|
CIO时代网微访谈:正益无线CTO赵庆华解密企业移动安全难题2015年1月23日,CIO时代网微访谈聚焦“移动安全”,本次微访谈主持人为北京市燃气集团信息档案中心总工程师、第18届北大CIO班学员王广清先生,参与对话的嘉宾为正益无线CTO赵庆华先生。 王广清:深挖的效果不错,我相信群里各位之前听过赵总讲座的,和我一样,第1次听到赵总对移动安全整体解决方案有如此全面和深入的介绍,希望赵总将这部分资料补充到你后续的讲座中,与更多的人进行共享。另外,赵总提到的移动安全整体解决方案具有普适性,Appcan现在实现了,我觉得其它的移动平台也应该具备。 王广清:赵总,你在回答第1个问题时提到BYOD,那么对于企业采购的移动终端以及员工自带的移动终端(BYOD)其安全管理策略有何不同?如何把握中间的度? 赵庆华:一般场景下,企业下发移动终端可以定义为企业下发的办公设备,类比于PC时代同样拥有便携办公性质的笔记本。这类设备可以理解为专机专用,企业拥有充分的设备和数据管辖权限,因而可以灵活实施和贯彻企业IT安全管理策略。而BYOD设备是员工个人财产,企业无权对设备进行强制和全面的管理,需要尊重员工个人隐私,因而面临法律和管控政策实施难等问题。 对于这两类设备的管控,一般在企业安全策略执行的强制性和尊重员工个人信息的隐私性上作权衡。企业下发设备偏向前者,BYOD设备则更侧重后者,在保证员工个人隐私情况下保证企业数据的安全性。 对于BYOD办公,我们更多地采用应用管理(MAM)、内容(MCM)、邮件(MEM)管理手段,从应用和内容纬度上管控企业应用的接入和数据安全;当然同时也支持可配置安全策略的设备管理(MDM)手段,进行有限管控。 设备管理方面,在AppCan平台中,已区分企业下发设备和员工个人设备,对于不同类型设备采用不同的设备管控策略。对于BYOD设备,MDM手段主要是控制设备接入(注册激活)、企业网络配置下发(Wifi、VPN)、越狱控制、丢失保护(锁定设备、企业应用数据擦除),尽量不触及个人设备数据隐私,一般不作强制性过强的设备级数据擦除、设备定位、应用安装监控等操作。 王广清:确实,我自己的手机只想装企业的应用,但不想被监控~ 王广清:赵总,如何对企业内部应用及公共应用进行管理,如移动应用病毒扫描、更新、删除等? 赵庆华:AppCan的企业移动管理平台支持对第三方公共应用、企业内部应用、WEB Widget应用、网站的综合发布管理。 为了避免应用间的数据安全风险,在引擎层级对企业应用构建安全沙箱进行存储隔离和保护。所有应用都可通过企业的统一应用门户进行安装。因此这些应用需要经过企业安全认证,并确认其安全性后才可安装。 这可以有效避免员工通过第三方商店获取的应用的安全性问题。如果员工通过第三方应用商店安装,通过MDM技术完成应用黑白名单控制和应用删除。同时,借助MDM技术,支持对移动系统自带的应用商店(如苹果AppStore)进行访问控制,允许或禁止从应用商店安装应用程序,以阻断恶意程序的来源,保证应用程序的合法与可控。 企业管理员需要在发布应用前对应用进行病毒检测。Appcan目前与360应用安全监测接口对接,对应用进行安全检查和病毒检查。 王广清:我们知道赵总实施了许多重量级的移动项目,请赵总结合这些项目,给我们介绍一下移动安全做得好的成功案例? 赵庆华:目前我们在企业项目中最大体积的客户是东方航空。从2013年6月份到现在累计终端安装量在10万台左右。目前每日活跃用户在48000左右。由于东航主要采用的是BYOD模式,一线员工基本采用自有终端。因此移动安全方面,东航管控重点主要在应用保护、应用接入、应用管理和设备管理上。应用保护上,通过沙箱加密存储、代码混淆处理、运行时签名校验、资源文件签名验证等手段,保护应用端安全。应用接入上,通过校验应用用户统一认证,在接入端控制应用接口认证,控制应用的平台和后端业务的接入权限。应用分发上,通过AppCan企业应用商店重点管控应用的安全分发和版本管理(升级、关闭),针对不同领域人员控制其应用范围和登录权限。 另一个典型客户是国家电网。AppCan作为中电普华公司的技术支持提供商为国家电网提供移动化平台方案和技术。安全价值方面,除了实现东航类似的应用保护、应用接入、应用管理外,还跟据国家电网物理隔离方案,实现平台通过物理隔离设备安全连接数据库的改造,同时通过终端的动态口令加密传输支持,确保平台数据在HTTP网络上传输数据的安全。根据国家电网安全规范进行了定制开发和调整,使AppCan安全体系与国网体系进行了融合。 第三个案例客户是中化集团,基于AppCan移动平台在集团和下属二级单位已经部署实施了多个移动应用,服务员工5万多人。中化平台体系基本与东方航空相同。 第四个案例是上海医药移动ERP项目,服务于3千多员工,近20个分子公司和部门,除了完成类似东航的应用保护、应用接入、应用管理外,还搭建整体的移动设备(安全)管理平台,达到对使用公司移动业务的移动终端集中管理,集中配置、远程操作;实现移动应用集中管理、封装、发布、远程安装,远程批量推送最新版本应用。 王广清:主持人与赵总的访谈时间到,谢谢赵总的精彩分享,全是干货,下面是提问时间,请大家保持队形! 群里小伙伴的提问汇总: 提问:移动平台选型,请给些建议。 赵庆华:移动平台根据企业需求不同可以有偏重性的考量。如果企业规模比较小 可以单独选择基本的MAM移动应用管理平台即可。如果企业已经有了完善的移动管理体系,可以偏重于企业移动应用开发部分,来提高企业移动项目实施效率。 对于大企业来说,其实我认为移动平台体系中数据平台是最核心的。我们的管理、安全、移动开发其实都是围绕着如何利用和如何安全利用数据来进行的。这部分要着重考量和调研 企业移动战略平台是基础,但更需要IT部门的来用好发挥好平台的能力。一般移动应用处理的大部分数据都是离散的、小量的数据。这也与移动应用体验紧密相关。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
|
|