移动互联网时代智能终端安全形势严峻

 在中篇中,我们分析了移动互联网时代,个人智能终端如何保证安全,那么接下来我们分析如何保障企业化移动终端的安全。

  首先要明确的企业终端安全是一个系统工程,并不仅仅是指手中的手机安全就是企业终端安全,整个系统至少包括以下几个方面。

  首先是对用户和设备的接入进行安全认证。对于个人用户来说,手机连接哪个网络都是随便的,但如果是企业级的应用,或者企业级的服务器,基本上要进行设备和终端的身份认证。因为移动终端的身份不清,操作者真实身份不明确,都存在管理安全的风险。不管是人还是设备,不管是通过互联网还是通过内网,只要接入企业,都需要进行有效身份认证,这是企业安全的最基本要求。

  其次是终端设备本身的安全。即包括硬件、操作系统、应用的安全。这个领域非常广泛。从操作系统层面来说,操作系统存在漏洞,就需要对漏洞进行修复,还有手机杀毒系统和设备安全管理系统。从应用来说,要对应用安全加固,加固某个APP,让代码无法篡改。

  最后是终端设备的数据保障与备份。现在是大数据时代,在对安全要求比较高的政务或商务应用中,数据就显得尤为重要。比如税务的纳税信息里就有纳税人的详细资料,警务的设备中会有公民的详细信息等。随着企业级应用越来越广泛,未来企业级的终端上将有更多的数据。而数据的保障、备份是我们不可忽视的。通常的方法包括可以用数据库加密,专网传输数据,而调用数据时,除了密码,还要有其他认证方式等。

  当前终端市场非常热的一个细分市场,被称为办公而造的手机。大背景是在移动办公趋势下,越来越多的员工用自己的设备(包括个人电脑、手机、平板等)办公,这种现象被称为BYOD(Bring Your Own Device)。比如中国移动、兴业银行都是在手机上批转公文。BYOD在为员工和企业带来方便和提高工作效率的同时,也为企业的安全带来新的挑战。

  那么所谓的BYOD手机和普通手机有什么分别呢?本质可以这么认为,企业要对接入企业网的设备做管控,但员工自己带的设备里有很多的数据需要安全保障。于是需要BYOD手机既能保护员工个人隐私,又要保障企业的应用安全。这两种并行要求都需要满足。

  目前BYOD主流方案有三种,分别是应用程序容器、双域和虚拟化。

  先看应用程序容器方案。通过在操作系统上将应用程序通过容器的方式隔离显示和管理。该方案由于应用程序仍然可以互相访问,安全性较低。好处是实现简单且易于部署,适合对安全性要求不高的一般企业和学校等行业客户。

  再看双域方案。通过软件划分双域,一个用以个人,一个用以企业。企业只管控企业的域。大方向是用两个OS管理。难度介于应用程序容器和虚拟化之间,可以满足大型企业对员工设备管理、员工隐私保护、企业数据安全保护等需求,是当前获得操作系统和终端厂商普遍认可的一种方案。

  最后是虚拟化方案。从硬件上保证个人和企业数据及应用程序的完全隔离,实现个人和企业操作系统的独立。该方案安全性最高,但实现难度较大,需要定制终端,可以满足军队等高级别的安全需求。据说奥巴马的安全手机就采用了类似的技术方案。

  专用移动通信网的应用

  除上述之外,专用移动通信网的应用也不失为一种安全解决方案。这是一种通过核心节点“物理隔离”部署专用网络,满足安全需求的方法。主要是将“公众移动通信网”与“专用移动通信网”相结合,通过共享无线接入网,降低组网成本,是一种更加经济、科学和可持续的安全方案。目前国内基于TD-LTE的政务网市场已经启动,北京、天津、南京已陆续开展试点。根据行业用户与公众用户共享通信网络的程度,其可分为以下几种。

  首先是独立专网。即满足某个行业/部门的通信需求而单独建网,其他行业用户和公共用户不能接入,例如公安系统采用的模拟专网、TETRA制式专网。

  其次是共网专网。即满足多个行业用户/部门通信需要而建设的网络,例如北京政通(TETRA制式)、上海中卫国脉商业专网(iDEN制式)、重庆铁通专网(GT800制式)等,公共用户不能接入。

  最后是虚拟专网。即依托运营商公众网络为行业用户提供专网服务,例如PoC over TD-SCDMA等,通过引入特殊安全机制、特殊性能优化保证应用需求,行业用户和公众用户都可以接入系统。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:IBM钱大群:用开放技术支持中国科技安全可控