奇虎360 谭晓生:轻盈IT大不同

　　2013年第五届中国 手机 产业发展大会在北京隆重召开。360公司 企业 高级顾问李博做《基于智能终端的BYOD创新》的演讲。

　　他提到，目前有不少便携式设备接入到企业网络。这其中给企业网络安全带来很大的挑战，其中包括：企业的网络边界被打破、企业管理层面要求提高、企业行为管理个人设备时涉及到的个人隐私问题。

　　首先，非常感谢主办方中国 通信 学会搭建这个平台让我们就产业的发展进行深入交流，今天我跟大家分享的话题是《基于智能终端的BYOD创新》。

　　 移动互联网 的到来，在全球范围内已经不可逆转，而且发展越来越快。在这个过程中，我们会有机遇也有挑战。首先，在机遇方面，我们实现了以往我们所想象不到的，任意地点的办公，以及任意地点的购物，以及移动的娱乐、移动的通信等等，这都是移动 互联网 时代给我们带来的机遇。我记得在我上学的时候，我们老师曾经跟我们探讨过自己的梦想，其中有一个同学这样说，我未来的梦想是能够在家里躺在床上上网，当时我们认为这个梦想还是离我们很遥远，但今天看来这个梦想不但已经实现了，而且变成了在任何地方 都可以 上网。

　　实际上，这为产业的颠覆和创新带来了无限的机会，移动互联网的出现带来了大量的创新型产品，可以说移动互联网目前只是处在起步阶段，任何产品都具有非常将的创新型，比如说 微博 、微信，等等应用的创新，实际带来了巨大的商机。这种创新的背后实际上是一个产业链的重构和生成过程。我们也看到，随着移动互联网的到来，很多手机厂商、移动生产厂商，以及移动APP的小团队，都如雨后春笋般的成长，小米今天已经达到的规模是我们之前根本无法想象的。正是因为移动互联网的到来，手机产业为整个IT信息产业也带来了巨大机会。

　　那么，我们不得不看到在这背后，我们在高速发展的同时，我们还缺乏很多深层次的思考。比如，今天我就要跟大家分享的移动互联网中的安全问题，就是一个可能会被忽视但是又真的非常重要的话题。

　　到了今天，随着 Android 、IOS这些平台的兴起，我们遇到的安全问题不是变少了，而是比以往更多、更复杂。首先，信息的窃取以往在有线网络时代相对还是比较难的，但随着亿互联网的到来，应用的增多、接入点的增多，为窃取、欺骗、监听， 病毒 、 木马 的传播，以及访问的控制，等等，带来了很大的机遇。有句话说的好，哪里有利益哪里就会有犯罪。移动市场上万亿的市场规模，势必会带来很多相应的问题。传统的 黑客 已经把目光由有线网络转移到了移动互联网上，今年的黑客关注的是移动设备、移动应用，以及由此形成的 黑色产业链 。移动网络的安全问题确实是无处不在的，而且地下产业链也围绕着移动网络快速形成，这个速度可能发展了移动网络本身的发展速度。

　　这里有个数据，2013年上半年Android恶意软件危害占比情况，最大一笔资费消耗占到了61%，隐私窃取达到了24%，我们关注的欺诈软件占到了2%，这部分危害最大，也就是说这部分的黑色金矿还有很大一部分要被挖掘，还有流氓行为，由于360手机卫士的推出目前这种情况得到了很大遏制。

　　下面，看一下360移动互联网中心做的统计，上面是2012年移动互联网恶意软件的变化，2012年在Android平台上恶意软件的出现是逐月增加的，到12月达到了顶峰。下面两张图，一个是Android平台新增软件的样本数量，也就是互联网安全中心捕获到的样本数量，绿色的是2012年数据，右边黄色的是2013年数据。可以看到，Q3我们统计了7、8、9三个月，Android平台上新增恶意软件的数量，2013年要比2012年增长的幅度非常大。尤其是7月份，7月份的增长速度已经超过了10倍以上，8、9月份增长的幅度也是非常大的。右下角这个图是Android平台感染恶意样本的数量，与2012年相比，2013年的感染数量还是每月增长数量比较大。由于采用Android平台的智能终端部署量有一个激增，我们可以预想未来感染的比例会变得越来越高。所以，安全问题确实是移动互联网到来之后我们不得不面对、不得不解决的一个非常严重的问题。

　　下面，我们来谈谈企业的安全，前面的一些嘉宾和领导演讲，给大家介绍的更多是个人终端和个人电脑、 平板 这方面基础设施的发展。360企业安全这块，主要聚焦在企业层面的安全防护和安全解决 方案 上，我们在看移动互联网、智能终端给整个产业带来的变化，我们也是一分为二看的。首先是360团队在做的针对个人用户防护的方案和相应产品，我们可以看到手机卫士、 手机管家 、助手等等，都是在个人方面解决安全和管理问题的。企业安全方面主要是聚焦于企业层面的安全，移动互联虽然增长非常快，但对企业来说是被动的，这和个人市场的主动增长有一定区别，或者是相反的，为什么呢？我们看一组美国的数据， 思科 公司针对600个IT业内人士进行的调研结果，其中65%的员工认为需要通过移动网络进行工作，也就是我们所说的BYOD，利用随身携带的设备接入到企业网络中进行办公，这个设备是属于他私人的设备。另外，78%的美国白领将会自己携带的时候接入公司网络并进行办公，现在已经有95%企业允许在公众场合以某种方式室外员工自带的设备。

　　那么，从360自身的安全实践来看，最初我们也是比较被动的禁止员工使用这种便携式设备接到网络中进行办公，原因最主要是安全问题。但是，后来随着移动设备数量的增长，和它上面应用的普及，这种移动设备的办公，BYOD已经成为不可逆转趋势的情况下，我们也是被动的允许员工将自己的设备接入360网络中进行办公。但是我们怎么管理安全问题呢？实际上我们的实践就是加强控制，在保证安全的情况下才允许你办公，这在个人终端这块是相反的，他首先考虑的是便捷然后才是安全，但如果对象是企业情况就相反，我首先要考虑安全问题，安全被保障的情况下才能允许你适度应用个人的移动设备，给工作带来方便。

　　我们看一下，这种移动设备接入企业网络，对企业会带来什么挑战呢？首先就是网络边界被打破，包括安全业内的一些人在谈到这个问题的时候，他更多的是把BYOD带来的安全问题推向安全终端本身，也就是说他会讲Android有多不安全，IOS有多封闭，但通过我们的实践，BYOD带来的安全问题的本质事实上是企业的网络边界被打破。大家都知道，一个企业网络为了构建自己的安全体系，可能是投资数十亿、上百亿、上亿资金打造自己企业的安全体系，基础就是这个企业的安全边界是要固若金汤的，而BYOD的出现会导致一个问题，原来需要有线接入可的接入是，随着移动互联网的到来没有边界了，企业也不知道它的网络边界在哪里，那么接入的问题怎么控制？网络边界的安全问题如何防护？这是现在 3G 和未来 4G BYOD便携式设备为企业安全带来最严峻的挑战。

　　我们可以设想，在很多办公写字楼里，可能有很多家公司在租用这个写字楼，每家之间离的都很近，如果每家都架了 WiFi ，我们可以想象一下在这个环境下，谁也说不清楚自己的网络边界在哪里，互相的信号都可以访问和覆盖，在这种情况下怎么保证安全？谁可以接进来、谁不可以接进来？接进来怎么控制他们、管理他们？这也是个问题。

　　BYOD带来的第二个挑战就是管理层面的，很多安全问题除了防护、技术手段之外还需要通过管理来解决。在传统的有线网络时代，每台终端设备都会受到严格的管控和监控，BYOD的到来，我们认为安全的本质不应该有区别，安全的 内涵 还没有变，对安全的内涵只能严控不能放，这里我们细化了在BYOD环境中可能会出现的安全问题：首先是硬件的身份识别，我们管它叫MDM，第二个是MCM，也就是对内容的管控，第三个是MAM对应用的管控。尤其对应用管控这块，移动互联的到来它的应用跟传统应用有很大不同，我们可以看到 app store 上有上百万的应用存在，而在有线时代传统PC中的应用是没有这么多的，那么如何管理大量应用事实上是BYOD管理中一个核心内容。

　　BYOD带来的我认为最大的挑战，这在不久之前上海的ISF大会上也讨论过，这个问题就是，在BYOD管理的时候企业对个人设备进行管理，实际上这是个矛盾大家发现没有？我们管理的是个人设备，而行为是企业行为，要用企业行为管理个人设备，这里设计到个人隐私问题、法律道德问题是必须说话要解决的，ISF大会其中有个日本的行业专家过来给我们演讲，他提到最大的问题他说，日本目前有40%的个人终端已经是BYOD设备，日本的员工在入职时候也不再会发一个 笔记本 ，而是发一个PAD，所有的办公IT设施都在云端进行管控，然后通过PAD接入，这个PAD可以在家里使用也可以拿到公司来。他们认为其中的技术管控不是问题，只要装了软件想做什么管控都没问题。而他提到的问题是面对个人数据怎么管控，这是法律范畴，是技术无法逾越的挑战。

　　我们认为，首先在对MDM进行管理的时候，要避免触及到个人隐私问题。第二，对BYOD上设备应用进行管理的时候也要避免触及到个人隐私问题。第三，涉及到个人隐私和个人内容的时候，也要避免触及到个人隐私问题。怎么样做到这一点？我们认为有两个基础：一个是明确区分什么是个人隐私，什么是公司隐私。第二要隔离，区分出来之后要非常明确的让设备的主人清楚，他个人内容和企业内容是有明确隔离措施的，这是技术上的两个基础和保障。

　　要重申的是什么呢？出于企业安全考虑的时候，不能以此为借口侵犯个人隐私。很多企业在管理的时候，个人隐私和企业数据之间，他们是要做妥协的，我管理到什么程度，侵犯你个人隐私到什么程度，这要做妥协，但我们认为这是法律和道德的高压线，是不能触碰的，也是不需要做妥协和权衡的。这我认为是BYOD目前管理遇到最难的一个事情，就是法律和道德问题。

　　针对上面企业网络中被动的接入了这些个人终端和个人设备所带来的问题，我们360一直在积极探索，在企业网这边我们明天就要发布天机这款产品，就是针对BYOD设备终端安全进行管控的产品。这款产品从几个角度实现了对移动终端BYOD设备上的安全和管控：1、企业数据的防护。我们最先考虑的是个人隐私、法律和道德问题，所以我们做好了数据隔离。另外对企业数据进行了加密，在隔离之前我们有一套方案可以区分企业数据和个人数据，我们对它进行了加密。另外，解决BYOD接入企业网络问题。2、对BYOD设备进行管理，主要是对BYOD的状态监控，对设备的注销、远程接入、擦除工作等等。我们具体采用的是沙箱技术管理企业数据，大家可以把沙箱想象成一个虚拟机，所有企业数据都可以放到里面进行加密、进行访问，也就是说你在个人桌面上是访问不到企业沙箱中的数据的，沙箱中的数据也不会流到个人桌面上，这样就实现了数据的隔离，这样法律问题没有了，管控也可以集中在企业区域进行管控。

　　为了防止数据泄露带来的风险，我们做到了用户数据可以被偷走，但他打不开，这块我们采用了传输的加密、内容的加密，以及相应密钥的管理和 VPN 介入，我们在数据转移和 存储 过程中保证它都是加密的。另外，我们还做了应用的加固，如果这个应用内部是有漏洞的，但它在企业桌面上进行应用的时候这些漏洞不会被触发。这是我们的一个应用分发流程界面，它可以统一审核应用，然后对应外的使用情况我们进行审计和跟踪。在设备管理这块我们强调的是集中管理，这是企业特有的特性，个人设备可能不涉及到企业集中管理问题。

　　为什么我们在这块能做到这些呢？360短期内可以实现对企业终端BYOD的管理呢？事实上，我们是依靠背后4个亿用户，目前我们手机端用户已经突破了4个亿，并且还在增长。我们的优势还是强调我们是一家安全厂商，我们是基于安全做互联网的。