中国移动开放平台迅猛发展“体系化”安全防护方案保驾护航
2014-06-09黄海峰
本刊记者 | 黄海峰
中国移动开放平台迅猛发展“体系化”安全防护方案保驾护航
本刊记者 | 黄海峰
平台开放的尺度太大,安全就没保障;开放尺度太小,则失去灵活性,如何寻找开放性与安全性的平衡点成为运营商平台建设的关注焦点。
当前移动互联网蓬勃发展,电信运营商、互联网巨头BAT甚至互联网初创企业都在逐渐向平台化战略进行演进,依托各自优势的资源和能力,将其开放成API,形成自己完善的生态圈。
这其中,中国移动开放平台于2011年底推出了能力开放服务,共开放21个能力,重点能力包括应用内计费、有数、统一认证、灵犀云、有推等,凭借移动互联网行业快速增长的势头,在合作规模、业务规模、收入规模方面都呈现出良好的增长势头。
但是,在平台开放过程也遇到不少的问题,其中比较关键的一环是在平台的开放性和安全性之间找到一个平衡点。同时,移动互联网时期的安全由于涉及多个层面,正变得越来越复杂。如何应对这些安全问题,成为中国移动关注焦点之一。
“安全是开放平台的第一要务,开放目的是发展收入、汇聚信息、汇聚流量,这必然涉及管控。”在近日举行的2014移动互联网国际研讨会中“面向移动互联网的开放API及应用安全”分论坛上,中国移动互联网基地经理孔繁盛表示。
开放平台背后存安全挑战
中国移动开放平台增长势头良好。据统计,截至2014年7月,中国移动开放平台累计拓展AP逾4000家,同比增长逾150%;累计拓展应用数逾20000款,同比增长逾67%;2014年7月合作应用收入超过3亿元,同比增长733%。
尽管迅猛发展,但是中国移动开放平台也面临安全防护与开放性的平衡问题。这是因为,平台开放的尺度太大,安全就没保障;开放尺度太小,则失去灵活性,不能给生态圈企业提供足够的能力支持。
对这些问题,中国移动正在从多方面应对。“我们结合互联网和大网技术特点,充分利用软硬件结合鉴权、应用数字指纹及大数据稽核等核心技术,解决用户安全、应用安全、能力安全,保障用户和开发者利益。”孔繁盛表示。
以移动互联网应用身份认证为例,移动互联网应用面临多个身份认证困境,其中重要一个就是亟需安全、便捷的认证手段。这是因为传统密码、明文短信验证码存在安全隐患(如手机木马拦截认证短信),且现有的USB Key等强安全认证方式门槛高。
对此,中国移动推出的“统一认证”产品,实现“一个账号+一个密码”通行所有业务,打通通信用户向互联网用户转化的通道。“‘统一认证’基于中国移动特色的USIM卡信息提取,提供SIM快捷确认、SIM盾认证功能,采用数据短信交互,具备极大的安全优势。”孔繁盛表示。
据悉,中国移动“统一认证”产品由于安全优势得到客户亲睐,目前已经对接了人人网、一号店等8家企业,正在接入走秀网等5家企业。
发力“端管云”防护体系
移动互联网的移动性和边界模糊性,及其各种服务与能力的开放性,使得安全威胁可能体现在每个节点、不同路径之上。“依靠单一的技术与防护设备,已经不能满足需要,必须发展整合的、协同的、体系化的安全防护体系。”中国移动研究院安全技术研究所何申表示。
事实上,移动互联网的快速发展,融入人们的生活中,随之而来,手机病毒、恶意吸费等安全威胁也一直“在身边”。对政企用户而言,APT攻击、巨量DDoS攻击严重。这些安全威胁的解决,需要体系化防护方案。
何申指出,基于“端管云”架构,中国移动正在整合各种优势安全能力,通过协同,构建完善的云安全服务体系。
在云安全服务方面,何申介绍,企业可以依托中国移动公有云提供全面的安全服务,将安全产品以运营服务方式整合,结合中国移动大网流量分析和调度能力,企业可以获得安全检测、监控防护、安全评估、安全应急响应等服务。如中国移动通过对Web漏洞、异常流量、系统漏洞、非法访问和暴力破坏等安全风险和事件的检测,综合分析得到量化的安全健康度指数,使得客户的安全情况能够一目了然。
在管安全方面,中国移动从数据隔离和交换能力两方面入手,一方面针对内外网数据交换工作提出新的管理框架,建立安全边界,统一进行数据的交互;另一方面建立内外部数据交互的“传达室”,通过“挖壕沟、建围墙、放吊桥和巡逻队”等方式手段,解决企业环境内的内外部交互数据的安全保护。如中国移动IMS加密语音电话业务,该业务是面向党政机关、军队、公安等专用领域客户和对安全需求较高的企业单位提供的加密语音通信服务。用户可通过智能手机客户端实现终端与终端、终端与企业内网之间的加密语音电话互通。
在端方面,中国移动面向移动应用市场和开发者提供全生命周期的APP测评能力,包括安全检测、安全评估、安全加固、APP发布渠道监测服务。中国移动还提供移动终端管理平台定位服务,面向企业客户提供安全防护,提供基础安全防护、设备安全管理、数据安全、安全审计、安全策略、企业资源管理。
何申认为,多方合作能使安全服务更加广泛、更加深入、更加专业,全面提升我国的网络和信息安全水平,维护国家安全。
