【连载】2020网信自主创新调研报告-终端安全
2020网信自主创新调研报告
专家委员
主 任:倪光南
副主任:严 明、霍 炜、胡伟武、窦 强
委 员(按拼音排序):曹 冬、陈晓桦、邓小四、杜 胜、杜跃进、冯燕春、冯裕才、郭守祥、韩乃平、胡红升、黄志刚、姜海舟、李 斌、李璐瑶、梁育刚、刘龙庚、刘闻欢、刘 毅、陆宝华、罗东平、潘凤岩、唐 彬、汤学军、田俊峰、肖新光、杨纪文、翟起滨、张焕国、张 强、张 彦、张宇翔、张岳公、赵 波、赵战生、郑静清、祝国邦
01 终端安全产品形态多样化
《IDC 全球企业级终端安全预测,2018-2022》报告数据显示:2017 年,全球企业级终端安全市场规模达到 61.46 亿美元,2022 年将超过 92 亿美元,年复合增长率 8.6%。伴随着国产化需求的不断增长,国产终端安全管理系统在国内的市场占有率会越来越高。
为了解决国产终端安全防护能力不足的问题,国内众多安全团队提出了多种形式的解决方案,如:终端安全管理、终端数据防护等。这些解决方案虽然还无法完全比拟国外安全厂商对 Windows 环境下的整体防护方案,但是已经逐步迈向成熟。大部分终端产品能够参照 PPDR 模型从安全策略、防护、检测、响应四方面实现对操作系统的终端安全防护。产品形态主要为软件,由 B/S 架构的管控中心以及兼容各类操作系统的客户端安装程序组成,并且 具备统一部署、集中管理的多级级联功能。部分厂商开展了终端防护系统对国产主流操作系统以及国产 CPU 的适配工作;同时,终端安全产品还兼顾了国产化替代的平稳过渡问题,在使用方面实现与 Windows 一致的管控策略和防护形式。
移动终端本质上是连接移动网络的适合移动场景使用的计算设备,因此和普通计算机终端安全有共通的部分。同时,移动终端软硬件和使用场景的特殊性也带来了独特的安全问题。从技术上看,移动终端具备 IMEI,通常搭载 SIM 卡用于设备和用户识别,由此导致 IMEI 可以伪造,SIM 卡可以被破解和复制。另外,移动设备具有便携性,通常配备有传感器,具有定位功能,且能够采集和存储大量个人信息,因此面临比较大的个人信息泄露风险。从使用场景和社会影响上看,移动设备以及其中的 SIM 卡容易引发假冒身份的风险;具备支付功能的移动设备承载大量经济活动,面临金融风险。
针对移动终端特殊的安全问题,国内厂商开发了多种安全产品。除传统的单机防病毒、防火墙、威胁检测之外,还有从内网安全角度出发的移动终端安全响应系统;从 APP 安全角度出发的 APP 加固产品;从大数据画像、征信角度出发的征信、黑名单、黑产图谱类产品;从在线业务安全角度出发的人机识别、设备指纹、行为分析类产品。除此之外,为了解决企业移动用户的数据安全问题,部分厂商开发了应用沙箱和云手机技术,通过将应用及其产生的数据限制在本地沙箱或后端云数据中心,保证企业数据不外泄。
02 终端安全向主动防御演进
终端是物理世界通向数字空间的载体,也是安全问题爆发的焦点,尤其是对于采用国产基础软硬件的终端而言,安全防护更加薄弱。传统终端安全产品试图通过功能叠加的方式逐一应对威胁,但各自为战、互相制约的防护体系在新型网络攻击面前显得越发力不从心,传统方案有效性差、兼容性不佳的问题已经十分突出。
从总体市场情形来看,国内终端安全行业还处于从被动防御向主动防御过度的初级阶段。相对来说,国外终端安全厂商在未知高级威胁的检测技术上更成熟,而国内的终端安全行业正处在从识别已知威胁到预测未知威胁的过渡阶段,在新产品和新模式应用上仍需要大胆尝试。如加强终端安全体系规划建设,需构建安全技术、安全管理、安全运营一体化的防护体系,综合提升终端系统的安全保障能力;推动终端安全创新技术应用,以大数据分析、云计算、物联网为基础,结合 AI 技术充分发挥深度学习、行为分析、可信计算等技术能力;建立统一的威胁分析平台,推动终端安全产品间的威胁情报信息共享和协同防御,形成国产系统终端安全联合作战能力;建立统一终端恶意代码命名规范,明确命名规则、格式等,促进不同厂商产品间的协同 联动;明确终端安全防护的基线,开展针对终端安全防护产品的基线检测,从操作系统内核层面加强安全机制设计,全面提升自主创新终端安全能力。
按行业与业务性质,移动终端安全产品的用户大致可以划分为运营商、互联网服务平台、支付与金融服务平台、在线销售企业、在线营销企业等五个大类。运营商需要监控移动应用市场,防护与加固自有 APP,在一定程度上监控 APP 使用情况;头部互联网平台在安全方面投入较大,拥有较强的攻防对抗能力,倾向于自行开发安全产品,部分产品还可对外输出;支付与金融服务平台非常重视安全,一般以采购大型系统为主,以自行开发为补充。这类用户对于 APP 加固防护、设备指纹、行为 ID 有较强需求。在线销售企业的主要需求是反欺诈与风险控制,基本上采购成熟产品。在线营销企业的主要需求是识别假流量、假用户,防止营销费用浪费。
移动终端安全方面,我国与世界先进水平差距不大,在技术发展上各有侧重,呈现出不同的特点。国外厂商的技术优势主要体现在底层技术,在移动端硬件和操作系统层面优势巨大。硬件层面上,美国苹果公司拥有智能手机硬件全套核心技术,高通公司拥有 CPU 与通信芯片核心技术,我国仅华为公司拥有 CPU 与通信核心技术。在操作系统层面差距更为巨大,智能手机两大操作系统分别是谷歌公司的安卓系统和苹果公司的 iOS 系统,国产智能手机已上市产品都是采用安卓系统作为内核,对于系统内核和基础模块没有控制能力。作为操作系统技术优势的延伸,国外企业对应用程序的行为管控和应用市场管理方面都领先我国企业。
我国的技术优势主要在应用与业务层面,在互联网业务防护与对抗黑产方面有相对优势。由于对操作系统控制能力弱,对应用行为和应用市场控制能力弱,由此带来了应用加固的需求。这促使国内公司研发了与世界先进水平同步的应用加固技术,同国外的 Tala、Arxan、Promon、InAuth、 Guardsquare、V-key 等公司相比并不逊色。此外,国内的人机识别技术可以识别出模拟器、猫池等假机设备,群控识别可以对付群控真机,群体行为识别可以对付真人羊毛党,行为 ID 可以识别身份冒用,在这方面由于国外企业缺少足够的使用场景,研发动力不足,技术能力远不如中国企业。
03 围绕国产基础软硬件
加强终端安全一体化防护
首先,加强终端安全体系规划建设,夯实终端安全防御基础。以体系化的高水平安全规划为牵引,通过科学的、高质量的项目建设补齐短板、夯实终端安全基础。要以整体化、集中化、规模化的方式规划建设“安全基础设 施”,确保信息化系统建立在安全“底座”之上,形成具备“精细化安全管控、体系化安全防御、实战化安全运行”的动态、综合、一体化的终端网络安全防御体系。
其次,以安全运行、服务一体化持续输出安全能力。为了实现终端安全的服务一体化转型,需要采用集中化、平台化、一体化的方式,统一建设共性的安全技术,形成终端安全基础设施,并据此开展日常化、建制化、规程化和可持续的安全运行,同时以标准化运行服务的形式向信息化环境以及信息化开发与运维环节输出安全能力。
第三,要加强终端安全运行与信息化运行的聚合。在信息化工作流程中,以强管控方式插入安全控制,以“一体化调用”安全运行服务的方式落实安全控制,消除以往信息化工作与终端安全防护工作之间存在的零散、割裂、各自为战的弊端。通过多方协同、统一管控实现对安全隐患和安全事件的闭环处理,使安全运行能力内生于信息化环境。
最后,要形成“面向成效、事件闭环、循环提升、统一管控”的安全运行服务体系。围绕威胁入侵检测、漏洞及配置缺陷弥补、安全策略优化、威胁对抗、响应处置等工作,形成安全与信息化团队的紧密结合;建立以数据驱动的网络安全模式,实现终端网络安全防御体系的自我驱动、循环提升、统一管控;逐步提高终端安全工作成熟度,实现从终端安全运行向终端安全运营的转变。
在移动终端安全领域,未来五年可以预见的趋势主要有:自主研发的软硬件平台需要配套安全技术产品;5G 网络建设和智能制造 2025 推进,会促使大量物联网设备接入移动网络,引发新的安全问题;数字人民币的普及,移动终端是主要载体,带来对移动端可信计算的大量需求;个人信息保护法的实施,也将带来个人信息保护产品的发展机遇;更多传统行业开始通过互联网开展业务,带来更多防护需求;黑灰产在国内的生存空间不断被压缩,向周边监管水平落后的国家不断转移,移动安全防护产品也需要随之国际化,向与中国经贸联系密切的国家扩散。
因应这些趋势,未来五年移动终端安全领域的发展路径大体上是:技术上围绕国产基础软硬件,重新构筑完全自主的移动安全生态。设备硬件层次,芯片及其内置的可信计算架构,这方面国内厂商华为、小米、OV 等都有各自布局;操作系统层次,华为鸿蒙系统已经发布了首个内测版,2021 年会有多个搭载鸿蒙系统的产品上市,围绕鸿蒙系统的安全产品生态将会逐步建立起来;应用层次,应用加固防护类产品因应新系统的出现,以及应用开发语言多样化、去 Java 化,将会引入代码逻辑形式化分析技术,建立包含所有主流开发语言的泛语言保护产品体系;业务安全层次,目前运行在云上的业务安全系统大量使用美国商业技术和开源技术的模块都需要被替换,基础算法和基础功能库需要自主开发,最终建立具有完整自主知识产权的云原生的移 动终端数据处理与分析平台。
本报告版权属于关键信息基础设施技术创新联盟所有,受法律保护。未经许可,任何单位及个人不得以任何方式或理由对报告内容进行使用、复制、修改或与其它产品捆绑使用、销售。
转载、摘编或引用本报告内容和观点应注明“来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》”,并书面知会联盟秘书处。
凡侵犯版权等知识产权的,联盟必依法追究其法律责任。
邮箱 | rushcamp@163.com
地址 | 北京市海淀区奥北科技园
20号楼5层
大学生网络安全尖锋训练营
相关链接: