杜跃进杜跃进,博士,教授,现任国家网络信息安全技术研究所所长、国家计算机网络应急技术处理协调中心副总工程师,中国计算机学会计算机安全专业委员会常务委员,中国互联网协会网络与信息安全工作委员会副主任委员。哈尔滨工业大学(威海)、北京邮电大学、公安大学兼职教授。 
曾任亚太计算机应急响应组织副主席;国际电信联盟“网络安全日程”高级专家组中方代表的第一专家;第29届奥运会组委会技术部信息网络安全专家;第29届奥运会安全保卫工作协调小组信息网络安全指挥部技术保障专家;上海世博安保工作协调小组网络安全指挥部专家;广州亚运会亚残运会安保工作协调小组网络安全工作部专家。
拥有十余年互联网安全经验,主持或参与了2001年至2008年我国几乎所有大规模网络安全事件的数据监测、技术分析和应急响应协调等工作。在推动我国互联网安全技术能力、应急体系建设等工作中做出重要贡献。作为课题副组长主持研究建设的国家863-917网络安全监测平台成为我国互联网宏观网络安全监测的核心基础设施。在促进网络安全领域国际合作方面作了大量工作,包括起草提出“中国-东盟网络信息安全应急处理协作框架”、在亚太经合组织电信工作组(APEC-TEL)牵头完成僵尸网络应对指导项目与文件等;在网络安全领域提出多项得到广泛认可的创新观点,在国内外网络安全领域具有较大知名度。[1]
曾获得国家科技进步一等奖(排名第三)、新世纪百千万人才工程国家级人选、全国青年岗位能手、信息产业十大杰出青年、中央国家机关优秀青年(两次)、信息产业部重点工程突出贡献奖一等奖、信息产业科技创新先进工作者、2008年度中国信息安全保障突出贡献奖等荣誉称号,获得国务院特殊津贴。
2012年07月04日,2012年中国计算机网络安全年会今日在西安举行,国家互联网应急中心副总工程师、国家网络信息安全技术研究所所长杜跃进在会上发布了"移动智能终端软件安全检测"结果。
有关移动智能终端软件安全检测
我这次汇报的内容是“移动智能终端软件安全检测”,早期时候我们是在第一季度开,我基本上都是讲一个固定的内容,就是过去一年的总结和未来的预测。去年的年会我预测一段时间,今年就不预测了,今年讲一个具体的事情就是移动智能终端。
为什么会讲这个话题,从去年的会议一直到现在,我们一直在关注另外一个热点,主要就是现在各种各样非常有目标的,非常高威胁的,也是危害非常严重的攻击,以及它的应对方法,也包括咱们中国和国际上其他国家相比,到底在网络安全领域里面我们的差距是什么,我们的强项是什么,但是今天移动互联网安全也是非常重要的热点,移动互联网本身是热点、移动互联网的安全也是热点,我只讲其中的移动智能终端的软件的安全。有人在做互联网的检测,而我讲的是代码以及检测。我们原来做安全检测,运营响应等等,为什么今天会说这个?因为过去我们有一些积累,原来也包括移动互联网的工作,但是代码检测是从11年开始我们做了一些项目,主要就是通过移动智能终端的系统包括软件的监测,包括体系架构、技术标准,包括里面代码的静态检测工具和动态检测工具,也包括应用软件的安全。还有一些其他的项目,包括我们在12年参与了发改委的新专项,结合刚才说的公信部的科研项目,前面的科研项目在形成我们的技术能力,后面的专项会要求我们形成服务能力。同时我们对242课题进行了相关研究,以及我们合作单位对联想Phone和安卓方面的积累,这些使得我们现在在做这项工作的理由。 7月4日消息,2012年中国计算机网络安全年会今日在西安举行,国家互联网应急中心副总工程师、国家网络信息安全技术研究所所长杜跃进在会上发布了"移动智能终端软件安全检测"结果。 
今天这个报告是什么意思?主要对刚才说的这些事情,经过了一段时间,在今天这个机会跟大家汇报一下我们现在的进展,然后听取一下大家的意见和建议。另外也希望因为这件事情和互联网安全一样,是需要广泛合作的,没有谁是一家来完成。最终的目的是一样,就是今天会议的主题,我们来改善我们的网络安全环境,让我们的每个用户、整个社会受益。首先做一个铺垫,因为不见得在座的各位都清楚上面的数字,我们在做这个研究的时候搜集了这些数据,可能有点意思。第一,整个移动互联网上面的相关应用软件整个的现状;第二,目前我们已经做的检测分析得到的结论;第三,相当于一个简单的总结。
第一,应用商店。移动互联网和传统的PC有一点不太一样,我们传统的PC怎么进到计算机里面,我们还是有很多软件是通过U盘、通过光盘安装进的,但是至少在今天,所谓的移动互联网的终端软件基本上不是这么来的,基本上通过软件商下载的,有些人收邮件比较多的话,主流还是从软件商店下载。对于中国现在非官方的应用商店,在安卓平台下面有18个软件商店,在苹果的操作系统平台下面有9个第三方的软件商店。如果按类型分布,这些应用软件商店是什么人开的,69.4%是第三方,第二是终端制造商,就是手机制造商,大概占到11%,互联网企业占到8.9%,另外就是操作系统的提供商,最后是电信运营商。我们在这些应用商店,谁里面的应用软件最多,第一位是优亿市场,大概有8万多个,第二是安智市场。
移动互联网应用操作系统分布
中国地区移动互联网应用总量按照操作系统分布,los、安卓和Window和塞班。中国地区安卓和los系统最大的应用,这里面的应用到底都是哪些类型,这个基本上是比较标准的,大家现在都在用苹果,但是把它和安卓放在一起看看挺有意思。比如说在游戏里面安卓平台比较开放,游戏的数量也比苹果的多很多,但是在教育类和旅行类的,苹果的要比安卓的多一些,参考类的安卓多一点,两款平台下的特点不太一样。这是增长情况,这三个都是在增长,但是Window都超过前面两家。我国各地区应用商店下载量的对比情况,我有多少运营商店,商店里有多少货,有多少人去买东西,苹果的占到40%,中国有太多的塞班用户,第三方手机应用商店,第四是移动应用商城,安卓这个东西被很多人稀释了,因为它是很开放的平台,所以很多第三方的应用商店把安卓平台的下载是分散开的。中国地区各应用商店用户经常下载那些应用类型,最多的还是游戏,然后是播放软件,安全防护软件排在第三,这是一个好消息。中国地区下载量的数据段分布,到底多少应用软件,占多大的下载量,超过1000万以上下载量的一共有58款应用,大多数是在500—10000万之间的,大部分应用下载量小于1万款。
下面介绍一下我们到目前为止的分析情况。现在我们做的工作,我们已经采集了48万多个应用软件,首先做了一个简单工作,拿各种各样的我们现在手机杀病毒软件对它进行扫描,各种软件里面在这里面发现超过200多个已经明确是病毒的软件,意味着和传统的计算机不一样,在我们现在正式卖的商品里面叫病毒。另外,我们从这48万多个里面随机选了1万多个软件,利用我们自主研发的工具进行深度代码分析,在这里面发现的情况就比较多了,首先发现的敏感行为,敏感行为不意味着它是病毒,其次也不敢说它一定就是危害用户的,但是它是可疑的,需要进一步分析的,这个比例很高,超过5000个,其中有4个应该存在明显的恶意行为,肯定会损害用户的利益。如果是按照这样算的话,在这48万里面至少有160多个一定是有问题的,虽然没有被病毒软件发现。刚才200个已知的,这是一个软件病毒的名字,软件本身不会以这个名字展现在用户面前。这是201个已知病毒在应用商店中的分布,在这201个里面有48个出现在恩卓市场,有32%是出现在安智市场,有6%是出现在安机市场。某个应用软件它要去读取你的硬件设备ID,或者得到你的SIM卡序列号,或者自动连接你的Wifi网络,自动开启蓝牙,自动发送短信或者彩信,所有这些没有经过你许可,自己就在背后做了,自动连接网络,自动访问网络,访问应用商店,以及自动创建快捷方式。显然这些运作,光一些单一因素就足以让你觉得它有问题,如果这个软件不宣称它是干什么的,你就会发现更多的问题。得到设备ID有2941个,自动连接访问某些网站里面有3000多个,自动发送短信和彩信13个。自动到设备ID对于一些正常的应用程序,它有时候需要做这些事情,因为它要通过设备ID判断我这个设备程序能不能在你这个设备上的非常好的运行,这个是正常的。移动智能终端我们走的是3G,自动连接这些网络其实就意味着你可能会产生流量。自动发送短信和彩信,显然是直接违反用户利益的。自动访问网络,对于刚才3185个软件,自动访问网络去干什么,我们做了一个分析结果,1000多个就去访问谷歌的广告,22%访问谷歌的广告,16%是我们统计的。刚才说到有13个软件会自主发送短信或者彩信,都干什么?现在还需要进一步调查,而且我们也看到下载量,它在软件宣称的名字是通话王,加加遥控,国考大师。
所以从目前来看整个的软件商店和软件商店里的应用总体关系很复杂、很乱,包括这里面涉及到广告主和广告代理,涉及到手机系统运营商,以及涉及到软件开发商,用户,电信运营商,终端厂商,以及CP/SP,它们之间的关系比较错综复杂。如果涉及到其他的关系,这是更加复杂的关系,如果是给行业部门或者政府主管部门,现在看来第三方应用市场对APP还是缺乏监管的,安全检测缺乏权威,检测的方法我们也在完善中。刚才说到重大专项里面有7个标准,其中有一些是别人在做的,但是有些是我们正在做的,但是我们自己感觉到需要进一步完善。另外市场比较混乱。
软件安全检测分析
移动互联网的软件安全检测分析结果。无论从数据量上面,还是对已经分析的内容上面,都还只是一个开始,我们这个工作还在继续做。下面介绍一下我们目前已经做到的,和下一步的工作。刚才说到48万多个移动智能终端的应用软件,它在哪些商店,哪一类的。我们是靠一些规则,我们现在有29个规则,分成三大类,在进一步分析的时候会把一些规则组合使用,然后才能从里面找出来,进一步拓展目标,哪些是真正不合适的,哪些是合理的。另外我们初步建立了内部的标准规范体系,包括业务规范里面,检测业务说明书,检测业务安全规范。在检测规范里面包括管理员的操作手册和验证员的操作规范,在管理规范里面包括人员管理规范、流程管理规范和设备操作规范。能力检测平台是我们这里面的核心技术内容,自主研发的一些工具。在样本验证里面包括wifi/3G数据获取和人工分析。知识库管理方面包括样本管理、规则维护、态势分析。在我们的检测流程里面可能和有些同行不一定一样,我们目前分成四个阶段,第一阶段是通过样本的采集,通过各种各样的渠道在手机上用的各种应用软件;第二阶段是筛选检测,我通过一个规则,由我刚才说的自动分析平台进行筛选,这种思路和我们运营商沟通,运营商每年面对上亿的安全事件,上千亿的代码,你怎么找出来真正冲你来的高威胁的代码,你中间要有筛选过程,然后深度分析,通过人工的深度分析之后提取出来新的规则,这样不断叠加的过程。最后是形成一个综合评估。
虽然我们现在还只是做了很小一部分工作,但是也已经发现大量的问题,包括应用商店的管理问题。我们在做分析的时候发现很多应用商店对放在上面的应用软件有很多不同的具体规定,这个不同的具体规定会导致后面很多工作带来不必要的工作量,可能这个现在很多人没有意识到,改进之后将来会好一点。另外,有相当多的问题软件在公开“销售”,成为进一步释放各类恶意代码的“门户”。我们会看一个软件下载之后,会不会在你不知情情况下自动生成新的ABK,现在看来是有的,这显然是非常大的问题。另外,通过进一步的工作我们会更加确信对移动智能终端的安全检测分析确实是非常重要的,它是很多问题的根源,也是很多工作的基础支撑,移动互联网整个安全里面有很多很多事情,这件事情会对他们有非常重要的支撑。
需要开展的工作。第一复合特征的提炼,及其应用到具体分析中,怎么应用我们现在还在摸索,尽量让它自动化,自动化不了就人工。第二,代码的深度分析,不是说只是用我们这个工具,不是只是坐在我们实验室里面就可以完成这个深度分析。第三,代码的检测结果和安全事件的监测之间要建立联系。
未来可能的挑战与建议。第一,其实我们已经看到在移动智能终端里面有些应用软件它是采取加快保护的,在计算机网络里面这个已经成为一个非常重要的挑战了,我们都知道现在的火焰病毒。我在6月15号紧急召开了一个会议,那天会议之后我就直接去国外的大会去了,它是一个所谓新阶段的安全挑战,就是非常现实的一些事实。移动智能终端里面的软件现在还没有到那一步,但是现在已经看到了,下一步移动智能终端显然可以作为非常好的环节。有目标的、高级安全威胁,可能会更多地进入这个领域。初步建议:应用商店的安全问题其实政府已经在做了,但是从我们目前看到的结果来看,可能还需要进一步加快、加强、和加深,需要更全面和深入的分析。
我的报告就这么多,也期待各位的意见和建议,或者将来我们一块来做这方面的事情,谢谢大家。[2]
主持人:各位网友,大家好,欢迎收看中国信息安全博士网《高端访谈》栏目。我是中国信息安全博士网的记者乔勇。本期我们邀请到的嘉宾是:国家计算机网络应急技术处理协调中心副总工程师杜跃进博士。杜总,您好!
杜总:主持人,你好!各位网友,大家好!
主持人:众所周知,国家计算机网络应急技术处理协调中心是工业和信息化部领导下的国家级网络安全应急机构,相当于行业里的政府。那么,请杜总介绍下互联网安全应急在国家层面的意义?
杜总:2003年以来,我国非常重视应急工作,制定了大量的应急预案。互联网安全应急,是在互联网领域的应急工作,其意义与其他行业的应急是一样的,尤其是作为很多行业都必须依赖的基础设施,互联网安全应急能力还直接影响到其它各行各业的应急能力,因此显得尤其重要。国家网络信息安全技术研究所所长
互联网安全事件是不可能彻底杜绝的,互联网安全应急就是减少互联网安全事件给我们造成的损失的最后一道防线。互联网安全应急,是保障互联网这一基础设施正常运行的重要工作,是国家有关方面在这一领域综合能力的体现。与其他行业不同的是,互联网领域的安全事件非常多,受到很多因素的影响,随时可能发生重大安全事件,安全事件的发生速度非常快,因此对互联网的应急响应能力有很多不同的、更高的要求。
主持人:从国家层面上讲,互联网应急目前面临哪些技术或实施方面的挑战?
杜总:互联网非常开放、非常复杂,在这种情况下对安全事件的及时和准确发现就是一个巨大的挑战;互联网是高度、广泛互联的基础设施,互联网的各个组成部分,包括互联网用户在内,任何一点的安全问题,都可能影响到其它部分,造成重大安全事件,这给安全事件的分析以及事件的处置带来很大挑战;互联网是全球范围很多网络组成的,各个网络有不同的管理和运行单位,甚至面临不同的政策法规和文化,这给事件的处置带来很大难度;互联网里面的安全事件,不但有时候十分隐蔽、难以发现,而且安全事件的发生和发展变化速度非常快,这给应急响应留出的“黄金时间”非常短,对应急响应的要求非常高,在技术上要实现大范围的事件发现、分析和有效响应,都是非常困难的。
主持人:网络安全威胁的未来演变趋势?未来主要会面临哪些方面的挑战?
杜总:更多动机的网络攻击混杂在一起,尤其是有目标攻击、高度有目标攻击会变得更多,这些攻击的发现和应对难度会很大,对我们原来很多安全方面所采用的方式方法可能会带来冲击。尤其是网络战日渐浮出水面,对我们原来所积累的经验、建立的能力等,都造成全新的冲击和挑战,如何适应这种完全不同于以往攻击动机、方法、目标等的新攻击,将是未来需要重点解决的问题。
主持人:在应对网络蠕虫、DDOS、僵尸网络的过程中有什么区别?各有哪些需要注意的地方?
杜总:这几个比较不同。网络蠕虫如果对网络本身产生冲击的话,应对此类威胁最主要的是采取有效措施实施网络遏制,阻断蠕虫大面积蔓延的渠道,研究相应的专用探测和清除工具,解决终端上的问题。对那些对网络本身不构成冲击的网络蠕虫,其应对方法主要是清除用户终端上的恶意程序方面,即传统的病毒防护方面的工作。
DDoS有很多种,通常人们常说的是流量压制、对被攻击目标的协议漏洞攻击、以及对被攻击目标的资源消耗等。对于流量压制来说,首先需要整个网络启用边缘网络设备的源地址验证功能,以减少攻击者伪造攻击地址的能力,然后要建立大范围的流量清洗和阻断系统,将攻击流量尽量在更远的地方分别加以隔离。如果攻击流量还没有达到超过网络带宽的情况,也可以通过局部的流量分析和清洗设备来识别和抛弃攻击流量,减小服务器的压力。此外,还可以通过多点部署、anycast技术等来分担攻击流量,提升攻击者达到目的的难度,当然这种做法也需要付出大量资源,对很多企业和单位不一定能承受。
对被攻击目标实施协议漏洞攻击,也可以达到DDoS的目的,应对方法主要是漏洞修补;对被攻击目标进行资源消耗的情况也比较复杂,攻击者如果使用大量的网络资源进行“正常”的访问请求,会给异常流量的区分带来巨大困难。如果攻击者使用的是僵尸网络资源,则对僵尸网络的打击就成为防止此类攻击的重要工作;攻击者还可能使用域名重新指向、邮件循环等方法来实现,这些更需要就事论事进行分析和解决了。
除了人们通常所说的这些攻击类型以外,攻击者完全可以通过对路由、对域名等的攻击达到拒绝服务攻击的目的。这些情况的应对,则属于另外的领域了。
僵尸网络的应对,最主要的是探测出僵尸网络的控制体系和方法,以及在此基础上对僵尸网络控制体系的定位和摧毁。这其中包括很多领域的工作,要综合多种能力、展开广泛协作才可以实现目标。
主持人:上医治未病,更重要的是在网络攻击发起前检测到它或者在网络安全事件发生之前需要做哪些准备工作?我们在这方面做了哪些工作?
杜总:事件发生之前要做的工作很多,这些工作所需要达到的能力总体上称之为“预能力”,包括安全防护的方案制定与实施、安全策略实施、风险评估与安全检查、人员培训与流程建立、应急预案的建立和演练、相关标准的制定和实施、等等。
其中和安全事件处置直接相关的具体准备工作,主要包括对被保护对象的充分了解,例如被保护对象的技术参数、资产价值等等;事件监测分析能力建设,以便能够及时发现需要关注的安全事件;应急控制能力建设,以便能够对特定安全事件采取技术手段加以紧急遏止;应急合作渠道和流程的建立,以便在发生特定安全事件的时候能够得到各方面必要的支持,从而实现必要的分析和协作处置;制定事件处置的预案和流程,包括应急过程中的媒体管理在内,以便发生安全事件的时候按照预案流程执行,最大程度提升事件处置的效率效果。
主持人:如何保证网络安全工作中代码安全的实施与保障?
杜总:一方面,在软件开发阶段,软件开发部门就需要采取包含软件安全方面的控制流程,尽量减少软件自身的安全缺陷;另一方面,软件使用部门在采购或使用特定软件之前,应该自行或者委托专业机构对软件本身进行安全缺陷检查。对于定制软件,甚至可以委托第三方监理部门对软件开发方的生产过程和代码本身进行安全方面的监理,确保其符合相关的规范。
从长远来说,应该不断积累提炼安全编程方面的经验,形成科学的方法、标准、培训体系等,加强对软件开发人员的培训,提升他们的安全意识和能力水平,进而提升软件代码的安全。
主持人:内网安全、内网保密是当前各个单位比较关心的内容之一。请杜总谈一谈目前在个人敏感信息保护方面有哪些建议及注意事项?
杜总:我觉得内网安全和保密,与个人敏感信息保护是两件事情。内网安全和保密,这几年有了很多进展,包括介质管理、非法外联检测、安全审计等很多成果,合理应用的话能够发挥比较好的效果。
个人敏感信息保护是一个比较复杂的问题。从用户个人的角度来说,主要是提升安全意识,在使用社交网络和其他类似网络应用的时候注意不要随意透露自己的敏感信息,同时要对主要的个人信息窃取的方法有所了解,减少上当受骗的几率,另外还要注意区分所使用的计算机和网络环境的可信程度,不在不安全的环境中使用涉及个人敏感信息的应用获服务。
从服务企业和部门的角度来说,要切实采取必要的技术手段和管理流程来保证其用户的个人敏感信息不被攻击者窃取或者被内部人员滥用,以及一旦发生此类事件能够进行追溯或采取其它措施尽量减少给用户造成的损失。
解决这个问题最重要的是政府和相关管理部门,他们需要制定明确的法律、法规和标准来保护个人敏感信息,对危害个人敏感信息的行为能够依法进行打击(无论是服务行业自身的问题还是攻击者,无论是国内的企业还是国外的企业),要建立相应的第三方监督能力,及时发现个人敏感信息被滥用的行为,要建立事件上报和披露制度,使此类事件发生时不会被隐瞒,等等。总之,政府和管理部门需要建立一个重视个人敏感信息保护的大环境。
主持人:进行网络安全应急响应,对工作人员的要求有哪些?对于有志于从事此行业的学生们应该加强哪方面的锻炼?
杜总:对发生事件的单位自己的安全人员来说:需要对相关的应用系统和安全系统比较熟悉,以便能够进行事件分析;需要对自己的网络和应用十分熟悉,以便快速做出比较准确的判断;要对自己的应急预案和流程十分熟悉,以便快速执行应急措施;需要建立必要的协作圈子,以便及时寻求外界的帮助和支持;需要对相关的法律法规比较了解,以便在整个响应过程中能够平衡应急响应和后续法律事务的要求,为以后的工作做好铺垫。
对专门提供应急响应服务的安全人员来说,要求和上面类似,但是通常他们不会对用户自身网络、应用和资产价值等有过多的了解,但是他们要求对各类网络安全系统和设备十分了解,对各类日志数据有深入了解和分析能力,对主要的系统和应用、网络协议、攻击方法等要有较多的了解等。同时要掌握安全服务的有关规范,切实保证在安全服务的过程中维护客户的利益。
联系客服
