Transcript Document
中关村信息安全产业联盟 企业移动计算安全保障 Enterprise Mobile Computing Security Assurance 企业移动计算工作组(EMCG) 王 克 2014.7.16 汇报内容 一、背景 二、企业移动计算概念 三、企业移动计算新特点新问题 四、企业移动计算安全技术保障 五、企业移动计算工作组基本情况 六、标准制定开展情况 中关村信息安全产业联盟 企业移动计算工作组EMCG 一、背景--移动工作将成为一种常态 BYOD (Bring your own device) 3A (Anytime Anywhere Anydevice) 全领域 金融、税务、工商、交通、 公安、石油、电力、装备 维护、数字化单兵…… 中关村信息安全产业联盟 企业移动计算工作组EMCG 移动工作将成为一种常态 中国 中关村信息安全产业联盟 印度 墨西哥 巴西 企业移动计算工作组EMCG 移动工作将成为一种常态 在联网 设备中,PC 所占份额越 来越少 中关村信息安全产业联盟 企业移动计算工作组EMCG 移动工作将成为一种常态 在联网 设备中,PC 所占份额越 来越少 中关村信息安全产业联盟 企业移动计算工作组EMCG 移动工作将成为一种常态 我国 移动信 息化产 业市场 预测 中关村信息安全产业联盟 企业移动计算工作组EMCG 二、企业移动计算概念 企业移动信息化 对 象 终 端 处理信息 研究范围 社会组织成员 政府 企业 社会团体 企业用户 智能移动终端 通用 专用 机构内部信息 公共信息 用户信息 效益 应用系统 规划 政策法规 企业移动计算Enterprise mobile computing 社会组织成员 政府 企业 社会团体 智能移动终端 通用 专用 中关村信息安全产业联盟 机构内部信息 风险 技术基础 标准 产业链环境 企业移动计算工作组EMCG 三、企业移动计算新特点新问题 终端种类多 苹果 三星 中兴 华为 联想 酷派 小米 e人e本 iOS Android …… 在公共网上处理信息 软件商店多 3G/4G 中关村信息安全产业联盟 Internet WiFi 企业移动计算工作组EMCG 三、企业移动计算新特点新问题 最 大 问 题 是 恶 意 软 件 根据CNNIC 《2013年中国 网民信息安全 状况研究报 告》,手机恶 意软件发生率 与2012年相比 提升了13.2个 百分点,增幅 位居所有类型 安全问题的前 列。 2012年手机恶意软件款数激增,比2011年增长1907%。新增手机恶意软件 样本17.5万款,感染者达7000余万人次。其中安卓平台新增样本占全部新 增样本的71%,成为手机恶意软件的主要感染平台。 中关村信息安全产业联盟 企业移动计算工作组EMCG 四、企业移动计算安全技术保障 体系标准 建立适合国情的企业移动计算安全保障体系标准 终端管理 软件控制 在国家信息系统 安全策略 运用密码技术实行软件签 等级保护制度框 远程摇毙 名准入机制,开发、审核、 等级保护 基础构件 操作系统 架下,建立风险 国产密码芯片 评估基础上的企 业移动安全保障 机制。 证书选择 相机 发布、安装、运行全生命 录音 期的保障; WiFi 软件签名、软件认证 SD卡 (实名计算real-name 计算隔离 computing) 密码协议中间件 中关村信息安全产业联盟 企业移动计算工作组EMCG 五、企业移动计算工作组(EMCG)基本情况 组建经过 2013年5月7日,在中国计算机学会计算机安 全专业委员会倡导下,“企业移动计算联盟” 2013年7月12日,第二次“企业移动计算联 研讨会在北京召开,华为、联想、联信摩贝、 盟”研讨会在北京上地华为公司召开,联想、华 2013年9月6日,第三次“企业移动计算联盟 国信灵通、奇虎360、网秦公司等代表参加。成 为、酷派、中兴、联信摩贝、国信灵通、网秦、 EMCG”研讨会在北京上地联想公司召开,参加会 立“企业移动计算联盟”是实现相关企业互利 2013年12月2日,第四次“企业移动计算联 360、创原公司参加了会议。 议的有联想、华为、中兴、酷派、网秦、联信摩 盟” 筹备会在北京公安部第一研究所召开。会 共赢,保护民族移动终端产品的有效措施,是 贝、奇虎360、泰一奇点等单位参加。就MDM、数 2014年2月21日,中关村信息安全产业联盟 议认为,经过半年多的酝酿,筹备工作得到了多 提高国家信息安全产业水平的创新举措。 批准成立“企业移动计算工作组”。 据加密、软件管控等技术框架进行了研究。 方面支持,成立“联盟”的基础得到加强。 中关村信息安全产业联盟 企业移动计算工作组EMCG 五、企业移动计算工作组(EMCG)基本情况 意向 成员 中兴通讯股份有限公司 华为技术有限公司 联想软件有限公司 安天实验室 北京锐安科技有限公司 国鼎网络空间安全 技术有限公司 奇虎360科技有限公司 联信摩贝软件(北京)有限公司 中关村信息安全产业联盟 企业移动计算工作组EMCG 五、企业移动计算工作组(EMCG)基本情况 宗 旨 “标准引领、产业推动;协同创新、合作共赢” 作 用 深化企业强强联合,推动产业创新,建立有 序的产业环境,巩固国产产品市场地位,促进中 国企业移动信息化建设健康发展。 任 务 研究产业各环节技术规范体系,制定相关技 术标准,简化产业不同层面的技术对接,提高企 业移动业务的部署效率,使产业链规模化、模块 化、高效、可持续发展。 中关村信息安全产业联盟 企业移动计算工作组EMCG 五、企业移动计算工作组(EMCG)基本情况 运行方式 常设机构人员,经费“众筹”。 知识产权 《中关村信息安全产业联盟知识 产权管理办法》。工作组的成果归 成员共同所有,采用有偿使用的方 式推广知识产权,并按贡献大小分 配效益。 中关村信息安全产业联盟 企业移动计算工作组EMCG 六、标准制定开展情况(标准内容) 移动终端设备安全 等级产品规格 移动终端设备管理 API规范 移动终端应用开发、安装、运行 管控机制 (Q/EMCG 001-2014) (Q/EMCG 002-2014) (Q/EMCG 003-2014) Ⅰ级 Ⅱ级 Ⅲ级 Ⅳ级 终端产品 规格1 规格2 规格3 Ⅴ级 信息系统 使终端产品设计生 产及销售,能够适应不 解决终端厂商MDM API不 统一,企业MDM系统难以管控 软件管控技术机制,有效控制应用软件 同等级的信息系统建设 多种移动设备问题。 泛滥。 解决Android系统缺乏有效的应用 需要。 中关村信息安全产业联盟 企业移动计算工作组EMCG 六、标准制定开展情况(标准内容) 移动终端设备安全等级产品规格 Security grade specification of mobile device products Q/EMCG001-2014 标准名称及代号 移动终端设备管理API规范 Mobile device management API specification Q/EMCG002-2014 移动终端应用开发、安装、运行管控机制 Management and control mechanism of mobile device App developing ,installing and running Q/EMCG003-2014 标准的性质 在国家行业主管部门备案的推荐性企业标准(产业联盟标准), 根据技术和产业发展需要可上升为国家行业标准或国家标准。 标准的依据 根据国家《信息安全等级保护管理办法》(公通字[2007]43号) 以及《信息安全技术 终端计算机系统安全等级技术要求》 (GA/T671-2006)等法规标准。 知识产权 依据《中关村信息安全产业联盟知识产权管理办法》,本标准知 识产权归联盟工作组所有。 中关村信息安全产业联盟 企业移动计算工作组EMCG 六、标准制定开展情况(组织管理) 筹备工作 编制了三个标准的《需求说明书》 制定了《知识产权管理办法》 制定了标准项目《经费使用规定》 协商制定了三个标准的任务分工方案 6月22日,召开标准项目启动会 公安部网络安全 保卫局、中关村科技 园区管委会、CCF计 算机安全专委会、国 标委信息安全专家组、 中关村信息安全产业 联盟等领导和专家, 以及中兴、华为、联 想、宇龙酷派、鼎普 等十余家企业代表出 席了会议。 中关村信息安全产业联盟 企业移动计算工作组EMCG 六、标准制定开展情况(组织管理) 组织机构 中关村信息安全产业联盟 顾问组 中关村标准组织 专家组 企业移动计算工作组(EMCG) Q/EMCG001-2014 移动终端设备 安全等级产品规格 Q/EMCG002-2014 移动终端设备管理 API规范 中兴、华为、联想、 酷派、e人e本、国 鼎 中兴、华为、联想、 酷派、e人e本、国 鼎、奇虎360、国信 灵通、摩贝 中关村信息安全产业联盟 Q/EMCG003-2014 移动终端应用 开发、安装、运行 管控机制 中兴、华为、联想、 酷派、e人e本、国鼎、 奇虎360、国信灵通、 安天、瑞飞、鼎普、 瑞安、安恒 企业移动计算工作组EMCG 六、标准制定开展情况(组织管理) 组织机构 中关村信息安全产业联盟: 2013年12月20日获北京市民政局批准《社会团体法人登记证书》,独立法人资格。 联盟联合信息安全行业机构、企业,提高企业研发能力,加快技术成果产业化,培育行业龙 头企业,形成自主知识产权产品,主导和参加国际、国家及行业标准制定;凝聚产业链上下游 资源,促进信息安全领域产学研合作,营造良好的产业发展环境,使北京中关村成为我国信息 安全技术和产业中心,辐射带动国内信息安全产业发展。 联盟理事单位有:北京锐安科技有限公司、奇虎360科技有限公司、北京鼎普科技股份有限 公司、北京交控科技有限公司、北京中兴网安科技有限公司、总参三部成果交流中心、军工保 密资格审查认证中心等国内信息安全产业的权威机构和龙头企业。 中关村标准组织: 中关村创新服务中心承担中关村标准化专项工作,国家技术创新基地计划落地在中关村 创新服务中心,基地建设期两年,到2015年10月建设完成,目前基地拟成立10个左右工作组 ,以联盟为主要参与者,制定相关行业标准,也即“中关村标准”。“中关村标准”强调标 准由市场主导,经过立项(至少5家企业参与制定)、评审等环节,确定标准项目。“中关村 标准”得到了全国标准化委员会的支持,并提供了绿色通道。目前中关村信息安全产业联盟 牵头成立信息安全工作组,并积极开展相关工作。 中关村信息安全产业联盟 企业移动计算工作组EMCG 六、标准制定开展情况(合作方式) 合作方式 协商拟定了《标准项目合作协议书》 甲方 乙方 中关村信息安全产业联盟 参加标准制定的单位 责 任 (1)了解掌握项目的进展情况 (2)推荐项目负责人及有关专 家; (3)与乙方共同享有项目知识 产权,并参与效益分配方案制 定; (4)宣布项目实施; (5)为项目提供财务管理。 (1)参加本标准项目的论证、 撰写、修改及审定 (2)与甲方和参与本标准制定 的其他单位共同享有项目的知 识产权,并参与成果效益分配 方案制定 (3)提供项目所需的部分经费 (4)指定专人参加本标准的论 证、撰写、修改及审定 (5)维护本标准的权威性,带 头实施本标准,积极开展本标 准的推广应用工作 成果分配 10% 90% 权 利 义 务 中关村信息安全产业联盟 企业移动计算工作组EMCG 致 谢 倪光南 戴一奇 吕述望 严 明 崔书昆 于 晴 梁 淼 郑志彬 刘永锋 李 甘 田 径 王 驰 程力行 石晓虹 蒋旭宪 晋艳伟 张永利 宋 斌 符东昇 肖新光 杜跃进 楼培德 吴亚非 中国工程院院士 清华大学教授 中国科学院研究生院教授 计算机安全专委会主任 国家安标委专家组 中关村信息安全产业联盟理事长 华为技术有限公司 华为技术有限公司 联想集团 联想集团 中兴通讯 中兴通讯 酷派宇龙 奇虎360副总裁 奇虎360教授 网秦(国信灵通) 网秦(国信灵通) 联信摩贝软件(北京)有限公司 公安部第一研究所主任 安天实验室 国家计算机网络安全研究中心 中国移动通信联合会秘书长 国家信息中心网络安全中心主任 中关村信息安全产业联盟 企业移动计算工作组EMCG