移动时代让人们的生活变得更加便利,碎片化时间得到了充分利用。不论是企业还是个人,移动设备已经开始取代PC成为人们生活和工作中的承载平台。赛迪《2013-2014中国移动安全市场研究年度报告》(以下简称报告)中指出:目前,移动信息化已经成为政企用户在信息化领域的主要方向。信息安全厂商已经意识到移动互联网信息安全以及用户隐私保护的广阔前景,并加大了技术、产品研发力度。移动安全市场一直保持着高速的增长态势,2013年中国移动互联网用户达到5亿的用户规模,中国移动信息安全市场规模达到7.37亿元,同比增长68.3%,预测2016年市场规模将达到32.46亿元。
新形势的企业移动信息安全现状
1、移动互联网的复杂性使得监管难度加大
移动互联网是移动通信和互联网的二次革命,移动互联网的技术安全隐患最终将通过海量的用户、终端和应用等导致发生机密信息泄露等严重后果,从而危及中国的信息安全。进入4G时代,高速的带宽使得多渠道威胁成隐私泄露的重灾区。移动互联网环境下的接入方式多样、承载的业务和应用空前繁荣,用户数目海量,这些都造成攻击者呈现爆炸式增长。二是传统互联网安全问题尚未解决。基于IP的开放式架构、接入类型多样、业务丰富,上网终端智能化程度高是互联网安全问题的主要原因。随着移动互联时代的到来,这些因素非但没有得到解决,反而由于丰富的应用和多样化的终端加重了信息安全问题。三是移动互联网的特殊安全问题。移动互联网独特的随身性、身份可识别性产生了基于位置和身份的各种服务,移动行业信息化、移动办公、移动电子商务发展迅速。这些都是容易受到攻击的热点区域。此外,移动互联网的安全环境也比传统互联网复杂,威胁来源和易被攻击范围更加广泛,包含大量个人信息和机密信息的移动数据更容易引起黑客关注。而且,移动互联网所特有的“应用平台商店+个体应用开发者”的前店后厂模式,使得监管和审查难度加大。
2、移动隐私保护给传统信息安全管理提出新挑战
移动互联网本身固有的主体分散性、匿名性,传播手段的瞬间性,控制技术的专业性,对于政府管理者、企业及用户有效的防范带来诸多壁垒。由于具备海量的用户交互、丰富且复杂的终端和无时不在的应用,微小的移动互联网的技术安全隐患都将可能导致机密信息泄露的严重后果。一方面是病毒、木马、恶意软件的大肆横行,一方面则是恶意软件等对用户的侵害,如非法自启动、私自联网、私自发短信、恶意扣费、恶意加书签、通讯记录、通讯录、帐号、个人私密文件丢失泄露和被窥视等。同时,强大的云应用后台处理能力加上海量的移动终端,借助同步、双向备份,数据汇聚到后台进行综合处理、分析、预判,信息的不对称性使得消费者无从辨别信息的泄露、窃取或获取途径和主体、隐私信息的转售和滥用。由此,移动应用服务商“劣币驱逐良币”的态势开始出现,努力保护用户个人隐私信息的服务提供商,面临高成本压力却无法取得消费者相应的认可,在竞争中处于劣势地位。而对于整个社会来说,未来海量的金融、产业、消费者甚至是经济安全领域的信息就有可能通过数据挖掘等技术为人所用,中国数据主权面临的局势将极为严峻。
3、企业级移动安全成为政企信息化投入基础选项
移动信息化打开了政企内网与互联网通道,BYOD重绘了企业级IT系统的边界,同时对企业级数据安全的构建和防御产生着深远的影响。由于移动终端品牌类型众多,移动应用极大丰富,复杂的网络环境使得政企单位面临的信息安全风险急剧增高。2013年,政府、金融、电信等行业信息化在移动安全上开始加大投入,企业级移动安全成为政企信息化投入的基础选项。公安、海关等政府领域持续加大在终端接入管理、移动安全应用等方面的信息化力度。随着移动信息化运营经验的增多、厂商产品和技术研发的深入,以及用户在移动安全方面的风险意识和需求识别能力的提高,移动信息化过程中身份、设备、链路、数据、应用及操作系统等引入的移动安全风险得以重视,直接推动 用户在移动信息化进程中重构企业级信息安全保障体系的结构和传统信息安全建设模式。
4、移动安全技术从单一机制转向平台化
移动互联网信息安全存在3个主要安全威胁:恶意软件、数据窃取、非法访问。为保证移动安全,要采取手机安全软件、访问保护以及嵌入式身份保护等安全措施。这些安全特征和政策特别是在合作的氛围里能使移动设备的安全性最大化。因此,单一的“端“信息安全机制将被打破,围绕应对这三方面安全威胁开发移动安全平台化服务衍生出巨大市场需求,具备无限的潜力。手机病毒可以从原先简单的系统破坏、恶意扣费扩展到隐私窃取、金融盗号和窃听监控等,对用户的威胁性进一步加大。同时,手机病毒可以利用发送短信、彩信、电子邮件、移动网站、下载APP应用、蓝牙等方式传播,非常容易造成泛滥之势。
5、移动信息安全需求呈现产业化扩散趋势
随着产业协作的紧密,一方面,产业链中重要环节的安全厂商和产业链各方的合作达到前所未有的深度,发挥着越来越重要的作用,另一方面,恶意软件和木马也将进一步渗透到产业链各个环节,呈现产业化扩散趋势。在产业链中,应用层能够迅速、准确地反应用户需求,因此在整个产业链中具有得天独厚的地位。而内置应用软件、提供应用服务也成为终端厂商争夺市场的重要手段,可以预见的是,恶意软件和木马将持续渗透到操作系统、手机品牌商、应用开发商、应用市场以及移动网站等五大环节。在这种情况下,产业环境的安全,用户获取内容的安全,就成为整个产业必须关注的问题,也成为整个产业健康可持续发展的前提。
全面移动安全保障需求将被不断强调
赛迪报告中提到:未来3年,中国进入4G时代,高速的宽带使得多渠道威胁成为隐私泄露的重灾区。海量的用户数和应用数都预示着数据破坏、未经授权访问、数据丢失、等问题爆发,移动信息安全市场将保持高速增长态势。
2014-2016年中国移动信息安全市场规模及增长预测
年度 2014 2015 2016
市场规模(亿元) 12.26 20.15 32.46
增长率 66.4% 64.3% 61.1%
数据来源:赛迪顾问 2014
移动互联网领域海量的用户、日趋复杂的攻击为安全厂商带来了绝好的机遇。厂商在移动安全市场投入大量技术和资金开发信息安全产品。赛迪报告指出:按照移动互联网产品类型划分,主要有应用安全产品、终端安全产品和数据安全产品。其中,由于当前移动应用软件缺乏应有的安全机制,数据传输、存储风险突出,针对数据泄密、窃取、篡改、盗用风险的数据安全产品市场规模已占据28.9%。
2013年中国移动信息安全产品市场规模结构比例
数据来源:赛迪顾问 2014
移动安全在重点行业的需求特征
受行业特性影响,政府、金融和运营商是实施移动信息系统最多的行业。
斯诺登事件让国家认识到加强国家安全和隐私迫切性。成立国家安全委员会、央采禁购win8系统等国家政策都让政府对信息系统建设方面保持着灵敏的嗅觉和精准的反应。所以政府对新兴的移动信息化形式同样保持较高的推行力度,政府不但是极具发展潜力的移动应用市场,也是更为广阔的移动安全市场。
随时随地通过移动终端快捷办理银行卡挂失、密码更改、移动支付等业务似乎已经成为金融业服务的必备服务项目。这就要求金融行业积极开展移动信息化建设,客户信息泄露、非法盗取账号信息、系统资料泄密等风险使得变革中的金融行业对数据安全的要求更为严格。
年初,随着虚拟运营商牌照发放,三大运营商均提交了虚拟运营商合作名单,运营商在移动应用系统方面有着自身的技术优势,更站在移动技术发展的最前沿。众多的移动信息化服务提供商选择与运营商结合。运营商不仅掌握着众多用户的行为数据,也掌握着用户的姓名、身份证等众多隐私数据。另外虚拟运营商本身就是新生事物,用户对其缺乏天热的信任基础。一旦发生数据泄密事件,将错失发展良机。在这种情况下,运营商如何保证移动信息化数据安全成为我们不得不考虑的问题。
政企在部署移动信息化时应该更多的考虑数据安全管理,从意识和技术层面规范移动终端数据的使用、存储、传输。在意识层面,加强员工的安全防范意识。让员工知道如何正确使用自己的移动设备,同时保护个人和企业的数据安全;在技术层面,不管是企业自身机密资料、客户信息还是员工隐私,正式的移动信息化保护方案仍然是一个挑战。选择合适的移动安全管理产品是企业的必然选择。
如何做到企业级移动数据安全保护
在整个移动互联网产业链中,移动安全厂商与服务、应用、设备提供商、电信运营商、终端厂商形成上下游产业链整合的方式满足移动信息化安全的需求。明朝万达早在2006年就进入移动安全领域。2G时代,明朝万达主要专注于接入安全、移动警务终端安全等。3G时代,专注于智能终端在行业应用的安全领域,在政府、金融、电信等行业都有着较为成熟的移动安全解决方案。明朝万达采取上下游产业链整合的方式来满足移动信息化安全的需求:向下,将整合认证设备及传统网络防护设备供应商,形成整体移动安全解决方案提供给用户;向上,一方面会更加紧密地为用户提供移动安全中间件及定制化服务,另一方面携手三星、中兴、联想等多个知名家手机厂商,及电信运营商、第三方应用软件厂商等产业链各方,建立产品及市场层面的战略合作,以“安全移动应用”的方式提供给用户安全放心的移动信息化解决方案。
Chinasec(安元)移动安全管理平台是基于移动终端应用特点研发的集移动终端安全管理和应用于一身的产品,为现代化移动终端应用提供技术保护手段,解决具有敏感信息的应用系统从严密防范的内网延伸到开放的移动网络中存在的安全风险问题。产品分别从用户身份安全、网络通信安全、应用访问安全以及终端安全管理等方面解决各种智能移动终端的安全问题,同时提供日志审计、设备管理、二次开发接口等功能,为用户构筑完整的移动数据安全解决方案。
移动信息化是一把双刃剑,尽管这种模式可以提高效率、实现业务创新和增值,但是真正实施起来还需要用户根据自身业务需求权衡判断,从而部署安全可靠的移动方案。让移动化真正成为一把利剑。