移动应用与云计算的技术热潮，将安全话题再次推上风口浪尖。每天、每周、每月、季度、年度、单项统计、综合分析等安全报告“此起彼伏”,安全缺陷、嵌入式开发、移动反病毒、数据泄漏防护（DLP）、社交工程陷阱（Social Engineering）、应用集成、SaaS服务、软件版权保护、安全技术框架、密钥管理等，包罗万象的安全技术领域总有“异军突起”.

    银行、金融等六大行业客户面临这样或者那样的挑战，例如，行业客户需要考虑如何安全地接入企业网络中；身为企业的IT管理者，能够方便的远程批量部署和配制这些终端；如何远程执行后台安全策略；企业还会关心如何方便的访问企业的OA系统和邮箱系统；关心如何把已有的应用系统移动化。

    1.国内外相关领域技术发展水平和趋势

    企业级移动应用从2008--2009年开始出现，并在2010年持续增长，预计到2015年在所有移动应用中的市场份额将达到目前的两倍，该应用重要集中于成长型企业SaaS（Soft-wareas-a-Service,软件运营服务）应用、集成化移动管理平台、面向行业的垂直解决方案、移动协作等方面。企业级移动应用的投资回报率日益清晰，大型企业应用软件供应商也逐渐成为企业级移动应用市场增长的主要驱动力。根据国内权威调查机构CCWResearch调研，希望通过手机实时掌握信息的企业用户比例高达71.9%,如何以移动终端为载体，更好地支持办公管理和业务运营已经成为企业用户的迫切需求。

    本文从移动终端用户身份安全、移动终端网络接入安全、网络数据通信安全、应用访问控制安全、数据存储与访问控制安全等多个环节，全面构建智能移动终端的数据泄露防护体系，为企业级移动互联网用户提供信息安全保障，为企业量身打造更安全、更富有延展性的完整数据安全解决方案。从技术方面来讲，支持分布式部署、支持多服务器集群，从而保证在智能终端等多个平台中搭建统一、整体、完备的安全服务体系，与其它同类产品相比，具有更好的安全防护效果。

    2.研究内容

    通过对企业级移动智能终端应用过程中普遍存在的数据安全问题进行调查与分析，以及对现有企业级移动应用平台架构方案进行研究，提出基于Android操作系统的企业级智能终端应用平台的数据安全防护技术的解决方案，最终完成该方案在企业管控一体化系统中的实现和应用。首先完成企业级移动应用中安全需求的调研和分析；企业级移动应用安全体系的梳理和设计：其次进行数据加密、强认证等基础安全服务的建设；在此基础上完善服务器及移动应用安全服务体系，其内容涵盖：认证/授权，本地数据安全、链路数据安全，异常/突发情况的处理等；最终形成覆盖整个企业移动应用体系的安全服务体系；能够在企业和员工两个层面提供移动应用的安全服务。

    3.实施方案研究与设计

    数据安全系统实施方案如图1所示。本系统采用三层体系架构，最上层为安全认证层，包括发卡服务、证书服务、密钥服务、验证服务等；中间层为安全应用层，主要提供Android操作系统平台上的RFID识别，其RFID阅读器通过移动智能终端的音频[j植入及数据网络传输安全防护：最底层为安全设备层，即包含有RFID电子标签及电子工牌的设计等。

    图1 数据安全系统架构

    项目的认证流程图如图2所示，主要包括RFID技术、发卡系统设计、基于Android系统平台的口令认证技术、RFID识别技术、网络安全传输技术、CA认证、PKI密钥、非对称加密技术及以上技术的集成。

    图2 数据安全系统认证流程

    对于企业级移动应用数据安全防护技术的实现路线主要包括：安全设备层的建设和保护；安全应用层的数据安全的防护，包括局域网、无线局域网、光纤网和公网数据连接的保护；加密智能终端与服务器、公司本部、二级单位及互联网间传输的数据防护；保护智能终端与应用服务器的安全连接；保护存储在数据库服务器组织环境中的移动访问安全等。

    采用该技术能带来的经济好处有：采用RFID技术，大幅提高用户身份认证的便捷性、准确性和安全性；实现数据备份管理；采用磁盘阵列技术和SAN允许服务器，提高数据读取速度和安全；Android系统扩展RFID功能及安全认证技术的集成；双机容错技术降低企业数据丢失风险；实现企业用户进行移动办公的安全网络环境。

    今移动互联网和云计算的发展，正进一步将信息化引向“大数据”时代，数据越来越集中。

    4.综述与展望

    3G及后3G时代的企业级移动应用发展趋势已经明朗，对于移动和云安全技术，行业用户和行业应用开发者已经具备基本的意识，并且在快速增强，与移动和云计算的应用基本保持在同步状态。而在个人用户市场则明显处于落后的阶段，大部分用户对移动和云安全技术处于无警惕的状态，例如大部分用户意识不到root和越狱移动设备可能给自身带来的巨大风险。但是对于安全技术的深度认知，用户和开发者都不够，例如如何评估安全技术的安全性和风险，以及如何调整应用模式以满足用户的安全需求。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。