通信世界网(CWW)4月2日消息,2008中国移动通信产业高峰论坛今日在北京亚洲大酒店隆重开幕,该会是由人民邮电出版社主办,信通传媒承办的移动产业盛会。在此次会上将集中展示近年来移动通信产业技术、业务、网络发展最新动向及成果,深入研讨当前产业发展面临的热点、难点问题,研究提出新形势下中国移动通信产业的应对战略和发展思路。通信世界网将对此次会议进行全程直播。
袁琦:各位嘉宾、各位专家,上午好!
我们今天上午的主题是“构建下一代的绿色通信网”,那么各位专家和嘉宾就部署实施还有标准方面做了一些标准的介绍。那么,节能减排是构建下一代绿色通信移动网的主题。那么,安全可以说也是我们构建下一代绿色通信网的关键。所以,我的演讲主题是“移动通信网的安全分析”。那么,我们也就我们电信研究院在移动通信网安全方面的研究的内容和大家一起共享和探讨。
那么,我演讲的主题是移动通信网安全目标、安全威胁、安全机制、安全防护体系、安全管理建议这5个方面和大家进行分析和探讨。
那么,首先我们确立一下我们移动通信网的安全目标应该从吗几个方面做到,才应该说移动通信网是一个安全的移动通信网,以及我们进一步分析移动通信网潜在的威胁有哪些。那么,分析了我们的安全目标和潜在的威胁以后,我们看看在国际国内的一些标准当中,已经制定了哪些移动通信网的安全机制和安全技术。那么,光有网络层面和业务层面的安全技术还不够,我们说安全方面三分技术、七分管理。那么,我们要如何来构造一个全方位的安全防护体系?我们研究院也在安全防护体系方面的研究,和大家进行分享。
最后,我们对移动通信网安全管理方面的建议,我们也进行了一些研究,也和大家进行分享。
下面,我们就这几个方面和大家进行介绍。
那么,早在前几年的ITU-T的X.805设计出了端到端的安全通信框架。那么,它从三个层次、八个纬度构建出了端到端的安全通信框架。那么,从三个层次是安全的。那么,我们的脆弱性和安全,是存在于每一个层次和纬度当中的。
从我们所看到的移动通信的框架,我们来看一下移动通信网的安全目标,我们也是从X.805的标准当中获得的。它的安全目标首先要保证安全控制,要保证有权限的客户访问。那么,要保证有合适的证据证明事件的存在。还有数据保密性、数据完整性、可用性和隐私。
那么,加上我们在运维、实施方面的建设,我们应该保证移动通信网的安全性,保证我们移动通信网的可用性和连续性,保证我们传输数和存储信息的私密性、机密性、完整性。以及防止网络及业务遇到偶然的、被动的和主动的威胁以及自然破坏。以及,我们对于影响网络的意外,我们要有一个应急的措施。
那么我们X.805和我们措施的结合,我们得到了一个移动通信网安全的目标。那么,我们要保护哪些设施呢?一个是我们要保证终端方面的安全,还有网络方面的安全和业务方面的安全。
那么在终端方面我们具体保护哪些?包括有形和无形的资产,以及网络和业务方面的有形和无形的资产。不但包括了设备、链路,还包括了一些信息等等。那么,在终端安全当中,包括我们要保护终端的软件和硬件,以及存储在终端当中的用户信息,以及终端的基本参数信息等等,以及我们操作终端的日志,例如操作信息等等。
那么,网络安全包括了网络通信设备、网络操作信息链路、网络带宽和速率。
那么,业务安全包括了操作业务的操作信息,还有业务应用系统软件和硬件,业务运营信息、用户个人注册信息以及向用户提供的各种信息等等。所以,业务的安全不仅包括了业务运营信息,还包括了移动互联网业务上面的一些网站发布的信息,也是我们的业务安全范围之内的。所以,这就是我们移动通信网安全要保护的对象。
在我们确定了移动通信网的安全目标,以及它的保护对象以后,我们看一下移动通信网在这些安全对象,在我们既定的安全目标下,移动通信网存在哪些安全威胁。这是一个非常通用的移动通信网络,那么它的威胁存在哪些方面呢?一个是中弹方面的安全威胁,一个是网络方面的安全威胁,一个是业务方面的安全威胁。
其中,终端方面的安全威胁,我们也知道,终端已经随着通信技术的演进,我们的终端也逐渐向智能终端来发展。因此,我们终端的发展趋势是处理能力越来越增强,它的芯片能力越来越增强。那么,内存和外存的能量也越来越增大,逐渐地出现了操作系统开放的一些中间件等等。那么,也逐渐地向第三方来开放、开发移动终端。以及,我们终端应用的多媒体化,各种应用丰富多彩,包括语音、图像、文本等等。
所以,随着智能终端的出现,给我们的终端带来了潜在的威胁。比如说早期的时候,我们的终端可能是语音的通话,那么它的威胁是信息的篡改,还有个人隐私的非法访问。那么,随着业务多样化的发展,它的威胁产生了更多的变化。例如操作系统会非法修改你的信息,或者是刷新你的终端中存在的信息,以及病毒和恶意代码对于终端的一些破坏。另外,可能造成一些物理的损害,这是公共的威胁。
那么,这是在终端方面存在的威胁,在网络层面,我们可以看到,存在哪些威胁呢?一个是非法接入网络,非授权的数据、机密性破坏、完整性破坏、拒绝服务攻击、网络负荷过重、可能遭到的物理损害。这些都是我们网络安全存在的一些潜在的威胁。
在移动通信网业务方面存在哪些威胁呢?例如非法访问业务、非法访问数据、拒绝服务攻击等等。那么,这是我们业务存在的威胁,以及目前存在的垃圾信息的泛滥、不良信息的传播,以及个人隐私和敏感信息的泄露,内容版权盗用和不合理的使用等等。这存在于我们各种各样的业务当中,例如垃圾信息传播在短消息当中,不良信息传播在WAP信息当中,那么内容版权和不合理使用,都可能对于我们移动互联网的业务,造成很多潜在的威胁。
对于这些威胁,我们分析了以后,针对这些威胁,我们可以说移动通信网,也有应对这些安全威胁的机制。比如说3GPP、3GPP2、OMA等等,都对这些提出了完善的安全机制。那么,对于终端方面,我们国内也制定了行标,来确定一些终端的安全框架。那么,在这一块当中,我们就来分享一下移动通信网本身我们在面对这些安全威胁,它有哪些解决的技术方案和一些机制。
那么,我们认为一个安全的移动终端,它具有身份认证的功能,具有对各种系统资源、业务应用的访问控制,能够对不同的人能访问不同的业务应用,如果你没有权限,就不能访问系统的业务应用。
