在中篇中,我們分析了移動互聯(lián)網(wǎng)時(shí)代,個人智能終端如何保證安全,那么接下來我們分析如何保障企業(yè)化移動終端的安全。
企業(yè)終端安全是系統(tǒng)工程
首先要明確的企業(yè)終端安全是一個系統(tǒng)工程,并不僅僅是指手中的手機(jī)安全就是企業(yè)終端安全,整個系統(tǒng)至少包括以下幾個方面。
首先是對用戶和設(shè)備的接入進(jìn)行安全認(rèn)證。對于個人用戶來說,手機(jī)連接哪個網(wǎng)絡(luò)都是隨便的,但如果是企業(yè)級的應(yīng)用,或者企業(yè)級的服務(wù)器,基本上要進(jìn)行設(shè)備和終端的身份認(rèn)證。因?yàn)橐苿咏K端的身份不清,操作者真實(shí)身份不明確,都存在管理安全的風(fēng)險(xiǎn)。不管是人還是設(shè)備,不管是通過互聯(lián)網(wǎng)還是通過內(nèi)網(wǎng),只要接入企業(yè),都需要進(jìn)行有效身份認(rèn)證,這是企業(yè)安全的最基本要求。
其次是終端設(shè)備本身的安全。即包括硬件、操作系統(tǒng)、應(yīng)用的安全。這個領(lǐng)域非常廣泛。從操作系統(tǒng)層面來說,操作系統(tǒng)存在漏洞,就需要對漏洞進(jìn)行修復(fù),還有手機(jī)殺毒系統(tǒng)和設(shè)備安全管理系統(tǒng)。從應(yīng)用來說,要對應(yīng)用安全加固,加固某個APP,讓代碼無法篡改。
最后是終端設(shè)備的數(shù)據(jù)保障與備份。現(xiàn)在是大數(shù)據(jù)時(shí)代,在對安全要求比較高的政務(wù)或商務(wù)應(yīng)用中,數(shù)據(jù)就顯得尤為重要。比如稅務(wù)的納稅信息里就有納稅人的詳細(xì)資料,警務(wù)的設(shè)備中會有公民的詳細(xì)信息等。隨著企業(yè)級應(yīng)用越來越廣泛,未來企業(yè)級的終端上將有更多的數(shù)據(jù)。而數(shù)據(jù)的保障、備份是我們不可忽視的。通常的方法包括可以用數(shù)據(jù)庫加密,專網(wǎng)傳輸數(shù)據(jù),而調(diào)用數(shù)據(jù)時(shí),除了密碼,還要有其他認(rèn)證方式等。
BYOD新挑戰(zhàn)
當(dāng)前終端市場非常熱的一個細(xì)分市場,被稱為辦公而造的手機(jī)。大背景是在移動辦公趨勢下,越來越多的員工用自己的設(shè)備(包括個人電腦、手機(jī)、平板等)辦公,這種現(xiàn)象被稱為BYOD(Bring Your Own Device)。比如中國移動、興業(yè)銀行都是在手機(jī)上批轉(zhuǎn)公文。BYOD在為員工和企業(yè)帶來方便和提高工作效率的同時(shí),也為企業(yè)的安全帶來新的挑戰(zhàn)。
那么所謂的BYOD手機(jī)和普通手機(jī)有什么分別呢?本質(zhì)可以這么認(rèn)為,企業(yè)要對接入企業(yè)網(wǎng)的設(shè)備做管控,但員工自己帶的設(shè)備里有很多的數(shù)據(jù)需要安全保障。于是需要BYOD手機(jī)既能保護(hù)員工個人隱私,又要保障企業(yè)的應(yīng)用安全。這兩種并行要求都需要滿足。
目前BYOD主流方案有三種,分別是應(yīng)用程序容器、雙域和虛擬化。
先看應(yīng)用程序容器方案。通過在操作系統(tǒng)上將應(yīng)用程序通過容器的方式隔離顯示和管理。該方案由于應(yīng)用程序仍然可以互相訪問,安全性較低。好處是實(shí)現(xiàn)簡單且易于部署,適合對安全性要求不高的一般企業(yè)和學(xué)校等行業(yè)客戶。
再看雙域方案。通過軟件劃分雙域,一個用以個人,一個用以企業(yè)。企業(yè)只管控企業(yè)的域。大方向是用兩個OS管理。難度介于應(yīng)用程序容器和虛擬化之間,可以滿足大型企業(yè)對員工設(shè)備管理、員工隱私保護(hù)、企業(yè)數(shù)據(jù)安全保護(hù)等需求,是當(dāng)前獲得操作系統(tǒng)和終端廠商普遍認(rèn)可的一種方案。
最后是虛擬化方案。從硬件上保證個人和企業(yè)數(shù)據(jù)及應(yīng)用程序的完全隔離,實(shí)現(xiàn)個人和企業(yè)操作系統(tǒng)的獨(dú)立。該方案安全性最高,但實(shí)現(xiàn)難度較大,需要定制終端,可以滿足軍隊(duì)等高級別的安全需求。據(jù)說奧巴馬的安全手機(jī)就采用了類似的技術(shù)方案。
專用移動通信網(wǎng)的應(yīng)用
除上述之外,專用移動通信網(wǎng)的應(yīng)用也不失為一種安全解決方案。這是一種通過核心節(jié)點(diǎn)“物理隔離”部署專用網(wǎng)絡(luò),滿足安全需求的方法。主要是將“公眾移動通信網(wǎng)”與“專用移動通信網(wǎng)”相結(jié)合,通過共享無線接入網(wǎng),降低組網(wǎng)成本,是一種更加經(jīng)濟(jì)、科學(xué)和可持續(xù)的安全方案。目前國內(nèi)基于TD-LTE的政務(wù)網(wǎng)市場已經(jīng)啟動,北京、天津、南京已陸續(xù)開展試點(diǎn)。根據(jù)行業(yè)用戶與公眾用戶共享通信網(wǎng)絡(luò)的程度,其可分為以下幾種。
首先是獨(dú)立專網(wǎng)。即滿足某個行業(yè)/部門的通信需求而單獨(dú)建網(wǎng),其他行業(yè)用戶和公共用戶不能接入,例如公安系統(tǒng)采用的模擬專網(wǎng)、TETRA制式專網(wǎng)。
其次是共網(wǎng)專網(wǎng)。即滿足多個行業(yè)用戶/部門通信需要而建設(shè)的網(wǎng)絡(luò),例如北京政通(TETRA制式)、上海中衛(wèi)國脈商業(yè)專網(wǎng)(iDEN制式)、重慶鐵通專網(wǎng)(GT800制式)等,公共用戶不能接入。
最后是虛擬專網(wǎng)。即依托運(yùn)營商公眾網(wǎng)絡(luò)為行業(yè)用戶提供專網(wǎng)服務(wù),例如PoC over TD-SCDMA等,通過引入特殊安全機(jī)制、特殊性能優(yōu)化保證應(yīng)用需求,行業(yè)用戶和公眾用戶都可以接入系統(tǒng)。
京公網(wǎng)安備 11010502049343號