CIO时代网微访谈：正益无线CTO赵庆华解密企业移动安全难题_机房360

摘要：2015年1月23日，CIO时代网微访谈聚焦“移动安全”，本次微访谈主持人为北京市燃气集团信息档案中心总工程师、第18届北大CIO班学员王广清先生，参与对话的嘉宾为正益无线CTO赵庆华先生。

　　2015年1月23日，CIO时代网微访谈聚焦“移动安全”，本次微访谈主持人为北京市燃气集团信息档案中心总工程师、第18届北大CIO班学员王广清先生，参与对话的嘉宾为正益无线CTO赵庆华先生。想了解赵庆华先生如何解密移动安全难题，围观的小伙伴们又抛出了哪些现实问题，快随小编一起来回顾他们的精彩对话：

　　精彩对话：

　　王广清：请赵总介绍下目前国内移动信息化的安全现状以及存在的问题?

　　赵庆华：

　　1、移动信息化对现有网络安全体系的冲击

　　移动信息化打破了企业IT安全管理的安全边界，原有基于固定区域、固定设备、固定网络的企业信息安全传统保护手段(UKey、强制访问控制、防火墙、VPN、网闸等等)面临失效。

　　2、BYOD的广泛兴起

　　在为企业办公带来便利的同时，由于缺失有效的数据监管手段，加剧了企业数据泄漏的风险。员工可以随意使用自己的手机平板收发邮件、即时通讯、网盘存储、分享信息等等。

　　3、接入来源的不可控性

　　移动终端固有的随意越狱、应用反编译、应用重新打包植入木马、App后端服务不可控、以及移动终端易失性等常态化问题，导致BYOD办公带来的数据泄漏问题更加严重。

　　王广清：那么应对这些问题有哪些解决方案呢?我听过赵总多次关于移动应用开发和移动平台的讲座，在这些讲座内关于移动安全的整体解决方案讲得很少，利用今天这个机会，我要深挖一下，请赵总介绍一下移动安全的整体解决方案。

　　赵庆华：移动安全必然是企业移动信息化的整体安全，他需要贯穿企业移动信息化的各个环节。我们AppCan企业移动平台安全体系整体围绕云(平台云服务后端)、管(服务管道接入、平台管理)、端(端应用、端设备)架构，从在各自层面采用不同维度进行系统保护。

　　同时，平台整体以PKI/CA证书体系为基石，对云、管、端各层子系统进行签名校验和信息传递保护，从而构建平台整体的安全体系，为企业移动安全提供全方位保护。

　　这是我们的安全体系图：

　　1、平台安全体系基石—PKI/CA

　　AppCan企业移动平台通过证书中心向设备、应用、人员颁发其专属证书，完成设备、应用和服务器之间的身份认证，并且该证书具有可配置的生命周期。通过管理服务可对证书进行有效性管理。

　　2、后端服务安全

　　平台后端关键数据和配置采用高强度加密算法保护，并进行访问控制管理，避免非授权应用访问。同时，对平台关键服务进行可用性和安全性监控，确保服务的持续性和安全性。平台采用分布式易扩展的后端云服务架构，关键服务采用多节点负载均衡和容灾保护机制，没有单点失效问题，有效杜绝服务中断隐患。除了安全校验以外着重对移动访问进行了保护性控制，对不同IP来源、不同应用、不同用户可进行访问频次控制，避免恶意攻击对系统稳定性产生影响。完成后端压力控制，根据企业现有系统的服务能力配置访问压力，当前端并发超过后端承载限制后，对新任务进行等待处理，超过等待限制的任务，进行有损忽略。

　　3、接入安全控制

　　对平台云后端、管接入、端应用进行统一数字签名认证，杜绝任何一端的接入冒用。平台支持对不同接入服务配置接口访问控制策略，限制应用接入接口的访问能力。同时支持进行应用接入认证配置，对接入的移动应用证书和应用合法性进行服务接入校验。

　　平台支持多因素身份鉴别手段，除了用户名密码鉴别外，还支持基于设备标识、证书、动态口令等多种形式的软、硬认证手段。根据用户对安全要求的不同，常见采用服务器认证+应用认证+用户认证+二维码认证的组合。平台支持各子系统间关键数据传输采用HTTPS通讯协议，确保通讯数据的保密性和完整性。

　　4、管理安全

　　平台管理上，提供灵活的管理员权限分立和授权机制，可以精细化定义管理员的管理权限，杜绝平台管理员滥用，降低管理风险。管理端还提供详尽的管理员操作日志，可以有效监督管理员管理操作，降低企业内部管理风险。管理端还支持基于HTTPS协议的管理端浏览器证书验证机制，有效控制管理控制台的接入合法性。

　　应用管理方面，除了通过构建企业自有移动应用商店，管控企业移动应用的版本升级，提供基于用户身份的安全分发能力外，还支持应用远程失效控制，可以远程关闭终端上企业应用或应用版本的使用;对企业移动终端设备上安装的应用进行监控，支持黑/白名单策略，可有效过滤所有黑名单应用的安装和使用;支持对应用证书进行有效性管理，控制证书密码和有效期。

　　目前大型企业项目中企业移动门户或商店已经是必选项。通过统一权威的应用门户可以有效控制企业移动应用的获取渠道。提供企业应用数据可选擦除手段，可以远程选择性地擦除企业应用数据，而不影响用户个人应用数据。

　　设备管理方面，整体管理设备的移动系统功能权限、应用程序权限、安全性和隐私权限，提供了一体化的移动接入设备全生命周期管理能力，包括设备注册、激活、注销、丢失、淘汰和越狱控制等管控能力，完成用户与终端的注册绑定，保证只有注册激活后的设备上的企业应用才能接入平台，有效限制外来设备的平台接入。支持设备激活控制，可限制激活设备的型号、数量和OS版本，以控制设备接入风险。对于丢失或可疑设备，平台支持采用MDM技术远程锁定设备，擦除设备中的数据，禁用和注销设备，以保证企业业务的访问和数据的安全性。平台还提供设备越狱监控能力，支持越狱警告、禁用设备和限制激活。支持对移动系统自带的应用商店进行访问控制，允许或禁止从应用商店安装应用程序，阻断恶意程序的来源，保证应用程序的合法与可控。

　　内容管理方面，除了内容采编完成企业移动内容受控发布外，可限制移动内容的移动端用户分享、下载操作，支持对移动端企业下发内容进行存储加密、有效期控制、同步删除等内容保护操作。

　　5、移动应用防护

　　端安全方面，平台支持应用沙箱隔离和存储保护机制。应用本地数据隔离存储于受保护的应用沙箱中，并将企业数据与个人数据相隔离，支持配置为存储加密，确保存储到移动设备的数据都经过加密保护，有效杜绝企业业务数据泄漏。

　　针对应用包可逆向编译带来的数据泄漏问题，AppCan Hybrid引擎提供代码混淆、代码库封装、本地应用配置存储保护等机制，加大破解难度，防止破解者轻易分析出代码逻辑，窃取服务配置。

　　同时AppCan的前端引擎和插件代码都已经开源，企业可以自行扩展自己的加密能力。也可检查AppCan引擎中的安全漏洞。(当然代码加密部分没有开源)。

　　针对应用运行时关键资源文件(配置、HTML、图片等)可能被篡改导致的运行安全问题，AppCan Hybrid引擎支持对应用资源文件进行数字签名和存储保护，确保对应文件的完整性和保密性，有效保障应用的运行时安全。这部分保护是自动的，只需要打包时选择了代码加密即可。同时我们也在和其他安全厂商进行合作和集成。例如深信服VPN、爱加密、梆梆等。

　　补充一下我们的代码加解密都会在内存里进行不会出现在应用运行时应用临时目录下出现原始文件的无厘头场景，安全和体验总会有冲突，企业总是在各种博弈中找到平衡。

　　王广清：深挖的效果不错，我相信群里各位之前听过赵总讲座的，和我一样，第1次听到赵总对移动安全整体解决方案有如此全面和深入的介绍，希望赵总将这部分资料补充到你后续的讲座中，与更多的人进行共享。另外，赵总提到的移动安全整体解决方案具有普适性，Appcan现在实现了，我觉得其它的移动平台也应该具备。

　　王广清：赵总，你在回答第1个问题时提到BYOD，那么对于企业采购的移动终端以及员工自带的移动终端(BYOD)其安全管理策略有何不同?如何把握中间的度?

　　赵庆华：一般场景下，企业下发移动终端可以定义为企业下发的办公设备，类比于PC时代同样拥有便携办公性质的笔记本。这类设备可以理解为专机专用，企业拥有充分的设备和数据管辖权限，因而可以灵活实施和贯彻企业IT安全管理策略。而BYOD设备是员工个人财产，企业无权对设备进行强制和全面的管理，需要尊重员工个人隐私，因而面临法律和管控政策实施难等问题。

　　对于这两类设备的管控，一般在企业安全策略执行的强制性和尊重员工个人信息的隐私性上作权衡。企业下发设备偏向前者，BYOD设备则更侧重后者，在保证员工个人隐私情况下保证企业数据的安全性。

　　对于BYOD办公，我们更多地采用应用管理(MAM)、内容(MCM)、邮件(MEM)管理手段，从应用和内容纬度上管控企业应用的接入和数据安全;当然同时也支持可配置安全策略的设备管理(MDM)手段，进行有限管控。

　　设备管理方面，在AppCan平台中，已区分企业下发设备和员工个人设备，对于不同类型设备采用不同的设备管控策略。对于BYOD设备，MDM手段主要是控制设备接入(注册激活)、企业网络配置下发(Wifi、VPN)、越狱控制、丢失保护(锁定设备、企业应用数据擦除)，尽量不触及个人设备数据隐私，一般不作强制性过强的设备级数据擦除、设备定位、应用安装监控等操作。

　　王广清：确实，我自己的手机只想装企业的应用，但不想被监控~

　　王广清：赵总，如何对企业内部应用及公共应用进行管理，如移动应用病毒扫描、更新、删除等?

　　赵庆华：AppCan的企业移动管理平台支持对第三方公共应用、企业内部应用、WEB Widget应用、网站的综合发布管理。

　　为了避免应用间的数据安全风险，在引擎层级对企业应用构建安全沙箱进行存储隔离和保护。所有应用都可通过企业的统一应用门户进行安装。因此这些应用需要经过企业安全认证，并确认其安全性后才可安装。

　　这可以有效避免员工通过第三方商店获取的应用的安全性问题。如果员工通过第三方应用商店安装，通过MDM技术完成应用黑白名单控制和应用删除。同时，借助MDM技术，支持对移动系统自带的应用商店(如苹果AppStore)进行访问控制，允许或禁止从应用商店安装应用程序，以阻断恶意程序的来源，保证应用程序的合法与可控。

　　企业管理员需要在发布应用前对应用进行病毒检测。Appcan目前与360应用安全监测接口对接，对应用进行安全检查和病毒检查。

　　王广清：我们知道赵总实施了许多重量级的移动项目，请赵总结合这些项目，给我们介绍一下移动安全做得好的成功案例?

　　赵庆华：目前我们在企业项目中最大体积的客户是东方航空。从2013年6月份到现在累计终端安装量在10万台左右。目前每日活跃用户在48000左右。由于东航主要采用的是BYOD模式，一线员工基本采用自有终端。因此移动安全方面，东航管控重点主要在应用保护、应用接入、应用管理和设备管理上。应用保护上，通过沙箱加密存储、代码混淆处理、运行时签名校验、资源文件签名验证等手段，保护应用端安全。应用接入上，通过校验应用用户统一认证，在接入端控制应用接口认证，控制应用的平台和后端业务的接入权限。应用分发上，通过AppCan企业应用商店重点管控应用的安全分发和版本管理(升级、关闭)，针对不同领域人员控制其应用范围和登录权限。

　　另一个典型客户是国家电网。AppCan作为中电普华公司的技术支持提供商为国家电网提供移动化平台方案和技术。安全价值方面，除了实现东航类似的应用保护、应用接入、应用管理外，还跟据国家电网物理隔离方案，实现平台通过物理隔离设备安全连接数据库的改造，同时通过终端的动态口令加密传输支持，确保平台数据在HTTP网络上传输数据的安全。根据国家电网安全规范进行了定制开发和调整，使AppCan安全体系与国网体系进行了融合。

　　第三个案例客户是中化集团，基于AppCan移动平台在集团和下属二级单位已经部署实施了多个移动应用，服务员工5万多人。中化平台体系基本与东方航空相同。

　　第四个案例是上海医药移动ERP项目，服务于3千多员工，近20个分子公司和部门，除了完成类似东航的应用保护、应用接入、应用管理外，还搭建整体的移动设备(安全)管理平台，达到对使用公司移动业务的移动终端集中管理，集中配置、远程操作;实现移动应用集中管理、封装、发布、远程安装，远程批量推送最新版本应用。

　　王广清：主持人与赵总的访谈时间到，谢谢赵总的精彩分享，全是干货，下面是提问时间，请大家保持队形!

　　群里小伙伴的提问汇总：

　　提问：移动平台选型，请给些建议。

　　赵庆华：移动平台根据企业需求不同可以有偏重性的考量。如果企业规模比较小可以单独选择基本的MAM移动应用管理平台即可。如果企业已经有了完善的移动管理体系，可以偏重于企业移动应用开发部分，来提高企业移动项目实施效率。

　　对于大企业来说，其实我认为移动平台体系中数据平台是最核心的。我们的管理、安全、移动开发其实都是围绕着如何利用和如何安全利用数据来进行的。这部分要着重考量和调研

　　企业移动战略平台是基础，但更需要IT部门的来用好发挥好平台的能力。一般移动应用处理的大部分数据都是离散的、小量的数据。这也与移动应用体验紧密相关。

　　提问：在完整性方面，若网络不稳定，如何保证数据完整无遗失?

　　赵庆华：对于这些场景。我们主要采用标准HTTP技术完成数据的通讯。可以有效保证数据的完整性。但为了进一步提高数据安全性，在实际数据封装中，会采用数据摘要的方式对数据完整性进行校验。同时还通过数据动态令牌保证数据的非篡改。

　　在通讯中我们在企业中推荐采用HTTPS单向认证。在保证数据通道的安全性同时保证通讯的效率。HTTPS双向认证一般只用在核心应用领域且网络环境较好的场景。对于大数据文件，这个在企业移动中更多的用于打文件的上传下载。对于这种场景。在上传、下载文件中采用文件MD5校验方式来保证文件的完整性。

　　提问：支持断点续传吗?

　　赵庆华：断点续传是必须的。对于下载中采用标准HTTP断点续传技术。上传时采用文件分片上传技术实现断点续传。

　　提问：我经常看到朋友圈有人无意泄漏了个人的隐私，对于个人的手机安全使用，你有什么好的建议吗?

　　赵庆华：工作生活两个号，尽量不要越狱。虽然越狱可以获得很多软件。不要加陌生人。只对个人好友开放个人空间。到安全的地方下载软件，不要安装破解版。如果需要，最好装到没有私密信息的手机上，不要访问奇怪的网站。

　　王广清：另外，在朋友圈晒东西时，一定要多看和多想一下，是否涉及个人隐私;对于移动支付，一定要在可信的网络中，不要在公共wifi中支付。

　　提问：移动办公，用过公共网络连接企业服务，数据传输完全暴露，如何控制?

　　赵庆华：首先在服务端要对来源进行验证。

　　一般常见的是 appid+appkey的认证。例如每个从移动应用发送的请求都需要携带MD5(appid+APPKEY_TIMESTAMP);timestamp的字段。服务器根据appid找到appkey根据时间戳进行计算是否匹配如果匹配并且timestamp要在时间范围内才可接入。中间截取这就是数据完整性、不可更改性的问题。借鉴签名机制。即对数据进行摘要签名。签名时要采用双方认同的密钥。这样修改后的数据是无法重新生成对应签名的，这样修改后的数据是无法重新生成对应签名的，HTTPS来保证数据的加密和不可见性。

　　提问：远程访问，人员定位等涉及到个人隐私、信息的问题，如何处理?

　　赵庆华：一般我们再进行HTTPS会话时，需要保证目标服务器的正确性。因此需要进行服务器证书校验。

　　但在不安全的网络环境下有可能会出现窃听截取的情况。这种情况下，如果需要达到不可窃听的情况，需要在前后端根据私有密钥完成数据加密。常见的是用户在企业内部扫描二维码令牌，在外部访问时数据通过二维码令牌对数据进行加密。可以很方便的做到一人一密。

　　用户也可随时重新捆绑企业新二维码。这种方式属于利用企业安全网络环境构建信任关系。也是比较低成本的构建方式。也可使用动态口令。根据时间计算密钥，前后端密钥一致来进行加解密。

　　提问：中化的案例能分享下吗?

　　赵庆华：

　　中化集团

　　1)集团移动OA：与慧点科技合作，把原有集团OA系统扩展到移动终端，帮助领导用户在外出时能及时处理工作事务，促进高效工作。

　　2)集团TMS移动营销贸易系统：石油和种子两个业务板块有大量的交易业务需求，移动TMS能够帮助业务员在工作现场及时下订单，缩短订购周期，简化业务流程。

　　二级单位：

　　1)移动信托：与软通动力合作，针对中化信托公司，提供移动OA服务，提供单据审批、项目请示等功能。

　　2)石油勘探：与泛微合作，提供移动OA功能。