3G 運營商 Web內容安全過濾 2009 移動網絡服務的發展 Pre-IMS IMS voice SMS VOIP Media IPTV IM 移動終端內容安全威脅來源于何處？ 終端消息服務 1.彩信服務 2.Email服務 3.WEB數據訪問 移動智能設備 通過不同的連接方法 2G-3G 運營商基礎網絡 Internet訪問 Web瀏覽和下載 移動基礎構架安全分析 移動客戶端保護 Windows, Windows Mobile 和 Symbian OS: - 個人防火墻 - IPsec VPN - 垃圾短信過濾 - 實時病毒掃描 - 內容過濾 FortiGuard更新管理 服務提供商自有的安全更新服務器 : - 防病毒 - 內容過濾 - 反垃圾郵件 - 系統軟件更新 - IPS 2.5G / 3G 核心安全內容網關 - 掃描 email, 和 web內容中的病毒、色情及各種 web網站的分類 ,支持 82種分類控制能力 ,同時掃描 web內容安全 - 雙向垃圾郵件過濾 - 靈活和全面的內容過濾、日志和報告 病毒增長趨勢0501001502002503003502004年 5月2004年 7月2004年 9月2004年 11月2005年 1月2005年 3月2005年 5月2005年 7月2005年 9月2005年 11月2006年 1月2006年 3月2006年 5月2006年 7月時間病毒數量手機病毒的發展趨勢 智能終端發展趨勢（單位：元， % ）3 . 0 % 2 . 9 % 3 . 1 %3 . 4 %3 . 7 %4 . 3 %4 . 6 %5 . 0 % 4 . 9 %5 . 3 %6 . 2 %5 . 7 %457442994119391838613672351233443167311728503000J a n - 0 5 F e b - 0 5 M a r - 0 5 A p r - 0 5 M a y -05J u n - 0 5 J u l - 0 5 A u g - 0 5 S e p - 0 5 O c t - 0 5 N o v - 0 5 D e c - 0 5市場比重 價格 病毒數增長 7.5倍 終端比例增長 1.7倍 終端威脅發展迅速， 應及早準備應對 并適時部署措施！ 2005-2006年 手機病毒傳播和分類 本地傳播 傳播方式：藍牙、文件拷貝 典型樣本： Cabir、 RedBrowser、 Skulls 網絡傳播 傳播方式：彩信、 WAP、 push email 典型樣本： Comm Warrior（彩信） 病毒 代表為 Skull病毒，主要特征如下： 藍牙本地復制傳播 使感染手機圖標成“骷髏頭 ” 木馬 代表為 DoomBoot.A： 偽裝游戲，手工安裝 刪除或修改數據 藍牙搜索，耗電 蠕蟲 代表為 Commwarrior 通過彩信自動傳播 自動發送彩信 增加戶彩信費 間諜軟件 代表為“ FlexiSpy” 需要手工安裝 竊取短信內容，通話記錄 可竊聽 利用 MMS傳播的病毒 Commwarrior.A （ 2005.3) 復制自身前查詢系統時間 Commwarrior.B 不再查詢系統時間 , 因此更加流行 Commwarrior.Q (Aug-2006) 變種更加難于防范 使用電話地址簿中的手機號碼傳播 監聽所有收到的 MMS/SMS，并自動回復一條帶有 Commwarrior.Q病毒的 MMS 監聽所有向外發送的 SMS，并在 SMS發送完成后自動發送一條帶有Commwarrior.Q病毒的 MMS給此收件人 MMS中的文本內容取此手機的短信收件箱 色情間諜軟件 遠程話筒激活 SMS記錄 電話撥打記錄 短信內容監控 3G 網絡濫用情況統計 9 據 IDC 調查結果顯示： 員工 30% 40% 的互聯網使用花費在新聞、娛樂、購物、無意義的閑聊（ QQ、 MSN)等于工作無關的活動上 據 Sex TracKer調查： 全球 70 的色情網站訪問流量集中在上班時間 （色情網站的瀏覽量集中在每天 9-17時） 媒體報道 國際運營商的 3G終端安全服務 2004年 :提供終端安全服務： 歐洲： Finland、歐洲沃達豐、英國 Orange、法國電信開始提供手機殺毒服務，按照 2.5歐元 /月提供服務 臺灣：中華電信提供殺毒服務，每月 69新臺幣 網關安全服務增值模式 智能手機的用戶為高端用戶，病毒危害對這些用戶的負面影響，對運營商品牌、客戶忠誠度、數據業務的推廣有較大影響 個性化服務 根據手機人群進行個性化的服務套餐 ,提供彩信安全 ,郵件安全 ,網頁安全等多樣化運營商級服務 . FortiGate內容安全網關 Web內容安全網關 - 用戶端安全服務 對訪問的 web網站進行分類控制 ,根據策略決定該網站的訪問權限 根據關鍵字對 web內容進行掃描 ,決定訪問 web 內容的安全 MMS 多媒體彩信安全 - 用戶端安全服務 支持 移動個人用戶的彩信病毒 /惡意代碼安全掃描 /阻斷 支持移動個人用戶的網頁訪問 /郵件訪問的安全防護 支持安全事件的用戶通知 FortiGate 5000 移動安全網關 移動運營商定制的安全功能 FortiGate 5050 FortiGate 5020 FortiGate 3810A Fortinet公司概況 首位基于 ASIC硬件技術的移動網絡 內容安全技術提供商 專業網絡安全廠商 1000+名員工 / 超過 500+工程 技術人員 2000年成立 發展最快的專業安全公司 全球化的銷售服務體系 ( 美國，歐洲，亞洲 ) 權威的安全認證 7項 ICSA(國際計算機安全組織 )認證 最高級政府安全認證 (FIPS-2, Common Criteria EAL4+) 50+ 安全行業認證 美國病毒專業評測試 VB 100認證 歐洲專業 IPS安全評測 NSS認證 全球電信安全運營商合作客戶 FortiCarrier移動安全網絡解決之道 中文管理 日志 審計 集中網管 CLI 安全分析 SNMP 策略 控制 虛擬用戶管理 流量控制 數據 加密 FortiOS 安全操作系 統 FortiASIC 獨特內容加速 垃圾 郵件 彩信安全 SIP安全 網頁 過慮 GTP安全 FortiGuard全球安全威脅響應中心 100+ 安全響應工程師提供 24X7安全特征庫更新 美國 加拿大 倫敦 巴黎 中國 馬來西亞 新加坡 東京 SLA 3小時攻擊庫特征更新響應 24X7全球安全實驗室 中國天津病毒安全中心 病毒 /間諜軟 件 (AV) 21%9%9%7%7%2%2%2%2%1%38%1 W 32/ B a g le . D W -m m 2 W 32/ N e t s k y ! s im ila r 3 W 32/ G re w . A ! w m 4 H T M L / I f ra m e _C I D ! e x p lo it 5 W 32/ B a g le . D Y -m m 6 W 32/ B a g le . D X -m m 7 W 32/ M y T o b . f a m -m m 8 W 32/ M y D o o m . M -m m 9 W 32/ M y t o b ! s im ila r 10 W 32/ M y T o b . B H . f a m -m m . N o n T o p 10 各種攻 擊 特征 庫 e d o n k e yb i t _ t o r r e n tg n u t e l l aM i c r o s o f t . I E . C r e a t e T e x t R a n g e . R e m o t e . C o d e . E x e c u t i o no v e r l o n g _ u r i S l a m m e r M S . W i n d o w s . A S N . 1 . B i t s t r i n g . H e a p . O v e r f l o w . H T T P . BM S . E x c h a n g e . X L I N K 2 S T A T E . C H U N K . O v e r f l o wC y b e r K i t . 2 . 2 A p a c h e . C G I . B y t e r a n g e . R e q u e s t . D o S專業移動安全風險監控 當前風險級別 全球 24x7 安全監控中心 FG5000移動安全網關 -運營商級別 Fortinet全球移動運營商客戶 England Italy Ireland Iceland Germany France 安全網關的彩信病毒掃描 1 FortiGate可以工作在透明模式 部屬于 WAP網關與 MMSC之間 多個物理接口 , 支持 VLAN HA集群 , 支持 Active/Active和 Active/Passive模式 防病毒掃描和文件類型過濾 基于消息內容（關鍵字）的過濾 移動網絡 MM1 WAP 網關 MMSC 病毒掃描 HTTP內容檢測 MMSC 日志分析 基于 SMTP 當 equivalent SMTP (RFC822) 域不存在時添加 X-MMS頭信息 FortiGate設備支持透明 SMTP代理 MM3 (Internet網關 ) MM4 (網間通信 ) MM7 (增值服務 ) FortiGate設備可以同時使用這些功能 通過 FortiProtect網絡實時更新病毒特征庫 MOBILE NETWORK 外部服務器或網關 MMSC 基礎構架和 其它運營商 MM4 MM3 增值服務和 內容提供商 MM7 MM1 WAP 安全網關的彩信病毒掃描 2 如何啟用彩信內容保護 可以僅僅監控 而不作阻斷 文件類型過濾 彩信文件過濾選擇 可以針對文件類型 進行阻擋（如 .SIS,exe,jpeg文件） 頭信息 /cookie 獲 取 電話 號 碼 的方式 可添加其它前綴 （如國家代碼） 彩信信息告警 /攔截通知 電話號碼黑白名單 根據來源和目的的 MSISDN地址進行過濾 和防火墻策略進行關聯 建立基于用戶的 MMS安全掃描配置 根據 MSISDN號碼攔截彩信 MSISDN黑名單 MSISDN白名單 可以完全隔離備份原始彩信到存儲設備 彩信內容過濾 使用一個可配置的字典 5000個條目，每條目最多 80字符 完全 UTF-8支持 可支持泰語、阿拉伯語、北印度語、烏爾都語等 保護內容表允許給單獨條目一個分值。 超過了配置閾值的信息可被阻止。 也可被使用為免除 (白名單 )內容 日志輸出 彩信速度 /重復頻率控制 彩信安全日志和報告 SYSLOG日志 從 MMS消息中提取的發件人 /收件人的 MSISDN信息 使用 FortiAnalzyer產生超過 300種圖形報表 2006-11-17 08:49:29 log_id=0211060000 type=virus subtype=infected pri=warning vd=root src= dst=4 src_int=port2 dst_int=port1 service=mm1 status=blocked from=491740430400 to=+4915200459450 file=commw.sis virus=SymbOS/Commwar.B-net msg=The file commw.sis is infected with SymbOS/Commwar.B-net. Ref =/VirusEncyclopedia/search/encyclopediaSearch.do?method= quickSearchDirectly&virusName= SymbOS%2FCommwar.B-net. SNMP Trap 當 FortiGate發現病毒時，向統一的網管系統發出信號 Email報警 基于時間的報警郵件（例如：每小時）發送給客戶服務中心 可訂制的報警信息（包括 MSISDN及病毒名稱等信息） MMS告警 由 FortiGate安全網關生成 報警信息發送給病毒發送者 可訂制消息內容 可設置網關自身的 MSISDN標識 頻率設置 不會針對每個病毒事件發送 MMS，以避免 MMSC和發件人的性能過載 可以定義發送 MMS的時間間隔（如每 24小時 ） 安全日志中心 網關 手機 Web分類過濾 基于 MSISDN的 URL過濾，包括病毒掃描 使用自動更新的分類數據庫，并可進行用戶自定義設置 多種分類 為成年人 /未成年人用戶提供不同的保護 為網上內容重新加上頭信息 移動網絡 Internet 用戶數據庫 3G 色情內容（基于 HTTP頭） 根據 URM分類允許或拒絕站點 URL Database 安全 Web檢測工作流程 安全網關 GGSN Off-Net FortiGuard