暢談移動信息化：移動安全三兩事兒

您的位置： 公告 - 行業新聞 - 暢談移動信息化：移動安全三兩事兒

　近兩年，伴隨著企業移動化需求增長，BYOD與移動信息化方案正在逐步試水各行各業。 對企業來講，BYOD即代表對智能終端的管控正在遠離依托，基于移動平臺的企業級App應用也為企業增加了新的風險，并額外增加了信息通信與管理成本。對于企業CIO來講，做不到安全把控的實施方案再好，也只能紙上談兵，而真正決定企業移動化發展進程的，也正是企業對移動安全的考量。
　　基于安全層面的思考，記者近日與明朝萬達總裁王志海(后面簡稱王總)一起，就移動藍海進行探討，匯聚一些企業在實施移動信息化方面可能遇到的安全問題，與CIO面臨的疑惑，分享與讀者：

　　 記者：現在企業移動化已經向平臺化邁步,通過從前端到后端的全局對接完成整體的布局,而信息化方面,管理的安全問題也分為對內的與對外兩部分,您能結合明朝萬達已有案例/資源談談對移動平臺化的一些安全理解嗎?
　　王總：移動信息化嚴格意義上來說依然處于初期階段，但是眾多單位經過初步試點取得成功后，傳統信息化系統移動化的需求日益增多，這同時意味著一個單位的企業級移動應用數量將不止一兩個，而是會隨著移動信息化的深入逐步增加，這就給移動應用的管理帶來了系列的問題，簡單而凌亂的移動應用及安全產品堆疊無法讓企事業單位對快速發展的移動信息化進行有效的支撐和把控，進而促使移動信息化向平臺化發展。移動信息化的平臺化需求，目前看到的主要集中在信息系統資源調用、移動開發平臺和信息安全管理三個方面，明朝萬達推出的Chinasec(安元)移動安全管理平臺，應該說就是遵循移動安全管理平臺化的思路進行設計，并已經在四川電信移動辦公平臺和佛山市政府移動電子政務平臺等項目中取得了成功，上述兩個客戶的共同特點就是移動應用眾多和移動應用開發商有多個。在明朝萬達看來，移動信息化的安全問題有兩個層面，第一個層面是移動安全本身應該是一個整體，這包括各類安全管理策略的聯動和各種移動應用接受統一安全管理;第二個層面是移動安全應該是企事業單位整體信息安全的一個有機組成部分，而不是割裂的，例如用戶身份和權限等應該是統一的。
　　記者：移動信息化的管理來自一些對內的移動OA/CRM領域,企業級移動應用的安全威脅有哪些？
　　王總：企業移動信息化部署過程中，面臨的安全威脅主要包括身份、設備、網絡及數據四大方面。身份方面主要來自于用戶身份合法性的確認，面臨非授權用戶訪問以及用戶身份冒充等威脅。設備方面主要是面臨非授權設備和不合規設備帶來的安全威脅。網絡安全面臨的威脅與傳統網絡安全類似，主要是面臨網絡竊聽和常見網絡攻擊等風險。數據方面則是要防止惡意軟件竊密、設備丟失和合法用戶主動泄密等帶來的數據泄密風險。
　　記者：基于移動平臺研發的app更不可控,企業內部安裝這些app后,會有怎樣的風險,以及在這方面,我們可以做些什么?
　　王總：現在企業采用第三方移動開發平臺來實現快速的APP部署已經成為趨勢，要降低這些風險，可以從三個方面做工作：一是建立企業的移動應用開發規范，對資源調用和關鍵行為做出明確規定，并配以有效的檢查手段;二是通過類似明朝萬達的移動安全管理平臺建立完整的安全風險管理體系;三是引入第三方評測機構，對APP的交付進行惡意行為等全面掃描縫隙。
　　記者：BYOD，智能設備滲透各行各業，員工更多的開始以利用自己的移動設備進行辦公，BYOD既節省了公司的支出又提高了員工的工作效率和滿意度，受到企業青睞。但也帶來很多的安全性及兼容性問題，具體會有哪些問題？那么在這方面我們有怎樣的解決辦法么？
　　王總：BYOD模式面臨的安全性問題本質上與企業采購移動設備威脅是相類似的，不同點在于由于是個人設備，在安全管理和個人隱私之間要進行區分。Chinasec(安元)移動安全管理平臺在面向BYOD模式設計的時候，所有安全管理措施嚴格聚焦在企業級移動應用及數據自身，對非企業級移動應用和數據避免植入任何管理措施。例如有些企業級移動應用禁止用戶通過不安全WIFI接入，我們的做法是僅在用戶開啟該企業級移動應用的時候執行該策略，一定用戶退出該企業級移動應用則不進行管控，從而實現企業安全和個人使用之間的合理平衡。至于現在業界普遍出現的兼容性問題，據明朝萬達多年的移動安全產品開發經驗，更多是由于一些設計方案考慮不周導致，完全可以從方案和技術整體考慮規避該問題的出現。