畅谈移动信息化:移动安全三两事儿
2013-06-18 中国软件网 编辑:佚名
基于安全层面的思考,记者近日与明朝万达总裁王志海(后面简称王总)一起,就移动蓝海进行探讨,汇聚一些企业在实施移动信息化方面可能遇到的安全问题,与CIO面临的疑惑,分享与读者:
明朝万达总裁 王志海
记者:现在企业移动化已经向平台化迈步,通过从前端到后端的全局对接完成整体的布局,而信息化方面,管理的安全问题也分为对内的与对外两部分,您能结合明朝万达已有案例/资源谈谈对移动平台化的一些安全理解吗?
王总:移动信息化严格意义上来说依然处于初期阶段,但是众多单位经过初步试点取得成功后,传统信息化系统移动化的需求日益增多,这同时意味着一个单位的企业级移动应用数量将不止一两个,而是会随着移动信息化的深入逐步增加,这就给移动应用的管理带来了系列的问题,简单而凌乱的移动应用及安全产品堆叠无法让企事业单位对快速发展的移动信息化进行有效的支撑和把控,进而促使移动信息化向平台化发展。移动信息化的平台化需求,目前看到的主要集中在信息系统资源调用、移动开发平台和信息安全管理三个方面,明朝万达推出的Chinasec(安元)移动安全管理平台,应该说就是遵循移动安全管理平台化的思路进行设计,并已经在四川电信移动办公平台和佛山市政府移动电子政务平台等项目中取得了成功,上述两个客户的共同特点就是移动应用众多和移动应用开发商有多个。在明朝万达看来,移动信息化的安全问题有两个层面,第一个层面是移动安全本身应该是一个整体,这包括各类安全管理策略的联动和各种移动应用接受统一安全管理;第二个层面是移动安全应该是企事业单位整体信息安全的一个有机组成部分,而不是割裂的,例如用户身份和权限等应该是统一的。
记者:移动信息化的管理来自一些对内的移动OA/CRM领域,企业级移动应用的安全威胁有哪些?
王总:企业移动信息化部署过程中,面临的安全威胁主要包括身份、设备、网络及数据四大方面。身份方面主要来自于用户身份合法性的确认,面临非授权用户访问以及用户身份冒充等威胁。设备方面主要是面临非授权设备和不合规设备带来的安全威胁。网络安全面临的威胁与传统网络安全类似,主要是面临网络窃听和常见网络攻击等风险。数据方面则是要防止恶意软件窃密、设备丢失和合法用户主动泄密等带来的数据泄密风险。
记者:基于移动平台研发的app更不可控,企业内部安装这些app后,会有怎样的风险,以及在这方面,我们可以做些什么?
王总:现在企业采用第三方移动开发平台来实现快速的APP部署已经成为趋势,要降低这些风险,可以从三个方面做工作:一是建立企业的移动应用开发规范,对资源调用和关键行为做出明确规定,并配以有效的检查手段;二是通过类似明朝万达的移动安全管理平台建立完整的安全风险管理体系;三是引入第三方评测机构,对APP的交付进行恶意行为等全面扫描缝隙。
记者:BYOD,智能设备渗透各行各业,员工更多的开始以利用自己的移动设备进行办公,BYOD既节省了公司的支出又提高了员工的工作效率和满意度,受到企业青睐。但也带来很多的安全性及兼容性问题,具体会有哪些问题?那么在这方面我们有怎样的解决办法么?
王总:BYOD模式面临的安全性问题本质上与企业采购移动设备威胁是相类似的,不同点在于由于是个人设备,在安全管理和个人隐私之间要进行区分。Chinasec(安元)移动安全管理平台在面向BYOD模式设计的时候,所有安全管理措施严格聚焦在企业级移动应用及数据自身,对非企业级移动应用和数据避免植入任何管理措施。例如有些企业级移动应用禁止用户通过不安全WIFI接入,我们的做法是仅在用户开启该企业级移动应用的时候执行该策略,一定用户退出该企业级移动应用则不进行管控,从而实现企业安全和个人使用之间的合理平衡。至于现在业界普遍出现的兼容性问题,据明朝万达多年的移动安全产品开发经验,更多是由于一些设计方案考虑不周导致,完全可以从方案和技术整体考虑规避该问题的出现。