Download presentation
Presentation is loading. Please wait.
1
企业移动计算安全保障 Enterprise Mobile Computing Security Assurance
中关村信息安全产业联盟 企业移动计算安全保障 Enterprise Mobile Computing Security Assurance 企业移动计算工作组(EMCG) 王 克 下面我就工作组有关情况做一汇报。 1
2
汇报内容 一、背景 二、企业移动计算概念 三、企业移动计算新特点新问题 四、企业移动计算安全技术保障 五、企业移动计算工作组基本情况
六、标准制定开展情况 中关村信息安全产业联盟 企业移动计算工作组EMCG
3
一、背景--移动工作将成为一种常态 3A BYOD (Bring your own device) 全领域
(Anytime Anywhere Anydevice) 全领域 金融、税务、工商、交通、 公安、石油、电力、装备 维护、数字化单兵…… 近年来,BYOD(Bring your own device)越来越受到企业的青睐,对于员工而言,能够使用自身设备的同时共享公司资源,是非常人性化的一件事情。而对于公司来说,节省了设备购置与维护费用(只需提供技术支持),节省了大量的开支,远离了购买硬件的恶性循环。于是,BYOD 迅速成为热潮。但是随之而来的安全问题也迅速受到了业界的关注,特别是实施BYOD 之后的企业内网安全及数据流失问题。 移动设备正在从消费向企业应用发展,现场办公及业务处理等移动政务、移动警务等模式将成为趋势。税务、工商、公安、石油、电力、金融、装备维护、军队数字化单兵。如“安全政务本”,北京市政府及中国人民银行、南京地税 等移动办公等已经建设,据中关村移动互联网联盟研究报告预计2015企业移动化市场总规模约250亿。 来自GSM协会委托调查单位所做的报告称,移动技术将在全球医疗保健服务领域发挥重要作用,据了解,到了2017年,移动技术将遍及世界各地,成为医疗保健服务行业的主要推动力。已开发国家需要降低整体医疗保健成本,而开发中国家则希望为所需社区提供生命拯救服务,鉴于这点,移动技术能够超出医院或医生的能力范围,提供高效、可升级和费用较低的医疗保健服务。 中关村信息安全产业联盟 企业移动计算工作组EMCG 3
4
移动工作将成为一种常态 中关村信息安全产业联盟 企业移动计算工作组EMCG 4 中国 印度 墨西哥 巴西
中国 印度 墨西哥 巴西 美国和印度使用移动设备的知识型员工的比例接近70%,领先于其他国家,中国和墨西哥紧随其后。德国和法国,只有大约一半的知识型员工使用移动设备。欧洲国家移动性和 BYOD 的普及率很高,但在适应和充分支持这些趋势上落后于其他国家。未来,预期每位员工拥有的设备数将从2012 年的2.3 部上升到2014 年的2.8 部,复合年增长率为10.3%。中国的员工移动设备复合年增长率最高,达到近23%,未来两年将从平均每人1.8 部设备上升到2.7 部。 中关村信息安全产业联盟 企业移动计算工作组EMCG 4
5
移动工作将成为一种常态 在联网设备中,PC所占份额越来越少 中关村信息安全产业联盟 企业移动计算工作组EMCG 5
6
移动工作将成为一种常态 在联网设备中,PC所占份额越来越少 中关村信息安全产业联盟 企业移动计算工作组EMCG 6
7
移动工作将成为一种常态 我国移动信息化产业市场预测 中关村信息安全产业联盟 企业移动计算工作组EMCG 7
据移动信息化研究中心研究报告预计2015企业移动化市场总规模约250亿。 中关村信息安全产业联盟 企业移动计算工作组EMCG 7
8
企业移动计算Enterprise mobile computing
二、企业移动计算概念 企业移动信息化 对 象 终 端 处理信息 研究范围 社会组织成员 政府 企业 社会团体 企业用户 智能移动终端 通用 专用 机构内部信息 公共信息 用户信息 效益 应用系统 规划 政策法规 企业移动计算Enterprise mobile computing 社会组织成员 政府 企业 社会团体 企业移动信息化是工作范畴,移动计算是技术范畴 智能移动终端 通用 专用 机构内部信息 风险 技术基础 标准 产业链环境 中关村信息安全产业联盟 企业移动计算工作组EMCG 8
9
三、企业移动计算新特点新问题 终端种类多 在公共网上处理信息 软件商店多 苹果 三星 3G/4G 中兴 华为 联想 酷派 小米 e人e本
iOS Android …… Internet 3G/4G WiFi 中关村信息安全产业联盟 企业移动计算工作组EMCG
10
三、企业移动计算新特点新问题 最大问题是恶意软件
根据CNNIC《2013年中国网民信息安全状况研究报告》,手机恶意软件发生率与2012年相比提升了13.2个百分点,增幅位居所有类型安全问题的前列。 最大问题是恶意软件 2012年手机恶意软件款数激增,比2011年增长1907%。新增手机恶意软件样本17.5万款,感染者达7000余万人次。其中安卓平台新增样本占全部新增样本的71%,成为手机恶意软件的主要感染平台。 中关村信息安全产业联盟 企业移动计算工作组EMCG
11
四、企业移动计算安全技术保障 体系标准 等级保护 基础构件 终端管理 软件控制 建立适合国情的企业移动计算安全保障体系标准 操作系统
安全策略 远程摇毙 相机 录音 WiFi SD卡 计算隔离 运用密码技术实行软件签名准入机制,开发、审核、发布、安装、运行全生命期的保障; 软件签名、软件认证 (实名计算real-name computing) 在国家信息系统等级保护制度框架下,建立风险评估基础上的企业移动安全保障机制。 国产密码芯片 证书选择 密码协议中间件 中关村信息安全产业联盟 企业移动计算工作组EMCG
12
五、企业移动计算工作组(EMCG)基本情况
组建经过 2013年5月7日,在中国计算机学会计算机安全专业委员会倡导下,“企业移动计算联盟”研讨会在北京召开,华为、联想、联信摩贝、国信灵通、奇虎360、网秦公司等代表参加。成立“企业移动计算联盟”是实现相关企业互利共赢,保护民族移动终端产品的有效措施,是提高国家信息安全产业水平的创新举措。 2013年7月12日,第二次“企业移动计算联盟”研讨会在北京上地华为公司召开,联想、华为、酷派、中兴、联信摩贝、国信灵通、网秦、360、创原公司参加了会议。 2013年9月6日,第三次“企业移动计算联盟EMCG”研讨会在北京上地联想公司召开,参加会议的有联想、华为、中兴、酷派、网秦、联信摩贝、奇虎360、泰一奇点等单位参加。就MDM、数据加密、软件管控等技术框架进行了研究。 2013年12月2日,第四次“企业移动计算联盟” 筹备会在北京公安部第一研究所召开。会议认为,经过半年多的酝酿,筹备工作得到了多方面支持,成立“联盟”的基础得到加强。 2014年2月21日,中关村信息安全产业联盟批准成立“企业移动计算工作组”。 2014年2月21日,中关村信息安全产业联盟批准成立“企业移动计算组” 4月23日,借着首届首都网络安全日的东风,我们举办了工作组成立仪式。 中关村信息安全产业联盟 企业移动计算工作组EMCG 12
13
五、企业移动计算工作组(EMCG)基本情况
中兴通讯股份有限公司 意向成员 华为技术有限公司 安天实验室 联想软件有限公司 北京锐安科技有限公司 国鼎网络空间安全 技术有限公司 奇虎360科技有限公司 国际上大企业联合作标准的例子很多,值得我们国家和行业学习。可信计算TCG,前不久,国际上IBM、思科、通用GE、AT&T四大巨头已经宣布成立组建国际工业互联网联盟IAC,打破技术壁垒,推动物理世界向数字世界整合。我理解就是物联网的标准,他们是竞争关系,又是合作关系,有人说他们抱团取暖,这个词适合我们,而不适合国际巨头,公司有困难了,才抱团取暖,难兄难弟,这是我们国家的文化,现在工业文明的重要标志是大公司联合占领标准制高点,在实行行业垄断。而我们的联盟总是习惯于“团结在党中央周围”在政府的牵头下制定行业标准,新的形势、新的市场、新的商机需要新思路,那就是新行业的企业自发强强联合,占领制高点,引领产业发展,不能总是等着国家牵头,从而造成初期的市场混乱,等政府牵头治理后,发展的机会往往错过。我觉得抱团之后不见得有暖,但是抱团之后大家做贡献才能暖和,如果抱团之后没有贡献的话就没有热量。 联信摩贝软件(北京)有限公司 中关村信息安全产业联盟 企业移动计算工作组EMCG 13
14
五、企业移动计算工作组(EMCG)基本情况
宗 旨 “标准引领、产业推动;协同创新、合作共赢” 作 用 深化企业强强联合,推动产业创新,建立有序的产业环境,巩固国产产品市场地位,促进中国企业移动信息化建设健康发展。 任 务 前几天,IBM、思科、GE、AT&T四大行业国际巨头联合组建“工业互联网联盟IIC”,目标:“打破技术壁垒,推动物理世界和数字世界整合”,受MH370事件教训启发。不能“吃独食”。 研究产业各环节技术规范体系,制定相关技术标准,简化产业不同层面的技术对接,提高企业移动业务的部署效率,使产业链规模化、模块化、高效、可持续发展。 中关村信息安全产业联盟 企业移动计算工作组EMCG 14
15
五、企业移动计算工作组(EMCG)基本情况
运行方式 常设机构人员,经费“众筹”。 知识产权 《中关村信息安全产业联盟知识产权管理办法》。工作组的成果归成员共同所有,采用有偿使用的方式推广知识产权,并按贡献大小分配效益。 中关村信息安全产业联盟 企业移动计算工作组EMCG
16
六、标准制定开展情况(标准内容) 解决终端厂商MDM API不统一,企业MDM系统难以管控多种移动设备问题。 移动终端设备安全 等级产品规格
移动终端设备管理 API规范 移动终端应用开发、安装、运行 管控机制 (Q/EMCG ) (Q/EMCG ) (Q/EMCG ) Ⅰ级 Ⅱ级 Ⅲ级 Ⅳ级 Ⅴ级 终端产品 规格1 规格2 规格3 信息系统 使终端产品设计生产及销售,能够适应不同等级的信息系统建设需要。 解决终端厂商MDM API不统一,企业MDM系统难以管控多种移动设备问题。 解决Android系统缺乏有效的应用软件管控技术机制,有效控制应用软件泛滥。 中关村信息安全产业联盟 企业移动计算工作组EMCG
17
六、标准制定开展情况(标准内容) 标准名称及代号 标准的性质 标准的依据 知识产权 移动终端设备安全等级产品规格
Security grade specification of mobile device products Q/EMCG 移动终端设备管理API规范 Mobile device management API specification Q/EMCG 移动终端应用开发、安装、运行管控机制 Management and control mechanism of mobile device App developing ,installing and running Q/EMCG 标准的性质 在国家行业主管部门备案的推荐性企业标准(产业联盟标准),根据技术和产业发展需要可上升为国家行业标准或国家标准。 标准的依据 根据国家《信息安全等级保护管理办法》(公通字[2007]43号)以及《信息安全技术 终端计算机系统安全等级技术要求》(GA/T )等法规标准。 知识产权 依据《中关村信息安全产业联盟知识产权管理办法》,本标准知识产权归联盟工作组所有。 中关村信息安全产业联盟 企业移动计算工作组EMCG
18
六、标准制定开展情况(组织管理) 筹备工作 编制了三个标准的《需求说明书》 制定了《知识产权管理办法》 制定了标准项目《经费使用规定》
协商制定了三个标准的任务分工方案 6月22日,召开标准项目启动会 公安部网络安全保卫局、中关村科技园区管委会、CCF计算机安全专委会、国标委信息安全专家组、中关村信息安全产业联盟等领导和专家,以及中兴、华为、联想、宇龙酷派、鼎普等十余家企业代表出席了会议。 6月22日,中关村信息安全产业联盟企业移动计算工作组2014年标准项目启动会在中关村东升科技园举行。公安部网络安全保卫局总工程师郭启全、中关村科技园区管理委员会委员刘航、中国计算机学会计算机安全专业委员会主任严明、国家标准委员会信息安全专家组研究员崔书昆、中关村信息安全产业联盟理事长于晴等领导和专家,中兴通讯股份有限公司、华为技术有限公司、北京联想软件有限公司、深圳宇龙酷派有限公司、以及北京鼎普科技股份有限公司等十余家行业龙头企业代表共同出席了会议。 中关村信息安全产业联盟 企业移动计算工作组EMCG
19
六、标准制定开展情况(组织管理) 组织机构 中关村信息安全产业联盟 企业移动计算工作组EMCG 中关村信息安全产业联盟 中关村标准组织
顾问组 专家组 企业移动计算工作组(EMCG) Q/EMCG 移动终端设备 安全等级产品规格 中兴、华为、联想、酷派、e人e本、国鼎 Q/EMCG 移动终端设备管理 API规范 中兴、华为、联想、酷派、e人e本、国鼎、奇虎360、国信灵通、摩贝 Q/EMCG 移动终端应用 开发、安装、运行 管控机制 中兴、华为、联想、 酷派、e人e本、国鼎、 奇虎360、国信灵通、 安天、瑞飞、鼎普、 瑞安、安恒 中关村信息安全产业联盟 企业移动计算工作组EMCG
20
六、标准制定开展情况(组织管理) 组织机构 中关村信息安全产业联盟:
2013年12月20日获北京市民政局批准《社会团体法人登记证书》,独立法人资格。 联盟联合信息安全行业机构、企业,提高企业研发能力,加快技术成果产业化,培育行业龙头企业,形成自主知识产权产品,主导和参加国际、国家及行业标准制定;凝聚产业链上下游资源,促进信息安全领域产学研合作,营造良好的产业发展环境,使北京中关村成为我国信息安全技术和产业中心,辐射带动国内信息安全产业发展。 联盟理事单位有:北京锐安科技有限公司、奇虎360科技有限公司、北京鼎普科技股份有限公司、北京交控科技有限公司、北京中兴网安科技有限公司、总参三部成果交流中心、军工保密资格审查认证中心等国内信息安全产业的权威机构和龙头企业。 中关村信息安全产业联盟: 2013年12月20日获北京市民政局批准《社会团体法人登记证书》,独立法人资格。 联盟联合信息安全行业机构、企业,提高企业研发能力,加快技术成果产业化,培育行业龙头企业,形成自主知识产权产品,主导和参加国际、国家及行业标准制定;凝聚产业链上下游资源,促进信息安全领域产学研合作,营造良好的产业发展环境,使北京中关村成为我国信息安全技术和产业中心,辐射带动国内信息安全产业发展。 联盟成员有:北京锐安科技有限公司、奇虎360科技有限公司、北京鼎普科技股份有限公司、北京交控科技有限公司、北京中兴网安科技有限公司、总参三部成果交流中心、军工保密资格审查认证中心等国内信息安全产业的权威机构和龙头企业。 中关村标准组织: 中关村创新服务中心承担中关村标准化专项工作,国家技术创新基地计划落地在中关村创新服务中心,基地建设期两年,到2015年10月建设完成,目前基地拟成立10个左右工作组,以联盟为主要参与者,制定相关行业标准,也即“中关村标准”。“中关村标准”强调标准由市场主导,经过立项(至少5家企业参与制定)、评审等环节,确定标准项目。“中关村标准”得到了全国标准化委员会的支持,并提供了绿色通道。目前中关村信息安全产业联盟牵头成立信息安全工作组,并积极开展相关工作。 中关村标准组织: 中关村创新服务中心承担中关村标准化专项工作,国家技术创新基地计划落地在中关村创新服务中心,基地建设期两年,到2015年10月建设完成,目前基地拟成立10个左右工作组,以联盟为主要参与者,制定相关行业标准,也即“中关村标准”。“中关村标准”强调标准由市场主导,经过立项(至少5家企业参与制定)、评审等环节,确定标准项目。“中关村标准”得到了全国标准化委员会的支持,并提供了绿色通道。目前中关村信息安全产业联盟牵头成立信息安全工作组,并积极开展相关工作。 中关村信息安全产业联盟 企业移动计算工作组EMCG
21
六、标准制定开展情况(合作方式) 合作方式 甲方 乙方 权 利 义 务 责 任 成果分配 协商拟定了《标准项目合作协议书》
中关村信息安全产业联盟 参加标准制定的单位 权 利 义 务 责 任 (1)了解掌握项目的进展情况 (2)推荐项目负责人及有关专家; (3)与乙方共同享有项目知识产权,并参与效益分配方案制定; (4)宣布项目实施; (5)为项目提供财务管理。 (1)参加本标准项目的论证、撰写、修改及审定 (2)与甲方和参与本标准制定的其他单位共同享有项目的知识产权,并参与成果效益分配方案制定 (3)提供项目所需的部分经费 (4)指定专人参加本标准的论证、撰写、修改及审定 (5)维护本标准的权威性,带头实施本标准,积极开展本标准的推广应用工作 成果分配 10% 90% 中关村信息安全产业联盟 企业移动计算工作组EMCG
22
致 谢 倪光南 中国工程院院士 戴一奇 清华大学教授 吕述望 中国科学院研究生院教授 严 明 计算机安全专委会主任 崔书昆 国家安标委专家组
致 谢 倪光南 中国工程院院士 戴一奇 清华大学教授 吕述望 中国科学院研究生院教授 严 明 计算机安全专委会主任 崔书昆 国家安标委专家组 于 晴 中关村信息安全产业联盟理事长 梁 淼 华为技术有限公司 郑志彬 华为技术有限公司 刘永锋 联想集团 李 甘 联想集团 田 径 中兴通讯 王 驰 中兴通讯 程力行 酷派宇龙 石晓虹 奇虎360副总裁 蒋旭宪 奇虎360教授 晋艳伟 网秦(国信灵通) 张永利 网秦(国信灵通) 宋 斌 联信摩贝软件(北京)有限公司 符东昇 公安部第一研究所主任 肖新光 安天实验室 杜跃进 国家计算机网络安全研究中心 楼培德 中国移动通信联合会秘书长 吴亚非 国家信息中心网络安全中心主任 虽然企业移动计算工作组成立了,有了一个良好的开端,但今后仍会面临许多问题和困难,相信我们在中央网络安全与信息化领导小组的指引下,在国家有关部门的有效领导下,在中关村管委会的扶持帮助下,在有关专家指导下,中关村信息安全产业联盟企业移动计算工作组成员单位将会携手努力,攻坚克难,为建立自主可控的信息安全产业环境,为我国网络安全和信息化建设做出我们应有的贡献。谢谢! 中关村信息安全产业联盟 企业移动计算工作组EMCG 22
Similar presentations