2015年5月23日，备受瞩目的“2015中国“互联网+”千人论坛”活动在北京新世纪日航饭店隆重举行，本活动由工业和信息化部指导，电子工业出版社、信息社会50人论坛与中国移动互联网产业联盟主办，CIO时代网与AppCan承办。华为企业业务解决方案部首席安全顾问胡文友先生带来了“互联网+时代的移动应用安全探讨”的主题演讲，以下为演讲实录：

    大家下午好！我刚才看了一下，在座的各位很多都是我们的客户，或者说是我们的潜在客户，当然还有一些是我们的合作伙伴。比如说用友的副总，我们也是长期的合作伙伴之一。互联网+很多情况下针对应用开发商，华为是跟移动应用客户以及我们的合作伙伴提供保驾护航的，所以我今天主要探讨一下互联网+时代的移动应用安全如何保障。

    目前互联网移动应用如火如荼。Google应用商店应用数量达到了143万，首次超过App store的121万。这是非常惊人的。互联网金融对传统金融的冲击是非常大的，互联网金融真正改变了我们的生活方式，尤其是在去年，滴滴和快滴大战上，使我们的普通客户都开始了移动支付的应用。所以这对我们普及这样一个互联网应用是一个非常好的事情，但另外一个问题就是安全要如何保障。

    BYOD移动办公安全，BYOD是携带自己的设备办公的缩写，目前各行各业，包括银行、政府以及很多企业都开始在拥抱移动互联网，开始移动办公。在移动办公过程中，首先还是要考虑安全问题。如果我们没有解决好安全问题，最好不要轻易的移动。无安全不移动。

    这是互联网移动应用安全情况，形势非常严峻。2013年棱镜门事件使得我们意识到原来中国的网络安全是如此的脆弱。跟我们息息相关的就是两个大的厂商：iOS、Android。据说，美国在棱镜门事件里，苹果和Android是美国NSA的两大数据金矿。为什么这么说？美国NSA是美国国家安全局，棱镜门是由它主导的，重点是针对中国等国家的监控。由于目前智能手机的普及，基本上在座各位的手机操作系统要么是苹果、要么是Android，Windows现在还是比较烧得。如果说目前所有的个人数据甚至包括政府人员的办公数据都在这两个系统里，显而易见，无论是个人隐私还是国家数据，它的安全是没有保障的。

    去年7-8月期间，现在P2P网贷非常火。今年网贷公司如雨后春笋，非常之多。但是由于安全问题没有解决好。我们知道目前很多P2P平台很小，不像银行、证券、保险那样完善它的安全体系，它最大的隐患就是安全。去年爆了一个漏洞，乌云安全漏洞事件，黑客会对资金进行窃取，由于这样一个安全漏洞最终在短短一个月时间内，在深圳和浙江两地有20多家P2P平台跑路。所以没有解决安全问题，我建议移动互联网金融还是缓一缓。

    另外就是BYOD移动办公给企业带来的风险。很多用户没有在解决安全问题前就已经匆忙的拥抱了互联网。由于没有解决好安全问题，原来网络安全边界是局限在局域网，相对容易控制；但是现在延伸到移动互联网、手机，基本上就属于失控状态。个人用户有个人数据在里面，如果个人使用习惯不良，比如说访问不良网站，所以个人手机目前的安全问题非常突出，经常有些个人手机种了木马，银行帐户密码就被窃走了，银行帐号里的金钱被转走都不知道，因为直接把短信转发到黑客手里。所以BYOD移动办公安全的挑战是非常之大的。

    从移动安全发展趋势来看：第一，各个国家和政府相继出台了针对个人隐私保护等相关政策法规。第二，针对移动金融，主要是移动支付，各个终端公司、手机厂商相应推出了手机方面的加强措施。比较典型的是指纹支付。华为在去年是国内第一家和支付宝做了指纹支付的合作。由于华为提供的指纹支付是足够安全，所以我们支付额是无限额的。而有的厂商，给予他的支付限额仅仅是一千元。从目前来看，安全问题是必须要解决的。

    对于BYOD移动办公，虽然安全很重要，但是我们还是要强调安全和效率的平衡。在保证安全前提下使BYOD做到5A级体验。任何人在任何地方、任何时间可以访问企业的任何应用。这是所谓的5A访问体验，当然了前提一定是安全。

    目前在移动安全来讲，都有哪些安全技术。

    第一是指纹、声纹、生物虹膜，通过这样的生物识别技术使得用户个人身份得到确认。这种技术是很多中高端手机逐渐普及，比如说指纹认证、虹膜认证技术。

    第二是TrustZone&TEE。这个技术并不是某一个厂商的发明，这是ARM自带这样一个功能，尤其是ARMv6KZ版本之后基本上在ARM架构里有一块空间专门用来作为安全的环境。ARM架构里，你可以认证一个CPU，它通过物理的方式给分成两个部分，这两个部门之间的隔离程度非常之高，近似于可以理解为两个处理器，一个是用于个人应用、另外一个用于企业移动办公或者移动支付，这两者之间不可渗透的。

    在TrustZone里面我们提供TrustOS，它对于硬件的调动和Android对硬件调用，调的是不同空间。Android应用无法访问TrustZone，必须通过TrustOS才能进一步访问到TEE环境里面的数据。所以有这样的技术对于未来的移动应用、移动支付、移动办公，在手机层面上讲也是一个很大的安全性的提高。

    我们还有安全元件技术，我们可以理解为类似于芯片。在TEE环境里它的数据其实也是明文的，不能够直接被Android访问而已，但是我们把手机系统ROOT之后，很有可能底层还是可以访问到TEE环境里的数据。如果想进一步安全的话，我们可以用TEE+SE的方案。TEE环境Android是不能访问的，其次我的指纹放到SE安全元件里，即使你ROOT之后也不能访问，这样我们会有一个更加安全的保障。

    对于SE这种方式有几种，原来传统的银行一般会给一个U盾，但是对于手机来讲携带U盾很不方便，也没有接口，比如说我可以通过音频口来连接盾，但是总而言之外部式的都是非常不方便的。而目前的趋势是SE安全元件直接做到手机内部，做到手机和盾一体化。

    第四，前不久公行推了HCE。HCE相对来讲是比较安全的，成本也比较低，但还不足够安全。只是说不需要SE就可以达到盾技术的安全线。当然了也有问题，这种方式只是说相对安全，在一些安全性要求不高的移动支付环境下还可以，比如说小额支付。但大额支付，我们还是不推荐的。

    第五，MDM移动设备管理。首先要认证，哪些设备可以使用移动办公，哪些设备不可以使用，而且使用中还有访问控制、安全设置，这些都可以进行管理，甚至丢了之后可以远程定位，所以通过MDM技术可以使得移动办公的终端做到全周期的安全管理。这样就可以得到很好的保障。

    第六，沙箱。在不安全的环境里创建一个沙箱环境，沙箱环境是加密环境，内外隔绝，沙箱外是我个人的环境，沙箱里是封闭的是安全的。沙箱里的数据也很难出来，或者出不来。一方面可以加密，领域沙箱一关就是一个加密文件。华为很早就移动办公了，没有这个技术时，手机不能打开附件的。现在有了这个技术之后，我们每个员工出差时直接用手机、Pad可以把邮件收下来，但是数据不会出来，因为整个是在沙箱里运转。

    第七，域隔离。我们把企业的应用单独放在一个路由器里，和个人应用隔开。但是这种隔离程度比较低。第二种就是操作系统的虚拟化。第三个是直接访问底层硬件，上面可以运行其他操作系统，两个操作系统是不一样的。

    前面我们把目前主流移动安全技术做了简单的介绍。下面看一下华为的移动安全解决方案。共有三个方面：移动终端侧、个人用户平台侧、企业用户平台侧。

    首先在终端这块我们可以实现自底向上的安全环境：底层芯片+OS。

    芯片安全。目前很多高端手机，包括我们华为的中高端手机都是用的是我们自己研发的麒麟处理器。此外通过硬件加密技术可以构建安全的信任根。比如说有TrustZone技术。海耶指纹，目前指纹是存在TrustZone里面，而且通过加密芯片保护。华为我们厂商自己也拿不到这个指纹的。还有我们自主开发的安全操作系统，我们有一个安全OS。可以确保内核安全、密码安全等其他应用安全。

    后面这个相对于前面的域的隔离方案，这是一个轻量的安全隔离。我们跑了两个完全隔开的系统，一个Android系统跑个人应用，另外一个Android系统跑企业应用。我们可以随时切换，两个系统间完全隔离，这是非常安全的。

    在移动这块来讲，我们提供了很多自带的一些应用安全特性，比如指纹解锁、加密、应用的黑名单、骚扰拦截等，此外我们还提供了SDK开发包。现有的移动应用可以很方便的通过SDK做调用，我们开发了一个工具可以自动地把现有企业应用直接跟SDK结合起来，做自动的结合，原来不安全的应用变得安全里，因为原来的应用不在沙箱里，现在通过这个集成把它放在沙箱里，沙箱里是很安全的。

    面向个人用户来讲，我们提供除了前面说的TrustZone等，我们还可以提供双操作系统、安全软硬件市场、加密机制，还有基于敏感数据的保护。这是面向个人用户来讲，有这样一个比较完善的安全方案。对于企业用户来讲，BYOD安全解决方案。在国内BYOD用户很多，在国外也有几百家。我们给客户提供了端到端的解决方案。在手机终端我们有MBM安全沙箱，确保个人应用和企业应用是完全分开的。手机整个生命周期是接受管理的。同时我们有管道安全，有专署的安全隧道，每一个隧道是对不同应用的。第三我们可以实现企业移动管理平台全生命周期管理。最后是我们可以提供快速的云平台对接，我们可以提供快速的安全的集成。这是我今天要讲的整个移动安全的课题。谢谢各位！

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。