CIO时代网微访谈：正益无线CTO赵庆华解密企业移动安全难题

1、平台安全体系基石—PKI/CA

AppCan企业移动平台通过证书中心向设备、应用、人员颁发其专属证书，完成设备、应用和服务器之间的身份认证，并且该证书具有可配置的生命周期。通过管理服务可对证书进行有效性管理。

2、后端服务安全

平台后端关键数据和配置采用高强度加密算法保护，并进行访问控制管理，避免非授权应用访问。同时，对平台关键服务进行可用性和安全性监控，确保服务的持续性和安全性。平台采用分布式易扩展的后端云服务架构，关键服务采用多节点负载均衡和容灾保护机制，没有单点失效问题，有效杜绝服务中断隐患。除了安全校验以外着重对移动访问进行了保护性控制，对不同IP来源、不同应用、不同用户可进行访问频次控制，避免恶意攻击对系统稳定性产生影响。完成后端压力控制，根据企业现有系统的服务能力配置访问压力，当前端并发超过后端承载限制后，对新任务进行等待处理，超过等待限制的任务，进行有损忽略。

3、接入安全控制

对平台云后端、管接入、端应用进行统一数字签名认证，杜绝任何一端的接入冒用。平台支持对不同接入服务配置接口访问控制策略，限制应用接入接口的访问能力。同时支持进行应用接入认证配置，对接入的移动应用证书和应用合法性进行服务接入校验。

平台支持多因素身份鉴别手段，除了用户名密码鉴别外，还支持基于设备标识、证书、动态口令等多种形式的软、硬认证手段。根据用户对安全要求的不同，常见采用服务器认证+应用认证+用户认证+二维码认证的组合。平台支持各子系统间关键数据传输采用HTTPS通讯协议，确保通讯数据的保密性和完整性。

4、管理安全

平台管理上，提供灵活的管理员权限分立和授权机制，可以精细化定义管理员的管理权限，杜绝平台管理员滥用，降低管理风险。管理端还提供详尽的管理员操作日志，可以有效监督管理员管理操作，降低企业内部管理风险。管理端还支持基于HTTPS协议的管理端浏览器证书验证机制，有效控制管理控制台的接入合法性。

应用管理方面，除了通过构建企业自有移动应用商店，管控企业移动应用的版本升级，提供基于用户身份的安全分发能力外，还支持应用远程失效控制，可以远程关闭终端上企业应用或应用版本的使用；对企业移动终端设备上安装的应用进行监控，支持黑/白名单策略，可有效过滤所有黑名单应用的安装和使用；支持对应用证书进行有效性管理，控制证书密码和有效期。

目前大型企业项目中企业移动门户或商店已经是必选项。通过统一权威的应用门户可以有效控制企业移动应用的获取渠道。提供企业应用数据可选擦除手段，可以远程选择性地擦除企业应用数据，而不影响用户个人应用数据。

设备管理方面，整体管理设备的移动系统功能权限、应用程序权限、安全性和隐私权限，提供了一体化的移动接入设备全生命周期管理能力，包括设备注册、激活、注销、丢失、淘汰和越狱控制等管控能力，完成用户与终端的注册绑定，保证只有注册激活后的设备上的企业应用才能接入平台，有效限制外来设备的平台接入。支持设备激活控制，可限制激活设备的型号、数量和OS版本，以控制设备接入风险。对于丢失或可疑设备，平台支持采用MDM技术远程锁定设备，擦除设备中的数据，禁用和注销设备，以保证企业业务的访问和数据的安全性。平台还提供设备越狱监控能力，支持越狱警告、禁用设备和限制激活。支持对移动系统自带的应用商店进行访问控制，允许或禁止从应用商店安装应用程序，阻断恶意程序的来源，保证应用程序的合法与可控。

内容管理方面，除了内容采编完成企业移动内容受控发布外，可限制移动内容的移动端用户分享、下载操作，支持对移动端企业下发内容进行存储加密、有效期控制、同步删除等内容保护操作。

5、移动应用防护

端安全方面，平台支持应用沙箱隔离和存储保护机制。应用本地数据隔离存储于受保护的应用沙箱中，并将企业数据与个人数据相隔离，支持配置为存储加密，确保存储到移动设备的数据都经过加密保护，有效杜绝企业业务数据泄漏。

针对应用包可逆向编译带来的数据泄漏问题，AppCan Hybrid引擎提供代码混淆、代码库封装、本地应用配置存储保护等机制，加大破解难度，防止破解者轻易分析出代码逻辑，窃取服务配置。

同时AppCan的前端引擎和插件代码都已经开源，企业可以自行扩展自己的加密能力。也可检查AppCan引擎中的安全漏洞。（当然代码加密部分没有开源）。

针对应用运行时关键资源文件（配置、HTML、图片等）可能被篡改导致的运行安全问题，AppCan Hybrid引擎支持对应用资源文件进行数字签名和存储保护，确保对应文件的完整性和保密性，有效保障应用的运行时安全。这部分保护是自动的，只需要打包时选择了代码加密即可。同时我们也在和其他安全厂商进行合作和集成。例如深信服VPN、爱加密、梆梆等。

补充一下我们的代码加解密都会在内存里进行不会出现在应用运行时应用临时目录下出现原始文件的无厘头场景，安全和体验总会有冲突，企业总是在各种博弈中找到平衡。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友