移動互聯網時代智能終端安全形勢嚴峻
責編:admin |2014-11-14 20:34:38在中篇中,我們分析了移動互聯網時代,個人智能終端如何保證安全,那么接下來我們分析如何保障企業化移動終端的安全。
首先要明確的企業終端安全是一個系統工程,并不僅僅是指手中的手機安全就是企業終端安全,整個系統至少包括以下幾個方面。
首先是對用戶和設備的接入進行安全認證。對于個人用戶來說,手機連接哪個網絡都是隨便的,但如果是企業級的應用,或者企業級的服務器,基本上要進行設備和終端的身份認證。因為移動終端的身份不清,操作者真實身份不明確,都存在管理安全的風險。不管是人還是設備,不管是通過互聯網還是通過內網,只要接入企業,都需要進行有效身份認證,這是企業安全的最基本要求。
其次是終端設備本身的安全。即包括硬件、操作系統、應用的安全。這個領域非常廣泛。從操作系統層面來說,操作系統存在漏洞,就需要對漏洞進行修復,還有手機殺毒系統和設備安全管理系統。從應用來說,要對應用安全加固,加固某個APP,讓代碼無法篡改。
最后是終端設備的數據保障與備份。現在是大數據時代,在對安全要求比較高的政務或商務應用中,數據就顯得尤為重要。比如稅務的納稅信息里就有納稅人的詳細資料,警務的設備中會有公民的詳細信息等。隨著企業級應用越來越廣泛,未來企業級的終端上將有更多的數據。而數據的保障、備份是我們不可忽視的。通常的方法包括可以用數據庫加密,專網傳輸數據,而調用數據時,除了密碼,還要有其他認證方式等。
當前終端市場非常熱的一個細分市場,被稱為辦公而造的手機。大背景是在移動辦公趨勢下,越來越多的員工用自己的設備(包括個人電腦、手機、平板等)辦公,這種現象被稱為BYOD(Bring Your Own Device)。比如中國移動、興業銀行都是在手機上批轉公文。BYOD在為員工和企業帶來方便和提高工作效率的同時,也為企業的安全帶來新的挑戰。
那么所謂的BYOD手機和普通手機有什么分別呢?本質可以這么認為,企業要對接入企業網的設備做管控,但員工自己帶的設備里有很多的數據需要安全保障。于是需要BYOD手機既能保護員工個人隱私,又要保障企業的應用安全。這兩種并行要求都需要滿足。
目前BYOD主流方案有三種,分別是應用程序容器、雙域和虛擬化。
先看應用程序容器方案。通過在操作系統上將應用程序通過容器的方式隔離顯示和管理。該方案由于應用程序仍然可以互相訪問,安全性較低。好處是實現簡單且易于部署,適合對安全性要求不高的一般企業和學校等行業客戶。
再看雙域方案。通過軟件劃分雙域,一個用以個人,一個用以企業。企業只管控企業的域。大方向是用兩個OS管理。難度介于應用程序容器和虛擬化之間,可以滿足大型企業對員工設備管理、員工隱私保護、企業數據安全保護等需求,是當前獲得操作系統和終端廠商普遍認可的一種方案。
最后是虛擬化方案。從硬件上保證個人和企業數據及應用程序的完全隔離,實現個人和企業操作系統的獨立。該方案安全性最高,但實現難度較大,需要定制終端,可以滿足軍隊等高級別的安全需求。據說奧巴馬的安全手機就采用了類似的技術方案。
專用移動通信網的應用
除上述之外,專用移動通信網的應用也不失為一種安全解決方案。這是一種通過核心節點“物理隔離”部署專用網絡,滿足安全需求的方法。主要是將“公眾移動通信網”與“專用移動通信網”相結合,通過共享無線接入網,降低組網成本,是一種更加經濟、科學和可持續的安全方案。目前國內基于TD-LTE的政務網市場已經啟動,北京、天津、南京已陸續開展試點。根據行業用戶與公眾用戶共享通信網絡的程度,其可分為以下幾種。
首先是獨立專網。即滿足某個行業/部門的通信需求而單獨建網,其他行業用戶和公共用戶不能接入,例如公安系統采用的模擬專網、TETRA制式專網。
其次是共網專網。即滿足多個行業用戶/部門通信需要而建設的網絡,例如北京政通(TETRA制式)、上海中衛國脈商業專網(iDEN制式)、重慶鐵通專網(GT800制式)等,公共用戶不能接入。
最后是虛擬專網。即依托運營商公眾網絡為行業用戶提供專網服務,例如PoC over TD-SCDMA等,通過引入特殊安全機制、特殊性能優化保證應用需求,行業用戶和公眾用戶都可以接入系統。