海南移动建设“云-管-端”的移动互联网一体化防护平台

Labs 摘要

以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间。移动互联网时代下，传统的信息安全问题已从PC端延伸至手机终端。手机信息安全问题已发展成为云、管、端的三维信息安全问题。本文通过阐述移动互联网时代手机信息安全的基础概念、存在问题和价值，深入探讨电信运营商在新安全形势下的可走之路，最后对海南移动的手机信息安全发展之路给出应对思路和建议。

引言

以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间。2019年的抖音APP上千万账户遭撞库攻击，上百万账户密码泄露等重大安全事件，更是引发了国内社会和公众对网络安全的空前关注。

随着“宽带中国”战略推进实施，移动互联网新型应用层出不穷，4G网络正式商用及智能终端价格持续走低，极大促进了移动互联网的稳步发展。根据CNNIC统计，截止2019年中，中国手机网民达到99.1%，网民中使用手机上网的比例高达73.3%。当今移动互联网的发展主题已开始逐渐从“普及率提升”转换到“使用程度加深”。移动互联网重构了互联网服务原有的生态与模式，经统计，2019年全球移动应用程序下载次数累计超过2040亿次。

与此同时，信息安全挑战也从传统PC端蔓延至手机，且大有愈演愈烈之势。截止2019年12月，国家计算机网络应急技术处理协调中心监测发现我国境内被篡改网站185573个，较2018年底7049个增长较大。其中，我国境内被篡改政府网站515个，较2018年底（216个）增长138.4%。为此，本文将围绕电信运营商如何做好移动互联网时代的手机信息安全展开深度研究，并提出对应策略，以供公司运营参考。

1 手机信息安全的概念、价值及形势

（一）、手机信息安全的概念

1、问题产生的背景

当前，智能终端和云计算的普及应用加速推动IT与CT融合，促进了移动互联网的高速发展。手机作为移动互联网最重要最直接的接入终端，已从最初的只能打电话和发短信，发展成为集搜索、社交、游戏、支付、位置服务和移动办公等功能应用于一身的智能终端，俨然变成一台随身携带的个人计算机。据CNNIC统计，如图1所示，移动应用规模排在前四位种类（游戏、日常工具、电子商务、生活服务类）的App数量占比达57.9%。手机网民经常使用的各类App中，即时通信类App的使用时间最长，占比为14.8%；网络视频（不含短视频）、短视频、网络音频、网络音乐和网络文学类应用的使用时长占比分列第二到六位，依次为13.9%、11.0%、9.0%、8.9%和7.2%。短视频应用使用时长占比同比增加2.8个百分点，增长明显。

2019年手机网民各类手机应用使用时长

在众手机厂商卯足了劲提升硬件时，却都忘了用户们都还在野地里“裸奔”：过于开放的Android系统存在种种不安全因素，智能手机安全问题堪忧。根据360安全中心统计，如图2所示，2019年共截获Android平台新增恶意程序样本180.9万个，平均每天截获新增手机恶意软件样本约0.5万个，纵观2019 年全年恶意样本增长情况，在1月与12月出现新增样本量峰值，主要体现在恶意扣费、资费消耗、隐私窃取。由于春节假期前后，大众的社交娱乐活动增多，棋牌游戏、抢红包已成为大众假期娱乐必选项。

2019年移动端各月新增恶意软件数量

根据DCCI《中国移动安全产业链生态发展报告》显示：移动生态产业链的每个环节都存在移动安全问题。云计算的兴起，加速了移动互联网的发展，但其特殊的商业服务模式及计算模式也带来了更大的安全隐患。

2、手机信息安全的概念理解

通常来讲，信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。手机信息是指以任何形式存在于手机的、与存在关联并足以识别本人特定身份的一切手机信息的总和。不仅包括位置信息、通讯信息、账号密码信息和存储文件信息，而且包括一些手机硬件信息，比如IMEI号、无线网卡的Mac地址、硬件配置信息。

在移动互联网云-管-端生态链下，如何理解手机信息安全？我们可以从“云管端”的角度逐步梳理。从云的角度来看，在移动互联网时代，以往集中控制的业务部署和分发模式转变为分布式、智能化的控制模式，从另一方面为手机恶意软件的传播提供了良好的温床；从管道来看，管道扁平化和承载IP化带来了新的安全问题，系统的漏洞、业务设计的缺陷为黑客提供了入侵途径，同时IP化带来的开放性使得恶意程序溯源愈发困难；从终端来看，无限制、永不关机是智能终端的特点，但是手机很可能被窃听，个人数据会轻而易举地被黑客拿走，垃圾流量在不知不觉中由各种手机应用悄无声息地产生。

简而言之，移动互联网时代的手机信息安全已经不再仅仅局限于传统的垃圾短信、骚扰电话等恶意骚扰威胁，而是演变成为云服务平台安全、智能管道安全和智能终端信息安全的三维问题，包括了云服务安全、恶意软件威胁、伪基站、无线传播渠道安全、终端操作系统安全及设备安全等诸多内容。

（二）、移动互联网时代手机信息安全的价值

在移动互联网时代下，如何保障手机信息安全，对电信运营商来说具有重要的政治意义。随着短信、彩信等受OTT业务替代的情况加剧，如何在复杂的移动互联网竞争下重塑优势，如何在低成本、差异化中选择出路成为了电信运营商的集体困惑。移动互联网、云技术的发展，智能手机终端的普及，正大刀阔斧地颠覆着工业革命以后形成的传统商业模式和意识形态。如图3所示，BYOD（Bring Your Own Device）的出现，标志着个性化移动办公时代的到来。

BYOD移动办公解决方案演变

然而，企业移动办公业务是相当严谨的，并不仅仅只是开发一个移动App那么简单。政企客户对移动办公信息安全的需求日益强烈。全球范围来看，2020年，政企信息服务市场规模有望突破2700亿美元。硕大的一块蛋糕，各大电信运营商、中小企业自然都争先恐后地力争分一杯羹。然而，在当前同质化竞争激烈的政企信息服务市场中，企业移动安全办公不失为一种优良的差异化营销策略，必将在未来吸引越来越多的客户。

2 电信运营商手机信息安全可走之路

移动互联网的普及给人们带来了极大的便利，但是它的不安全因素也在与日俱增。在移动互联网云-管-端生态下，信息安全问题必须贯穿整个互联网产业链上下游。

本文将电信运营商手机信息安全可走之路归结为两点：保证网络管道安全和与商业伙伴合作。

（一）、保证网络管道安全

电信运营商掌握着互联网接入、IDC、移动通信网络和Wi-Fi热点等网络接入层面的资源，在打造一个绿色、安全的管道上，具有绝对的优势。在这种情况下，本文认为可以从以下两点打造一个安全、绿色的通信网络管道：网络安全域隔离和提高业务系统防DDos攻击能力。

1、网络安全域隔离

电信运营商发展至今，通信网络结构复杂、系统繁多。最简单有效的方法是划分安全域及边界整合，作为运营商，其网络的特性决定了安全域组可细分为四大类：核心数据域、内部互联接口域、互联网接口域和网络交换域等，做好各个域之间的数据访问策略，即可达到划清边界的目的。

2、提高业务系统防DDoS攻击能力

针对DDoS攻击的防护，对于电信运营商而言，最直接的办法是部署DPI系统和异常流量清洗系统，实时监控并阻断大规模攻击行为。

通常情况下，异常流量清洗系统由异常流量检测、异常流量清洗和业务管理平台三个模块组成。系统通过三个模块的协同工作，完成全网的流量分析、异常流量牵引、DDoS攻击过滤等处理，此外，可关联DPI流量分析设备，增加对P2P识别与控制、异常流量带宽限制等操作，做到及时发现问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害，见图4所示。

异常流量清洗系统部署方案

（二）、与商业伙伴合作

移动互联网下，智能终端安全是起点，也是终点。电信运营商可考虑与软件安全厂商合作，并结合运营商自有的管道安全和云平台资源安全的优势，通过云平台、恶意程序监测平台和手机安全软件的互相联动，打造云-管-端一体化手机信息安全防治模式。

3 海南移动手机信息安全的发展之路

目前，海南移动手机信息安全工作起步较晚。海南移动在手机信息安全方面仍有许多路要走：

1、持续推进手机实名制工作，扼制垃圾短信的泛滥。

手机实名制可以有效遏制非法单位和个人肆意通过手机短信强制向用户传播非法思想和恶性骚扰，将给泛滥的群发短信广告、短信诈骗等非法业务致命一击。然而，推进手机实名制的过程中，不可避免地会遇到阻力。海南移动可以通过营销优惠等政策，鼓励用户主动实名认证，并针对已有的“存量”用户进行补录登记工作。同时，海南移动可以业务为导向，培养用户实名登记习惯。通过推广业务（例如，手机刷卡支付业务）为契机，引导广大手机用户进行实名登记，从而逐渐普及手机实名制。

2、重点治理垃圾短信，深入开展网络与信息安全攻坚行动。

垃圾短信治理工作具有复杂性、艰巨性、长期性。其中，在垃圾短信当中，属端口类垃圾短信最为泛滥。为有效治理垃圾短信，海南移动可定期开展短彩信端口全面梳理和清理整顿工作，做到每个开放的短彩信端口使用权落实到每个负责人，对不合法、不明确的短彩信端口坚决屏蔽，杜绝利用MAS业务发送端口类垃圾短信等类似行为。

3、建设“云-管-端”的移动互联网一体化防护平台，打造移动互联网生态链下的手机信息安全。

移动互联网时代下，移动恶意程序猖獗，手机信息安全的解决亟需一套系统、全面的移动互联网一体化防护方案，不仅能判断实时监测到恶意程序的动态，而且可对恶意程序进行跟踪溯源，并根据实际情况封堵，见图5所示。

“云-管-端”恶意程序一体化防护方案架构

如图6所示，该方案需联动云计算支撑平台、管道侧监测系统、管道侧封堵系统和手机终端侧查杀软件，形成“云-管-端”多级架构，完成移动互联网恶意程序的监测、跟踪、封堵查杀的功能闭环。

云计算支撑平台：实现移动互联网的云计算组网、云计算资源池管理、病毒库更新、封堵策略下发等功能，并与管道侧和终端侧联动，实现恶意程序的集中研判和分析。

网络侧监测系统：利用深度包检测技术对移动互联网流量进行分析，同时自动跟踪恶意程序并实现溯源。

网络侧封堵系统：借助现网DNS系统、流控系统等系统对恶意程序进行封堵。例如，借助流控系统对恶意程序的下载链接进行域名封堵；或者借助DNS系统将恶意程序的下载页面强制解析至内网IP。

终端侧查杀软件：实现手机信息的安全存储、软件恶意行为检测、垃圾短信和骚扰电话拦截等功能，并与网络侧监测系统、封堵系统和云计算支撑平台联动，实时上报恶意程序的查杀情况，为“云—管—端”一体化安全防护体系提供必要的支撑。

“云-管-端”恶意程序一体化防护网络结构

4、提升互联网防DDoS攻击能力，适应LTE网络下大流量暴增需求。

随着LTE业务的商用化，未来互联网流量将呈现指数倍地暴增。随之而来的，互联网的大流量DDoS攻击将变得更加猛烈。目前，海南移动CMNET出口部署了一套防DDoS攻击流量清洗系统。然而，在互联网流量暴涨的情况下，该系统容量是否能够持续支撑业务的发展，需进行全面地评估。为有效支撑LTE业务的发展，海南移动有必要尽早对该系统容量进行评估，并根据实际情况对系统进行扩容与升级。同时，定期组织防DDoS攻击应急演练，提升我公司相关技术人员的信息安全事件应急与处理能力。

5、组织架构调整，做好手机信息安全人才储备。

当前，信息安全工作的重要性日益突出，随着移动互联网的发展和4G业务的商用，手机信息安全变得愈发重要。不同于传统的手机信息安全，移动互联网下的手机信息安全为云-管-端的三维安全问题，不仅涉足云、管、端等多个领域的新知识，而且手机信息安全事件影响范围广、覆盖系统多。因此，海南移动除了要按照集团的要求完成信息安全管理组织架构的调整，同时还要建立一支专门的手机信息安全队伍，配备专职的手机信息安全专员，梳理手机信息安全工作流程，加强云、管、端等新知识的培训，注重安全专职人员技能的提升，做好移动互联网时代下信息安全人才的储备。
责任编辑:pj