徐业健
AnyOffice产品经理
华为交换机与企业通信产品线
企业业务移动化和安全技术架构
移动开放共谱华章
——AnyOffice 2015 HTML5 移动应用开发大赛
自我介绍
• 13 年 ~ 15 年 企业移动办公安全研发经理
参与推出华为第一代移动办公安全平台AnyOffice
• 09 年 ~ 12 年 嵌入式多核SSL VPN 网关研发经理
推出华为第一款32核高容量SSL VPN设备
罗辑思维粉 · 看杂书 · 爬山
移动的重要性
骚年,
你们发展了我
的理论
业务移动发展成熟度趋势
2000年 2005 2010 2015
416MHz
1 GHz
528MHz
GHz
iMode
2G
3G 3G
3G
4G
GHz
计算能力和网络能力的提升是业务移动化的核心助推力,当前已经处于企业移动化爆发的窗口期;
中国的企业信息化建设将是 信息化、网络化、移动化 三个阶段一起走的混杂阶段;
中国
北美
日本
CPU,摩尔定律
2016-1
4G用户 移动:亿
联通:亿
电信:亿
手机总覆盖率 95部/100人
沿海省覆盖率 110部/100人
中国企业移动化市场细分行业成熟度
From IDC
中国业务移动化进程的数据
2014年中国企业业
务移动安全管理 平台
EMM市场占全球市场
份额,试水都已开始,
节奏有快有慢。
3%~4%
2013 年中国企业移
动化应用市场规模
60亿RMB
IDC 预测中国企
业应用移动化市场5
年的复合增长率
45%
中国注册企业数量
(约等于加拿大人口
数目2倍)
约4000万
企业移动化中用户最为关注的问题
FROM IDC 调查报告
基于企业移动化整体架构的情景选择
不同场景下面的不同优先排序
效率 成本
TCO
DHD JGDJ
D J
支撑业务成功
安全性用户体验
BYOD pk COPE pk COBO 安全存储:公有云的方案 pk 混合云的方案
安全终端:单系统 pk 双系统
安全隔离:软件隔离安全 pk 硬件隔离安全
安全接入:系统VPN级别 pk 应用VPN
业务移动是激动人心的 业务移动是复杂挑战的
企业视角
开发商视角 Web开发 pk 原生开发
典型企业业务移动化体系架构 0层图
DMZ区
互联网区服务器
服务器区
办公互联网(WLAN)
内网WiFi
OA应用
移动安全网关
移动管理
服务器
OA等RA/CA 网管平台
Internet
3G/4G
AC
RADIUSOAM
IM
Portal
小微贷款
公共/家庭WiFi
企业应用
手机银行 SSO
安全沙箱
个人应用
&数据
企业应用
&数据
EMM厂商
/VPN网关 支撑使能系统
企业业务
移动化
应用厂商
• 提供企业商业逻辑,
• 完成业务操作,实现客户价
值
• 确保移动设备的安全
• 提供企业移动基础设施
(如商店);
• 为数据的传输和存储安
全提供统一手段;
• 资产的统一管理;
• 证书vendor;
• 认证服务器vender:
radius,
浏览器厂商/运行引擎厂商/IDE厂商/应用迁移适配
手机硬件厂商/OS厂商(android(含定制)/iOS/win/other )
企业移动业务生态体系
IBM workLightAmaze UI Egret Runtime
企业业务移动客户端基础架构 1层架构
硬件
企业应用UI层
EMM 平台层
(native or C)
TEE (可信app,可信计算)
核心业务层
核心业务平台逻辑(如邮件协议、交易)
登录(SSO) 数据共享
安全存储(沙
箱)
安全通讯
设备抽象
行业ISV
EMM厂商
浏览器、js组件、中间件
web 引擎、OS核心服务、app运行环境
指纹 NFC
中间件厂商
OS厂商
手机设备厂商
企业业务移动化安全和效率(端侧)分层图
①数据传输安全和效率
④环境安全和效率
应用安全检查
行业规范IO接口禁用
②数据存储安全和效率
③应用安全
可信终端检查数据传输防窃听
可信Wi-Fi热点控制
终端密码策略检查
应用密钥 证书 分享控制
token
安全编码 威胁分析
危险函数 超级密码
后门指令
企业专网接入
防中间人攻击
Sql注入
非法绕过
违规提权
证书颁发
证书校验 全盘加密
SSO
用户密钥
内容分享
拷贝粘贴控制
数据传输安全的解决实践
优点:简单。应用开发不用考虑
传输安全;
不足:终端到企业内网的越权访问
VPN和安卓终端兼容性比较差;
优点:每个应用一条专用数据传输隧道;
未授权应用无法访问,隔离最彻底。
VPN是应用层的,没有兼容问题。
不足:主要适用于web业务,对于
普通TCP和UDP无法使用,局限性
大;视频和语音使用不了;
优点:可以选择标准型SSL网关;
经济实用。
传统设备级VPN(L2TP ,SSL) Web业务专用(系统内置 https)
不足:应用需要集成EMM厂商安全
SDK ;
应用专属隧道VPN(SSL)
数据传输安全的解决华为实践分享
VS
EMM厂商的移动终端安全能力集成调用
数据存储安全的解决实践
存储数据 数据量 关键
性
跨应用共
享要求
备选解决方案 误区
用户密码、证书
(含私钥)、交易
token
小 极高 无 · TEE
· key store/key chain
·硬编码对称密钥保存文件
·特征自动计算密钥保存文件
企业数据加密密钥 小 高 无 ·安全网关提供在线密钥
·数据不落地
· key store/key chain
· TEE
·硬编码对称密钥保存文件
·特征自动计算密钥保存文件
企业文档数据 大 高/中 受限共享 ·统一加密文件/目录;
·统一文档管理;
·加密数据库;
·约定固定密码;
环境安全的解决方案
• 手机OS定制;
• 行业特殊IO访问限制;
• EMM软件检查;
• 安装app白名单/黑名单;
• 软件通过设备厂家系统提权;
• 应用市场强签名校验
应用安全的解决方案
• 建立有效的安全编码培训和赋能;
• 软件厂商建立明确有效的安全编码规范;
• 建立危险函数、漏洞等自动扫描工具,排除可能威胁;
• 安排专门的研发项目管理活动;
• 确立有效的管理制度,确保安全编码漏洞、安全设计漏洞得到规避;
• 和业界组织(如乌云网)建立良好的联系,及时了解动态;
• 威胁分析方法 STRIDE。。。额,好像要求有点高。
A Pity, No Silver Bullet !
能力·机制·响应
企业业务移动化的几个趋势分析
1 企业移动化进程加速,从非关键的 移动化OA,开始逐渐逐渐迁移到移动生产系统;
2 为了适应竞争,更快的业务上线,企业移动业务将更多逐步迁移到 HTML5/js来开发,应用商店模
式将逐步的淡化;
native -> hybrid -> HTML5/js ;
计算能力过剩;·系统服务足够支撑; · 无线网络加速; · 快速的支持
微软将放弃对于IE8,9,10的支持,主力发展EDGE;
HTML5标准化推广加快;
纯原生、多平台开发的低效,成为移动化推广的瓶颈;
3 企业移动终端从定制、山寨走向统一和标准;
4 企业移动终端操作系统可能会从面向消费者的操作系统逐渐剥离出来,形成新的事实标准;
移动办公
• 解决方案:
华为企业WiFi零配置体验,基于证书实现WLAN高安全接入;
统一工作台和应用商店,统一发布企业应用和移动门户;
以安全邮件和安全浏览器为核心功能的移动办公杀手级基础应用
以第三方应用快速集成SDK的方式满足企业的安全应用需求。
• 应用APP:
安全邮件、安全浏览器、集成沙箱的WPS、GigaTrust软件、华为
W3 Mobile应用、UC、华为云盘应用
• 价值:
为华为全球员工构建起了从网络接入、业务应用、数据安全到终端管
控的端到端移动办公平台。
华为 BYOD - AnyOffice 让华为员工移动起来
合作伙伴权益
集成认证
技术支持
基于联合解决方案提
供营销基金支持
开放商业模式,利益
分成,互惠互利
联合营销
资金支持
专业团队和开放实验室
全方位培训支持
颁发ISV认证证书
通过华为官网、联合展会,展厅,
展台,论坛等渠道联合推广
共享客户、项目信息
技术架构开放
售前营销技术支持
联合解决方案
联合业务创新
华为BYOD产业联盟助力合作伙伴商业成功
一站式的企业移动化服务平台
企业客户
创业者
合作伙伴
终端用户
最新的产品版本以及产品
资料下载
第三方企业应用的试用和
采购平台
多样的应用定制能力
服务咨询通道
系统监控软件和服务
可订阅的产品新闻
面向客户IT的应用展示和营
销平台
可借力的AnyOffice生态系
统
便利的试用对接调测环境
建立稳固的企业交易桥梁
搭上华为全球销售渠道便车
步入企业领域的快速通道
前沿的移动办公资讯论坛
初创作品的展示平台
有机会在华为云上大显身手
便捷的问题反馈渠道
面向未来的移动办公云服务
安全的自助终端管理服务
企业应用商店
自助服务系统
移动云应用中心
线上线下论坛
专业运维工具
一站式解决企业移动应用的产生、发布、咨询、试用、采购、部署、维护
华为开发者社区:开发者的乌托邦
全球华为开发者的学习与交流平台
愿景
服务公司ICT产品能力开放,帮助开发者及合作伙伴成长
使命
重体验,助成长
理念
Marketplace
DevCenter
Analytics
流程保障
Github
