行業(yè)業(yè)務(wù)應(yīng)用的移動(dòng)化和互聯(lián)網(wǎng)化打破了時(shí)空維度的信息束縛,讓一線作業(yè)人員和管理人員能夠隨時(shí)、隨地訪問行業(yè)信息系統(tǒng),提高效率、增強(qiáng)協(xié)作,在解決實(shí)際業(yè)務(wù)問題的同時(shí),也給行業(yè)信息系統(tǒng)帶來(lái)了一系列安全挑戰(zhàn)。如何保證信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的安全,讓行業(yè)客戶無(wú)后顧之憂地享受移動(dòng)化帶來(lái)的效率和業(yè)績(jī)提升是務(wù)必要解決的問題。
作為行業(yè)業(yè)務(wù)系統(tǒng)集成商和軟件開發(fā)商,不僅要站在IT部門的角度來(lái)考慮系統(tǒng)安全問題,更應(yīng)該站在業(yè)務(wù)部門、業(yè)務(wù)管理者和業(yè)務(wù)使用者的角度來(lái)考慮安全問題,這些部門和人員對(duì)安全的訴求,是系統(tǒng)安全解決方案的根本,也是行業(yè)應(yīng)用移動(dòng)化的“大安全”。
大安全,切忌“頭痛醫(yī)頭,腳痛醫(yī)腳”,更不可“臨時(shí)抱佛腳”。高安全性和低成本不可兼得,在行業(yè)業(yè)務(wù)系統(tǒng)設(shè)計(jì)過程中,必須深入分析業(yè)務(wù)需求,既不可為了追求低成本而降低安全要求,也不可過度設(shè)計(jì),過度保護(hù),我們應(yīng)該花較大的精力去尋求安全與成本之間的適度平衡。
從業(yè)務(wù)部門的角度來(lái)看,行業(yè)應(yīng)用系統(tǒng)的“大安全”主要包括業(yè)務(wù)訪問、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和設(shè)備資源4個(gè)方面:
- 業(yè)務(wù)訪問安全
也就是系統(tǒng)接入安全,只有獲得授權(quán)的用戶和設(shè)備,才能訪問業(yè)務(wù)系統(tǒng),通常采用鑒權(quán)、認(rèn)證、訪問控制等技術(shù)實(shí)現(xiàn)。除了上述傳統(tǒng)技術(shù),移動(dòng)VPN、應(yīng)用粒度的分離隧道、應(yīng)用粒度的資源和權(quán)限管控、移動(dòng)硬件特征碼認(rèn)證等技術(shù)正在被大量用于保護(hù)業(yè)務(wù)訪問的安全。
- 數(shù)據(jù)傳輸安全
確保數(shù)據(jù)在傳遞過程中的機(jī)密性、完整性和真實(shí)性(不可抵賴,不可篡改),通常采用加密技術(shù)實(shí)現(xiàn),傳統(tǒng)的方法是在業(yè)務(wù)系統(tǒng)和應(yīng)用中增加密鑰管理模塊和加解密模塊,這勢(shì)必造成安全功能與業(yè)務(wù)的緊耦合,不利于新業(yè)務(wù)的快速上線和版本的快速迭代。而且隨著加密算法更替周期的縮短,對(duì)業(yè)務(wù)功能的影響將越來(lái)越大,必將增加額外的時(shí)間和人力成本。因此,有必要將安全功能與業(yè)務(wù)功能進(jìn)行剝離、解耦,使兩個(gè)功能模塊可以各自迭代,互不影響。
- 數(shù)據(jù)存儲(chǔ)安全
數(shù)據(jù)存儲(chǔ)安全至少包括兩個(gè)方面,其一是后臺(tái)用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的冗余存儲(chǔ)。數(shù)據(jù)不會(huì)因物理介質(zhì)的損壞而丟失,除了借助專業(yè)存儲(chǔ)設(shè)備的冗余能力之外,更多則獲益于對(duì)數(shù)據(jù)庫(kù)和分布式文件系統(tǒng)的潛力的挖掘。例如將用戶和業(yè)務(wù)數(shù)據(jù)由傳統(tǒng)的集中式存儲(chǔ)轉(zhuǎn)變?yōu)榉植际酱鎯?chǔ),不僅能夠解決數(shù)據(jù)存儲(chǔ)冗余問題,而且有助于突破數(shù)據(jù)訪問的I/O瓶頸。
其二是終端數(shù)據(jù)防泄漏保護(hù)(DLP),終端測(cè)的業(yè)務(wù)數(shù)據(jù)不應(yīng)被無(wú)關(guān)人員獲得,而智能作業(yè)終端分散在作業(yè)人員手中,通過移動(dòng)智能管控平臺(tái)的安全策略,對(duì)終端進(jìn)行遠(yuǎn)程控制,包括將行業(yè)應(yīng)用置于安全沙箱中運(yùn)行,對(duì)行業(yè)應(yīng)用數(shù)據(jù)加密存儲(chǔ),禁止沙箱外的復(fù)制粘貼等,控制顆粒度可細(xì)化至應(yīng)用級(jí)別。
- 設(shè)備資源安全
具體到行業(yè)應(yīng)用的移動(dòng)化,這里主要關(guān)注移動(dòng)智能作業(yè)終端的可管可控,包括作業(yè)裝備不被私用(例如,私裝個(gè)人應(yīng)用、分享熱點(diǎn)給個(gè)人手機(jī)上網(wǎng)等等)。確保各個(gè)業(yè)務(wù)部門的各種業(yè)務(wù)App版本的正確性、一致性,對(duì)不同業(yè)務(wù)部門的資源使用權(quán)限分別進(jìn)行遠(yuǎn)程控制(例如,有些業(yè)務(wù)App需要始終保持GPS開啟)、設(shè)備丟失后能夠遠(yuǎn)程擦除業(yè)務(wù)數(shù)據(jù)和鎖定設(shè)備、針對(duì)應(yīng)用安裝和使用的黑白名單控制、通信黑白名單控制,以及其他一系列設(shè)備資源使用方面的合規(guī)管控。
綜合考量以上安全需求,捷思銳在集群通平臺(tái)的基礎(chǔ)上,發(fā)布了ZEMM智能終端管控平臺(tái)和ZMSS移動(dòng)安全系統(tǒng),構(gòu)成了集群通平臺(tái)的“大安全”體系雛形。得益于安全產(chǎn)業(yè)鏈的助力,捷思銳通過將成熟、穩(wěn)定的安全技術(shù)和產(chǎn)品集成、嵌入、有機(jī)地運(yùn)用到行業(yè)應(yīng)用系統(tǒng)和終端軟件中,集群通平臺(tái)能夠?yàn)樾袠I(yè)客戶快速提供整體安全的行業(yè)應(yīng)用系統(tǒng),實(shí)現(xiàn)業(yè)務(wù)的快速上線,為集群通由行業(yè)通信業(yè)務(wù)平臺(tái)向行業(yè)智能業(yè)務(wù)平臺(tái)演進(jìn)奠定了安全基礎(chǔ)。
捷思銳,起步于行業(yè)融合通信,致力于行業(yè)應(yīng)用創(chuàng)新。隨著集群通平臺(tái)在行業(yè)應(yīng)用領(lǐng)域的深入拓展,捷思銳將繼續(xù)秉承開放、合作、共贏的理念,兼收并蓄,以持續(xù)的應(yīng)用創(chuàng)新驅(qū)動(dòng)集群通“大安全”體系的不斷演進(jìn),更好地服務(wù)于行業(yè)移動(dòng)信息化。
