ZDNET至頂網(wǎng)安全頻道 11月4日 北京報(bào)道(文/Grant):2011年11月2日,第二屆RSA中國(guó)大會(huì)在北京舉行。Forrester Research副總裁、首席分析師王晨曦在會(huì)上做了《管理工作場(chǎng)所個(gè)人設(shè)備的安全挑戰(zhàn)》的主題演講,期間接受了ZDNet專訪。針對(duì)企業(yè)如何看待云安全問(wèn)題,尤其移動(dòng)終端面臨哪些安全威脅,王晨曦介紹了工作中的一些經(jīng)驗(yàn),并對(duì)幾大移動(dòng)操作系統(tǒng)的安全對(duì)比給出了她的評(píng)價(jià),并特別指出移動(dòng)終端泄漏用戶隱私信息的操作模式。
Forrester Research副總裁、首席分析師王晨曦
自建不一定比云更安全
“做安全的人,對(duì)云計(jì)算都抱著一種懷疑的眼光,在他們看來(lái),云計(jì)算是一個(gè)比較不確定的環(huán)境。有人說(shuō)到,微軟、谷歌丟數(shù)據(jù),這是沒(méi)有對(duì)比的。如果把工作交給自己的IT團(tuán)隊(duì)和交給云計(jì)算的提供商比較,企業(yè)自建并不見(jiàn)得比云丟數(shù)據(jù)的概率更低。”王晨曦說(shuō)到。
云計(jì)算部署對(duì)很對(duì)企業(yè)來(lái)說(shuō)是利大于弊的,王晨曦強(qiáng)調(diào),前兩年云計(jì)算很火,在美國(guó),現(xiàn)在移動(dòng)計(jì)算更火。她認(rèn)為,將移動(dòng)與云計(jì)算結(jié)合起來(lái)將是下一步要走的發(fā)展道路。運(yùn)營(yíng)商目前的提供的移動(dòng)業(yè)務(wù),并沒(méi)有和應(yīng)用層搭界起來(lái)。如果運(yùn)營(yíng)商和應(yīng)用搭界得比較密切,運(yùn)營(yíng)商自己就變成了云計(jì)算廠商。例如,公安部可以把一些應(yīng)用放到運(yùn)營(yíng)商的數(shù)據(jù)中心,可以利用運(yùn)營(yíng)商已有的安全政策和策略來(lái)保護(hù)數(shù)據(jù),這比企業(yè)自己做起來(lái)更經(jīng)濟(jì)。
移動(dòng)終端面臨的病毒、應(yīng)用商店和系統(tǒng)安全環(huán)境
在提到手機(jī)終端所面臨的病毒環(huán)境時(shí),王晨曦告訴記者,現(xiàn)在外面發(fā)布的手機(jī)病毒的數(shù)據(jù)都不是很確切,和運(yùn)營(yíng)商看到的病毒的差距很大,他們看到的病毒比外面報(bào)道的要多得多。大部分病毒都沒(méi)有很大的傷害力,一般是利用目標(biāo)用戶的網(wǎng)絡(luò)帶寬進(jìn)行數(shù)字下載或打電話。
但在安全支付方面對(duì)移動(dòng)終端的攻擊現(xiàn)象開(kāi)始顯現(xiàn),美國(guó)政府成立的移動(dòng)安全小組,最近發(fā)布了一份研究報(bào)告。并進(jìn)行演示,當(dāng)一個(gè)病毒進(jìn)入移動(dòng)終端,并控制它,記錄用戶按鍵行為,竊取用戶密碼。之后在其他地方可以復(fù)制一個(gè)虛擬的環(huán)境,使用用戶密碼,就可以代替用戶到銀行取款。
移動(dòng)應(yīng)用商店方面,王晨曦認(rèn)為,蘋果的安全性要比Google高一些。因?yàn)樗械膽?yīng)用放上去以前,都要先進(jìn)行測(cè)試。如果里面有病毒,就會(huì)被拒絕上傳到蘋果的在線商店。Google并不審查,只要花25美金成為安卓開(kāi)發(fā)員就可以上傳軟件,并且安卓現(xiàn)在允許第三方開(kāi)應(yīng)用商店。現(xiàn)在美國(guó)有幾個(gè)比較大的運(yùn)營(yíng)商在做應(yīng)用商店,有一個(gè)運(yùn)營(yíng)商的應(yīng)用商店里面的所有上傳軟件都要進(jìn)行審查,他們的審查比蘋果還要細(xì),賣點(diǎn)就是在其應(yīng)用商店里的軟件都是很安全的。如果病毒在應(yīng)用商店多發(fā)的話,這樣會(huì)促使應(yīng)用商店的管理方做很多安全的工作。王晨曦說(shuō)到,現(xiàn)在他們做得還不是很多。
移動(dòng)系統(tǒng)方面,王晨曦認(rèn)為,現(xiàn)在最安全的系統(tǒng)是黑莓。雖然在北美、歐洲的企業(yè)用戶很多,但趨勢(shì)是黑莓的市場(chǎng)在縮小。蘋果在安全性的潛力是很大的,但現(xiàn)在也看到,自從谷歌買入摩托羅拉。摩托羅拉現(xiàn)在有一個(gè)小組在專門做安全的安卓系統(tǒng),包括了很多安全功能,F(xiàn)orrester預(yù)測(cè)谷歌很可能把這個(gè)放進(jìn)操作系統(tǒng)平臺(tái)。
前段時(shí)間,iphone和android被爆收集用戶行蹤位置隱私,但官方都澄清說(shuō)不會(huì)泄漏用于商業(yè)用途。王晨曦告訴記者,對(duì)此說(shuō)法要持謹(jǐn)慎態(tài)度。
并不是說(shuō)蘋果或谷歌做了什么,但可以想象在手機(jī)終端,有些應(yīng)用采集用戶名,有些應(yīng)用采集應(yīng)用層方面的數(shù)據(jù)。一方說(shuō)不采集用戶名,所以數(shù)據(jù)不涉及和某人的綁定關(guān)系。但如果把采集的用戶名和采集應(yīng)用數(shù)據(jù)的兩個(gè)集合起來(lái),就會(huì)得到很確切的用戶具體信息。有很多公司這樣做,在背后交換這些數(shù)據(jù)。在美國(guó),政府在移動(dòng)終端上的政策也不是很完整,但開(kāi)始在注意這個(gè)問(wèn)題,并在考慮是否要發(fā)布新的政策來(lái)管理移動(dòng)終端的個(gè)人信息保護(hù)。
