移动应用与云计算的技术热潮,将安全话题再次推上风口浪尖。每天、每周、每月、季度、年度、单项统计、综合分析等安全报告 “此起彼伏”,安全缺陷、嵌入式开发、移动反病毒、数据泄漏防护(DLP)、社交工程陷阱( Social Engineering)、应用集成、SaaS服务、软件版权保护、安全技术框架、密钥管理等,保罗万象的安全技术领域总有“异军突起”,“矛与盾”的传说也一直在“安全”的江湖上流传。在企业端,在云计算中,接入安全、终端数据安全、终端安全管理技术和云端非结构化数据加密技术相对比较成熟,但是在云端结构化数据加密技术和云端加密数据密文检索技术依然处于探索阶段,如何做,怎么做才能更好?
明朝万达董事长 王志海
今天我们采访到了本届移动开发者大会“移动与云安全”主题论坛的演讲嘉宾,明朝万达董事长, 《OpenSSL与网络信息安全》作者,《信息安全技术》编委会委员的王志海,为我们讲述企业云端安全防护的“攻防战”。
CSDN:安全领域中,哪些应用方向已然落地?
王志海:移动与云安全分为面向个人和面向机构两个方向,面向个人的移动安全和云安全主要聚焦在个人隐私保护。面向机构或行业的移动和云安全目前主要有几个方面已经需求明显:一是接入安全,包括身份安全和传输安全;二是终端安全,即接入设备是否被Root或者越狱等合规性的管理;三是数据安全,包括在移动设备落地数据泄密和云端数据泄密的风险。
CSDN:您怎么看企业端的云安全以及加密技术?
王志海:云端数据加密技术将快速成为市场热点,特别是如果构建高效的基于密文检索的云端数据加密技术已经成为学术界和产业界关注的焦点。云计算技术最大的特征是数据集中存储和计算,而目前用户最大的担心是自己存储在云端的数据保密性等数据安全能否得到保障,而近年来频繁出现的数据泄密事件加剧了用户的这种担忧,可以说,用户对云端数据的安全性担忧已经成为云计算发展的障碍。
CSDN:选择“企业级移动安全技术框架解析”做议题的理由是什么?
王志海:移动互联网和云计算的发展,正进一步将信息化引向“大数据”时代,数据越来越集中,数据的价值体现越来越明显,解决以数据安全为核心的风险问题,是关系到移动互联网和云计算能否真正从“娱乐和生活领域”低级阶段进一步升级到“商业领域”高级阶段的关键技术领域,明朝万达作为一个专注于数据安全的公司,有义务和责任去探讨解决这个问题。目前来看,接入安全、终端数据安全、终端安全管理技术和云端非结构化数据加密技术相对比较成熟,但是在云端结构化数据加密技术和云端加密数据密文检索技术依然处于探索阶段,有产业界同仁的努力。
从我们接触和了解到的用户和开发者来看,对于移动和云安全技术,行业用户和行业应用开发者的已经具备基本的意识,并且在快速增强,与移动和云计算的应用基本保持在同步在状态。而在个人用户市场则明显处于落后的阶段,大部分用户对移动和云安全技术处于无警惕的状态,例如大部分用户意识不到root 和越狱移动设备可能给自身带来的巨大风险。但是对于安全技术的深度认知,用户和开发者都不够,例如如何评估安全技术的安全性和风险,以及如何调整应用模式以满足用户的安全需求。
3G及后3G时代的企业级移动应用发展趋势已经明朗。在“企业级移动安全技术框架解析”的议题中,我将详细与大家分享以下几方面的内容:信息安全风险、BYOD与防护边界、政策法规的支撑等挑战、位置服务带来的新机遇和风险,企业需要构建起新的移动安全技术框架,身份认证安全、传输安全、存储 (本地)数据安全、终端安全管理等企业级后台技术等。
CSDN:有观点认为,虚拟化在很大程度上摧毁了基于安全的“周边”概念,极大削弱了“周边防御”在云平台的影响。您是否同意这一点?周边防御将来发展趋势是怎么样的?
王志海:认为虚拟化可以“包治百病”的观点具有很大的片面性。在安全角度来看,虚拟化最大的改变是避免了数据在终端的“永久存储”,并不能从根本上改变信息系统面临的安全状态,例如虚拟化终端依然存在外设数据交换渠道、虚拟化终端依然可能面临病毒和木马的威胁以及虚拟化终端依然要通过网络和互联网进行数据交换等。此外,虚拟化技术应用场景也受到一定的限制,从目前来看,并不适用于大幅增长的移动互联网终端。从发展趋势来看,周边防御依然会存在,并且会进一步发展,从简单的周边外设防御进一步发展到网络及云中边界的防御。