网络安全新技术与发展趋势
我今天演讲的主题是移动互联网的发展趋势,这跟传统企业的IT会有一些冲击。下面看看传统企业这些巨头是怎么样对现在的形势,这个时代,做出一些呼喊,或者一些言论。海尔的总裁张瑞敏说过,传统企业走到尽头了,必须互联网化转型。
行业互联网化
王健林和马云打赌,2020年的时候,电商的销售能不能达到50%,能不能跟线下的销售持平呢,他当时是保守的,而马云说,我并不是要超越你,我只是把你线下的销售转到线上销售,实际上对你是一个促进的作用。王健林在一年之后,观念上有了一个转变。互联网对传统企业的冲击这是一个趋势,今后所有的行业都要互联网化。
很多人认为2013年是移动互联网的元年,这个时候会给我们带来哪些方面的冲击呢?又有哪些企业或者行业有些突破呢?我想讲的是什么呢?实际上这些企业家也是非常的优秀,但是实际上是时代给了他们一个机会。实际上现在时代也给我们一个机会,就看我们能不能把握住移动互联网的发展。
在互联网迅猛发展之前,实际上我们是一个线下的经营企业,也可以造成地段的经济,李嘉诚曾经讲过,经济房地产价值的因素,第一是地段,第二是地段,第三还是地段。为什么这么讲呢?它是把商户或者商场,它连接用户和客户之间的一个连接器,越好的地段,当然客流量越大,因而价值越高,给企业带来的效益越高。但是我们发现到了PC互联网时代的时候,实际上情况已经发生了一些变化,连接器的几个因素,可以被其他的要素代替。李彦宏说过,在PC时代流量为王,实际上是从线下转变为一个流量的经济。马云就是把线下的地段经济搬到互联网上,他在互联网上开了商城,跟在线下的商城其实是一回事,只不过他的商城打破了地域的限制,都在网上。而且他的盈利模式也是靠点击,靠流量。在PC互联网时代依靠流量给他的商户创造价值。
马云曾经对传统企业家说过一句话,你们头上的天要变,在今年1月份的时候,他给自己的员工发了一封信,我们头顶上的天也要变了,为什么呢,就是移动互联网的时代已经到来了。马化腾说过一句话,移动互联网它才是真正的互联网,其实因为是它连接了一切,它会颠覆所有行业。
移动互联网时代特点
我们现在处在移动互联网时代,这个时代有什么特征?
我们每天早晨醒来的时候,都先看看朋友圈,然后再起床,洗漱,所以有句话——先刷朋友圈再刷牙,可能大家都有这种感受,“人在手机在”、降维打击、消灭你与你无关等。
在移动互联网时代,它是一个时间的经济,或者效率的经济,大家都在抢用户的时间,比如,不光是跟百度、阿里抢用户,也在抢我们休息的时间,抢我们吃饭的时间,基本上把我们所有的人都捆绑住,我们任何时候可能都再看。移动互联网时代,就是要抢夺用户的时间,所以这是一个时间的经济。将来我们可能有了智能的手环,有了智能的眼镜,有智能的洗衣机,智能的筷子,智能鞋,这都是移动互联网的入口,所以吴晓波就说,未来5到10年,中国整个业界将被彻底颠覆。
现在确实是移动互联网时代到来了,借用李嘉诚的话,移动互联网是一次新的商机,每一次新商机的到来,都会造就一批富翁,在浪潮和趋势面前,谁先改变观念,谁就拥有了市场。所以我们现在确实要把握移动互联网的大好时机。
安全挑战与应对策略
在移动互联网给我们带来便利,带来效率提升的同时,其实风险也是非常大的。我们也看到一些统计,手机用户已经是6亿多了,这样的一个终端如果在企业里应用的话,确实给企业带来很大的管理方式的挑战。
随着行业新技术的引入,业务多元化的实现,以及两化的不断融合,信息安全的风险已经成为行业风险的高位,关键的数据安全和业务的连续性面临很大的挑战。移动互联网安全的态势主要是有几点风险。
第一,移动的智能操作系统安全措施还不够完善,像安卓、苹果、塞班,这样的操作系统,它都是通过一个应用权限的限制,或者是一个审查的机制保证系统的安全性。但是这种限制会被用户去突破。比如苹果手机可能最安全,相比安卓系统最安全,但是有越狱的现象,带来的安全风险增高了。
第二,移动智能终端都带很多的传感器,传感器系统里可能面临着隐私的泄露,位置信息的暴露等等安全隐患。手机可以定位,不但通过GPS可以定位,也可以通过运营商的基站来定位,甚至通过互联网接口可以定位,这些位置的信息,有可能通过移动终端被泄露出去。在应用层面恶意软件和间谍软件是非常大的威胁。这些软件可能会窃取手机上的信息,有可能手机你个人的信息,短信等内容,甚至窃取用户的身份凭证。我们通过手机支付比较普遍,我们银行卡都绑定在手机上,如果被窃取的话是不堪设想。
移动终端给企业带来这几个方面的挑战。
第一,边界是比较模糊的,原来没有移动端的时候,可能只是有线网络,无线网络,现在全部是交织在一起的,手机又和内部的局域网相连,还和运营商相连,还和热点相连。
第二,传统的针对PC的安全策略,没法移植到移动端。它的系统机制不是完全一样的,很难把传统的防范的措施应用到移动端。
第三,业务没有保护。公司的业务完全是没有保护状态的,又没有加密。好多的手机都是被Root过的,是容易被黑客利用,尤其是安卓的设备,风险是非常大的。
第四,移动终端比较小,很多人都有手机,你手机上还存在一些公司的商业信息,这后果也是不堪设想。
如何降低风险呢,要把握好两点。第一,手机,或者移动端,平板,要不要接入公司的网络。第二,如果允许它接入的话怎么保证安全。
首先如何拒绝没有经过认证的手机接入公司的网络。通过深度包的检测技术识别移动终端,我们可以通过移动端发深度包进行挖掘,这样和PC信息做区别,如果没有经过认证,或者没有等级注册的,我们可以通过手段拒绝,为他提供接入服务。
还有通过规则库来识别移动终端应用,比如像移动端的应用,或网络新闻等,它和PC的应用还是有区别的,能够从技术手段上探测到,但是这个需要不断的扩充。还可以通过TTR检测机制,来识别共享上的行为。现在我们在企业的环境里面,像热点大家通过笔记本都可以发布出去,也会有些有些随身WIFI发布出去。通过这两个技术就可以杜绝这种现象。通过这两个技术,我们可以把一些没有认证的终端识别出来,同时拒绝给他提供服务,通过这样的来保证企业内部局域网的安全。
如果我们有一部分移动终端是允许接入公司的局域网,我们怎么保证数据的安全。现在有一个沙箱的技术,也是虚拟化的技术,在移动端建立一个沙箱,实际上就是一个隔离区,把手机端的应用和企业的应用部署在沙箱的内外,这两个地方是不做交互的。通过这个技术来实现对企业数据的保护,也同时在个人的需求和企业的策略方面达到一个平衡。
