开放信息安全体系V.PPT课件

开放的移动信息安全保障体系,建立安全保障体系，提供安全服务能力,目录,3,信息安全保障体系详解,4,信息安全保障体系结构图,信息安全保障的PDRR模型,保护P,检测D,恢复R,响应R,安全保障(技术、管理、人),采用一切手段（主要指静态防护手段）保护信息系统的五大特性。,及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径,对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低,检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击,PDRR是美国国防部构建的信息安全体系模型，美国国家安全局以此为基础制定的信息保障技术框架（IATF）延伸为WPDRR模型。,3,.,目录,4,信息安全保障体系结构图,1,信息安全保障体系理论,4,.,安全保障体系全景图,设备安全,终端,应用安全,数据安全,业务,服务端,计费安全,交易安全,内容安全,用户安全,网络安全,系统安全,数据安全,物理安全,认证,安全保障平台,运营支撑服务,病毒库,行为库,漏洞库,风险库,骚扰电话监控系统,垃圾短信监控系统,恶意软件监控系统,W预警,P保护,D检测,R响应,R恢复,生产,管理,5,.,目录,4,信息安全保障体系结构图,1,信息安全保障体系理论,6,.,不同角度的需求产生不同的信息安全解决方案,需求视角不同：不同的业务部门有不同的安全需求。例如，终端公司的终端域，数据部的业务域，业务支撑的系统域。解决方案不同：不同的厂商从不同的需求出发，形成不同的解决方案和产品。,业务域,系统域,终端域,用户安全,内容安全,交易安全,计费安全,物理安全,数据安全,系统安全,网络安全,应用安全,数据安全,交易安全,内容安全,用户安全,系统安全,系统安全,数据安全,物理安全,7,.,需要建立完整的信息安全保障体系,各自为政的割裂需求形成整体信息安全的短板，带来整体的信息安全风险,缺乏整体的技术和统一方法论的解决方案，难以实现安全统一管控。,复杂的需求和解决方案技术，需要统一体系，开放合作才能实现。,统一管控的需求需要完整的数据收集、分析、报告运营支撑的生产管理平台支持。,开放信息安全管理运营体系,8,.,安全保障管理平台支撑开放信息安全保障体系,运营管理平台,用户端,移动端,合作伙伴端,AP,手机恶意软件集中监控系统,安全保障开放平台,安全保障能力库,第三方平台,支撑网元,业务平台,9,.,信息安全保障体系两大核心能力,依照信息安全WPDRR模型构建预警、控制、监测、过滤的信息安全管控生产系统，建立开放信息安全体系事件管控机制，全面管控信息安全风险。,结合已经建立的病毒库、恶意行为库等信息安全核心资源，补充风险库、行为库，形成大数据时代中国移动互联网核心信息安全样本库。,以生产系统和样本库为依托，形成智能的信息安全风险分析和报告输出能力，全面实时掌控信息安全风险。实现对终端、业务、系统的信息安全资质认证中心。,信息安全保障开放平台和认证资质签发是开放信息安全保障体系两大核心能力,10,.,核心能力的实现需要运营支撑服务提供保障,基础支撑,工作域,检测认证,系统部署,告警分析,证书审计,系统升级,安全保障开放平台维护,能力建设,专项支撑,安全保障能力库建设,安全加固,安全认证库建设,定向拨测,应急响应,骚扰电话库建设,行为特征库建设,病毒库建设,系统漏洞扫描,终端安全扫描与加固,认证库框架设计,认证流程与制度设计,认证体系建设,针对特定业务拨测,模拟用户行为拨测,安全告警支撑,专项事件支撑,用户投诉支撑,应急方案制定,终端类型库,业务流程知识库,拨测分析报告输出,渗透测试,恶意代码库建设,针对特定终端拨测,运营工作,检测认证,等级保护,防火墙体系建设,11,.,完善的运营支撑服务流程为信息安全保障保驾护航,信息安全体系开放平台支撑能力库配置+标准、规范建立和维护+数据采集整合+报表呈现+流程传递,信息安全体系组织保障运营支撑专业团队+机制,能力库建立,指标监测,分析审计,定向拨测,全终端监测智能终端+非智能终端安卓+塞班+苹果+,全过程监测用户端到端体验,全渠道监测定量渠道：系统+拨测定性渠道：投诉+论坛,安全审计面向终端安全面向渠道安全面向业务安全面向系统安全面向网络安全,能力库模型面向终端面向渠道面向业务面向系统面向网络,能力库配置,审计报告,应急响应,业务安全响应方案,终端安全响应方案,系统安全响应方案,监控,预警,平台预警,投诉或第三方,自动化拨测,人工拨测,业务效果,管理效果,信息安全体系支撑服务流程,12,.,信息安全保障体系的价值,标准制定,检测审核,认证授权,巡检年审,能力提供,平台租用,检测认证,运营服务,对外,安全保障平台+运营支撑服务（开放信息安全体系）,对内建立体系，提供支撑形成中国移动信息安全管控核心能力降低信息安全风险减少信息安全损失对外提供能力，运营服务信息安全样本库开放合作中国移动信息安全合格资质认证信息安全基础能力运营服务,对内,社会价值和经济价值通过开放的信息安全保障体系建设带动整个产业链的价值提升信息安全样本库的开放共享，有利于快速提高各个行业的安全保障能力和水平起到标杆示范的作用，为制订国家信息安全标准提供了实际样例，并对信息安全问题的鉴定监管提供关键的核心能力，起到重要的借鉴作用,13,.,目录,3,信息安全保障体系详解,1,信息安全保障体系理论,14,.,开放安全保障体系结构图,安全保障平台,管理平台,生产平台,预警,测试,监测,过滤,分析,报告,认证,审计,安全保障能力库,病毒特征,恶意代码,垃圾短信,骚扰电话,行为特征,风险漏洞,运营支撑服务,测试审核,资质认证,应用拨测,安全评估,安全加固,漏洞扫描,投诉申告,应急响应,业务域,系统域,终端域,R事后恢复,R事中响应,D事中监测,标准制定,检测审核,用户安全,内容安全,交易安全,计费安全,用户确认,交易确认,指令确认,告之确认,防钓鱼,防篡改,交易完整,信息保护,防泄密,防垃圾信息,防恶意内容,敏感信息过滤,身份确认,统一认证,授权管理,物理安全,机房安全,应急容灾,防火防水,人员管理,数据安全,存储安全,访问控制,传输加密,系统安全,系统加固,漏洞扫描,入侵检测,操作审计,网络安全,入侵检测,DDOS,木马蠕虫,开放合作,信安中心,终端公司,数据部,业支,卓望,360,腾迅,驱势科技,McAfee等,认证授权,巡检年审,能力提供,平台租用,检测认证,运营服务,P事前预防,对内,对外,15,.,谢谢,16,.,终端-设备安全,17,.,终端-应用安全,18,.,终端-数据安全,19,.,业务-计费安全,20,.,业务-交易安全,21,.,业务-内容安全,22,.,业务-用户安全,23,.,服务端安全,24,.,反馈完善,全流程端到端的终端软件安全保障,事前,事后,事中,预警,保护,检测,响应+恢复,规范制定终端应用安全准入标准终端应用安全测试规范软件测试提交申请-预审-正测-发布定制ROM定制化ROM，增加证书控制功能,审核认证应用签名认证可管理可注销可信渠道可信的平台上下载安装升级（如MM）,监测终端软件运行监控用户行为日志采集分析拨测应用内容监控不定期应用追踪检查,响应恢复发布病毒恶意软件告警应用下线卸载ROM恢复及更新升级,安全风险逐级降低涵盖事前事中事后的全流程保障各阶段紧密配合，互动优化，构造端到端的闭环安全体系,25,.,终端软件全生命周期的安全保障措施,部署检测定制ROM病毒木马检测恶意代码检测安全风险检测,运营反馈定期运营报告测试日志分析用户行为日志分析未知恶意行为鉴定定期更新维护病毒库和恶意代码库,分发软件应用签名MM上架定制机安装,客服管理投诉处理病毒告警用户提醒,响应恢复新病毒预警通报恶意软件证书吊销恶意软件下架安全ROM刷新恢复,监视/跟踪应用监控应用拨测定期检测非法软件,业务连续性应用的敏感内容鉴别相关网络日志采集发现新病毒发现未知敏感行为,合约管理软件许可证安全规范服务水准协议,采购,淘汰,安装设置,运作生产,安全管理证书管理ROM管理,软件生命周期管理,病毒木马库恶意代码库应用证书,26,.,终端软件安全检测策略,OWASP安全风险,恶意行为特征描述,行业安全分析报告,终端应用安全接入标准,终端应用安全测试规范,1、制定安全检测规范终端应用安全接入标准，定义定制终端预置第三方应用需要满足的安全技术标准，用于指导并规范第三方应用提供商的软件安全设计，也用于指导终端应用安全测试规范的制定；它包含以下内容：应用安全基线应用行为准则应用内容准则安全测试需求终端应用安全测试规范，定义安全测试目标、测试策略、测试范围、测试过程，以及测试案例，指导安全测试工作的开展。,27,.,终端软件安全检测策略(续),2、定义安全检测层级1级：安全基线检测，检测病毒、木马、漏洞、恶意程序、敏感信息2级：恶意行为静态检测，检测终端能力、终端资源、网络资源的访问合规性3级：恶意行为动态检测，检测计费点、应用行为、应用内容的合规性4级：其它风险人工检测，其它可疑特征、存储安全、传输安全、弱授权认证、版本升级、不良图片等3、构建安全检测技术方案,1安全基线检测,2恶意行为静态检测,TOP6安全厂商工具&移动及卓望恶意特征库,卓望终端代码分析工具,3恶意行为动态检测,卓望终端安全&自动化测试工具,4其它风险人工检测,卓望安全测试案例集,安全层级,28,.,29,规范制定并发布中国移动终端应用安全准入标准,自查应用提供商参照终端应用安全准入标准进行自查自纠,提交应用提供商提交终端应用、安全特征申明、以及安全承诺书,预审运用安全检测引擎和特征库进行安全基线合规性检测,正测对应用安全特征进行静态测试和动态测试,抽检周期性对应用进行一定比例的抽测，对日常工作进行复核,发布对通过安全测试的应用进行检测结果确认和发布,中国移动,应用提供商,规范、流程、工具,终端软件安全检测策略(续),4、定义安全检测过程,.,待检测软件库,下一环节,静态检测环节,送测软件,不安全,不安全,动态检测环节,安全基线环节,安全,不安全,高危排查+人工筛选,人工检测环节,下一环节,预审,正审-1,正审-2,正审-3,不安全,下一环节,终端软件安全检测过程-预审&正审,30,.,预审：安全基线检测,送测软件,违规特征,不安全,下一个环节,待检测软件库,安全基线检测引擎,静态检测环节,通过检测,基线合规,安全基线：定义的内置终端软件的最低安全要求环节定位：终端软件安全保障的第一个环节，快速判定送测软件的安全基线符合度，过滤明显不符合安全规范的软件。检测范围：病毒、木马、漏洞、恶意程序、敏感信息技术手段：运用国内、国外评测排名各前3名的终端安全软件进行多维度交叉检测，对送测软件进行全方位分析，避免检测死角运用移动和卓望公司积累的终端应用恶意代码特征库，检测送测软件是否包含恶意代码运用移动和卓望公司积累的敏感信息库，检测送测软件是否包含敏感信息(文字图片等)出口条件：送测软件符合应用安全基线,31,.,正审（1）：静态检测,违规特征,不安全,下一个环节,静态检测环节,动态检测环节,通过检测,检测合规,安全特征：指软件内含的可能涉及安全问题的特征，（建议软件提供商提交安全特征申明表），包括：终端能力调用内置计费点终端内资源访问(用户和系统资源)网络侧资源访问(信道和内容)等环节定位：对终端软件的安全特征进行静态复核，识别高危代码，评估软件安全风险检测范围：终端能力、终端资源、网络资源的访问合规性技术手段：运用终端代码分析工具，输出软件高危代码清单，结合软件功能说明和安全特征申明表逐一确认出口条件：送测软件未识别到违规安全特征,上一个环节,32,.,正审（2）：动态检测,违规特征,不安全,下一个环节,动态检测环节,人工检测环节,通过检测,检测合规,上一个环节,环节定位：在受控环境中，按照软件功能说明执行对应操作，对终端软件的行为进行多维度监测，对终端软件的安全特征进行动态复核，以判定送测软件是否计费正确，是否存在不合规行为和不合规内容。检测范围：计费点、应用行为、应用内容技术手段：搭建受控环境，在测试终端上部署安全监控引擎，对终端的关键事件和关键资源进行监控，例如：存储卡访问、系统资源访问(文件、IMEI等)、用户信息访问(通讯录等)、网络链接和通讯内容、系统配置修改(设置自启动等)、应用安装卸载、短信收发、电话拨打，送测软件的各类隐含行为得到记录。辅以周边系统，参考相关周边业务平台/网关，检查测试周期内是否存在不合规行为，比如计费帐单是否正确，网络连接是否正常，通信流量是否在正常。,33,.,正审（2）：动态检测(续),技术手段（续）：性能监控，运用卓望终端性能测试工具，监测软件运行时的系统资源占用，发现性能瓶颈自动化测试，运用卓望成熟的终端自动化平台，录制好动态测试脚本，设置安全检测点；编制测试执行计划，全时间段覆盖（包括调整终端时钟），多频次反复执行，尽可能模拟各种用户场景。敏感文字识别，卓望终端自动化平台集成了OCR文字识别引擎，可以在自动化测试过程中对终端屏幕进行全屏文字分析，并结合敏感信息库，对可疑屏幕信息进行记录，供进一步甄别。出口条件：送测软件未识别到违规安全特征,终端资源,用户数据,系统数据,关键事件,安全监控引擎,人机接口,自动测试引擎,终端能力,受控测试环境,被测应用,测试终端,自动化测试平台,OCR引擎,周边业务平台/网关,34,.,正审（4）：人工检测,违规特征,不安全,人工检测环节,安全,检测合规,上一个环节,环节定位：运用人工方式，对终端软件进行开发式、随机性测试检测范围：可疑特征、存储安全、传输安全、弱授权认证、版本升级、不良图片技术手段：软件解包，分离软件包中的资源文件，对其中的图片进行合规性判定，是否存在不良图片反编译源，由人工对上一步检测的可疑特征进行相应的代码逻辑分析，判断其是否为恶意行为体验测试，人工随机测试软件，判断是否存在流氓行为通讯抓包，对被测软件与网络侧通讯的抓包数据进行人工分析，判断通讯内容是否加密存储分析，对被测软件本地存储的信息进行分析，判断敏感信息是否加密存储授权分析，分析被测软件的认证授权机制安全等级升级测试，执行版本更新，判断是否经由可信渠道下载出口条件：送测软件未识别到违规安全特征,35,.,36,抽检（可选环节），周期性对送检应用进行小样本抽测，以确认前述测试流程的持续有效。特别当前述测试流程由非移动的第三方承担时，尤为必要。抽检可采用前述测试环节运用的手段，也可以是开放性的随机测试。发布，对通过安全测试的送测应用予以确认，并反馈给送测方。单次发布仅对送测样本有效；后续应用升级变更，需重新送测。,终端软件安全检测过程-抽检&分布,.,应用认证保护,保护分发部署渠道可信通过签名认证，建立第三方应用分发、部署的安全可信通道，保障第三方应用经过安全检测后，后续整个应用的软件分发、定制机预置、版本升级等流程中，应用软件不可篡改，使应用提交测试的样本与终端内置版本完全一致，保障应用检测的权威性，避免恶意篡改等违规行为保障应用使用过程可控通过签名认证，对每一款内置应用发放唯一数字证书标识，对数字证书的生命周期进行管理。根据实时数据监控及线下运营稽核机制，对安全性存在异常的应用，吊销数字证书，不能在定制终端正常运行。通过应用认证机制，保障应用运行过程可控，实时保护用户不受非法应用的侵害,37,.,签名认证保障一致性（事前预装）,签名认证,终端内置,用户使用,应用提交,安全检测,第三方应用,第三方应用,第三方应用,第三方应用,第三方应用,安全通道,安全通道,安全认证,保障应用送检样本与终端内置版本一致性应用开发商开发第三方应用，提交安全中心扫描检测移动安全检测中心对第三方应用进行安全扫描，保障应用的绿色安全检测通过后，提交代码签名认证，通过签名认证，保障送检应用样本与终端内置及用户使用版本一致性，搭建安全通道，通过技术手段保障只有通过签名认证的应用才能在定制终端上安装运行,锁保护，防篡改,绿色检测,38,.,安全通道,签名认证保障一致性（事后升级）,版本升级,应用升级包,应用升级包,应用升级包,应用升级包,应用升级包,安全通道,重新认证,应用开发商升级应用，需要重新提交安全中心检测检测通过后，需要重新签名认证，签名认证后上传至内置应用下载专区(指定服务器)搭建安全通道，保障升级送检样本与最终用户下载版本一致性只有通过签名认证的应用才能在定制终端上升级成功,锁保护，防篡改,重新检测,安全通道,版本升级,签名认证,下载专区,用户升级,安全检测,安全通道,39,.,签名认证流程说明,流程说明应用请求中国移动进行测试认证，将待测试程序发给测试认证中心(升级需重新检测)测试认证中心对第三方应用进行代码测试，保障其绿色安全性第三方应用安全性测试通过后，由应用认证中心代码签名，对第三方应用进行安全认证认证中心将已签名认证的第三方应用提交内置(升级则统一上传指定服务器下载专区)第三方应用安装到定制终端（或升级），根证书通过证书链对应用签名进行验签验签通过的第三方应用，说明经过合法检测认证，才能正常安装/升级及运行注：“终端软件安全认证“根证书，需提前内置于定制终端ROM软件平台中认证原理通过将安全认证根证书内置，对终端上安装的第三方应用进行验证签名，数字签名的唯一性、不可否认性，保障应用已经通过测试中心安全检测认证开发者自签名，保护第三方应用开发者著作版权，保障应用安全可追溯第三方应用，认证中心进行代码签名，能够保障代码不被非法篡改，保障第三方应用的完整可信，签名后被篡改后会导致验签失败，无法在终端上安装运行。使第三方应用经过测试中心检测后进入终端内置或升级流程安全可靠，技术上保障应用测试的权威性，确保应用与检测样本一致。,40,.,签名认证方案说明（事前内置场景为例）,测试认证中心,根证书内置,请求ChinaMobile测试认证，并将待测程序发给测试认证中心,5,返回认证中心签名的应用,4,如果测试通过，交由CMCA签名,带有正确数字签名的程序能被正常安装和使用,6,3,应用测试,手机ROM软件平台,2,CMCA,7,根证书验证签名,开发者自签名,1,第三方应用APP,根证书,定制终端内置管理平台,41,.,应用安全管理平台,安全管理平台,移动终端侧,手机ROM软件平台,APP1,1系统API调用,5交互应答,3证书有效性查询,4查询响应,应用证书管理应用安全管理平台根据事中监测、事后稽核的方式，检测第三方应用安全性，对应用数字证书生命周期进行管理，针对安全性异常的应用，吊销应用证书应用实时控制手机软件平台负责与应用安全管理平台实时通信或定时离线认证，第三方应用证书失效时不允许启动运行,2检查应用证书有效性,CA,证书生命周期管理,APPn,签名认证保障应用可控（事中事后过程监控）,应用证书定义应用认证中心为应用软件分配唯一标识，与开发者PublishID关联，由权威机构（CA）颁发，唯一认可标识数字证书应用范围：终端应用认证（应用识别）、终端应用控制（安装、升级、使用）,42,.,客户端监测,手机终端上安装监测客户端监测第三方应用对敏感权限的非法调用，包括非法发送业务订购短信、拨打语音电话、获取个人隐私信息（如位置信息、通讯录）等监测第三方应用的上网流量监测第三方应用的耗电信息监测第三方应用的非正规途径版本更新行为，并对手机用户做“免责提醒”对于监测过程中发现的第三方应用异常情况，Agent能够主动推送异常信息到监测云平台定期从MM平台获取第三方应用的最新版本更新信息，确保第三方应用只能通过MM平台进行更新,43,.,监测平台,MM平台,监测平台,终端Agent,第三方应用版本管理,接口通讯模块,耗电监测,异常权限调用监测,流量监测,恶意行为特征库,应用权限配置库,版本管理,Agent注册,云端消息接收,终端接口层,云端消息推送,Agent注册接收模块,异常信息接收,系统管理,用户管理,权限用户,操作日志,恶意行为运营分析,异常终端统计报表,注册终端管理,异常信息查询,用户行为分析,恶意行为预警,特征库管理,特征库联动更新,特征库维护,特征库来源,手机恶意软件集中监测系统,数据层,恶意行为规则库,注册终端信息库,监测异常信息库,恶意行为控制管理,44,.,监测流程,45,.,拨测需求,1,2,3,内置终端软件在升级后缺少监控缺乏针对非内置终端软件的监控手段缺少不定期检测终端软件能力，无法满足随时监管终端的诉求,从用户视角发起监测，真实反映用户使用场景和过程检测并输出用户行为数据，同时记录终端软件与用户的交互数据,需要主动发起监控行为，在问题大面积出现之前主动发现，将影响降到最低能够定时发起终端检测，也能不定期针对特定软件发起检测任务,46,.,拨测规划,规划思路1、在事中阶段检测第三方终端软件安全性2、针对投诉、举报、热点终端软件进行及时检测；接受移动公司专项拨测任务3、通过常规拨测任务检测终端软件上下行内容规范性，通过抽取用户行为日志分析终端软件行为，通过综合分析判定终端软件合规性,47,.,拨测模式