　　主题：赛门铁克移动安全策略和解决方案媒体沟通会

　　时间：2012年09月20日

　　主持人：各位朋友大家下午好，非常感谢各位能够参加赛门铁克移动安全策略和解决方案这样一个发布会。今天我也看到大家可能每个人都带来了自己的智能设备，其中有一些朋友还带来了不只一台，过去大家参加媒体发布会的话可能还要回护赶稿，今天大家可以用手机这样智能设备可以时时编辑和发布这样的内容了。大家可以想象一下，越来越的人大家用智能设备介入公司、企业和网络设备的时候，这样给公司带来什么变化呢?其中既会给企业带来安全挑战，也会使企业员工生产力带来很大的帮助。今天很高兴请到了我们赛门铁克在安全领域专家，赛门铁克中国区安全产品总监卜宪录。来给大家介绍一下赛门铁克的移动安全策略，如何通过移动安全解决方案，来帮助企业应对这些BYOD带来的挑战。下面请卜宪录做一个介绍。

　　卜宪录：首先欢迎大家下午抽出时间参加解决方案发布会。开始之前，我看到几个同事在讨论新的ipone5发布，给大家报告一个好消息我们全套的移动解决方案，在ipone5上市的同期对这些全部支持，公司在这方面投入力度很大，支持的速度也很快。今天我们主题叫设备、应用和数据，整个移动解决方案所覆盖三个层面。

　　首先我们来看一下整个大的，从赛门铁克角度看，我们认为移动解决方案分为三个大的层面，一个大层面是广大的企业，大、中、小，另外还有个人用户端，还有一个层面是服务运营商，移动公司、电信，这三个层面上都有移动解决方案的需求。终端用户，我们个人都知道都有两到三台的智能设备，安全问题和个人隐私的保护问题，包括网上交易的身份认证问题，这是个人消费者经常遇到的挑战。

　　对于运营商来讲也有挑战，运营商面对移动终端日益普及的挑战之下，涉及到说怎么样给大的智能终端提供集中的运营平台，这个运营平台是智能化的平台。能够把所有智能终端对网络的访问进行集中的访问控制，流量清洗，安全过滤，包括一些内容的管理，国家的政策需求。所以呢，在运营商这个层面上，我们有一整套的方案，但是进行因为时间的原因，我们集中在企业这个层面上。我们接下来要讲的解决方案，管理也好，安全也好，还是关于认证方面也好，全部都是集中在企业层面的。如果大家对运营商这个层面，包括个人消费者层面感兴趣的话，我们以后还有时间做详细介绍。

　　首先，我们来看一下，在企业这个市场上。移动终端，移动应用的趋势是什么?我们可以看一下，这边我用了一张图，分成两个纬度进行表示。横向纬度表示，设备的所有者，所有权在谁那儿?左边表示公司所有，右边表示私人拥有。还有一个纬度是竖着的纬度，表明这个设备是受管理的，下面表示是完全受管理的，上面表示完全不受管理。用这样两个纬度就把企业的应用场景分成四类，一类是公司拥有的资产，完全受公司管理;还有一类是私人应用的资产，但是也完全受公司管理。这两类加在一起我们把它称作受管理的终端，这个终端相对容易处理，企业完全可以管理，平常的操作方面都可以进行。比较有挑战性是这一类，右上角的表明的是私人拥有的设备，也不完全受企业的管理。处在一个混合的状况下，我们把这一类称为BYOD的挑战，就是个人携带自己设备在公司里面办公，设备是自己的，但是应用是企业的。大家可以看到智能终端发展趋势，2011年智能中断超过传统PC，另外发布了关于终端安全应用的调查和互联网的安全报告，也都显示在终端的威胁越来越多。

　　赛门铁克的解决方案是什么?

　　这个角落是基本上不存在的，公司的资产不受管理的是不可能的，我们重点介绍第三个层面。三个理论的解决方案，在这三个象限上都有相应解决方案，这个条例很清楚。我们从设备管理入手，我们管到他的应用，管到这上面的数据。给他一个全方位管理，这个管理不管是在受管理前提下，是公司拥有还是个人拥有，或者说部分受管理下都有相应解决方案，而且在这三个层面上。具体我们赛门铁克自己解决方案，种类是非常齐全的。比如说这个表明个人资产，企业是完全可以管理的，我们有五大类的解决方案，分别是应用、设备、数据层面的解决方案。

　　第一个关于用户身份认证解决方案。大家以前了解过我们的VIP的双认证的解决方案，包括证书管理的这些层面我们有相应的结案方面可以用在智能终端上面。另外一类终端上面的智能设备的管理，包括安全的管理，包括智能终端跟云，跟企业的服务进行交互的时候安全的问题。所以基本上涉及这五个层面，包括企业移动应用的分发与管理，我们全部可以做到。赛门铁克我们移动管理解决方案比较全面或者说在现代的市场上领先。

　　右上角的例子，我们都有相应方案处理。因为是个人资产，我们更多考虑到个人隐私的方面，所以某些解决方案在这种场景上并不适用。

　　接下来我们会结合实际情况，结合特定的场景给大家做详细介绍。

　　我们来看一下，现在在我们身边智能终端的数量超过PC以后正在发生的一些场景是什么?或者说我们的需求是什么?这个员工带着自己的电脑或者是公司的电脑，平板电脑进入到企业里面以后就有一个需求，他希望跟个人身份相关联的，不管用什么电脑，用PC也好，用iPad也好，都能在任何时候，通过任何设备进行相同的访问，而不是用PC登录上去是一套，这样对用户来讲很不方便。

　　第二个当有一些设备发生损害，或者是ipad丢了，或者在内部今天被分到另外一个部门，或者说我升级了，这时候权限和角色发生了变化，在这种场景下企业怎么管理他所使用的设备呢?

　　第三类，怎么样把个人得信息跟企业信息完全区分开，把个人用和企业应用完全分开进行独立管理，这是很大的挑战，这个挑战就在我们身边。包括国内和很多客户在交流，这就是遇到的挑战。

　　因为时间的关系，这是五大类的解决方案，涵盖了各个层面。我重点介绍其中两个比较新的部分，有的方案大家比较了解，比如说终端的安全，身份认证，互联网交互的部分。

　　今天主要介绍两个，一个是智能终端管理和应用管理，一个是设备，一个在应用。

　　在设备管理这方面有三块功能。第一个功能是使能，当一台ipad进入到企业的时候，使得这台ipad能够迅速获得进入企业网的所有权利和资源，企业内部能够提供应用商店，让终端知道有什么应用可以使用，包括有那些资料库和文件库是企业里面已经具备的，让这个员工，让这个Ipad能够迅速获得，包括对它网络的基本配置，比如说邮件啊，或者是无线网络的设置。这是使ipad在这个企业里面迅速工作的就是叫做使能。

　　第二个，设备接进来以后要保证安全，比如说密码的设置，如果说设备丢失，损坏的时候，相应的擦除，这里面企业的信息丢了以后怎么样迅速的擦除，包括一些锁定。还有合规的审计，企业内部有很多规定，企业外部也有国家，或者是相应行业主管部门对你的要求，怎么样满足这些要求呢?最简单的ipad越狱的操作系统就可能会给企业带来隐患，包括一些认证系统，这些是企业安全需要考虑的内容。如果一台ipad或者智能终端能够迅速接入网络的同时，又能够保证安全，在日常运维过程中将会更高效。

　　在这台ipad运行的所有软硬件资产，所有运行程序使用情况是怎么样?我有很清晰的统计，集中形成一个报表。第二块，对ipad上面所有的应用，比如说邮件的应用我自己在后台统一应用而不需要对个人分别设置。还有一点很重要，原来有很多PC机，这些PC设置上已经有管理做事，现在又来了很多ipad或者是智能手机，能不能把这些PC机和移动终端放在一个平台上统一管理，因为企业IP运维人员很少，不能分出一些人专门管理吧，这样对企业压力和管理成本很大，所以需要统一的管理平台，不管是苹果，安卓，Windows Phone 7，所有终端能在同一个平台上进行管理，这里面包括统一策略、报告和报表，包括统一远程和运营问题，希望这个平台能够跟企业的工作联系起来，以及我刚才讲到运维这就涉及到工作系统，怎么样进行修复?包括一些成熟的平台，这些都是一个企业在考虑其管理它的移动终端的时候要考虑的问题。所以我们把这几块放在一起来看，管理好你的移动设备，分成三部分。第一使它具备能力，第二包括它是安全的，三包括它是被管理的。

　　我们再把流程梳理一下，当一个智能终端进入到企业的时候，第一步我们做什么?这个设备要保证他能上线，上线的时候对这个设备进行基本的配置，网络、通信、邮件等等。

　　接下来对它进行强制的安全手段，密码，访问什么内容?访问什么资源在这上面配置好了，保证这个设备是可用的，同时是安全的。

　　然后把企业里面统一定制好的策略把它分发下去，相应的应用程序分配下去。假使在运营过程中出现了问题，比如说有损坏，我就需要修复。我的应用程序损坏了，或者是某些配置发生了变更，我们管理员及时进行修复。或者设备丢失能够对它进行锁定和擦除，保证隐私不泄露。企业管理员也需要及时的报告掌控整个平台。

　　所以大家可以看到，透过这样一个流程，我们就可以对企业里面的移动终端，智能终端进行很有效的管理，这跟大家原来在管理PC机的时候没有太大分别，而且可以在同一个平台做，这一点很重要。

　　具体的赛门铁克这套移动安全及管理解决方案的功能，由于时间关系就快速过了，这是在苹果操作系统上我们能实现的功能，这是在安卓的系统上实现的功能，这个对移动设备和资产管理上面能够看到一些功能。

　　前面我讲的场景主要是用在下面这两个里面。这个设备完全受企业所管理的，你可以把所有策略都放进去，这是没有好讨价还价的余地。很大的挑战我们是说BYOD，这个时候独特要求是什么呢?数据必须被独立保护的，因为有的数据是私人的，不想被你知道，设备是我的。有一些数据又是企业的，所以呢必须把这两者分开，这是基本要求。企业想采纳BYOD来提高你工作效率，降低你的运营成本的时候，必须具备这个能力，把企业和个人应用分离开来，应用程序的交互也必须分离，同一个IPAD上面不同的应用，公司和个人得数据被共享，对企业来讲都是风险，对个人隐私也是风险。怎么样应对这样一个挑战呢?

　　大家可以看到一下具体的需要解决问题是什么呢?

　　很简单，我再一个ipad上面，我先打开公司应用程序，我选择应用程序我复制粘贴在我私人的程序上，比如说邮件，微博，这个时候对企业来讲就是信息的泄露。我透过私人程序访问了不良网站被挂了后门，这两个程序之间可以互相感染和通信的话，我企业应用程序也可能被感染，这时候企业怎么办呢?所以这些都是很具体的问题。包括身份认证的问题，怎么应对这样的挑战?前面讲的移动设备管理是没有办法实现这一点，现在我们要谈的是应用层面。

　　大家可以看一下，我们透过一系列的收购整合，包括我们自主研发，我们现在保护应用的方法。这是我们移动应用管理的解决方案是这样来做的。我们把企业应用跟员工个人应用完全分开，对企业应用进行一个透明化的封装，使得这些企业的应用程序具有免疫能力，实际上就是说从应用上，从数据上都严格跟个人应用分离开。管理员如果需要的话，保证企业应用跟它的私人应用之间是不会发生数据共享的，也不会发生应用之间的通信的，这两个之间是完全隔离的，而且我是用不同方法管理的，一旦这个员工要离职，一旦发生什么问题的时候，管理员可以单独远程去操控企业应用程序，不会影响任何其他的操作。这个应用不仅针对CS的应用有效，对基于Web的应用也是有效的，我们都可以做封装。

　　具体给大家看一下是怎么实现的?

　　这个是讲企业可以透过我们解决方案来构建自己的应用程序商店，就好比苹果的应用程序商店或者是安卓的应用程序商店是一样的。比如说某企业是航空公司，可以构建某某航空公司内部的应用程序商店。他可以透过我们的方案来构建一个他们自己的AppStor，在这AppStor上面，可以进行二次封装，并进行分发，企业员工可以在智能终端上可以看出新发布的企业应用程序是哪些?常用的应用程序是哪些?在这上面进行相应下载和安装。每个应用程序上面右上角都可以打上这个标，赛门铁克自己的Logo，当然企业可以换成自己的标志，这个标是表明应用程序可以二次封装。

　　可能企业在两年以前就开发了报销程序，或者办公网的一个程序，原来上面什么安全手段也没有，什么控制手段也没有，今天他不用改写这个程序，完全可以透过我们解决方案，对它加一个“壳儿”，一个透明的封装就可以这样了，然后具有什么功能呢?就是我前面讲的那些，完全隔离，完全区别于这两个，对用户而言是透明的。对于企业管理者来讲有什么好处呢?透过构建这样应用程序商店，企业可以把移动应用统一在一个平台上展现。这些程序也是针对内部的，或者是第三方开发的都可以，不管是CS应用程序，还是BS的Web应用的程序都可以。对于企业管理者或者是企业来讲这就是它的好处。

　　对于员工来讲，这些程序被透明封装以后原来没有透明系统，现在需要输入用户名和密码，这个投入透明封装实现的，不需要改原来的程序，包括加密，我限制一切的访问，包括共享等等，所有功能都可以设置。这一点很重要，你原来不管你三年、五年已经开发的程序，不需要任何改变，只要我封装一下就可以了。对于企业来讲非常好。

　　这是具体封装的原则，大家可以看一看，这是苹果的应用程序，这是安卓的应用程序，它有一个文件，透过我封装加了窍以后，哪些功能可以实现呢?我们有几十个选项可以选。一键访问本地存储身份认证等等，这样管理起来很灵活和方便的，即使是一个基于html5的外部应用我们也可以进行合作，也可以把它封装在一起，非常灵活和方便。

　　把我前面讲的事情放在一起，设备管理，应用管理，数据部分今天我没有重点提，今天来的都是老朋友，应该对我们数据安全解决方案很熟，基于内容防泄露的解决方案，上一次见面会的时候我们还在谈我们的解决方案DLP for Tablet，现在我们升级成了DLP for mobile针对移动终端的解决方案。另外，在这次发布我们还加上了加密的阅读浏览器——PGP Viewer，原来的那个是基于内容识别，现在我们加入了阅读解密，解密的阅览器。这是我们关于数据安全的部分。

　　还有两个部分，我前面也是简单一带而过的，关于身份认证的部分，大家都已经有所了解，还有就是我们的O3，我们基于云的安全解决方案，保证移动终端跟云之间进行交互访问的时候，身份认证，信息安全、安全审计这几个层面的问题都有相应解决方案，把它们放在一起，就是我们讲的设备、应用、数据三位一体企业级的移动终端的管理解决方案。

　　在全球我们有很多成功案例，都是一些非常著名的企业，包括一些高科技企业，大的制造业，销售企业都是一样的，汽车制造业，还有做云服务的企业，非常有名的一些公司。基本上遍布再各行各业，仅就中国市场而言，看到大量保险行业，医疗行业，还有很多电信、金融行业都有相应的需求。

　　总结一下，再回到这张图，大家可以看看，在这三种行业下，不管这个设备是公司的，个人的，不管这个设备是受管理的，还是不受管理的，最复杂的就是BYOD的这种场景，我们都有相应解决方案去应对。