《企业业务移动化和安全技术架构》华为企业移动安全解决方案徐业建.pdf

徐业健AnyOffice产品经理 华为交换机与企业通信产品线企业业务移动化和安全技术架构移动开放 共谱华章 ——AnyOffice 2015 HTML5 移动应用开发大赛自我介绍• 13 年 ～ 15 年企业移动办公安全研发经理 参与推出华为第一代移动办公安全平台AnyOffice• 09 年 ～ 12 年嵌入式多核SSL VPN 网关研发经理推出华为第一款32核高容量SSL VPN设备号 zjuhotbit邮箱 xuyejian@罗辑思维粉 · 看杂书 · 爬山移动的重要性骚年， 你们发展了我 的理论业务移动发展成熟度趋势2000年200520102015416MHz1 GHz528MHz1.5 GHziMode2G3G3G3G4G 2.5 GHz计算能力和网络能力的提升是业务移动化的核心助推力，当前已经处于企业移动化爆发的窗口期； 中国的企业信息化建设将是 信息化、网络化、移动化 三个阶段一起走的混杂阶段；中国北美日本CPU，摩尔定律2016-14G用户移动：3.1亿 联通：1.8亿 电信：0.98亿总覆盖率95部/100人沿海省覆盖率110部/100人中国企业移动化市场细分行业成熟度From IDC中国业务移动化进程的数据2014年中国企业业 务移动安全管理 平台 EMM市场占全球市场 份额，试水都已开始， 节奏有快有慢。

3%～4%2013 年中国企业移 动化应用市场规模60亿RMBIDC 预测中国企 业应用移动化市场5 年的复合增长率45%中国注册企业数量 （约等于加拿大人口 数目2倍）约4000万企业移动化中用户最为关注的问题FROM IDC 调查报告基于企业移动化整体架构的情景选择不同场景下面的不同优先排序效率成本 TCODHD JGDJ D J支撑业务成功安全性用户体验BYOD pk COPE pk COBO安全存储：公有云的方案 pk 混合云的方案 安全终端：单系统 pk 双系统 安全隔离：软件隔离安全 pk 硬件隔离安全 安全接入：系统VPN级别 pk 应用VPN业务移动是激动人心的业务移动是复杂挑战的企业视角开发商视角Web开发 pk 原生开发典型企业业务移动化体系架构 0层图DMZ区互联网区服务器服务器区办公互联网(WLAN)内网WiFiOA应用移动安全网关移动管理 服务器OA等RA/CA网管平台Internet3G/4GACRADIUSOAMIMPortal小微贷款公共公共/家庭家庭WiFi企业应用银行SSO 安全沙箱个人应用 &数据企业应用 &数据EMM厂商 /VPN网关支撑使能系统企业业务 移动化应用厂商• 提供企业商业逻辑，• 完成业务操作，实现客户价 值• 确保移动设备的安全• 提供企业移动基础设施 （如商店）；• 为数据的传输和存储安 全提供统一手段；• 资产的统一管理；• 证书vendor；• 认证服务器vender: radius，浏览器厂商/运行引擎厂商/IDE厂商/应用迁移适配硬件厂商/OS厂商(android（含定制）/iOS/win/other )企业移动业务生态体系IBM workLightAmaze UIEgret Runtime企业业务移动客户端基础架构 1层架构硬件企业应用UI层EMM 平台层 （native or C）TEE （可信app，可信计算）核心业务层核心业务平台逻辑（如邮件协议、交易）登录（SSO）数据共享安全存储（沙 箱）安全通讯设备抽象行业ISVEMM厂商浏览器、js组件、中间件web 引擎、OS核心服务、app运行环境指纹NFC中间件厂商OS厂商设备厂商企业业务移动化安全和效率（端侧）分层图①数据传输安全和效率④环境安全和效率应用安全检查行业规范IO 接口禁用②数据存储安全和效率③应用安全可信终端检查数据传输防窃听可信Wi-Fi热点控制终端密码策略检查应用密钥证书分享控制token安全编码威胁分析危险函数超级密码后门指令企业专网接入防中间人攻击Sql注入非法绕过违规提权证书颁发证书校验全盘加密SSO用户密钥内容分享拷贝粘贴控制数据传输安全的解决实践优点：简单。

应用开发不用考虑 传输安全；不足：终端到企业内网的越权访问 VPN和安卓终端兼容性比较差；优点：每个应用一条专用数据传输隧道； 未授权应用无法访问，隔离最彻底 VPN是应用层的，没有兼容问题不足：主要适用于web业务，对于 普通TCP和UDP无法使用，局限性 大；视频和语音使用不了；优点：可以选择标准型SSL网关； 经济实用传统设备级VPN（L2TP ,SSL）Web业务专用（系统内置 https）不足：应用需要集成EMM厂商安全 SDK ；应用专属隧道VPN（SSL）数据传输安全的解决华为实践分享VSEMM厂商的移动终端安全能力集成调用数据存储安全的解决实践存储数据数据量关键 性跨应用共 享要求备选解决方案误区用户密码、证书 （含私钥）、交易 token小极高无· TEE · key store/key chain·硬编码对称密钥保存文件 ·特征自动计算密钥保存文件企业数据加密密钥小高无·安全网关提供密钥 ·数据不落地 · key store/key chain · TEE·硬编码对称密钥保存文件 ·特征自动计算密钥保存文件企业文档数据大高/中受限共享·统一加密文件/目录； ·统一文档管理； ·加密数据库；·约定固定密码；环境安全的解决方案• OS定制； • 行业特殊IO访问限制；• EMM软件检查； • 安装app白名单/黑名单；• 软件通过设备厂家系统提权；• 应用市场强签名校验应用安全的解决方案• 建立有效的安全编码培训和赋能；• 软件厂商建立明确有效的安全编码规范；• 建立危险函数、漏洞等自动扫描工具，排除可能威胁；• 安排专门的研发项目管理活动；• 确立有效的管理制度，确保安全编码漏洞、安全设计漏洞得到规避；• 和业界组织（如乌云网）建立良好的联系，及时了解动态；• 威胁分析方法 STRIDE。

额，好像要求有点高A Pity, No Silver Bullet ！能力·机制·响应企业业务移动化的几个趋势分析1 企业移动化进程加速，从非关键的 移动化OA，开始逐渐逐渐迁移到移动生产系统；2为了适应竞争，更快的业务上线，企业移动业务将更多逐步迁移到 HTML5/js来开发，应用商店模式将逐步的淡化； native -> hybrid -> HTML5/js ；计算能力过剩；·系统服务足够支撑； · 无线网络加速； · 快速的支持 微软将放弃对于IE8，9，10的支持，主力发展EDGE； HTML5标准化推广加快； 纯原生、多平台开发的低效，成为移动化推广的瓶颈；3 企业移动终端从定制、山寨走向统一和标准；4 企业移动终端操作系统可能会从面向消费者的操作系统逐渐剥离出来，形成新的事实标准；移动办公• 解决方案：华为企业WiFi零配置体验，基于证书实现WLAN高安全接入；统一工作台和应用商店，统一发布企业应用和移动门户；以安全邮件和安全浏览器为核心功能的移动办公杀手级基础应用以第三方应用快速集成SDK的方式满足企业的安全应用需求• 应用APP：安全邮件、安全浏览器、集成沙箱的WPS、GigaTrust软件、华为 W3 Mobile应用、UC、华为云盘应用• 价值：为华为全球员工构建起了从网络接入、业务应用、数据安全到终端管 控的端到端移动办公平台。

华为 BYOD - AnyOffice 让华为员工移动起来合作伙伴权益集成认证技术支持基于联合解决方案提 供营销基金支持 开放商业模式，利益 分成，互惠互利联合营销资金支持专业团队和开放实验室 全方位培训支持 颁发ISV认证证书通过华为官网、联合展会，展厅， 展台，论坛等渠道联合推广 共享客户、项目信息技术架构开放 售前营销技术支持 联合解决方案 联合业务创新华为BYOD产业联盟助力合作伙伴商业成功一站式的企业移动化服务平台企业客户创业者合作伙伴终端用户最新的产品版本以及产品 资料下载 第三方企业应用的试用和 采购平台 多样的应用定制能力 服务咨询通道 系统监控软件和服务 可订阅的产品新闻面向客户IT的应用展示和营 销平台 可借力的AnyOffice生态系 统 便利的试用对接调测环境 建立稳固的企业交易桥梁 搭上华为全球销售渠道便车步入企业领域的快速通道 前沿的移动办公资讯论坛 初创作品的展示平台 有机会在华为云上大显身手便捷的问题反馈渠道 面向未来的移动办公云服务 安全的自助终端管理服务企业应用商店自助服务系统移动云应用中心线上线下论坛专业运维工具一站式解决企业移动应用的产生、发布、咨询、试用、采购、部署、维护华为开发者社区：开发者的乌托邦全球华为开发者的学习与交流平台愿 景服务公司ICT产品能力开放，帮助开发者及合作伙伴成长使 命重体验，助成长理 念MarketplaceDevCenterAnalytics流程保障Github宗旨：以开发者为中心，提供优质的一站式服务官网： ： 。