引言:
包括Gartner在内的IT行业分析机构最新一系列的调查显示,随着无线网络、智能手机、能联网的个人数字助理(PDA)等工具的快速普及,几乎所有具有前瞻性的企业开始部署或考虑部署对以移动的方式对应用程序访问的支持,而这种支持活动将不仅仅限于对个人信息管理相关的应用程序,更多的企业希望能够实现员工在任何地点对所需关键数据的访问,比如当员工走在路上需要获得最新的客户联系信息的情况,从长远看,客户和业务合作伙伴也有可能需要使用这样的资源访问。移动信息化、移动商务通过为行业客户提供的量身定做的信息化解决方案和“一点接入、全网服务、一点结算”的服务,正在从根本上改变社会的生活和商业模式,而目前困扰并阻碍这一进程的最为重要的因素之一,就是移动设备的安全性,能否确保应用程序和敏感数据的无线访问是受控的,是企业IT架构工程师在制定移动解决方案之初就应该纳入到整个IT架构之中的重要组成部分。本文将通过详细分析当前移动解决方案面临的威胁和挑战,具体的安全需求,以及微软Forefront安全解决方案能够在这一架构当中扮演的角色,力图带给读者一个清晰的Forefront安全解决方案实施路线图,尤其希望能够给电信、通信领域安全解决方案实施,带来新的设计和部署参考思路。
1、案例分析公司简介及详细安全需求
A公司是一家通信服务运营商,在A公司所在国家拥有数量庞大的用户群,其主要业务为传统的基于2G(Second Generation)数字通信技术的服务,主要是基于GSM(Global system for Mobile communications)全球移动通信系统提供的相关的服务,在新的应用趋势和技术发展潮流面前,A公司向来以“创新推动业务”为企业发展理念,大力推动新的基于2.5G(2.5 Generation,第二代数字通信技术到第三代数字通信技术之间的过渡技术,)数字通信和新的3G(3 Generation)数字通信服务,并将为企业提供基于智能手机和WiMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)技术的企业级移动商务解决方案纳入到企业业务增长战略之中。
在推动新的技术应用的同时,A公司非常关注对现有运营架构的安全性能的加固,定期对现有的技术架构安全性能进行评估,并制定、实施相应的安全措施,以确保现有的运营机制处于安全控制之下。A公司的整个应用服务架构体系可以粗略地分为以下区域:
用户移动设备;
个人区域网络(PAN,Personal Area Networks);
无线局域网(WLAN,Wireless Local Area Networks);
无线广域网(WWAN,Wireless Wide Area Networks)。
其中,个人区域网络的作用范围最小,特指一个较为狭小的空间,凭借移动设备上的通信技术,如蓝牙、红外等短距离的通信技术进行设备之间信息传递和数据共享,其范围在10米以内,由用户的移动设备组成;无线局域网的范围稍大,如办公室、学校、机场、酒店等范围内的无线局域网络,其作用范围在10-100米的范围,基于小型无线路由等设备来构建,采用标准基于802.11b,A公司的业务构成当中的一部分为向客户提供组件企业级无线局域网络的解决方案,并与之基础架构整合在一起开展。另外,在A公司的内部,也部署有同样的无线局域网络,并与有线网络一起,构成整个A公司内部网络的组成结构;无线广域网指代一个宽泛的无线网络应用领域,其作用范围可达数千米,是A公司主要的业务范围之一。
在这样的应用架构中,存在有多种潜在的威胁和风险,设备自身的安全威胁、无线连接、弱加密技术、授权认证事件、嗅探、信息监听等等。如图1所示在移动设备安全领域所要面对的端到端的安全威胁和潜在风险需求。
图1:移动设备应用领域端到端的安全需求
A公司作为一家大型的通信服务提供公司所拥有的IT基础架构是非常庞大和复杂的,想要非常全面地介绍每个技术细节是不现实的,下面简要分析在整个应用环境当中所占比例较大的各个环境的详细安全需求。
1)、移动设备安全分析
移动设备以网络环境客户端的形式展现,当前的移动设备种类繁多,A公司全面支持所有符合第二代数字移动通信标准的设备,包括支持移动上网的笔记本、便携笔记本、手机、智能手机、支持上网功能的个人数字助理(PDA)、汽车或其他电器设备上的嵌入式联网设备等等,并且在所谓2.5G和3G应用上做了大量的技术和资本投入。对当前设备上所使用的操作系统进行分类,如同PC电脑的分类一样,大致可以分为以下几类:Palm OS、Pocket PC、Symbian、嵌入式Linux以及Windows Mobile等。
这些移动设备的共同点就是缺乏相对较弱的嵌入的安全防护,比如,一台看来功能强大的智能手机,使用Windows Mobile操作系统但缺乏相应的安全防护机制,而目前移动客户端的安全防护实现的也仅限于笔记本等具备强大处理能力、安装有常见操作系统的客户端,采用的防护策略也是与现有安全防护机制无异的PC防护机制。这也是一旦有手机病毒诞生,便可以在极短的时间内感染大量手机、并造成恶劣影响的重要原因之一。
手机的广泛普及率远超计算机的普及率,因此潜在的庞大的市场需求带来的是市场驱动力,已经在PC领域占领相当份额的厂商不会坐失这一庞大的潜在市场,从硬件厂商到软件厂商,纷纷开始制定策略以进入该领域。硬件领域涉及的范围较高端,对于普通用户难以有所选择,芯片厂商可以通过研发加密处理器、智能卡等设备增强移动客户端的加密和通信安全,甚至把部分现有的军用通信加密技术引入到民用设备的生产当中,从硬件级别上提升整体的安全防护级别。
本文更为关注的是软件领域的防护,尽管当前在针对轻便客户端的防护软件尚未形成规模,但有一系列的实施策略来指导软件的开发和实施。
依据A公司的实施经验,在该领域可以分为以下几类:
①基于软件的数据加密。能够在客户端移动操作系统上运行的基于软件的数据加密工具。
②网络层安全。针对具备强大计算能力的客户端,提供网络层客户端强化功能,采用诸如IPSec/VPN之类的客户端访问安全保障以提供增强的安全访问机制。
③传输层安全。在A公司的现行解决方案中,采用技术上成熟的TLS/SSL数据传输解决方案,尽管这两项技术并没有细化到支持“瘦”移动客户端的程度,但在最优的技术标准出现之前,最大程度选择并使用传输安全机制,能够实现最大意义上的安全防护。
④应用程序级别数据加密。提高运行于客户端上的特定应用程序自身的安全级别,例如运行于客户端上的即时通信工具,应加强通信加密以防止潜在的无线嗅探与信息监听。
除硬件层面和软件层面的潜在安全威胁和提升安全的因素之外,更为重要的是作为客户端使用者的人的安全意识的提升和安全防范支持的了解,从物理层面上做好客户端的安全防护,并采用有效的软件方法来提升整体的安全防护。
2)、PAN安全分析
我们经常会无意识地处于一个个人区域网络之中,如果你的手机打开了蓝牙功能,那么在每天早晚的地铁上、公车上,都会存在有一个短时的个人区域网络之中,或许你还也曾经有过这样的经历,在地铁上受到陌生人通过手机蓝牙发送来的图片或者即时消息的情况。再比如周末聚会的时候,大家凑在一起,使用蓝牙或者红外技术分享mp3或者图片等等,这也是PAN应用之一。
基于蓝牙技术的安全防范定义已经非常的完全并且具备很强的鲁棒性,主要表现为授权和加密上。其中,蓝牙数据传输中采用的SAFER+算法,使用的128位的加密密钥,可以保证在数据传输过程中数据本身的安全性。
但早期的蓝牙技术缺乏完全的安全技术的部署,这些早期的设备存在有潜在的数据传输隐患。在蓝牙技术的应用当中最大的潜在安全威胁在于不当的蓝牙使用上面,很多时候为了保证使用的方便性往往导致最大的安全威胁,如果存在有不可变的口令绑定的话,则可能导致密钥破解和口令丢失的情况,从而使得一个客户端设备处于PAN网络的时候,变得非常脆弱而易于被攻击。
相对而言,PAN安全防护上需要的技术投入不大,在现有成熟技术的基础上,做好应用安全意识的提高即可。
3)、WLAN安全分析
WLAN是一个应用非常广泛并且存在有较多安全隐患的应用,关于WLAN的安全讨论和解决方案的实施也已经有相当多的可参考内容,本文将简要地介绍在WLAN当中最重要的安全需求。
当前应用最广泛的WLAN的部署基于IEEE 802.11b(2.4Ghz,最高达11Mbps的传输速率)以及IEEE 802.11a(5Ghz,最高达54Mbps的传输速率),尽管目前有更宽频和更快传输速率的技术和应用趋势出现,但目前在A公司的解决方案实施当中,更多的是前者,毕竟,技术趋势成为一个技术事实,更多的时候是需要客户愿意买单。
在WLAN的覆盖区域内,由于数据传输自身的安全性,使得任意处于该范围内即便是弱覆盖区的无线客户端都具备对该网络的安全威胁,而很多情况下,WLAN的管理人员为了方便,对于接入WLAN的限制非常的弱,比如在酒店,我们常常不需要做任何输入就可以接入到网络,而我们常常听到在某些酒店周围的居民楼内可以享用到免费的无线网络,这是非常大的安全威胁,至少意味着入住该酒店并接入到网络的客户的计算机的安全是得不到保障的。而对于某些入侵者而言,他们只需要把移动设备打开,运行起无线漏洞扫描工具,坐上公车环城一周,便可以轻轻送送定位他想要攻击的目标了,如果看到楼下草坪上有人抱着笔记本在敲打,最好看看是不是有人动了你的奶酪。如图2所示,WLAN潜在的安全威胁:
图2:WLAN覆盖范围内潜在的安全威胁
如图所示,一旦入侵者接入到WLAN覆盖范围,则能够非常轻松地在低速覆盖区域上监听WLAN单元之间的数据传输,这种情况能够采取的入侵手段非常的多,如MAC嗅探、WEP(Wireless Equivalent Privacy,无线等效隐秘)攻击等,距离敏感数据丢失只有咫尺之遥。
在A公司的实施当中,主要应用有以下安全技术以应对WLAN当中潜在的安全威胁,尽管由于数据传输协议自身安全性不高,使得这些安全防护技术显得很无力,但至少在现有技术水平下,能够相对提高安全防护能力:
①服务设备身份识别器。提供非常低级别的安全性,与设备系统打包发布,依赖于系统默认设置。
②SSID广播。较多地应用于公共WLAN,与企业环境的耦合度不高。
③MAC(Medium Access Control)地址过滤。能够提供非常有限的安全防护,现在很多客户端的MAC地址能够被修改。
④WEP。WEP的应用好过什么都没有使用,由于其加密的强度不高,所以能够很轻松地被专业人员破解。
简言之,目前WLAN安全性的讨论还是比较多,意味着该领域的安全解决方案的实施仍有较大的发展空间。
4)、WWAN安全分析
WWAN作为整个无线应用领域涉及人数最多的应用领域,也是A公司的重点业务之一,A公司在设计完善整个公司的基础架构时,在WWAN的应用上,做出了相当大的技术和资本倾斜,并作为公司主要的盈利点。而在世界范围内,由于各国之间的要求和标准不同,而存在着多种不同的解决系统。例如美国使用的CDPD、日本的PDC以及欧洲的GSM,而且这些2G网络的后续网络的部署也已经开始实施,如美国的iDEN和CDMA,欧洲的GPRS等等,而对于3G网络,美国则采用的是W-CDMA、而欧洲的则是UMTS。尽管名称、技术细节多有所不同,但不外朝着频率更高,传输速度更快的方向发展。
在本文将以A公司的GSM网络为依托进行分析,另外GSM网络在全世界其他国家的应用范围也相当的广泛,在欧洲、亚洲以及美国的部分地区都有部署该系统,同时也可以视之为GPRS的应用,因为GPRS的应用很大程度上依赖于GSM的现有网络基础架构。
在5.12中国汶川大地震发生以后,大量的通信基站被毁,由于更由于全国大范围内都有震感,导致几乎大半个中国的移动通信瘫痪,手机打不出电话,发不出短信,好像整个世界都遭遇了电子屏蔽似的。其实很简单,怎样的通信基础架构能够承受的起上亿部的客户端同时呼叫呢?从这个意义上讲,整个通信基础架构最大的安全隐患其实是能够支持的用户峰值,这次惨烈的地震也想我们展示了这样的安全隐患成为安全事实的后果是多么恐怖。越老的设备发出的无线电波在灾难发生的时候,往往是越值得信赖的通信方式,如地震之后满街响彻的收音机的声音。
首先来了解下GSM网络的基础架构,如图3所示:
图3:GSM网络基础架构
如前所述,这样一个架构当中,安全隐患是非常多的,硬件物理安全、移动服务交换中心系统安全等,更基础的安全则是传输数据的安全,以及存储与后端授权认证中心的敏感数据的安全。本文将简要介绍WWAN面对的以下安全威胁:
①传输基站到后端的加密结束。从传输基站到后端服务器的数据是解密的,而这种干净的数据在后端传输过程中的安全性则很容易受到威胁。
②OTA算法的弱点。在GSM网络中使用的OTA算法为A3(授权)、A8(密钥生成)以及A5(会话加密),在当前技术水平下,这三种算法都能够在短时间内被破解。
③SIM卡克隆。当前有很多种已知的方法进行SIM卡克隆,这将能够非常轻松地实现客户端的渠道入侵。
另外已知的攻击手段有拒绝服务攻击、GPRS基于IP的攻击等等,整个WWAN的应用领域需要改进的薄弱环境当前仍旧非常的多,本文也难以一一列举。
2、现有安全解决方案分析
以上针对A公司所提供的移动通信服务涉及的各个环节依次进行了较为深入的分析,由于移动通信领域涉及的技术细节非常的多,本文难以一一阐述这些细节,也超出了笔者的技术范围,在对整个顶层的安全威胁现状做完分析以后,针对A公司自身基础IT机构和其对客户提供的解决方案进行分析,来了解A公司整体的安全解决方案现状。
首先通过整体安全架构图来了解A公司在安全解决方案上的架构和实施现状,为了使得架构图看起来比较清晰易懂,笔者略去了与之业务相关但不涉及到安全部分的基础架构部分,图4展示的A公司安全解决方案整体部署和实施。
图4:A公司整体安全解决方案架构图
在A公司为客户实施的很多解决方案中,A公司推荐其采用了三层安全架构的结构:
核心网络:部署有公司的关键应用服务器和应用服务器。
外围网络:A公司整体安全防护区域,任何外来的访问必须经过该区域才可以使用A公司的应用资源,包括A公司出差在外雇员和内部雇员对相应资源的访问,必须经过外围网络严格的授权与控制才能够使用公司资源。
访问网络:最外层的用户所在的网络,处于公司外围网络之后,任何进入公司核心网络的访问请求必须经过外围网络的控制。
如图4所示,由于A公司提供的服务类型所决定,A公司内部存在有大量大型计算设备,如大型机、超级计算机(用以特殊军事通信计算),以及相当数量的不同的基于Unix、Linux、以及Windows Server操作系统的服务器和服务器集群,这些服务器和服务器集群构筑起了A公司庞大的基础架构网络。
而在A公司的内部应用当中,为促进团队之间协作而部署的微软SharePoint Server和用以邮件服务的Exchange Server也处于企业的核心网络之中,承担起A公司内部协作和快速应用开发的作用。在安全层面上,A公司部署了授权认证服务器,以承担起安全策略、安全管理和安全门户的作用,A公司部署了单点登录服务器,用以简化整个企业环境内的授权认证流程,另外通过一个后端处理的备份和存储机制,以确保在灾难情况下的数据重建与恢复。
外围网络当中集中展示了A公司的安全解决方案实施,首先部署有安全网关和防火墙,用以控制各种客户端对网络资源的访问,途中所列举的各种客户端,必须经过客户端的认证才能够进入公司网络。另外部署的VPN服务器、实施内容过滤服务器和入侵检测服务器,将担负起访问控制、访问内容过滤和潜在威胁日志、报警的功能,电子邮件过滤将实现反垃圾邮件和邮件内容过滤等功能。后续的安全审计服务器则为安全管理员下一步安全防护的决策与安全策略的实施提供量化的数据参考。
这些内部防护策略与A公司采用的其他层面的安全防护策略一起,构筑起A公司整个IT基础环境和客户支持端的移动通信安全防护。
3、引入Forefront安全解决方案分析
全面了解了潜在的移动安全领域的安全需求和A公司安全解决方案实施现状之后,让我们回头思考下,Forefront安全解决方案能够在这样一个庞大的IT应用架构和安全解决方案环境中扮演什么样的角色?又能够发挥什么样的作用呢?
更多的人会认为,通信领域是Unix的天下,顶不济也是Linux的天下,Windows在这里没市场,然后事实显然不像他们想象的那样,在A公司内部运行有相当数量基于Windows Server的服务器,用以对很多关键业务应用提供运营支持,Windows Server良好的用户接口和系统维护,在整个系统维护当中所占的分量并不大,有效支持了A公司很多业务的实施。尤其是虚拟机技术,在A公司分部到总部之间的访问控制当中,扮演着极为重要的角色。
除A公司关键应用的支持之外,A公司还采用了Exchange Server和SharePoint Server,毋庸置疑,它们都运行于Windows Server之上,为A公司的内部协作和快速应用开发提供着技术支持。更值得一提的是,A公司绝大多数出差在外的员工所使用笔记本电脑使用的是Windows操作系统,而与A公司有着密切业务网络的业务合作伙伴和分销商与客户所使用的客户端设备上也使用有Windows操作系统,因此,Windows系列操作系统在A公司整个环境当中占有了相当大的比重。
从客观的角度讲,很难有单一的安全解决方案能够满足A公司如此庞大的基础架构,因此即便微软Forefront安全解决方案有效覆盖了客户端安全、服务器安全和企业网络边界防护,也难以解决A公司所有的安全问题,但Forefront安全解决方案因其与Windows操作系统的紧密耦合性而能够非常好地融入到A公司整个IT基础架构中来,而对Forefront安全解决方案的应用,也能够从很大程度上优化A公司现有的安全基础架构。
首先了解A公司Forefront安全解决方案实施概况,如图5所示:
图5:A公司Forefront安全解决方案实施概况
1)、Forefront ISA Server部署
Forefront ISA Server的应用大大降低了A公司的IT基础架构的复杂度,通过在企业IT环境中部署ISA Server 2006,A公司成功地实现了对现有的VPN服务器、实施内容过滤服务器、网络访问安全网关到ISA Server的集中式迁移。ISA Server 2006提供基于IPSec的VPN访问功能,为客户对企业资源的访问控制提供了安全快捷的访问方式。ISA Server本身作为企业网关产品,有先有的防火墙产品一起构筑起更为坚固的企业边界安全防护。
ISA Server在企业网关、内容过滤、VPN功能上的强大作用,使得过去三台服务器的维护工作量减少为一台服务器,从服务器资源利用率和企业能源节省、服务器维护费用和企业IT整体复杂度上上,都得到极大的收益,尤其对A公司这样拥有非常庞大的IT基础和现有IT资产的组织而言,将能够显著提高企业在服务器运行与维护上的成本降低和效率提高。
ISA Server 2006企业版快捷简易的企业网关集群设置,使A公司在短时期内实现了所有分部和总部之间的企业网关防护集群,提升了整体的安全防护能力。VPN功能为移动员工连接到企业IT环境提供了安全支持,在移动设备客户端的支持上具备强大的控制能力,而ISA Server集群的方式则能够把这一功能最大化。
2)、Forefront Server Security部署
为了强化A公司内部协作和应用程序开发Exchange Server和SharePoint Server的安全性,A公司IT决策层决定引入Forefront Server Security系列产品,同时增强相应的Windows Server的安全性,以提升整个Windows Server应用体系的安全性。
如图5所示,通过部署Forefront Server Security for Exchange Server和Forefront Server Security for SharePoint,并将相应的服务器与安全审计服务器协同工作,为A公司的安全管理员提供了关于Exchange Server和SharePoint Server运行的实时信息。
Forefront Server Security for Exchange Server提升Exchange Server运营的安全性,提升了企业团队之间协作的安全性,团队内部的敏感资料的传递以加密的方式进行严格的传输控制,同时Exchange Server自身运行的安全性也得到大大提高。
Forefront Server Security for SharePoint Server则把基于SharePoint Server的Web应用程序的安全性纳入到企业整体的安全防护之下,在添加、修改、删除基于SharePoint Server应用程序等情况下都能够确保应用程序的安全性,并将之对整个IT基础架构安全性的影响维持在大控制范围之内。
Forefront Server Security连同ISA Server 2006的实施,增强了A公司在整个IT基础架构防护上的安全性,优化了整体基于Windows Server体系的安全性性能,为A公司在移动领域上的安全防护提供了大力的支持。
3)、Forefront Client Security
受诸多条件的限制,目前Forefront Client Security仅能够在具备强大计算能力的移动客户端上运行,换言之,就是能够在运行有Windows操作系统的客户端上运行,而且目前尚未实现对Windows Mobile操作系统的支持,但对于A公司数量庞大的使用PC、笔记本的员工以及业务合作伙伴、分销商、供应商等客户端而言,Forefront Client Security已经能够满足大量用户的日常安全需求了,在Forefront Client Security的实施当中,A公司的IT安全实施人员与来自微软的安全专家们一起,构筑起了A公司基于C/S架构的客户端安全防护体系。
通过与微软的合作关系,A公司成功部署了Forefront Client Security代理服务器,用以提升Forefront Client Security升级与更新,更好地实现客户端的防毒、杀毒功能,并授权A公司在企业内部和合作伙伴之间实现快速的Forefront Client Security的软件分发。部署有Forefront Client Security软件的电脑能够连接到代理服务器,并进行快速的病毒信息更新。
鉴于其他类型移动客户端的应用逐步广泛,希望能够有越来越多的厂商进入手机、PDA安全领域,为这类客户端的安全防护推出实用性的防护软件。也期待Forefront Client Security能够早日实现到Windows Mobile平台的迁移。
小结
移动设备应用领域是一个新的安全应用领域,该领域正在吸引越来越多的技术狂热者们投入大量的时间、设备来进行相应安全性的研究和实践,随着技术和标准的不断成熟和完善,安全层面的规律也越来越容易被掌握,而作为移动领域服务提供者的运营商而言,在防范现有的常规攻击行为之外,还要面对新的针对移动设备的攻击方式。尽管目前看来在这些领域的应用尚不成熟,但庞大的应用需求必定会推动更多的安全厂商在这一领域的应用,也必将开创新的应用市场。本文概述了当前在移动设备应用领域存在安全威胁现状,以及作为移动通信运营商的A公司的整个安全防护机制,以及微软Forefront安全解决方案在这一领域的应用,希望能够为寻求该领域解决方案的解决方案设计者们提供有用的参考信息。