企业移动计算安全保障--标准化论坛.ppt

企业移动计算安全保障 Enterprise Mobile Computing Security Assurance,中关村信息安全产业联盟,企业移动计算工作组(EMCG) 王 克 2014.7.16,汇报内容,一、背景 二、企业移动计算概念 三、企业移动计算新特点新问题 四、企业移动计算安全技术保障 五、企业移动计算工作组基本情况 六、标准制定开展情况,中关村信息安全产业联盟 企业移动计算工作组EMCG,一、背景-移动工作将成为一种常态,中关村信息安全产业联盟 企业移动计算工作组EMCG,移动工作将成为一种常态,中关村信息安全产业联盟 企业移动计算工作组EMCG,中国 印度 墨西哥 巴西,移动工作将成为一种常态,中关村信息安全产业联盟 企业移动计算工作组EMCG,在联网设备中，PC所占份额越来越少,移动工作将成为一种常态,中关村信息安全产业联盟 企业移动计算工作组EMCG,在联网设备中，PC所占份额越来越少,移动工作将成为一种常态,中关村信息安全产业联盟 企业移动计算工作组EMCG,我国移动信息化产业市场预测,企业移动信息化,二、企业移动计算概念,中关村信息安全产业联盟 企业移动计算工作组EMCG,企业移动计算Enterprise mobile computing,对 象,社会组织成员 政府 企业 社会团体,终 端,智能移动终端 通用 专用,处理信息,机构内部信息,社会组织成员 政府 企业 社会团体 企业用户,智能移动终端 通用 专用,机构内部信息 公共信息 用户信息,研究范围,风险 技术基础 标准 产业链环境,效益 应用系统 规划 政策法规,软件商店多,三、企业移动计算新特点新问题,中关村信息安全产业联盟 企业移动计算工作组EMCG,终端种类多,在公共网上处理信息,苹果 三星 中兴 华为 联想 酷派 小米 e人e本 iOS Android ,根据CNNIC2013年中国网民信息安全状况研究报告,手机恶意软件发生率与2012年相比提升了13.2个百分点,增幅位居所有类型安全问题的前列。,三、企业移动计算新特点新问题,中关村信息安全产业联盟 企业移动计算工作组EMCG,最大问题是恶意软件,2012年手机恶意软件款数激增，比2011年增长1907%。新增手机恶意软件样本17.5万款，感染者达7000余万人次。其中安卓平台新增样本占全部新增样本的71%，成为手机恶意软件的主要感染平台。,建立适合国情的企业移动计算安全保障体系标准,四、企业移动计算安全技术保障,中关村信息安全产业联盟 企业移动计算工作组EMCG,体系标准,基础构件,软件控制,终端管理,操作系统,运用密码技术实行软件签名准入机制，开发、审核、发布、安装、运行全生命期的保障； 软件签名、软件认证 （实名计算real-name computing）,安全策略 远程摇毙 相机 录音 WiFi SD卡 计算隔离,等级保护,在国家信息系统等级保护制度框架下，建立风险评估基础上的企业移动安全保障机制。,2013年5月7日，在中国计算机学会计算机安全专业委员会倡导下，“企业移动计算联盟”研讨会在北京召开，华为、联想、联信摩贝、国信灵通、奇虎360、网秦公司等代表参加。成立“企业移动计算联盟”是实现相关企业互利共赢，保护民族移动终端产品的有效措施，是提高国家信息安全产业水平的创新举措。,2013年7月12日，第二次“企业移动计算联盟”研讨会在北京上地华为公司召开，联想、华为、酷派、中兴、联信摩贝、国信灵通、网秦、360、创原公司参加了会议。,五、企业移动计算工作组（EMCG)基本情况,中关村信息安全产业联盟 企业移动计算工作组EMCG,组建经过,2013年9月6日，第三次“企业移动计算联盟EMCG”研讨会在北京上地联想公司召开，参加会议的有联想、华为、中兴、酷派、网秦、联信摩贝、奇虎360、泰一奇点等单位参加。就MDM、数据加密、软件管控等技术框架进行了研究。,2013年12月2日，第四次“企业移动计算联盟” 筹备会在北京公安部第一研究所召开。会议认为，经过半年多的酝酿，筹备工作得到了多方面支持，成立“联盟”的基础得到加强。,2014年2月21日，中关村信息安全产业联盟批准成立“企业移动计算工作组”。,五、企业移动计算工作组（EMCG)基本情况,中关村信息安全产业联盟 企业移动计算工作组EMCG,意向成员,联想软件有限公司,中兴通讯股份有限公司,奇虎360科技有限公司,华为技术有限公司,联信摩贝软件（北京）有限公司,安天实验室,北京锐安科技有限公司,国鼎网络空间安全 技术有限公司,五、企业移动计算工作组（EMCG)基本情况,中关村信息安全产业联盟 企业移动计算工作组EMCG,宗 旨,“标准引领、产业推动；协同创新、合作共赢”,深化企业强强联合，推动产业创新，建立有序的产业环境，巩固国产产品市场地位，促进中国企业移动信息化建设健康发展。,作 用,任 务,研究产业各环节技术规范体系，制定相关技术标准，简化产业不同层面的技术对接，提高企业移动业务的部署效率，使产业链规模化、模块化、高效、可持续发展。,五、企业移动计算工作组（EMCG)基本情况,中关村信息安全产业联盟 企业移动计算工作组EMCG,运行方式,常设机构人员，经费“众筹”。,知识产权,中关村信息安全产业联盟知识产权管理办法。工作组的成果归成员共同所有，采用有偿使用的方式推广知识产权，并按贡献大小分配效益。,移动终端应用开发、安装、运行 管控机制,六、标准制定开展情况(标准内容）,中关村信息安全产业联盟 企业移动计算工作组EMCG,移动终端设备管理 API规范,解决终端厂商MDM API不统一，企业MDM系统难以管控多种移动设备问题。,（Q/EMCG 002-2014）,解决Android系统缺乏有效的应用软件管控技术机制，有效控制应用软件泛滥。,（Q/EMCG 003-2014）,移动终端设备安全 等级产品规格,使终端产品设计生产及销售，能够适应不同等级的信息系统建设需要。,（Q/EMCG 001-2014）,信息系统,终端产品,六、标准制定开展情况(标准内容）,中关村信息安全产业联盟 企业移动计算工作组EMCG,标准的性质,在国家行业主管部门备案的推荐性企业标准（产业联盟标准），根据技术和产业发展需要可上升为国家行业标准或国家标准。,移动终端设备安全等级产品规格 Security grade specification of mobile device products Q/EMCG001-2014,根据国家信息安全等级保护管理办法（公通字200743号）以及信息安全技术 终端计算机系统安全等级技术要求（GA/T671-2006）等法规标准。,依据中关村信息安全产业联盟知识产权管理办法，本标准知识产权归联盟工作组所有。,标准的依据,知识产权,标准名称及代号,移动终端设备管理API规范 Mobile device management API specification Q/EMCG002-2014,移动终端应用开发、安装、运行管控机制 Management and control mechanism of mobile device App developing ,installing and running Q/EMCG003-2014,六、标准制定开展情况（组织管理）,中关村信息安全产业联盟 企业移动计算工作组EMCG,筹备工作,编制了三个标准的需求说明书,协商制定了三个标准的任务分工方案,制定了知识产权管理办法,制定了标准项目经费使用规定,6月22日，召开标准项目启动会,公安部网络安全保卫局、中关村科技园区管委会、CCF计算机安全专委会、国标委信息安全专家组、中关村信息安全产业联盟等领导和专家，以及中兴、华为、联想、宇龙酷派、鼎普等十余家企业代表出席了会议。,六、标准制定开展情况（组织管理）,中关村信息安全产业联盟 企业移动计算工作组EMCG,组织机构,专家组,中关村信息安全产业联盟,企业移动计算工作组（EMCG）,顾问组,Q/EMCG001-2014 移动终端设备 安全等级产品规格 中兴、华为、联想、酷派、e人e本、国鼎,Q/EMCG002-2014 移动终端设备管理API规范 中兴、华为、联想、酷派、e人e本、国鼎、奇虎360、国信灵通、摩贝,Q/EMCG003-2014 移动终端应用 开发、安装、运行 管控机制 中兴、华为、联想、酷派、e人e本、国鼎、奇虎360、国信灵通、安天、瑞飞、鼎普、瑞安、安恒,中关村标准组织,六、标准制定开展情况（组织管理）,中关村信息安全产业联盟 企业移动计算工作组EMCG,组织机构,中关村信息安全产业联盟： 2013年12月20日获北京市民政局批准社会团体法人登记证书，独立法人资格。 联盟联合信息安全行业机构、企业，提高企业研发能力，加快技术成果产业化，培育行业龙头企业，形成自主知识产权产品，主导和参加国际、国家及行业标准制定；凝聚产业链上下游资源，促进信息安全领域产学研合作，营造良好的产业发展环境，使北京中关村成为我国信息安全技术和产业中心，辐射带动国内信息安全产业发展。 联盟理事单位有：北京锐安科技有限公司、奇虎360科技有限公司、北京鼎普科技股份有限公司、北京交控科技有限公司、北京中兴网安科技有限公司、总参三部成果交流中心、军工保密资格审查认证中心等国内信息安全产业的权威机构和龙头企业。,中关村标准组织： 中关村创新服务中心承担中关村标准化专项工作，国家技术创新基地计划落地在中关村创新服务中心，基地建设期两年，到2015年10月建设完成，目前基地拟成立10个左右工作组，以联盟为主要参与者，制定相关行业标准，也即“中关村标准”。“中关村标准”强调标准由市场主导，经过立项（至少5家企业参与制定）、评审等环节，确定标准项目。“中关村标准”得到了全国标准化委员会的支持，并提供了绿色通道。目前中关村信息安全产业联盟牵头成立信息安全工作组，并积极开展相关工作。,六、标准制定开展情况（合作方式）,中关村信息安全产业联盟 企业移动计算工作组EMCG,合作方式,协商拟定了标准项目合作协议书,甲方,中关村信息安全产业联盟,乙方,参加标准制定的单位,(1)参加本标准项目的论证、撰写、修改及审定 (2)与甲方和参与本标准制定的其他单位共同享有项目的知识产权，并参与成果效益分配方案制定 (3)提供项目所需的部分经费 (4)指定专人参加本标准的论证、撰写、修改及审定 (5)维护本标准的权威性，带头实施本标准，积极开展本标准的推广应用工作,权 利 义 务 责 任,(1)了解掌握项目的进展情况 (2)推荐项目负责人及有关专家； (3)与乙方共同享有项目知识产权，并参与效益分配方案制定； (4)宣布项目实施； (5)为项目提供财务管理。,成果分配,10%,90%,中关村信息安全产业联盟 企业移动计算工作组EMCG,致 谢,倪光南 中国工程院院士 戴一奇 清华大学教授 吕述望 中国科学院研究生院教授 严 明 计算机安全专委会主任 崔书昆 国家安标委专家组