压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

張慶勇：各位嘉賓、各位領(lǐng)導(dǎo)下午好！我是來自北京信安世紀(jì)科技有限公司張慶勇，接下來我給大家做匯報(bào)主要內(nèi)容有幾個(gè)：移動(dòng)互聯(lián)網(wǎng)安全威脅與風(fēng)險(xiǎn)，安全接入的技術(shù)、安全風(fēng)險(xiǎn)監(jiān)測相關(guān)研究、我們在安全領(lǐng)域所做的應(yīng)對。

一、移動(dòng)互聯(lián)網(wǎng)安全威脅與風(fēng)險(xiǎn)

其實(shí)關(guān)于移動(dòng)互聯(lián)網(wǎng)安全之前演講者也做了很多情況的說明，我們認(rèn)為移動(dòng)互聯(lián)網(wǎng)這些年快速發(fā)展有幾個(gè)方面促成的，一個(gè)是基礎(chǔ)網(wǎng)絡(luò)建設(shè)快速的布局發(fā)展，這個(gè)大家也都清楚，包括中國移動(dòng)、中國電信、聯(lián)通基礎(chǔ)建設(shè)這方面做了很大的布局，另外尤其是智能移動(dòng)終端產(chǎn)品迅速普及，這個(gè)大家能夠看到，我想在座各位也都能拿到智能移動(dòng)終端設(shè)備，特別是iPhone，這個(gè)把我們智能移動(dòng)終端產(chǎn)品線快速帶動(dòng)起來，隨著移動(dòng)設(shè)備發(fā)展，另外一項(xiàng)移動(dòng)終端APP得到爆發(fā)式的增長。除了上述三個(gè)原因之外，還有一個(gè)重要的原因是電商的發(fā)展，尤其近十年發(fā)展，隨著阿里、淘寶、京東等電子商城發(fā)展，給移動(dòng)互聯(lián)網(wǎng)做快速的知識(shí)普及。

上個(gè)星期京東剛做完6.18活動(dòng)總結(jié)，雖然最終6.18銷售額并沒有給出最后的結(jié)論，他們認(rèn)為是商業(yè)機(jī)密，但是我從他發(fā)布數(shù)據(jù)里邊可以看出端倪，其中有一條我看的很仔細(xì)，京東商城今年6.18全天下單1500萬單，有60%多訂單是通過移動(dòng)終端發(fā)起的，這個(gè)比例非常大，將近1000萬訂單是移動(dòng)終端發(fā)起的。我之前也看過愛立信對未來移動(dòng)發(fā)展的報(bào)告，上面明確指出未來五年內(nèi)，移動(dòng)終端網(wǎng)絡(luò)流量占到整個(gè)全世界所有流量90%，這是非常大的比例。這也就說明我們移動(dòng)互聯(lián)網(wǎng)發(fā)展非常快速的。

那么伴隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，其實(shí)我認(rèn)為在移動(dòng)互聯(lián)網(wǎng)安全這一塊沒有跟上的，從原來大家剛開始對移動(dòng)互聯(lián)網(wǎng)在PC終端防護(hù)體系沒有完全做到位情況下，在移動(dòng)終端這一塊開始快速發(fā)展。我們綜合這些年移動(dòng)終端受到安全威脅，我覺得應(yīng)該三個(gè)方面重點(diǎn)看一下移動(dòng)互聯(lián)網(wǎng)安全威脅：

1、業(yè)務(wù)應(yīng)用本身、自身的安全，這個(gè)可能在傳統(tǒng)PC行業(yè)成為遇到這個(gè)問題，比如一般業(yè)務(wù)系統(tǒng)都是兩類，BS、CS應(yīng)用，后臺(tái)業(yè)務(wù)系統(tǒng)做的好壞，直接影響你安全性，舉一個(gè)簡單的例子COS注入，沒有做好從PC端到移動(dòng)端面臨一樣的問題。

2、客戶端和服務(wù)器端中間網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)和威脅，這一塊大家也做過很多的描述，包括去年3.15晚會(huì)說過wifi風(fēng)險(xiǎn)，特別是免費(fèi)wifi風(fēng)險(xiǎn)，另外整個(gè)網(wǎng)絡(luò)里邊有各種各樣抓包工具，即使安全通道也通過中間人攻擊獲得中間獲取。網(wǎng)絡(luò)通信和安全風(fēng)險(xiǎn)，也是很大一個(gè)方面。

3、最主要終端設(shè)備本身環(huán)境安全風(fēng)險(xiǎn)，原來PC端面臨一大堆的問題，PC中毒需要?dú)⒍荆瑯影堰@些風(fēng)險(xiǎn)轉(zhuǎn)嫁終端上。

二、移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)

剛才說這些風(fēng)險(xiǎn)，很大一塊內(nèi)容我們移動(dòng)端接入的時(shí)候，風(fēng)險(xiǎn)都會(huì)轉(zhuǎn)嫁惡果。簡單向大家介紹移動(dòng)互聯(lián)網(wǎng)安全接入技術(shù)。我總結(jié)一下大概有四個(gè)方面：1、PKI技術(shù)作為移動(dòng)安全接入的基礎(chǔ)安全技術(shù)保障；2、數(shù)字簽名技術(shù)；3、VPN技術(shù)；4、虛擬化安全沙箱技術(shù)

1、PKI技術(shù)

PKI基礎(chǔ)設(shè)施本身能夠完成對身份認(rèn)證訪問控制、機(jī)密性、完整性、以及抗抵賴不可復(fù)制性等等最全面的防護(hù)機(jī)制，應(yīng)該說目前來看99%安全防護(hù)體系都是跟PKI相關(guān)的，因?yàn)镻KI涉及算法更多，PKI技術(shù)有很多構(gòu)成，其實(shí)以數(shù)字證書作為基礎(chǔ)，由C產(chǎn)生的通用電子標(biāo)簽，和生活中使用的用戶身份證類似，每個(gè)人在網(wǎng)絡(luò)有身份ID，身份ID就是數(shù)字證書，目前有三家頒發(fā)機(jī)構(gòu)，除了CN之外，還有RN注冊中心等，數(shù)字證書里邊含有公鑰，有證書發(fā)布的地方，還有證書的有效性。這是整個(gè)PKI技術(shù)的組成。

2、數(shù)字簽名技術(shù)。

數(shù)字簽名技術(shù)簡單說就是通過密碼技術(shù)對電子文件進(jìn)行電子形式的簽名，電子文件經(jīng)過電子簽名識(shí)別簽名人身份、以及數(shù)字簽名是否被實(shí)際人認(rèn)可。在電商領(lǐng)域整個(gè)移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，電子簽名有一個(gè)法律支撐，也是唯一作為法律支撐的技術(shù)就是《電子簽名法》，2004年修訂，2005年正式發(fā)布，經(jīng)過十多年發(fā)展，在電商逐漸慢慢利用起來。去年也經(jīng)過電子簽名法修訂，可以通過下面圖簡單看一下實(shí)現(xiàn)，利用PKI非對稱算法，利用私鑰對原文加密，形成密文是簽名值，不能說做簽名不認(rèn)可，這是不可以的。法律上也不認(rèn)可，當(dāng)然簽名實(shí)現(xiàn)方式很多，我下邊只列IC算法，這個(gè)跟其他簽名算法不一樣的。

3、VPN技術(shù)

利用公共網(wǎng)絡(luò)建設(shè)，建設(shè)專用、私有網(wǎng)絡(luò)技術(shù)，里邊包括L2TP第三二層隧道協(xié)議、IPSec隧道模式，SSL? VPN這幾種技術(shù)方式，PC端通過類似的方式實(shí)現(xiàn)。

4、虛擬化技術(shù)和沙箱技術(shù)

它們兩個(gè)完全不在一個(gè)層面上，安全沙箱限制不可信代碼訪問的權(quán)限，移動(dòng)虛擬化是移動(dòng)設(shè)備實(shí)現(xiàn)外部隔離的基礎(chǔ)技術(shù)。我簡單舉一個(gè)例子，大家用沙箱技術(shù)，它的底層操作系統(tǒng)還是原生操作系統(tǒng)，沙箱都是使用原始操作系統(tǒng)一部分?jǐn)?shù)據(jù)進(jìn)行隔離，而虛擬化技術(shù)依賴于硬件、依賴于操作系統(tǒng)、甚至下方硬件，虛擬化另外一個(gè)操作系統(tǒng)，這個(gè)是虛擬化技術(shù)，虛擬化不限于操作系統(tǒng)虛擬化、桌面虛擬化，主要技術(shù)內(nèi)容差不多的。

但是這兩個(gè)緊密貼合我們在移動(dòng)端環(huán)境安全，老說環(huán)境中了木馬、中了病毒，最好的解決方案不是裝殺毒軟件，最好的方式給你相對安全的執(zhí)行環(huán)境，這是最終好的解決方案。

大家看了之上四種技術(shù)，我估計(jì)很多人覺得這個(gè)并不是先進(jìn)的技術(shù)，其實(shí)這四種技術(shù)應(yīng)該有很多年歷史，但是它發(fā)生很大的變化，就是我們載體從原來PC遷移移動(dòng)設(shè)備，遷移過程技術(shù)發(fā)生很多轉(zhuǎn)變。例如PKI技術(shù)，在社會(huì)應(yīng)用非常廣泛了，我舉最簡單的例子，網(wǎng)銀大家都上過，合乎銀行網(wǎng)銀都上過，那這個(gè)網(wǎng)銀技術(shù)，在網(wǎng)銀技術(shù)怎么利用PKI相關(guān)交易和查詢權(quán)限保障，我知道U盾。大家辦網(wǎng)銀發(fā)U盾，U盾儲(chǔ)存三樣?xùn)|西：公鑰、私鑰、個(gè)人數(shù)字證書，有的人登錄之后用到、有的時(shí)候查詢轉(zhuǎn)帳用到。用到數(shù)字簽名，每個(gè)發(fā)給SDK，這個(gè)SDK和用戶身份綁定，你在進(jìn)行轉(zhuǎn)帳交易通過私鑰簽名，通過銀行端審核就可以。這是我們在PC端做的。

移動(dòng)端使用非常弱，有的銀行發(fā)了音頻K，使用音頻通訊，音頻通訊口不一樣，甚至蘋果下一代版本音頻K可能取消。這種情況下怎么辦？需要新的數(shù)字證書的保護(hù)機(jī)制，比如音頻K繼續(xù)使用外設(shè)，另外藍(lán)牙K方式完成數(shù)字簽名技術(shù)、包括認(rèn)證證書。甚至我安全性可以降低一些，把數(shù)字證書直接頒發(fā)移動(dòng)端本地，這都是PKI轉(zhuǎn)身的方式，它的技術(shù)發(fā)生一些變化。另外VPN，VPN原始方式差不太多，從PC端轉(zhuǎn)到移動(dòng)端一樣，在手機(jī)平臺(tái)也需要做客戶端，基本使用方式?jīng)]有太多的變化。但是沙箱技術(shù)和虛擬化技術(shù)發(fā)生比較大的變化，沙箱依托硬件實(shí)現(xiàn)虛擬化標(biāo)準(zhǔn)，移動(dòng)端主要R平臺(tái)，支持硬件化可以做虛擬化，現(xiàn)在來看使用幾乎沒有。

但是我們在移動(dòng)端做虛擬化研究，主要基于容器虛擬化，在硬件基礎(chǔ)上有一個(gè)容器的，可以基于容器做虛擬化技術(shù)，這些都是虛擬化在移動(dòng)端不同的技術(shù)特點(diǎn)。

另外在移動(dòng)接入其他技術(shù)特點(diǎn)，包括移動(dòng)數(shù)字證書、IPSECVPN、虛擬化沙箱技術(shù)，包括彩信短信語音安全防護(hù)，剛才演講嘉賓也講短信，短信危險(xiǎn)性很大的。其實(shí)現(xiàn)在更好的短信方式，大家知道發(fā)短信的時(shí)候，很多APP直接讀取短信庫的短信內(nèi)容，抓短信甚至抓驗(yàn)證碼，包括短信、彩信、語音需要安全防護(hù)，我們跟一些客戶做安全短信的加密方式，就是從短信網(wǎng)關(guān)發(fā)出數(shù)據(jù)被我們做加密。客戶端通過你手機(jī)取得短信驗(yàn)證碼加密的東西，只有通過APP解密，才能把加密的短信重新解密原始驗(yàn)證碼，這都是移動(dòng)接入的防護(hù)。另外Arm、TrustZone構(gòu)建安全防護(hù)。

三、移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測

我們在互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測做一些，它不同于之前安全風(fēng)險(xiǎn)和防護(hù)，之前我們說木馬、病毒、網(wǎng)絡(luò)都是被動(dòng)的防御，有了木馬使用相關(guān)殺毒軟件進(jìn)行殺毒，有了病毒也殺毒，安全防護(hù)使用安全的防護(hù)wifi，這些都是被動(dòng)的防護(hù)，隨著現(xiàn)在移動(dòng)快速發(fā)展，被動(dòng)防護(hù)機(jī)制遠(yuǎn)遠(yuǎn)跟不上我們移動(dòng)發(fā)展速度，更多需要主動(dòng)去防御，主動(dòng)防御就需要我們進(jìn)行對相關(guān)風(fēng)險(xiǎn)監(jiān)測有一個(gè)了解。

我簡單說一下風(fēng)險(xiǎn)監(jiān)測必要性不用說了，之前我們都說了被動(dòng)防御并不是主動(dòng)防御，我們曾經(jīng)說最好的防守就是進(jìn)攻。在風(fēng)險(xiǎn)監(jiān)測主要涉及幾個(gè)方面：

1、數(shù)據(jù)采集，客戶端大量采集，形成大量數(shù)據(jù)發(fā)到后臺(tái)，對這些數(shù)據(jù)進(jìn)行挖掘，通過數(shù)據(jù)挖掘建立好自己風(fēng)險(xiǎn)模型，完成提前預(yù)警對應(yīng)基本數(shù)據(jù)整理。終端快速搜集能內(nèi)容包括網(wǎng)絡(luò)情況，使用wifi還是網(wǎng)線，設(shè)備情況本身是蘋果還是Android，行為習(xí)慣，明天打開網(wǎng)銀上午晚上中午，這都是使用行為習(xí)慣。另外配合應(yīng)用獲取異常信息，這是最簡單的收集，比如一些APP出現(xiàn)崩潰、不兼容，尤其Android平臺(tái)，操作系統(tǒng)版本一直在升級，由原生操作系統(tǒng)隱身出很多其他廠商的操作系統(tǒng)，包括華為、三星、小米操作系統(tǒng)等。金融形使我們系統(tǒng)不同平臺(tái)出現(xiàn)問題，這些問題主動(dòng)搜集。另外還有性能實(shí)時(shí)參數(shù)，包括網(wǎng)速快慢、手機(jī)硬盤、還有終端環(huán)境快速監(jiān)測包括你病毒木馬預(yù)警查殺，使用APP主動(dòng)察看一下本地的防御情況，進(jìn)行風(fēng)險(xiǎn)提示，還有行為預(yù)警等。這是前端數(shù)據(jù)的搜集。

2、后臺(tái)有安全風(fēng)險(xiǎn)體系，這里邊涉及幾個(gè)知識(shí)點(diǎn)：包括統(tǒng)計(jì)方法、推理建模、機(jī)器自我學(xué)習(xí)、列舉分析、大數(shù)據(jù)并行計(jì)算，大家了解最多是大數(shù)據(jù)計(jì)算，這一塊包括大數(shù)據(jù)并行計(jì)算涉及很多。

形成最主要的內(nèi)容，本身客戶端收集數(shù)據(jù)，包括日志數(shù)據(jù)、事件、行為數(shù)據(jù)等進(jìn)行提升，提升后臺(tái)進(jìn)行收集和數(shù)據(jù)關(guān)聯(lián)性分析，運(yùn)用智能數(shù)據(jù)分析包括威脅防護(hù)的分析，根據(jù)我們自己內(nèi)置模型、計(jì)算方式、相關(guān)策略、動(dòng)作等完成持續(xù)監(jiān)控的分析，并將分析內(nèi)容及時(shí)提供給業(yè)務(wù)系統(tǒng)，來整個(gè)完成一整套風(fēng)險(xiǎn)監(jiān)測機(jī)制。

四、信安世紀(jì)移動(dòng)安全領(lǐng)域應(yīng)對

我們應(yīng)對之前說的安全風(fēng)險(xiǎn)和產(chǎn)品技術(shù)。簡單介紹一下我們信安全世紀(jì)，我們是1998年成立，是中科院衍生出來做信息安全的公司，涉及六大機(jī)構(gòu)，分別上海、成都、西安、武漢、北京，我們也是數(shù)據(jù)工作組成員，包括涉及保密局成員單位，這是我們公司主持制定國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。這是簡單的獲獎(jiǎng)證書。

信安世紀(jì)從剛才說的幾個(gè)風(fēng)險(xiǎn)點(diǎn)衍生兩個(gè)產(chǎn)品和一個(gè)解決方案，兩個(gè)產(chǎn)品分別移動(dòng)統(tǒng)一認(rèn)證平臺(tái)，主要功能移動(dòng)設(shè)備的安全接入和認(rèn)證，它包括認(rèn)證平臺(tái)的后臺(tái)系統(tǒng)，還有前端的APP，另外有自己安全監(jiān)測平臺(tái)，主要移動(dòng)采集和后臺(tái)監(jiān)控，表現(xiàn)形式也是監(jiān)測平臺(tái)系統(tǒng)是后臺(tái)，前端提供SDK。另外給金融機(jī)構(gòu)或者銀行、證券提供移動(dòng)安全解決服務(wù)方案。

我們信安世紀(jì)移動(dòng)統(tǒng)一認(rèn)證平臺(tái)包括幾個(gè)類：一個(gè)安全類，我們支持兩種數(shù)字證書管理，一個(gè)本地軟證書管理，還有對外部硬件設(shè)備管理，數(shù)字證書既安全放在手機(jī)上，可以使用安全外設(shè)。另外相關(guān)的動(dòng)態(tài)口令管理、文件安全管理方面；第二應(yīng)用管理類，可以管理到之前所說設(shè)備管理、應(yīng)用市場、地理圍欄，另外后臺(tái)有策略管理和策略管理

從PC到移動(dòng)端有策略的變化，尤其移動(dòng)端對移動(dòng)外設(shè)支持不是特別好，我們也經(jīng)過這么多年技術(shù)研究，我們做出新的技術(shù)嘗試，就是無私鑰安全防護(hù)，在一個(gè)SDK有安全證書的，私鑰安全性最高的，我們在移動(dòng)端第一次產(chǎn)生密鑰產(chǎn)生即放棄，產(chǎn)生用它幫助用戶下載證書，下載之后私鑰就內(nèi)存中消失了，私鑰根據(jù)用戶輸入口令、硬件信息、自有算法算出，每次需要的時(shí)候重新計(jì)算出來，不需要會(huì)從內(nèi)存清空。即使我手機(jī)丟失也無法獲得私鑰，使用的時(shí)候每次生成，生成也會(huì)消失。這是底層技術(shù)的實(shí)現(xiàn)。這也是我們這么多年移動(dòng)安全研究上做的工作。

移動(dòng)統(tǒng)一認(rèn)證平臺(tái)主要包括內(nèi)容一個(gè)APP安全接入、還有PC端認(rèn)證，它主要包括內(nèi)容有包括統(tǒng)一用戶認(rèn)證、授權(quán)、審計(jì)、賬戶管理都在后臺(tái)里邊，另外所有信息加密傳輸，通過我APP業(yè)務(wù)系統(tǒng)連到APP上，所有傳輸都可以做到內(nèi)容加密。另外統(tǒng)一用戶管理，如果企業(yè)有很多業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)都有自己的用戶管理，可以統(tǒng)一納入統(tǒng)一認(rèn)證管理里邊去。

另外PC端認(rèn)證可以像微信一樣，就像大家掃一掃登錄外部的微信，另外支持第三方應(yīng)用。最后我們本身APP首先是雙因素認(rèn)證、包括數(shù)字證書包括動(dòng)態(tài)口令認(rèn)證等。另外VPN安全接入，和以前類似只不過切換移動(dòng)端，安全防護(hù)機(jī)制沒有變化。

最后安全檢測平臺(tái)，已經(jīng)給大家做了匯報(bào)，通過根據(jù)相關(guān)理也有自己安全檢測平臺(tái)機(jī)制，做大數(shù)據(jù)分析等。這是我們檢測平臺(tái)后臺(tái)可以做掃描、模擬器監(jiān)測、包括惡意注冊的風(fēng)險(xiǎn)、垃圾消息風(fēng)險(xiǎn)、賬戶被盜風(fēng)險(xiǎn)，業(yè)務(wù)系統(tǒng)根據(jù)風(fēng)險(xiǎn)值控制自身的業(yè)務(wù)。

最后我們還有一個(gè)解決方案，主要給一些大企業(yè)用戶做一個(gè)安全服務(wù)平臺(tái)，包括一些實(shí)現(xiàn)用戶平臺(tái)的安全密鑰、加減密鑰等等功能。包括數(shù)字簽名加解密，我們公司圍繞剛才說的功能，也在做移動(dòng)外設(shè)，移動(dòng)外設(shè)也有可能繼續(xù)發(fā)展，雖然目前來看，大家使用的習(xí)慣包括技術(shù)實(shí)現(xiàn)問題，現(xiàn)在移動(dòng)外設(shè)發(fā)展并不是很好，反而包括手環(huán)移動(dòng)外設(shè)用的更好一些，真實(shí)對安全性這一塊并沒有好的發(fā)展，所以現(xiàn)在做了一些包括移動(dòng)終端適用二維碼KEY，藍(lán)牙KEY，也是我們公司針對移動(dòng)領(lǐng)域所做的研究，謝謝大家！