移動(dòng)互聯(lián)網(wǎng)時(shí)代智能終端安全形勢(shì)嚴(yán)峻（下篇）

移動(dòng)互聯(lián)網(wǎng)時(shí)代智能終端安全形勢(shì)嚴(yán)峻（下篇）

藍(lán)戈智庫(kù)終端專(zhuān)家 | 程慧

在中篇中，我們分析了移動(dòng)互聯(lián)網(wǎng)時(shí)代，個(gè)人智能終端如何保證安全，那么接下來(lái)我們分析如何保障企業(yè)化移動(dòng)終端的安全。

企業(yè)終端安全是系統(tǒng)工程

首先要明確的企業(yè)終端安全是一個(gè)系統(tǒng)工程，并不僅僅是指手中的手機(jī)安全就是企業(yè)終端安全，整個(gè)系統(tǒng)至少包括以下幾個(gè)方面。

首先是對(duì)用戶(hù)和設(shè)備的接入進(jìn)行安全認(rèn)證。對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，手機(jī)連接哪個(gè)網(wǎng)絡(luò)都是隨便的，但如果是企業(yè)級(jí)的應(yīng)用，或者企業(yè)級(jí)的服務(wù)器，基本上要進(jìn)行設(shè)備和終端的身份認(rèn)證。因?yàn)橐苿?dòng)終端的身份不清，操作者真實(shí)身份不明確，都存在管理安全的風(fēng)險(xiǎn)。不管是人還是設(shè)備，不管是通過(guò)互聯(lián)網(wǎng)還是通過(guò)內(nèi)網(wǎng)，只要接入企業(yè)，都需要進(jìn)行有效身份認(rèn)證，這是企業(yè)安全的最基本要求。

其次是終端設(shè)備本身的安全。即包括硬件、操作系統(tǒng)、應(yīng)用的安全。這個(gè)領(lǐng)域非常廣泛。從操作系統(tǒng)層面來(lái)說(shuō)，操作系統(tǒng)存在漏洞，就需要對(duì)漏洞進(jìn)行修復(fù)，還有手機(jī)殺毒系統(tǒng)和設(shè)備安全管理系統(tǒng)。從應(yīng)用來(lái)說(shuō)，要對(duì)應(yīng)用安全加固，加固某個(gè)APP，讓代碼無(wú)法篡改。

最后是終端設(shè)備的數(shù)據(jù)保障與備份?，F(xiàn)在是大數(shù)據(jù)時(shí)代，在對(duì)安全要求比較高的政務(wù)或商務(wù)應(yīng)用中，數(shù)據(jù)就顯得尤為重要。比如稅務(wù)的納稅信息里就有納稅人的詳細(xì)資料，警務(wù)的設(shè)備中會(huì)有公民的詳細(xì)信息等。隨著企業(yè)級(jí)應(yīng)用越來(lái)越廣泛，未來(lái)企業(yè)級(jí)的終端上將有更多的數(shù)據(jù)。而數(shù)據(jù)的保障、備份是我們不可忽視的。通常的方法包括可以用數(shù)據(jù)庫(kù)加密，專(zhuān)網(wǎng)傳輸數(shù)據(jù)，而調(diào)用數(shù)據(jù)時(shí)，除了密碼，還要有其他認(rèn)證方式等。

BYOD新挑戰(zhàn)

當(dāng)前終端市場(chǎng)非常熱的一個(gè)細(xì)分市場(chǎng)，被稱(chēng)為辦公而造的手機(jī)。大背景是在移動(dòng)辦公趨勢(shì)下，越來(lái)越多的員工用自己的設(shè)備（包括個(gè)人電腦、手機(jī)、平板等）辦公，這種現(xiàn)象被稱(chēng)為BYOD（Bring Your Own Device）。比如中國(guó)移動(dòng)、興業(yè)銀行都是在手機(jī)上批轉(zhuǎn)公文。BYOD在為員工和企業(yè)帶來(lái)方便和提高工作效率的同時(shí)，也為企業(yè)的安全帶來(lái)新的挑戰(zhàn)。

那么所謂的BYOD手機(jī)和普通手機(jī)有什么分別呢？本質(zhì)可以這么認(rèn)為，企業(yè)要對(duì)接入企業(yè)網(wǎng)的設(shè)備做管控，但員工自己帶的設(shè)備里有很多的數(shù)據(jù)需要安全保障。于是需要BYOD手機(jī)既能保護(hù)員工個(gè)人隱私，又要保障企業(yè)的應(yīng)用安全。這兩種并行要求都需要滿(mǎn)足。

目前BYOD主流方案有三種，分別是應(yīng)用程序容器、雙域和虛擬化。

先看應(yīng)用程序容器方案。通過(guò)在操作系統(tǒng)上將應(yīng)用程序通過(guò)容器的方式隔離顯示和管理。該方案由于應(yīng)用程序仍然可以互相訪(fǎng)問(wèn)，安全性較低。好處是實(shí)現(xiàn)簡(jiǎn)單且易于部署，適合對(duì)安全性要求不高的一般企業(yè)和學(xué)校等行業(yè)客戶(hù)。

再看雙域方案。通過(guò)軟件劃分雙域，一個(gè)用以個(gè)人，一個(gè)用以企業(yè)。企業(yè)只管控企業(yè)的域。大方向是用兩個(gè)OS管理。難度介于應(yīng)用程序容器和虛擬化之間，可以滿(mǎn)足大型企業(yè)對(duì)員工設(shè)備管理、員工隱私保護(hù)、企業(yè)數(shù)據(jù)安全保護(hù)等需求，是當(dāng)前獲得操作系統(tǒng)和終端廠商普遍認(rèn)可的一種方案。

最后是虛擬化方案。從硬件上保證個(gè)人和企業(yè)數(shù)據(jù)及應(yīng)用程序的完全隔離，實(shí)現(xiàn)個(gè)人和企業(yè)操作系統(tǒng)的獨(dú)立。該方案安全性最高，但實(shí)現(xiàn)難度較大，需要定制終端，可以滿(mǎn)足軍隊(duì)等高級(jí)別的安全需求。據(jù)說(shuō)奧巴馬的安全手機(jī)就采用了類(lèi)似的技術(shù)方案。

專(zhuān)用移動(dòng)通信網(wǎng)的應(yīng)用

除上述之外，專(zhuān)用移動(dòng)通信網(wǎng)的應(yīng)用也不失為一種安全解決方案。這是一種通過(guò)核心節(jié)點(diǎn)“物理隔離”部署專(zhuān)用網(wǎng)絡(luò)，滿(mǎn)足安全需求的方法。主要是將“公眾移動(dòng)通信網(wǎng)”與“專(zhuān)用移動(dòng)通信網(wǎng)”相結(jié)合，通過(guò)共享無(wú)線(xiàn)接入網(wǎng)，降低組網(wǎng)成本，是一種更加經(jīng)濟(jì)、科學(xué)和可持續(xù)的安全方案。目前國(guó)內(nèi)基于TD-LTE的政務(wù)網(wǎng)市場(chǎng)已經(jīng)啟動(dòng)，北京、天津、南京已陸續(xù)開(kāi)展試點(diǎn)。根據(jù)行業(yè)用戶(hù)與公眾用戶(hù)共享通信網(wǎng)絡(luò)的程度，其可分為以下幾種。

首先是獨(dú)立專(zhuān)網(wǎng)。即滿(mǎn)足某個(gè)行業(yè)/部門(mén)的通信需求而單獨(dú)建網(wǎng)，其他行業(yè)用戶(hù)和公共用戶(hù)不能接入，例如公安系統(tǒng)采用的模擬專(zhuān)網(wǎng)、TETRA制式專(zhuān)網(wǎng)。

其次是共網(wǎng)專(zhuān)網(wǎng)。即滿(mǎn)足多個(gè)行業(yè)用戶(hù)/部門(mén)通信需要而建設(shè)的網(wǎng)絡(luò)，例如北京政通（TETRA制式）、上海中衛(wèi)國(guó)脈商業(yè)專(zhuān)網(wǎng)（iDEN制式）、重慶鐵通專(zhuān)網(wǎng)（GT800制式）等，公共用戶(hù)不能接入。

最后是虛擬專(zhuān)網(wǎng)。即依托運(yùn)營(yíng)商公眾網(wǎng)絡(luò)為行業(yè)用戶(hù)提供專(zhuān)網(wǎng)服務(wù)，例如PoC over TD-SCDMA等，通過(guò)引入特殊安全機(jī)制、特殊性能優(yōu)化保證應(yīng)用需求，行業(yè)用戶(hù)和公眾用戶(hù)都可以接入系統(tǒng)。