加载中…
个人资料
明朝万达
明朝万达
  • 博客等级:
  • 博客积分:0
  • 博客访问:8,405
  • 关注人气:5
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
正文 字体大小:

明朝万达孟鑫东:搭建强大的移动应用安全平台

(2011-11-22 11:06:40)
标签:

杂谈

明朝万达孟鑫东:搭建强大的移动应用安全平台

 

(和讯科技消息)
       11月21日,首届“精灵奖”企业级移动应用评选大会在北京举行。在当日下午举办的高峰论坛中,多位嘉宾作出了精彩的演讲。明朝万达渠道销售总监孟鑫东带来了精彩的演讲。

  以下为演讲实录:
        大家好,非常荣幸,也非常高兴能够来到这次盛会,来跟大家分享我们明朝万达对于企业级应用的安全理念,包括架构的设想,跟大家做一些分享和汇报。
        刚才作为聆听者在台下聆听相关的领导包括同仁的发言,使我非常的受启发。尤其是像刚才周主任提到了一点,软件问题,尤其是在国内应用软件方面,有很多情况,外国软件进来会发现有水土不服的情况存在,安全领域这种情况尤甚。
        首先跟大家介绍一下我们明朝万达的发展状况。首先,我们明朝万达自身定位是中国内网安全和应用安全市场的倡导者和领先者。我们已经推出了系列的应用安全的产品。与本次盛会相关的内容,首先从2007年,我们在移动应用,尤其是移动安全应用方面最到的输出,源于跟2007年跟公安部的合作,主要是解决移动警务,包括终端身份认证的问题。结合跟三所的合作,包括我们企业快速的增加我们在相关产品方面的投入,我们在世博,亚运,包括大运会方面,都取得了非常成功的应用,并且在去年和今年签约了大型的包括石油的总部,海油的总部,包括移动里面的像广东、四川等等,都有若干企业跟我们合作。
        从目前的案例积累来看,很多的企业给了我们非常大的信心,信心在于我们目前终端的客户对移动安全,尤其是移动应用普及的情况出现,对应用安全方面的需求十分的迫切。这里面有感觉问题的分享,这是一个图示,传统PC办公的时代我们可能没有非常大的烦恼点,或者相对来说要保护的对象比较单一,比较固定,但是在移动办公的时代可能任何终端的形式都有安全管理的必要。
       从我们看来,对于安全问题的认识有两个方面,一个方面是个人的视角,我们引用诺顿2011年发布的一个安全报告,里面提到参加调查人数的里面有74%的人受到过手机丢失的困扰,有73%的人有意愿进行手机支付,有50%的人特别的对于个人隐私,通过手机,或者通过移动智能终端的方式泄露非常的反感。在我们看来,企业通常情况下关注的是原来我们内网应用的移动化迁移,还有是办公数据的安全。无论是咱们联通,包括应用的同仁也提到过,我们非常非常多的客户需求里面需要的是一个整体的服务网,是一个全产业链的问题。在我们看来,在安全方面的需求确实是非常的迫切,我也想套用傅总的话,当下的手机已经不是原来的手机了。可以做一个稍微深一点儿的分析,造成目前我们没有统一的思路去处理它,经过我们的分析有几大问题。
        第一,对移动智能终端与传统PC的理解上面有差异,我们可能更多的乐意把手机想成是个人的设备,而不是企业的资产。但是随着移动应用的普及,我们会发现这种界限在逐渐的消失,个人的设备和企业的设备更多的界限性在逐渐的消退。
        第二,大多数企业目前应用的建设多处在由传统的内网应用向移动应用做迁移的过程没有精力,没有时间顾及到数据的安全管理。
        第三,企业尤其是广大的私营企业对国家的政策、国家的法规,认知程度有限,缺乏统一的理论或者思想引导。
        第四,我们跟同业的安全厂商,大多数都是吃老本,吃皇粮,不愿意在一个新型的领域进行深度的投入,这方面对我们应用安全,尤其是企业级移动应用领域安全方面百花齐放的局面远远没有到来,受到比较大的制约。
        作为明朝万达,专耕于终端应用安全的厂商,我们从2007年开始就启动了移动安全管理平台的研发和建设,最开始只是一个模型,发展到今天已经有非常强大的一面,在这里跟大家做一个简单的汇报。
        首先介绍一下我们平台的设计思路和设计思想。首先,我们设计这个平台的出发点,在于我们要保持明朝万达产品在应用安全领域的领导地位。第二,我们更多是把移动终端的安全和原有的内网终端的安全,看成是一个范内网的协同管理。第三,我们这个平台已经实现对所有主流智能平台的支持。第四,就是“人人为我,我为人人”的概念,我们要构建一个统一的安全框架,也可以给第三方应用做一个强力的安全支撑。第五,采用、采纳符合国标的商业密码技术,为数据密码做专门的安全加固。第六,平台的设计之初已经涉及云计算,包括物联网的支持。
        从整个平台架构来讲,目前可以从三个角度大约的理解一下平台的主要关注点。第一,移动的安全接入问题,也就是说我们首先要解决一个身份的问题,哪些人、哪些设备获得了合法的身份,才能够对于系统,对于网络进行接入。第二是解决了安全应用的问题。第三是对于设备的合规性做一个管理和说明。当然了,我们所有的软件架构,包括我们的应用架构,都是基于底层的框架研发,这个框架也适用于其他的第三方企业应用或者企业安全的应用。
        从移动安全应用这套系统来讲,想用这个图跟大家说明一下。我们对于应用安全方面的布局分为三类,第一是基本应用,像通讯录、短信、摄像头。第二是通用应用,包括文件的下载和处理。第三是专属应用。
        基本应用,无论是通信录、备忘录、摄像头等等,还是回到刚才的话题,我们很难去界定到底哪些是隐私,哪些是办公数据,但是可以肯定的是,无论是哪种性质的数据,它的丢失都可以对个人和企业造成不可忽视的影响。我们就要定制基础的安全框架,保证专用的应用可以为用户的隐私服务,比如我们可以用自带的摄像头拍一个图片,我们可以为用户提供类似的安全入口,包括摄像头,包括刚才所说的像短信,像通信录。可以想象到,在一个比较大型的企业内部,像通信录,像一些内部的文刊等等,都是比较重要的,甚至可以归为设密文件的内容,我们可以做统一的安全处理,保证数据在本地的安全性。
        第二块是通用应用,这里面我们可以稍微简单一点儿,如果以浏览器或者邮件作为落脚点,可以理解用手机接收和发送的邮件可以进行加密和权限设定,有很多企业的邮件系统是通过Web的方式做架设的,我们可以给移动的终端提供专门的安全应用,保证文档可以处于一种安全的状态,同时,我们可以提供专门文档阅读的安全形式,可以保证手机办公的流畅性,同时保证数据的安全的使用和存储。
        第三方面,可能跟各位同仁息息相关,无论是电信、移动,包括联通,跟我们都有非常多的合作,在座的都是帮助用户构建比较完整的可执行、可使用的移动平台架构,或多或少对安全方面可能比较头疼。作为我们来讲,我们提供统一的接口,统一的文件处置方式,保证相关应用在跟框架进行联动之后,文件存储,文件的权限都可以受到安全方面的加固,对应用安全,包括资料安全,都是很好的支撑。
        这是我们关于应用方面三个方面的组成。从移动应用安全的特性角度来讲做一下补充,首先文件的存储可以交给底层的支撑框架来处理,可以保证文件的存储安全。第二,我们支持加密手段,包括结果数据,也包括过程数据,因为会发现有很多应用有很多中间数据,我们就是保护无论是结果还是过程当中的文件安全。第三,我们可以开放式的对所有的第三方应用做一个很好的支撑,保证我们的安全价值,可以协调其他的应用价值,把移动应用方面的价值做全做大。
        刚才讲到移动安全应用系统,主要是从应用这个纬度去提供专门的安全防护。
       第二个系统也想跟各位做一个说明,就是移动安全接入系统,大约是几个部分,用户身份运维管理、接入安全认证与通讯安全加固、用户访问日志认证、访问权限控制与管理。通过我们跟石油,包括跟一些大型的企业来做交流,大家对于安全方面有所顾虑,我们可以做安全加固。第三是访问控制,企业的内网迁移一定是分业务,或者是分区域的,不可能对所有的人员开启所有的业务,所以我们结合应用访问控制,可以针对部分人开放不同的权限,或者开放不同区域的业务模式,保证这个用户的访问受到严格的管理。
        从部署角度来讲,首先SAI网关接入要保护的服务器的前端,从终端角度来讲,我们有几种证书的载体,要先辨识用户的身份,用证书,或者TF加密卡等等方式是非常安全的途径。结合前端发布的用户体系跟后端的证书来做关联,由网关做身份的效应,同时由网关和加密卡做安全的加密,营造网络接入的链路。
        这里面不得不强调的几点,首先是认证的安全,因为目前看,无论是之前的中国银行(601988,股吧),包括建设银行(601939,股吧),都出现过安全事故,所谓明朝万达的认证,已经远离了传统的用户名和认证方式,我们可以做复合的加载,包括集成动态口令,也包括对用户身份和硬件ID,包括硬件其他属性的结合和绑定,充分保证终端用户,或者终端来访者的安全性。在国内从事类似安全处理,国家的法规,包括政策,还是有必要进行深入的了解,安全的力度和安全的保障不光是得到国家的认可,也得到的客户的认可。再有是设备的可靠性,也得到了国家商用密码局的认可,这样可以被移动安全接入做一个非常好的铺垫。
        作为我们先进引入的一个领域,就是移动终端的安全管理,因为我们觉得解决了用户的身份问题,解决了用户应用数据的安全问题之后,我们还需要做一些事情,我们产品从把方案做全、做强、做大的角度来讲,也要积极纳入到产品线当中来。首先对于外设的集中化管理,包括存储卡的控制。第二是检测用户,或者是设备环境的一个可靠性,或者是一个合规程度,当出现软硬件异常的时候会自动预警。第三是数据的远程销毁,这跟数据的丢失息息相关,当出现恶性事件的时候,首先我们比较欣慰的是通过安全的应用可以保证本地数据的安全储存,如果我们需要把这种安全做实或者做得更为深入,那么我们也支持当手机出现异常情况之后,通过信息发布机制,使其停用或者把所有的存储数据进行销毁。
        通过刚才的介绍,我想跟各位再简单介绍一下我们的产品跟主流的技术思路,或者是技术趋势的结合点。首先是云技术,刚才提到无论是通讯录还是短信的方式,作为企业角度来讲,我们允许数据落到本地,但是作为企业私有云,包括第三方云平台的搭建,都提供了类似的接口可以保证数据存储在云端。但是即便存储在云端还是有两个问题,第一是信息传递到本地过程中的防护。第二,无论是过程信息还是结果信息,存储到本地的时候的安全,这和我们的应用安全是紧密联系的。第三是物联网,在3G技术广泛应用的今天,物联网更加的可行,同时还有一个更大的趋势就是物联网的IT化。在我们看来物联网需要三点做支撑,首先是信息的收集,第二是信息的传输,第三是信息的智能处理。我们可以向用户提供基于设备、基于网络、基于应用的三层体系,保障信息在传输过程中是可靠的、安全的传输状态。
        请允许我借这个机会介绍一下我们整个的产品线,通过这个图大体可以看出来整个产品布局,我们提倡的是一个整体安全框架,在它的下游就是移动安全管理,包括传统智能终端方面的管理,整个产品布局来讲非常的相似,但是略有差别。明朝万达可以创造的最大价值点,不仅仅是在移动品牌方面,我们也非常乐见特意为用户提供整体的安全理念或者安全架构。为什么?因为单纯强调移动终端上的数据安全,这个方面是局限的,因为终端跟终端之间的通信并不局限于此,我们目前提倡的安全里面是一个比较完整的安全架构,在内网体系中,所有终端的通讯,数据交流是可控,是规则,是安全的。
        对于我们产品的平台,尤其是移动安全的管理平台做一个价值分析,首先,我们提供了统一的安全保障机制,再有,也为内网应用的移动化,尤其是移动的安全化提供依据。另外,我们满足了现有的和未来的需求。从移动角度来讲,安全身份的认证,包括个人隐私的防护,包括办公数据的安全,包括网络通讯的加固,包括设备的安全管理。
        通过两个案例想跟各位介绍一下我们产品在相关企业的应用。首先是中石油,我们公司在2008-2009年的时候大规模应用终端安全产品,部署了安全产品之后,我们也跟石油做了深入的交流和探讨,也了解石油需求跟我们产品设计不谋而合,有很多数据采集早期都是通过通过人员,我们可以理解油田的厂区非常非常大,或者偏远,以往的数据采集是很痛苦的过程,可能是以用手记录的方式,这个过程也是比较痛苦和纠结的状态。作为我们可以提供移动安全接入的控制力度来讲,可以和运营商,为石油提供完整的接入和应用的迁移,包括数据在传输过程中的安全和可达性。
        第二个案例是在海关,海关方面首先要做两点,第一点是报关,第二是口岸稽查,在这个过程中有很多数据是要落地的,我们联合海关提供数据安全的加固,同时也提供了安全技术方面的理解,二期我们预计会快速开启全国方面的推广。
        最后想跟大家分享两个问题,第一是应用与安全的关系。有很多情况,我们可能优先考虑到应用对用户的迫切性,但是在移动,尤其是企业级移动应用的大背景下,我们会发现安全和应用的关联程度越发鲜明。很多用户提到安全,像刚才提到的OA,在企业看来都是非常非常敏感的,但是在原有的内网安全架构里面做一些制度,甚至做一些简单的安全处理,就能达到一定的安全控制效果。但是在我们看来,在移动这个领域,应用和安全的关联性愈发的强烈,单纯提供应用给客户,很难创造一个比较和谐的价值。
        第二,移动安全应用的一个管理目标。我们跟用户接触下来,会发现用户无论采取什么样的安全控制手段,或者是安全控制措施,包括技术手段,其实要达到的目标都是为它的管理服务。也就是说在安全界经常提到的一点,就是三分技术,七分管理。这三分技术,其实也跟管理有非常强的关联。作为产品,尤其是作为安全性产品,我们可以为用户提供整体的安全框架,包括各种力度,各种可适配的策略配制,可以为企业的管理目标做非常好的服务,因为管理一定存在差异化,存在精度要求,存在范围要求,如果产品的范畴过于单一,力度过于松驰,都有可能造成产品和制度方面,或者和管理方面的脱节,甚至造成整个项目不能达到目标。我们作为一个整体的安全解决方案的架构,可以为企业,也可以为用户创造非常丰富的安全价值。当然,我们也希望通过这次会议,能够跟大家有一个非常深入、非常友好的交互,可以把我们安全方面的思想,包括对于自身的定位传递给大家,也希望日后我们有更多的合作机会,一同为用户创造更多的安全价值,谢谢大家!

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有