“2013智慧城市论坛”分论坛“移动互联网业务创新与信息安全分论坛”5月24日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
中国电信系统集成公司安全服务部总经理 郭亮
上午听了项总的演讲,觉得还是很有味道。我们手机会把我们的关系,把我们的SNS传到互联网上,传到云里,它实际上应该是它的数据对我们的未来有很大的影响。我的题目是“构建移动智能终端和应用安全防护体系”。我们要看移动互联网我们应用最多的由于手机,或者是Pad,就是诸如此类的东西,它会是移动互联网最开始的一张门票,一个基础。第二个它的通道,或者叫应用程序,拿了手机,装了那些应用,这些应用才是你关注的。第三是网络通道,所以,我们做好智能终端,做好移动互联网,要管好你的手机,管好你的网络。
这个图上可以看到我们的基础用户,比如手机通讯录,可能你还会装某些应用程序,这种上面就会遇到一些问题,就是它在计件的时候会把信息读走,这就是操作系统层面的一些漏洞。第二个就是应用,有很多应用现在可能这段时间在抓应用商城的问题,有很多原来被人家植入木马的程序,这是一个情况。还有一个安全的问题是数据丢失,因为你的应用,包括交易,这些构成了移动终端和它后台交易应用的一些风险。我去年讲题目的时候,正好我们给一个部委做项目,它当时有30万的Pad,说他们以前的工作是通过调查表,调查完了以后,扫描,或者是录入到后台,对它来讲其实没有什么太大的问题。现在用了这种Pad以后,这就出现问题了,一个就是传的过程中数据的可靠性,第二、万一数据丢了以后,我能不能通过这个Pad获得大数据,这两个问题实际上把移动互联网和我们后台的应用真正的关联起来了。
我们分析移动智能终端的时候有几个点,第一个就是软件管理,Apps、资料和OS五结合在一起。硬件管理,比如本身资产丢了怎么办,然后包括功能限定,远程协助。还有身份管理,比如加密,认证准入,或者防泄露。还有网络服务管理,注入计费、位置等。举个例子,现在我们的软件管理通常是用应用商店做的,我们做过一些测试,就是我们在一个应用程序开发出来以后,甚至有很多政府,或者政府企业自己开发一些应用,这就有两个问题,一个就是本身这个程序是不是安全可靠,第二个有大量的数据,带来更多的风险。第二个现在这种情况,就是通过安全引擎,扫一扫,就跟传统的信息安全里面一样,扫一扫有没有问题。但是,它有很多业务是扫不出来的。第三个就是我们的软件管理,它的管理手段,目前在安装之前都有一些问题,就是我在一个手机上,或者在一个Pad上,我装一个应用程序没有问题,但是如果同时第二天我朋友觉得这个游戏好,我装一个非法的,或者是有漏洞的,你这个也就会出现问题了。未来移动互联网管理在企业层面,在设备方面,内容方面,应用方面,可能这是一个方面。
举我们自己一个例子,我们自己有一个商城,逆向以后可以看到源代码,我们做了一个反便以后,把这个红框里面的代码改了,作为另外一个链接,然后我们编译完了以后,生成编译,这个里面会出现什么样的问题?只要你打开WIFI这个链接就会不停的连接。当你编译以后,你的终端全部都沦陷了,这就是我们实际看到的一些现状。
移动智能终端的体现包括四个层面,一个是应用的监测,第二个就是应用安全的机制,为什么我们把这个机制分开,因为传统的监测实际上是判断存不存在一些漏洞,需要人去干预它,能够对它整个的应用发布,应用更新做管理,这是监测。第三个就是终端的应用平台,同时要管理好,你在这个终端上到底装了哪些应用程序,管好终端,最后还要管好服务,我们实时的会根据你这个定位系统走到哪里进行定位,这四个方面是管理移动智能终端的普遍架构。
再讲讲重点,应用安全自动化监测,传统的监测,我们看一下苹果,比如IOS开发者会提供一个自动分析平台,但是在政府和中央企业,自己应用的东西很少推送到第三方的平台上去。所以,我们未来可能要自己建立一个应用安全的平台。我们之前处理过类似的移动终端大规模这些问题的实践,当你一个应用发布的时候,当时规模不是很大,当时我们传统的方式就是找运营商,找监控中心来看,最后我们传统的服务器运行的都很好,就是本身监管端的应用服务器出现了问题,这种经过就需要一些人工看你的应用是不是存在逻辑问题。我们同时针对这些情况还要做一些手工分析,并且进行监测,只有这种方式才能把我们的应用做好。我们刚刚讲在移动智能终端的管理,包括硬件,包括软件,包括本身。首先要做一些安全配制,第二会跟企业的应用,或者政府,或者行业应用跟政府进行结合,第三个就是应用的发布,比如我们内部的Apps,我只推到我认可的移动终端上。所以,我们要做好本身应用的发布,第四个就是批量部署,我们会根据你的应用和发布进行定额的推送。同时做好一次性管理,因为有硬件,有软件。然后监控更好的一些IOS合规性,强化身份识别,包括排出不良Apps,然后推送现在终端的一些状况,另外做好Apps通道的加密,最后做好数据管理。通过这样15个步骤,就把我们整个应用终端的安全和应用安全都管起来了。
回顾一下我刚才讲的,第一个就是润色Apps为,我们在软件管理上做好软件的分级,第二个本身终端上的这些检测。同时做好防空通信安全,然后还有就是整合规模化的服务,真正要管理好大规模的部署,本身自己压把用户端的认证做好结合,包括我们的漫游,还有管理,我刚才讲的管理层。通过这样三个方面,还有我刚刚讲的四个问题,基本上就解决了。我们目前也是得到国家发改委的支持,也在开始做一些平台,准备给我们自身以及我们中国的一些政府给他们提供应用的服务。同时,我们也提到针对一些政府应用,我们也可以通过我们的分析能力保证用户的应用风险,同时我们也认为这个品牌未来发布会上线,能够把我们整个国家的移动互联网水平提高。请大家关注我们的官方微信,谢谢大家!
