《企业业务移动化和安全技术架构》华为企业移动安全解决方案徐业建

徐业健AnyOffice产品经理华为交换机与企业通信产品线企业业务移动化和安全技术架构移动开放共谱华章——AnyOffice2015HTML5移动应用开发大赛自我介绍•13年～15年企业移动办公安全研发经理参与推出华为第一代移动办公安全平台AnyOffice•09年～12年嵌入式多核SSLVPN网关研发经理推出华为第一款32核高容量SSLVPN设备微信号zjuhotbit邮箱xuyejian@huawei.com罗辑思维粉·看杂书·爬山移动的重要性骚年，你们发展了我的理论业务移动发展成熟度趋势2000年200520102015416MHz1GHz528MHz1.5GHziMode2G3G3G3G4G2.5GHz计算能力和网络能力的提升是业务移动化的核心助推力，当前已经处于企业移动化爆发的窗口期；中国的企业信息化建设将是信息化、网络化、移动化三个阶段一起走的混杂阶段；中国北美日本CPU，摩尔定律2016-14G用户移动：3.1亿联通：1.8亿电信：0.98亿手机总覆盖率95部/100人沿海省覆盖率110部/100人中国企业移动化市场细分行业成熟度FromIDC中国业务移动化进程的数据2014年中国企业业务移动安全管理平台EMM市场占全球市场份额，试水都已开始，节奏有快有慢。3%～4%2013年中国企业移动化应用市场规模60亿RMBIDC预测中国企业应用移动化市场5年的复合增长率45%中国注册企业数量（约等于加拿大人口数目2倍）约4000万企业移动化中用户最为关注的问题FROMIDC调查报告基于企业移动化整体架构的情景选择不同场景下面的不同优先排序效率成本TCODHDJGDJDJ支撑业务成功安全性用户体验BYODpkCOPEpkCOBO安全存储：公有云的方案pk混合云的方案安全终端：单系统pk双系统安全隔离：软件隔离安全pk硬件隔离安全安全接入：系统VPN级别pk应用VPN业务移动是激动人心的业务移动是复杂挑战的企业视角开发商视角Web开发pk原生开发典型企业业务移动化体系架构0层图DMZ区互联网区服务器服务器区办公互联网(WLAN)内网WiFiOA应用移动安全网关移动管理服务器OA等RA/CA网管平台Internet3G/4GACRADIUSOAMIMPortal小微贷款公共/家庭WiFi企业应用手机银行SSO安全沙箱个人应用&数据企业应用&数据EMM厂商/VPN网关支撑使能系统企业业务移动化应用厂商•提供企业商业逻辑，•完成业务操作，实现客户价值•确保移动设备的安全•提供企业移动基础设施（如商店）；•为数据的传输和存储安全提供统一手段；•资产的统一管理；•证书vendor；•认证服务器vender:radius，浏览器厂商/运行引擎厂商/IDE厂商/应用迁移适配手机硬件厂商/OS厂商(android（含定制）/iOS/win/other)企业移动业务生态体系IBMworkLightAmazeUIEgretRuntime企业业务移动客户端基础架构1层架构硬件企业应用UI层EMM平台层（nativeorC）TEE（可信app，可信计算）核心业务层核心业务平台逻辑（如邮件协议、交易）登录（SSO）数据共享安全存储（沙箱）安全通讯设备抽象行业ISVEMM厂商浏览器、js组件、中间件web引擎、OS核心服务、app运行环境指纹NFC中间件厂商OS厂商手机设备厂商企业业务移动化安全和效率（端侧）分层图①数据传输安全和效率④环境安全和效率应用安全检查行业规范IO接口禁用②数据存储安全和效率③应用安全可信终端检查数据传输防窃听可信Wi-Fi热点控制终端密码策略检查应用密钥证书分享控制token安全编码威胁分析危险函数超级密码后门指令企业专网接入防中间人攻击Sql注入非法绕过违规提权证书颁发证书校验全盘加密SSO用户密钥内容分享拷贝粘贴控制数据传输安全的解决实践优点：简单。应用开发不用考虑传输安全；不足：终端到企业内网的越权访问VPN和安卓终端兼容性比较差；优点：每个应用一条专用数据传输隧道；未授权应用无法访问，隔离最彻底。VPN是应用层的，没有兼容问题。不足：主要适用于web业务，对于普通TCP和UDP无法使用，局限性大；视频和语音使用不了；优点：可以选择标准型SSL网关；经济实用。传统设备级VPN（L2TP,SSL）Web业务专用（系统内置https）不足：应用需要集成EMM厂商安全SDK；应用专属隧道VPN（SSL）数据传输安全的解决华为实践分享VSEMM厂商的移动终端安全能力集成调用数据存储安全的解决实践存储数据数据量关键性跨应用共享要求备选解决方案误区用户密码、证书（含私钥）、交易token小极高无·TEE·keystore/keychain·硬编码对称密钥保存文件·特征自动计算密钥保存文件企业数据加密密钥小高无·安全网关提供在线密钥·数据不落地·keystore/keychain·TEE·硬编码对称密钥保存文件·特征自动计算密钥保存文件企业文档数据大高/中受限共享·统一加密文件/目录；·统一文档管理；·加密数据库；·约定固定密码；环境安全的解决方案•手机OS定制；•行业特殊IO访问限制；•EMM软件检查；•安装app白名单/黑名单；•软件通过设备厂家系统提权；•应用市场强签名校验应用安全的解决方案•建立有效的安全编码培训和赋能；•软件厂商建立明确有效的安全编码规范；•建立危险函数、漏洞等自动扫描工具，排除可能威胁；•安排专门的研发项目管理活动；•确立有效的管理制度，确保安全编码漏洞、安全设计漏洞得到规避；•和业界组织（如乌云网）建立良好的联系，及时了解动态；•威胁分析方法STRIDE。。。额，好像要求有点高。APity,NoSilverBullet！能力·机制·响应企业业务移动化的几个趋势分析1企业移动化进程加速，从非关键的移动化OA，开始逐渐逐渐迁移到移动生产系统；2为了适应竞争，更快的业务上线，企业移动业务将更多逐步迁移到HTML5/js来开发，应用商店模式将逐步的淡化；native-hybrid-HTML5/js；计算能力过剩；·系统服务足够支撑；·无线网络加速；·快速的支持微软将放弃对于IE8，9，10的支持，主力发展EDGE；HTML5标准化推广加快；纯原生、多平台开发的低效，成为移动化推广的瓶颈；3企业移动终端从定制、山寨走向统一和标准；4企业移动终端操作系统可能会从面向消费者的操作系统逐渐剥离出来，形成新的事实标准；移动办公•解决方案：华为企业WiFi零配置体验，基于证书实现WLAN高安全接入；统一工作台和应用商店，统一发布企业应用和移动门户；以安全邮件和安全浏览器为核心功能的移动办公杀手级基础应用以第三方应用快速集成SDK的方式满足企业的安全应用需求。•应用APP：安全邮件、安全浏览器、集成沙箱的WPS、GigaTrust软件、华为W3Mobile应用、UC、华为云盘应用•价值：为华为全球员工构建起了从网络接入、业务应用、数据安全到终端管控的端到端移动办公平台。华为BYOD-AnyOffice让华为员工移动起来合作伙伴权益集成认证技术支持基于联合解决方案提供营销基金支持开放商业模式，利益分成，互惠互利联合营销资金支持专业团队和开放实验室全方位培训支持颁发ISV认证证书通过华为官网、联合展会，展厅，展台，论坛等渠道联合推广共享客户、项目信息技术架构开放售前营销技术支持联合解决方案联合业务创新华为BYOD产业联盟助力合作伙伴商业成功一站式的企业移动化服务平台企业客户创业者合作伙伴终端用户最新的产品版本以及产品资料下载第三方企业应用的试用和采购平台多样的应用定制能力服务咨询通道系统监控软件和服务可订阅的产品新闻面向客户IT的应用展示和营销平台可借力的AnyOffice生态系统便利的试用对接调测环境建立稳固的企业交易桥梁搭上华为全球销售渠道便车步入企业领域的快速通道前沿的移动办公资讯论坛初创作品的展示平台有机会在华为云上大显身手便捷的问题反馈渠道面向未来的移动办公云服务安全的自助终端管理服务企业应用商店自助服务系统移动云应用中心线上线下论坛专业运维工具一站式解决企业移动应用的产生、发布、咨询、试用、采购、部署、维护华为开发者社区：开发者的乌托邦全球华为开发者的学习与交流平台愿景服务公司ICT产品能力开放，帮助开发者及合作伙伴成长使命重体验，助成长理念MarketplaceDevCenterAnalytics流程保障Github宗旨：以开发者为中心，提供优质的一站式服务官网：developer.huawei.com/cn/ict论坛：：大赛议程华为AnyOffice应用开发大赛，大奖等你拿HTML5应用开发，英雄谁属，等您来战！企业移动化蓝海胜景，邀您共赏！