“2012智慧城市高层论坛”分论坛“移动智能终端应用安全分论坛”12月7日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
中电信安全服务部副经理郭亮
郭亮:谢谢校长。我的题目是构建移动智能终端和应用安全防护体系。这在移动互联网里面来讲是很小的题目。今年百度大会的时候,提到了一个百度搜索数据的一个情况。今年百度看到的移动搜索,来自移动终端的搜索率是呈十倍的增长。我想这也说明了我们的移动互联网的发展和应用。当然能够在手机上用百度的肯定是移动智能终端了,这是我想跟大家分享的第一个问题。
第二个问题是大家用智能终端搜的时候,我想其实有一个问题是我们刚才提到的观点,我们说智能终端本身,可以说成是一个云,他的安全也值得我们关注。这样的话也才能真正保证我们智能终端的安全。
首先我想说一下这个PPT,白色的字体大家不知道能不能看到,我们现在用智能移动终端,我想90%的人拿到的是个人的手机,或者是iPad。但是这个图上的终端实际上已经作为我们叫做行业应用,对仓库管理或者是做什么,这已经把我们的移动智能终端和移动互联网引入到我们的传统的行业应用和生产应用系统里面去了。下面我写到的是像银行、保险、证券等等行业做的应用。
其实我的题目主要是围绕行业应用的他的移动智能终端的防护和检测。刚刚我问了一个问题,就是说中心做分级管理的东西,是软件还是硬件,有一个背景在这。刚才NDM是移动终端智能管理,有几个NDM,或者是MDM,MCM,MAM这样的概念。为什么是这样的一个加法,我们用传统手机的时候,加一些和工作相关的数据。但是大家知道,基本上企业办公和行业应用的核心数据。其实这是移动互联网真正需要关注安全的一个部分。因为毕竟可能产生的影响会更大一些。这些数据往往在我们的企业和行业的内网的。我们传统方式怎么做呢?我手机中了病毒以后可以传上去,这样的话对病毒就无线发展了,这个时候怎么办,还有MDM,就是传统的MDM,可以管你的手机,说白了管你手机的生老病死。手机装了什么,用了什么全能看见。这样对手机的用户来讲很不爽。今天我拍什么照片,和什么人聊天,我通过MDM可以都看到。作为我的手机我当然不愿意,这样的话就限制了我们的移动终端的应用。然后,另外一个是MAM,就是我们这些移动的应用,是不是很安全。现在也是没有一个直接保障的。拿电信来讲,我们自己开发了很多应用。到底这个应用是不是有后门,没有人会去做官方评估。这是以前,现在还是有的,包括我们的天翼空间,也给很多的公众用户,我们提出了应用的下载站,他实际上很多应用是不是安全的。我想作为中国电信企业还是有责任做这件事的。
第三个是MCM五,就是刚刚提到的核心所在。当我拿一个手机的时候,我想让他对我自己生活以外的应用,对工作相关的应用的时候,VPN,MDM已经不符合应用了,我们就用MAM,我们叫做移动的容器管理。刚刚中兴通讯提到的,在我们的手机上或者是移动智能终端上单独画一个区域,这个区域可以用你们的生活和工作。我们的管理只针对这个部分来做。所以我特别关注的是软件还是硬件。因为这可能和我们的应用和我们未来发展是相关的。
所以我想整个移动智能终端的安全管理模式由一个最传统的开始导入到现在的MDM。这里是有几个小的关键点了。一个是软件的管理,管我们的资料和OS。第二个是我们的硬件,这是比较常见的了。手机丢了怎么帮你做锁定和擦除等等。另外有我们的安全加密和认证,以及防泄露。以及我们的网络服务管理,他也可以做位置的定位和服务。
在管理模式上,刚刚我讲的一下,我眼中的移动智能终端的管理,对设备的,也是这么一个概念。我们看看这个管理模式,个第一个就是说可能需要对我们的这种使用者,跟我们的企业或者是行业应用的自身的权限管理做一个结合。比如说我们可以去做一些企业身份认证的对接,然后把我们的这些不同人可以通过移动互联网,通过移动终端可以访问我们什么样的核心数据为依据,这其实在手机上应用也很多。360出了一个很牛的应用。是短信加密。你想做一个假的,你自己跟一些人聊天的时候,短信很安全,没有和别的女生沟通,拿一个密码一输入很好。原来后面还有,这样的话在手机上,传统的公众手机上应用很多了。现在实际上面向行业应用的终端,已经作为一个准入的方向,做好权限分配,还要做内部的,我的APP发给谁。刚才中兴通讯讲到了这个应用非常大。我们给国家的单位服务了。可能会买移动终端的设备,这种管理在整个移动智能终端的管理上,海量的用户数也是很关键的。包括资产管理。丢了和谁在用,另外还有监控我们的LOS的合规性,就是防越狱。
另外还有访问控制,强化你的身份识别,包括限制你的安装,这实际上已经引入了我们传统的一些安全的概念。比如说我的像华为,大家都知道华为可能对知识产权,对开发者的终端管理很严格,实际上现在的手机,也有这样的,我通过MDM不让你装一些东西。这实际上已经跳出了安全的范畴,实际上我个人认为用智能终端向行业发展的很关键的环节,这是所谓的逻辑问题,还有加密的数据,包括我们这些,这种我们叫做加壳或者是汇编,把我们分一个套,确保这个不会被别人反解析,然后重新给你放到市场中去。避免这种情况。
另外还有我们的数据管理,以及最后的擦除企业数据,这实际上是整个移动智能终端眼里的一个这么管理的流程模式。关键就是说我们看看后面如何来做这件事。实际上我认为就是说是两点,第一点是说我们要对在一个相对的体系设计比较完整的移动终端上,你要做好一个入口,也就是说我们的入口的时候,这个入口是不是安全的,是不是相对可信的。那么,怎么样来做到这样呢?我想我们可能也是未来会有这么一个构建,会在我们的移动互联网上建一个安全监测和认证平台以确保我们的很多用户的开发可以通过这个平台得到认证,证明这是安全的。大家可以把这些开发产品通过移动互联网传到我们的平台上,我们监测完了以后会返给你一个我们监测过的或者是加壳以后的认证。
这种情况下,我们还有一个是移动智能终的管理平台。刚刚讲到了监测比较简单,我可以把这个通过互联网批送,然后批量下发。然后出错怎么办?我们就需要有这么一个平台。除了像一开始的时候刘东明主任也提到了这个观点,我们在市中的情况下,我们也需要在整个的移动互联网上放一些采集点,因为现在的市场就几百个,但是作为普通的开发者或者是应用来讲,要便利几百个市场还是比较困难的。所以我们对市场的监控,看你的应用是不是安全或者是说是不是再被人仿冒或者是乱用。通过监测以后,我们把这种应用和你的终端做对应,进入我们移动安全控制管理台,通过这个管理台帮你做这种监测和服务,就是我们讲的管理服务。我想这是可以说我如果帮你把好入口,你进来是安全的,同时我帮你把好这个平台的管理,帮你做好维护,可以很好的让我们的用户去使用这种移动互联网和移动智能终端。避免了安全问题,避免了我们大部分的用户,缺乏这种安全问题导致了使用出现的这种不良的影响。限制了行业的发展。我想这是我今天想要分享的内容。
那么,整个防护体系来讲我认为分了三个,一个是APP层面,我们首先是要对我们的整个企业APP商店进行一个分级,包括监测和分发的部署。第二个安全层面是越狱的监测,很多的市场是相对比较封闭的,我拿了这个东西我想越狱的时候,没有谁可以天天看着我,还有就是说隐私策略和选择性擦除,选择性擦除我刚刚讲到了MCM,我的手机真正丢了的时候,我有一个选择性,我是马上权利擦掉,还是说怎么样,我的管理由我个人的,由我企业的,我可以选择我企业来擦除,然后我再去不管用什么方式,我看能不能找回来,找回来以后我可以通过云端的方式把我的企业恢复,这样的话我个人的信息就不会丢。
另外还有证书的认证,以及同步的控制和通讯。这是第二个层面。第三个层面是规模化应用,我们的运营商把我们的合作伙伴做起来的话实际上是可以做到超大规模的部署的支持,还有和企业的AD的结合和自动化策略的实施等等,这三种构成了我们移动智能终端的安全防护体系的概况。
这件事我基本上就介绍完了,主要觉得这件事还是很有意义的。第一个我讲到了,让更多的行业用户,或者是更多的人使用移动互联网移动终端,让更多的互联网的便利性,进入到我们更多的传统应用中去,通过降低成本来进行考虑,能够真正使我们整个的个人和企业的效率相应得到提高。
第二个是这件事我画了这个图,我觉得通过这个模式,我们可以和我们的移动安全厂商和移动应用开发服务商合作,来共同提高APPS的运营安全能力。另外我想和国内的移动安全厂商在合作,也能够提高我们国家在这个方面的知识水平,另外就是说我们能够把我们的整个的这种移动智能管理和防护的这部分的市场和空间给填补起来也能够通过移动终端本身的应用和安全的考虑来做一个产业的发展,我就介绍这些,谢谢大家。
林金桐:谢谢郭总,他讲报告的时间,也可以有提问的时间。咱们听众中哪些有提问的。请举手。刚才你的报告里是不是有了这样的一个你们通信平台的管理以后,如果手机不出问题的话,手机不丢失的话,安全是不是能够得到保证。
郭亮:手机丢不丢都可以得到很好的保证,因为手机除了可以连到3G,4G以外,主要的核心还是应用。我们尽量让应用是干净和安全的。丢了以后我们就远程的控制这些应用和智能终端,所以丢与不丢都是安全的。
林金桐:如果是从射频就有人窃取射频信号或者是从基站对手机的信号,或者是手机和基站的信号被窃取了,这个时候手机的安全你们怎么考虑呢?
郭亮:首先射频的技术是属于通讯范畴,我个人理解是移动个人终端承载的是数据,但是我们的语音数据是通讯的一部分,现在的MDM通过管理和手机应用的话,确保我们在移动智能终端的数据不被窃取。但是窃听的方式,有一些方案可以做,比如说做通讯加密。实际上这种方式在一些,因为我做安全,我是纯做安全出身,一些特殊的情况下还是可以被坚挺的。
