2011年12月8日,“2011中国手机产业发展大会”在北京国宾酒店正式召开。
主持人唐雄燕:感谢刘总给我们全面深刻分析移动互联网产业的发展趋势以及索爱在这方面战略考虑。下一位演讲人来自RIM安全经理熊立峰,报告题目是信息移动,安全先行。
熊立峰:谢谢主持人,首先感谢主办方给我们RIM一个机会,今天很高兴有机会跟大家分享一下我们一些对安全方面的看法。
我来自于捷讯移动熊立峰,有些人不太熟悉,我们的产品是黑莓手机,这个大家比较清楚一些。我们前一段时间有一次聚会,大家说手机为什么现在这么流行?对我们生活影响越来越大。有人说手机可以通信,很方便,手机可以携带方便。我记得当时老王这么说的,他说这个事情很简单,因为人喜欢动,因为人本身是移动的,所以手机他喜欢。比如珠宝、汽车什么都很喜欢。另外有人反驳说那房子不能动,我们也很喜欢。老王说因为人类不仅追求移动,而且人类也追求一个栖身之所,他代表安全。今天我们内容既和手机相关,也和安全相关。
本质来讲人类追求一种自由,手机把自由释放出来,我们随时可以使用。我今天内容有两个部分,一部分是移动信息化的安全挑战,另外一部分是移动信息化的安全对策。
我们知道手机在应用非常广泛,手机在企业应用中能否符合企业安全要求?这是值得探讨的问题。对于企业或者商务上应用来讲,对手机有些什么样的要求?在部署的时候有一些什么样的策略,也是值得考虑的问题。
先看一下移动信息化的安全挑战,这里有一个调查报告,移动信息化在企业中一些应用。主要是智能手机和移动应用,左边这个图调查问题是机构员工在机构里边手机主要用什么用途?排名最高是收公司邮件,第二是私人邮件,第三是WIFI,第四是访问内部资源。对于个人来讲可能有些不一样,个人用户来讲现在可能微博是一个非常主要的应用。右边这个图调查说在机构里边哪些智能手机在企业利用里边。黑莓手机排在第一,苹果和Android排在后面。黑莓在安全和企业应用做了很久了。我们看到移动信息化刚刚起步,还有更多空间能够进一步发展。
第二个调查解决我们小小的问题,为什么移动信息化推广不那么快。其中一个主要原因就是信息安全。这个地方有一个调查报告,这个调查报告是说企业在采用不同新技术的时候对它的安全会关注或者是对风险会关注,做了这么一个调查。这个调查很有趣,智能手机排名榜首,他是最担心。排在第二是Web2.0,第三是云计算。智能手机,用户特别是企业用户对企业信息安全的顾虑排在第一位,甚至超过云计算。这不是一个好事,一方面他会阻碍移动信息化的推广,但另一方面说明用户对这个事情很关心,相对而言也是一个好事。用户这种顾虑并不是无中生有,并不是空穴来风。我们可以做一些基本描述,这些描述包括在工作中或者企业中最担心它的威胁是什么?这也是非常具体安全的威胁。排在第一位是数据,担心数据被盗取,有就是盗取数据的木马。第二就是恶意软件,这里指通用恶意软件。另外还有一些窃听恶意软件,还有一些移动代码,这些都是很现实的威胁。这些威胁的存在,企业用户自然而然会感觉到风险很大,移动信息化的时候也会有问题。同时这个调查信息也显示,有一些企业也经历了实实在在的安全威胁。右边这个数据里边经历以下哪些安全攻击?其中40%的人说没有经历过,有些人还是觉得比较安全。但实际上我们看有29%的人经历过恶意代码攻击,也有28%的人经历过恶意软件的攻击。这个比例很高,对于企业用户来说这是蛮大的风险。这实实在在的安全威胁是一个阻碍手机特别是智能手机进入企业用户非常大的屏障。其实这些威胁以及相关风险是跟手机的特性相关。相对于传统系统而言,移动信息安全更需要重视。
我们从两个方面来简单介绍一下,左边我们列出一些,当我们智能手机进入到企业应用之后他有什么重要之处?首先智能终端进入企业应用系统之后成为重要的业务处理终端。会存储比较敏感的业务数据,而且往往这样的终端是需要访问内部网络。我们知道这样相当于打开一个内部网的一个窗口,这样内部网络有一个可以访问的通道,这个通道可以离开你的企业内部,这是值得担心的地方。而且这个系统一旦运行起来之后,手机这种智能终端就成为了业务流程一部分,不可以停顿下来。根据我们的经验,最早实现移动信息化通常是一些高管,他承载一些关键业务。最后,应用了移动移动终端之后可以大幅提高效率,一旦他有问题,相反大幅降低,甚至可能会影响内容的运转。同时,移动终端还有很多独特之处,比如说他随时随地可以使用,这样他就非常容易丢失,手机丢失是很常见的。我们先不说企业数据丢失的情况,我们经常看到新闻里边报道说有的人本来没有名气,但是丢了手机,就有非常多的名气。也有人是非常健康的名声,但是手机丢失之后,变成了非常不好的名胜。对企业用户来讲风险更是偏大。其次手机容易失控,我们电脑放到办公室里面或者笔记本相对而言有保护机制,可我们手机有可能被人简单用一下,拿去看一下或者短时间内你放在桌子上离开一会,这种情况很常见,它很容易失控。这段时间之内发生什么事情,需要大家想象一下。其次我们看到大部分的移动终端在安全控制方面做的工作还是相对比较少,缺乏足够的保护。在中国这种现状来讲,还有一个比较有趣现象就是个人业务混合使,手机有时候不仅工作行为,也用于个人行为,不分开的。由于各种各样的特点,所以手机是比较难以管理,这是它非常困扰企业用户的地方,特别是信息安全方面。
这里找一张图片,是一张非常漂亮的沙滩的城堡,后面是广阔的大海。其实我们可以设想场景,在沙滩上构建城堡,但是潮水来临的时候所有一切都不复存在。这是非常重要的观点,安全的东西如果你从来不去考虑他,当发生的时候一切都晚了。
既然移动信息化安全这么重要,有这么多难题需要解决,我们应该怎么处理?这里给出一些建议,比如移动信息化安全这些对策。
我们知道做什么事情都要注意态度,首先态度要重视这是毫无疑问。我希望了解信息之后,态度上重视,重视这个移动信息安全才会有行动。其次,我们要知道要有策略,通常来讲一个比较完善的IT管理措施的企业有IT管理系统。移动信息安全也是不例外,他应该在整个体系之内。这个是组织信息安全体系,我们简单分成两部分,这是经常做的方法。对于移动设备来讲他也一样,也有两部分,一个是移动设备安全管理体系,另外一方面移动应用安全体系也需要特殊保护。我们手机可以访问公司邮箱,可以访问公司业务数据,比如一些报表,这样的系统我们如何保护他。从终端以及应用层面上都需要保护,但是比较好的是他们其实有三重要求和原则,无论是设备还是使用上都是有相同要求和原则。只不过具体措施上会有很大的不同,这是需要特别值得注意的,策略上我们没有清晰去认识。
从架构上来看我们可以把移动信息化安全分成四个部分,我们先看技术角度,我们从左边看首先是移动与终端安全,怎么保护智能手机的安全,这是重要的核心内容。右边是移动应用安全,手机应用在企业环境中一定要访问企业内部网络,一定要访问企业内部应用的,内容安全保护也是一部分。第三块就是移动终端安全和移动应用安全他们之间是怎么联系在一块的?我们知道这是通过移动通信网络来实现的,这个通信网络数据通信怎么保护?这个也是非常关键的一块。技术角度来讲有这么三块,从整体角度来讲还缺少非常重要的关键内容就是移动的安全管理。移动安全管理其实非常的关键,有很多基础设备,如果没有有效管理和使用其实没有什么作用,这是非常需要注意的一点。
这是一个比较传统的视角。今天我会从另外一个角度,我们提出四个非常关键的因素,我觉得对于移动信息安全来讲更加的重要或者说更加需要去注意。这四个关键点的话,分别是终端保护,终端控制、安全管理、灵活应变。终端保护很简单,就是保护终端,他实际上是我们讲的移动信息安全相当基础和核心的一部分。如果没有对终端保护,什么东西都无从谈起。第二就是终端的控制,我们知道移动终端一旦应用起来之后就不会再固定,他会跟随用户处于移动状态。这时候我们能不能切实有效控制手机,这个其实非常非常重要。
我们知道有一些管理的软件他都会要求在手机上安装这样的客户端软件,以此来控制,就是要达到这个目的,这种方式就是软件被卸载这个就没什么用了。这个角度来讲,如果没有终端控制,也就没有信息安全管理,没有控制就没有管理。第三我讲安全管理,任何技术装备,任何技术和产品如果缺乏合适使用和良好管理,可能就是废铁一堆。最后是灵活应变,实际上是用户需求,你要做到移动信息化,你必须要考虑用户这一个非常关键的需求。
我们看一下移动终端安全保护,可以分成五个部分,首先一个就是访问控制,这个很好理解。手机可以给他提供一个密码,你去访问手机的时候可以输入密码才可以访问。还可以提供别的比如说令牌卡还有证书等等个各样的形式,形式不重要,措施很重要。其次手机将会存储非常关键的数据,这个数据要给他提供非常好的保护。比如说对数据进行加密,再比如说手机掉的时候这个数据会不会在特定的场合下和特定情况下被清除掉。假如说这个手机我有很多隐私在里面,手机掉了之后找不回来,我有密码控制的话,他输入很多次密码之后手机会被控制。再有就是软件控制,手机对智能终端安全威胁,有很大一块是恶意代码或者是恶意软件。恶意软件要控制他需要这个软件做合理控制,这是解决恶意软件非常好的思路和办法。第四块就是通信加密,如果我们在企业环境下应用,和企业交换数据的话,毫无疑问要做非常好的数据加密。还有接口设备控制,包括一些蓝牙、WIFI都是手机标配设备。
第二块重要内容就是终端控制,没有控制就没有管理,这是一个非常简单的道理。承载业务的移动终端应当始终处于受控状态,他要把安全控制功能嵌入终端操作系统。组织能够真正控制移动终端,通过各种各样方式,而且组织控制大于个人控制,在企业环境里边企业对手机控制应该需要强有力的,否则很难达到这个目的。实行强制性安全策略控制,但是控制要求是方便灵活,不能够影响效率,这是非常关键。
第三个比较重要因素就是安全管理,刚才我说安全管理是非常的关键。能否真正实现安全目标的核心能力之一,一个好的安全管理的能力就是能够提高安全管理的效率,降低安全管理成本,实现安全管理目标。移动终端的全生命周期管理,应用程序部署和权限管理,监控和远程管理的功能,能够基于策略、也能够基于角色进行安全管理。
第四是灵活应变,就是客户的需求,我们知道安全对客户的使用,对成本都是有很大影响。实际上移动应用的发展非常的迅速,日新月异。从另外一个角度来讲安全性和可用性的平衡。如果安全性太高,什么地方都确认输密码,使用起来非常不方便。在管理成本和安全之间也得平衡,要求高成本自然就会大,从不同应用角度和不同用户的安全需求需要灵活方式。在中国也有业务需求和个人需求的平衡。各种各样要求都会给我们的技术和产品提出这么一个要求,就是必须灵活,必须能够去调整、设置,这是非常关键。如果做不到,很可能客户不会用,也无法去使用,这是第四个关键因素。
最后我把刚才我讲这些内容做一个简单回顾,移动信息化的安全挑战和对策,这是我主要的内容。安全挑战这方面主要包括了一个用户终端丢失,敏感数据容易泄漏,移动恶意软件逐渐泛滥,终端缺乏保护,管理也困难,这是面临的挑战。我们提出的应对策略包括移动终端保护,移动终端控制,良好安全管理,以及灵活应变这么一个功能或者说这么一个技术特点能够满足用户需求。
谢谢。 
