2011 年11月2日,第二届RSA中国大会在北京举行。Forrester Research副总裁、首席分析师王晨曦在会上做了《管理工作场所个人设备的安全挑战》的主题演讲,期间接受了ZDNet专访。针对企业如何看待云安全问题,尤其移动终端面临哪些安全威胁,王晨曦介绍了工作中的一些经验,并对几大移动操作系统的安全对比给出了她的评价,并特别指出移动终端泄漏用户隐私信息的操作模式。
Forrester Research副总裁、首席分析师王晨曦
自建不一定比云更安全
“做安全的人,对云计算都抱着一种怀疑的眼光,在他们看来,云计算是一个比较不确定的环境。有人说到,微软、谷歌丢数据,这是没有对比的。如果把工作交给自己的IT团队和交给云计算的提供商比较,企业自建并不见得比云丢数据的概率更低。”王晨曦说到。
云计算部署对很对企业来说是利大于弊的,王晨曦强调,前两年云计算很火,在美国,现在移动计算更火。她认为,将移动与云计算结合起来将是下一步要走的发展道路。运营商目前的提供的移动业务,并没有和应用层搭界起来。如果运营商和应用搭界得比较密切,运营商自己就变成了云计算厂商。例如,公安部可以把一些应用放到运营商的数据中心,可以利用运营商已有的安全政策和策略来保护数据,这比企业自己做起来更经济。
移动终端面临的病毒、应用商店和系统安全环境
在提到手机终端所面临的病毒环境时,王晨曦告诉记者,现在外面发布的手机病毒的数据都不是很确切,和运营商看到的病毒的差距很大,他们看到的病毒比外面报道的要多得多。大部分病毒都没有很大的伤害力,一般是利用目标用户的网络带宽进行数字下载或打电话。
但在安全支付方面对移动终端的攻击现象开始显现,美国政府成立的移动安全小组,最近发布了一份研究报告。并进行演示,当一个病毒进入移动终端,并控制它,记录用户按键行为,窃取用户密码。之后在其他地方可以复制一个虚拟的环境,使用用户密码,就可以代替用户到银行取款。
移动应用商店方面,王晨曦认为,苹果的安全性要比Google高一些。因为所有的应用放上去以前,都要先进行测试。如果里面有病毒,就会被拒绝上传到苹果的在线商店。Google并不审查,只要花25美金成为安卓开发员就可以上传软件,并且安卓现在允许第三方开应用商店。现在美国有几个比较大的运营商在做应用商店,有一个运营商的应用商店里面的所有上传软件都要进行审查,他们的审查比苹果还要细,卖点就是在其应用商店里的软件都是很安全的。如果病毒在应用商店多发的话,这样会促使应用商店的管理方做很多安全的工作。王晨曦说到,现在他们做得还不是很多。
移动系统方面,王晨曦认为,现在最安全的系统是黑莓。虽然在北美、欧洲的企业用户很多,但趋势是黑莓的市场在缩小。苹果在安全性的潜力是很大的,但现在也看到,自从谷歌买入摩托罗拉。摩托罗拉现在有一个小组在专门做安全的安卓系统,包括了很多安全功能,Forrester预测谷歌很可能把这个放进操作系统平台。
前段时间,iphone和android被爆收集用户行踪位置隐私,但官方都澄清说不会泄漏用于商业用途。王晨曦告诉记者,对此说法要持谨慎态度。
并不是说苹果或谷歌做了什么,但可以想象在手机终端,有些应用采集用户名,有些应用采集应用层方面的数据。一方说不采集用户名,所以数据不涉及和某人的绑定关系。但如果把采集的用户名和采集应用数据的两个集合起来,就会得到很确切的用户具体信息。有很多公司这样做,在背后交换这些数据。在美国,政府在移动终端上的政策也不是很完整,但开始在注意这个问题,并在考虑是否要发布新的政策来管理移动终端的个人信息保护。