。
徐海东还表示,移动互联网融合的安全对策可以有以下四点:一是用户对网络透明,要抓住“可鉴权,可溯源”的技术优势,可以起到有效的威慑作用,降低各种安全威胁,提高网络的整体安全强度;
二是要关注网络自身安全,且对用户不透明,对用户隐藏网络拓扑,使得用户无法对网络节点发起攻击;
三是终端安全保护。对于智能终端的安全保护需要进行重点研究,由于智能终端的操作系统可能存在安全漏洞,在彩信、手机浏览网页、下载安装软件等多种情况下都可能感染病毒或遭到入侵;
四是业务的安全保护。互联网应用大幅增加后,通信对端更不可信,由此可能引发病毒感染、木马等一系列攻击,危害严重。需要对服务提供方进行严格认证,目前正在标准化的GBA/GAA是一种对业务服务器进行认证的有效解决办法。以下是中国移动通信集团公司网络部处长徐海东发言实录:
主持人贾焰:各位专家、各位同仁:下午好!
今天,我非常荣幸主持2009中国计算机网络安全应急年会分会,我叫贾焰,是国防科技大学教授。今天下午原定有四位演讲者,临时增加一位,五位演讲者的安排很圆满。
这五位演讲者都在网络安全方面长期工作,都有很深的造诣,我相信他们的报告一定是非常精彩的,我也相信他们的报告一定会给大家带来启示和收获。
第一位演讲者徐海东博士,现任中国移动通信集团公司网络部网络安全处处长,徐博士报告的题目是“移动互联网安全需求及重点关注问题分析》,掌声有请徐海东博士。
徐海东:很高兴和大家交流《移动互联网安全需求及重点关注问题分析》。
中国移动在互联网安全和人才培养领域还有待加强,我们也是一名新兵,我们从2G到3G的网络发展也在逐步向互联网领域结合,有些业务也在往互联网发展。所以,互联网安全对我们来说是非常关注的,慢慢的会有很多网络安全问题在网上凸显出来,中国移动的业务以后会往互联网发展为主,我们特别关注移动互联网安全。在这里抛砖引玉提出自己的想法,并且按照这些想法做一些探索。所以,在这个平台上能够和大家在这些方面做交流,感到非常地荣幸。
网络安全处是中国移动集团领导小组办公室转变过来的,我们主要关注客户信息安全和互联网安全两大方面,还会对垃圾短信进行监测,也包括终端业务。
一、中国移动互联网概念及发展趋势。
二、互联网安全分析。
三、移动通信网安全分析
四、移动互联网安全分析。
一、互联网应用飞速发展。
开放共享的发展模式使互联网成为新业务、新思维及海量信息的集散地。Web2.0、博客、播客、推特、C2C电子商务虚拟社区等新应用层出不穷,个人参与内容创作商业模式被激活。网民非常庞大,连我父亲60多岁了都还会上网购物,上网聊天,上网视频,在我们的生活中可以明显地感受到这种变化。
移动通信网络广泛普及。网络不断演进,移动通信网络从第一代模拟通信系统到第二代GSM为代表的窄带数字移动通信系统,目前发展到以WCDMA/TD-SCDMA为代表的第三代宽带数字通信系统,以LTE为代表的用户就有5亿的用户。
互联网需要电信能力。一是对网络服务质量有要求,面向连接的话音、视频、多媒体业务的要求趋势越来越明显;英特网的尽力面为决定了对这类业务的服务质量无法有效解决。二是终端发展的需要。手机能力的增强,实德队互联网的需求趋势明显,互联网需要和手机紧密结合;固定多媒体终端的发展已和互联网进行了紧密结合。
电信网络需要互联网服务模式。话音服务已基本满足用户需求,基于用户增长和价格竞争的模式难以为继;电信运营商需要拓展新业务应用模式;互联网层出不穷的业务应用模式能够很好的满足这种需要。全国有手机人数的比例已经非常高了,中国移动从07年开始大力发展农村市场,按照这样的发展速度总有一天用户肯定会逐步饱和。当然,现在又在开辟新的领域,这和互联网也有关系,就是物联网,启动人和机器的通信,把我们的业务在新的领域去拓展,在拓展的过程中也有对互联网业务的需求。
中国移动有一个专门的基地在研究物联网,比如把所有城市的电梯都装在物联网上,城市任何一个角落的电梯出现故障的话,都可以通过物联网发布信息。中国移动的新业务对互联网有很多的需求,话音业务的价格也已经降到很低了。
移动互联网:电信和互联网融合。在以一致的体验享受互联网的所用应用的同时,还可以享受针对移动和终端特点的新业务,如位置服务、短信、彩信等。继承移动通信全网漫游、统一认证、无缝覆盖等优势,为用户提供任何时间、任何地点的互联网访问,继承传统电信网的QOS优势,提高高品质服务。
移动互联网:多方共同需求。对于用户而言,英特尔、消息、语音、视频、数据等等多媒体,随时上网,想用就用。对于电信运营商而言,电信业务有限,而互联网业务极大丰富,特别是用户创造内容/业务,引入不断创新的互联网商业模式。对互联网应用来说,电信有保障的通信能力是对互联网的最大吸引力。比如,大家在互联网上看一个电影都不想缴费,可能会有额外的缴费方式,如广告等方式缴费。但是,在中国移动听一首歌都要缴费,彩铃是很大一块业务,我们也觉得很奇怪,自己下载歌花钱让别人听,还经常换,而且我们每年的收入非常好,这是一种收费模式。但是,你上互联网看一部电影,自己看都不愿花一分钱,我觉得移动这种模式是对互联网的一种促进,也是互相吸引的一种方式。
二、移动通信网安全分析。
传统2G移动通信网络安全性较好,其原因是:
第一,终端类型单一。早期移动网络只支持一种终端接入,要么是支持GSM,要么是支持CDMA,不支持其他模式终端接入,接入类型单一使鉴权认证比较可靠。业务单一,主要是传输话音业务,没有数据传输,终端可控资源较少。