4月5日,在2015企业移动化论坛上,360企业移动安全专家,邵华以“企业安全新挑战——如何应对移动”为题发表了主题演讲。
360企业移动安全专家邵华先生的演讲一上来就抓住了大家的精神力,确实,网络安全日益被人们所关注,当然不能忽视移动世界的安全问题。
面对BYOD,有很多安全问题,从企业和个人两个方面来看,数据安全、应用安全等都令人担忧。但从IDC的报告来看,安全设备已经不能满足企业对移动化的安全需求。邵华分享了360在企业移动安全方面的经验。作为互联网公司的360,拥有大量的可靠的用户信息,依靠实战经验,在企业移动终端安全上做了很多工作,面向中小企业提供私有云的管理方案,去帮助企业管理设备、应用以及数据内容,并用实际的例子为大家解读。
360企业移动安全专家 邵华
以下为演讲实录:
今天很荣幸能够来参加这个会跟大家分享一下我们在企业安全方面的一些经验,可能刚才大家前面也听到了Forrester给我们分享了这个2C类的,尤其是如何使用移动化的方法去帮助你构建利润空间,我们CA的同事也跟大家分享了在整体的包括从移动的终端到最上层整个物联网的业务层我们怎么样用一整套的管理方案去做管理。刚才华为的黄总也跟我们介绍了,作为老牌的传统的硬件厂商、安全厂商,包括整体的接入方案,对于360来说,我会跟大家主要谈两个议题,一个就是说我们作为一个互联网公司,作为一个可能拥有着说,我们现在覆盖了中国90%的PC的电脑用户,覆盖了70%的移动端的用户,拥有这样的大数据,我们在企业安全方面有什么观点,包括分享给大家的一些视觉。
2、也简单的介绍一下360可能在企业安全上,尤其是移动终端的安全我们做了哪些工作。
大家也都了13亿,这是IDC发布的对今年的整个移动办公的全球的数字,13亿中90%的人都会使用自己的设备来移动办公,所以这个叫做自带设备BYOD,刚才前面几位专家也都分享了。其实这个就产生了一个问题,我们说事情都是有两面性的,因为我们使用了手机,大家现在都在拿着手机,可能处理个人的业务、看微信,也可能你的OA、ERP、报销流程、您的邮件就已经在手机上做了,刚才黄总也说了,你用任何一个设备、任何一个时间点、任何一个位置你就可以办公,反过来就会有一些风险,尤其是在中国国内。我们不会有非常健全的比方说像谷歌商店一整套安全评估机制,在国内来说我们可能是各种各样的商店,大家可能用各种各样的软件助手去下这个应用,包括我们的友商,百度助手、360自己的助手,腾讯,您还会从论坛下,这就会产生很多的问题。
我们来看一看第一个泄密。因为我们采用了移动办公之后我们就会发现一个新的问题,它不像固定资产,这个手机是会丢的,可能很容易的就落在一部出租车上,如果只是您的个人数据,那很简单,苹果你用擦除就可以了,公家的数据怎么办呢?这个就是设备失窃造成的,这个概率接近40%。
另外一个人的问题,在中国今天也就是说员工其实有的时候对企业未必说忠诚度会那么高,他很容易的就把自己手机里面的一些信息发出去,或者说也许是无意之间的,或者说刻意而为。
前2天大家也都了老毕吃饭被人拍了一下就发到网上去了,这个就是移动化所带来的问题,会非常快速的将信息发布到整个互联网,非常快速的在短时间内扩大到整个全国、全球,造成非常大的影响力,所以这个里面怎么样保密是至关重要的。
2、应用。
我想大家都已经在手机上装了各种各样的应用,举一个例子,如果你用手机银行,你下客户端,我想您下别的应用可能不会那么小心,但是如果您下一个手机银行的客户端,您一定要确保它是有比方说工商自己发布的,招商银行自己发布的,您肯定不会到第三方论坛去下,对吧?这就是个人应用的问题,我们要控制好源头,有一个安全的源头,我们才能够确保无论是个人还有企业,我们下到的这个应用,它一定是正版的、没有经过改造的,所以这个非常重要,如果您下到了一个盗版的应用,比方说像我们可能在论坛上,比方说下一个游戏,您安装它的时候都会发现,在您的手机上应用第一次打开,它会做一件事情,它会像您索取权限,他说我会要读取权限,我会读您的联系人,这个环节是非常关键的,可能一个个人应用就会把您的隐私全部拿到并且散播出去。
大家可能在微信圈里都碰到过这样的,说什么输入您的姓名,输入您的手机号会帮您来算命,并且把这个结果您可以抛到您的朋友圈里面去,请你的朋友继续再做这样的事情,这是一种营销,我们不可否认,但是同时的时候它做了什么?就拿到了你的个人信息,同样的企业信息也可以被同样的方法拿到。
第三方的应用市场和论坛,这个是2014年的,造成最大的风险是在于会造成各种各样的的问题,会拨打一个特定的号码,接收一个特定的短信,就会造成您的费用的浪费,病毒的感染直接窃取您的信息。第二个图我们也发现,越小的论坛,越小规模的市场,这样的恶意软件越多,所以控制源头是很重要的。
我们统计了一下78%的知名应用都被盗版过。三个风险:数据窃取、隐私窃取,您的这部手机在企业中就变成一个跳板了,就像在您的防火墙上撕开一个口子,通过这一部手机可能在一天之内您手机所有的手机都会被感染,我们的客户其实碰到过这样的问题,而且还都是公安口的朋友们,他们就是收到了一个彩信,这个彩信中就包含了病毒,这个东西在没有做控制的情况下,它居然能够在一个纯内网的环境,在公安内网的环境散播开来,这个是一个很大的问题,360协助公安系统已经处理过很多这样的事情,我们是国家互联网安全的支撑单位,我们也希望可以把这个事情做得更好一些。
最后一个问题就是设备,这个是先天的,安卓的型号太多了,2.0到现在最新的5.0,包括了像华为在内的有15家主流的移动厂商。我们国内三大运营商,全球各个主流的运营商叠加起来有2万多个型号,越是大的企业,尤其是跨国公司,当他允许员工自带设备的时候,怎么样对不同的型号做统一管理,这就是要解决的问题,所以统一非常重要。
我们来分享一些数据给大家看一下,这是去年IDC做的一个报告,在2013年度,也就是前一个年度,主要的三个大国的信息化产业的支出,美国是最大的,中国已经超越了日本,但是我们回来看一下比例,这是三个国家在信息化建设中投入的比例,我们会发现一个问题,中国深绿色的部分,有50%是硬件的,就是我们可能还是会倾向于用传统的思维方式,我买一个硬件,上一个什么设备,一个安全的设备我就可以把这个问题给解决了,这个也没有不对,只是说随着移动化、互联网的发展,其实更多的倾向我们可能要换一个视觉去看问题,我们究竟是设备摆在那儿就能解决问题吗?还是说要引入更多的方法,所以这个也就是说,我们看一下美国。
美国四成是软件,四成是服务,日本,仅仅有5%是硬件,它接近1/4是软件,剩下接近有七成都是服务,所以这就是代表了不同国家处理安全问题的视觉不同,所以未来包括尤其是当微信出来以后,我们会发现,更多的时候,尤其是在座的我想有很多的CIO还有企业的高管,您可能是负责整个企业的移动化、整体的互联网,包括所有的安全问题,可能您会更多的,我们就建议您可能会更多的站在一种服务或软件的角度去思考这个问题,我们可能采用一种特定的新的业务流程我们就可以解决原来的问题。
我们回到这个移动化的视觉上来,我们可以看到很明显的看到,IDC的报告让我们看到了唯一负增长的就是PC,增长最快的是移动的手机和平板电脑。橙色部分增长第二大的是信息安全,所以这是整个大的市场趋势,不管您是做2C类的面向消费者的一个应用,还是您在企业内部做管理,移动的安全这两者结合起来,是未来可能几年之内增速最快的部分。
我们也分享一下Gartner的视觉,未来可能是4个部分,传统的我们希望装个防火墙、一个杀毒软件,我们来预报,我们来用这样的方法来解决问题,未来可能更多的倾向是一种快速的监控。我们更多的是要建立规则,建立一种互相监督的机制,使得企业、员工、企业消、费者、员工和员工,您的消费者和消费者他们之间互相产生一种联动性,所以最关键的就是在于我们要知道我们要建立什么样的规则、控制什么样的风险。所以无论是从人还是到最底层的一个设备,承载着上面所有联系的一脉相承的就是信息,所以我们IT类的产业又回到了最根本的问题上,最终我们要解决的问题,您要解决这个安全问题的关键点在哪里?从哪个层面,您希望从哪个层面去解决信息的问题?
分享一个小的例子,我们有一位客户,他是希望采用微信的方法帮助他的员工去查工资,这个时候大家可能就会想了,这个工资薪酬对于企业来说是一种非常内部的一种信息,怎么样来用微信来做?听起来好象是矛盾的,但是我们的客户发现了一个新的解决办法,他做了一种闭环的模式,它提供了这个企业的微信公共号给他的员工,员工上面有一个按纽,说我要查工资,一点它的后台薪酬系统的数据库,整个的东西就会运算出来一份新的他当月的工资报告,这个不是通过微信发个他的,是自动的发了一个邮件,这个里面有一个边界,微信只承载了服务层,并没有碰内部薪酬的数据,而整个内部薪酬的数据是连接到了邮箱向企业的员工发了一封邮件,我们是可以将这种2C类的数据和我们传统的企业的那一套,无论是OA还是CRM能够结合起来,其实目的就是为了,您抬起手腕扫这么一下,就是我们希望能够帮助用户用更少的时间完成同样的时间,所以现在大家也在热议苹果为什么要发布watch,其实这个看起来意义不是很大,这个只是一种效益,我们原来在手机上已经非常高效了,我们用5分钟可以处理很多的东西,将来就会更快,苹果的定义,你看他的开发者文档,他建议每次使用Watch的时间是10秒钟,并且可以给出一个答复,这个大大提高了整个企业信息化的程度。英特尔也在做这样的事情,你看昨天的新闻,英特尔帮助顺风要采用虚拟式的处理的流程,这个处理一个包裹的时间就会由原来的5分钟缩减到10秒钟,这个是要在移动端来做的,这个就是整个企业未来的一个方向,我们的目的就是为了让信息更快速的流转、更快速的抵达用户,让用户更快速的可以处理它。
我们前瞻一下,我们看一下究竟在手机端,尤其是安卓5.0的时代出现了一个什么样新的问题?应该是一个好的消息,谷歌公司纳入了三星公司原来开元的一部分代码,这部分代码是原来三星做的计划,他可以帮助您在手机上划分一套虚拟的系统出来,谷歌在未来的5.0也包含了这个部分,将来你买到的国内的主流的5.0的手机平板都会有这个特性。
整个谷歌的这套特性在系统层面上就帮助消费者、员工解决了公家的数据和个人数据隔离的问题,但是有一个问题,它是需要依赖谷歌商店的,我们大家也都知道这个中国有伟大的防火墙,工信部也有要求,说我们各大厂商出厂的时候要砍掉一些东西,在未来,5.0的时代,国内的所有信息化都需要去脱离开来谷歌原生的这套机制,我们要做国产的东西,我们要去实现比原来更好的一个效果,比方说,我们需要建立信息防泄露的规则,我们需不需要说能够让应用在企业内部分发下去以后,不是像原来仅仅是一个商店这样,我们可以希望它所有的配制都是静默的去生效,这样整个流程就更加的自动化一些。
这个是国际上的三种方法,最左边是国内排名最靠前的厂商,中间是三星,右边是谷歌,大家分别在三个层面去做这个事情。三星是在设备上来做隔离,但是它有一个缺陷,仅限三星的设备,除非您是统一采购,不然你其实是没有办法完全依赖这样三星的技术的。中间的这个国际厂商,它可能会建立联盟,建立这种SDK的联盟,这也是一条很好的方向,但是会有一个问题就是说,如果您的应用,比方说您是自主开发的,像我们国内的客户很多都是自己开发自己的企业化应用的,所以也就有由生而来我们更希望采用的一种方案就是在系统层面上,由系统天生的去做隔离,或者采用第三方的,刚才CA公司的,或者是华为公司的这种解决方案来做。
360做了什么事情?360可能更多的会发挥自己的专长,我们更多的可能面向中小企业或者说我们会提供这种私有云的管理方案。同样的其实它也就是去帮助企业去管设备、应用、内容。
我们这个技术来源于我们在个人市场的积累,我们个人市场有安全卫士、病毒、木马查杀的套装,我们有手机端的安全卫士,手机助手。一句话,其实全面的管理您企业的终端应用和数据,我们的网址很短,tianji.360.cn。
简单的讲几个亮点,更多的就像谷歌原生的一样,存储加密、接入加密、定位、市场,可能这个加固和封装是360更多的可以帮助到各位企业客户的一个亮点的地方,我们帮助像农业银行、工商银行、建行这些大的银行类客户都已经完成了他的银行日常使用的银行客户端的加固和封装。您在内部做企业应用分发的时候也可以同样的去使用这两个技术,前者解决的就是防止伪造,后者解决的就是数据隔离、加密。
杀毒、防木马是360传统的强项了,统一管理。可能我们更多的未来我们的整个迭代发展,包括给到企业的一些特性都是来源于从C类的6亿用户的一个反馈,包括每个月都会翻新,这个是通过我们的企业客户传递给我们的声音。还有一些核心的技术,专利的技术,领先的集成技术。
最终我们是希望能够通过这一整套的方案去帮助企业构建一个不会泄露的这么一个新的环境。这个是我刚刚加上的,今天时间也非常巧,我们今天在这个网站上公开了一个新的网址,research.360.cn,我们涉及安全类的、非安全类的,比如说应用市场搜索引擎,企业的移动安全、PC安全、网站安全、网络欺诈,所有的报告您都可以直接访问和下载,这个都是免费提供的,所以这个可能也是秉承了360的一个传统,我们更希望能够把我们核心的心得、体会我们更多的分享出去,采用一种免费的方式能够帮助整个生态圈建立的更好。