连载文章 |《中关村标准故事》——为企业移动互联安全加把“锁”（一）

编者按：2013年，北京市质量技术监督局联合中关村科技园区管理委员会成功发布《中关村标准故事——探秘标准创新 引领产业发展》书籍，今年10月，再推出《中关村标准故事2》一书，从标准创制、标准走出去、标准人物、团体标准、标准服务五个角度，讲述30个“中关村标准故事”。

联盟企业移动计算工作组（EMCG）企业移动智能终端标准作为团体标准项目，一直受到中关村管委会的支持和重视。本次新书编写过程中，其编制故事也有幸得到编委会的关注，在联盟EMCG工作组组长王克接受过编写记者认真详尽的采访后，这篇“企业移动智能终端标准：为移动互联网安全加把‘锁’”终于在书中和大家见面，也让更多的人了解了联盟的标准制定故事。现将文章原文分四期转载，以分享联盟团体标准走过的历程。

随着社会的发展，手机已成为人们不可或缺的生活用品，手APP（应用软件）也融入人们的生活当中，然而在产业蓬勃发展的同时，有关手机APP的安全也越来越受人关注，而且彼此之间缺乏统一的标准，为了解决安全性的问题，《移动终端应用开发、安装、运行管控机制（指南）》等团体标准应运而生，填补了我国智能终端安全性相关标准的空白，为国家移动信息化安全提供了实用的技术标准，为国家标准提供了支撑和补充。

故事二   企业移动智能终端标准：为移动互联网安全加把“锁”

徐建华

提起手机APP（应用软件），相信每个人都不会陌生，手机里少到十几个、多到几十个甚至几百个APP几乎成为现代人的标配，而各类手机APP也改变了人们的生活方式，给大家的生活带来了极大便利，人们都成了离不开手机的“掌上一族”，以至于现在人与人相聚时如果都不玩手机被看成是“真爱”。

在享受手机APP带来的诸多好处的同时，有关手机APP的安全问题实际上也在与日俱增。比如据新闻媒体报道，为防止手机预装软件被用户删除，深圳一家通讯技术有限公司的负责人王某指使技术员张某编写木马应用程序植人手机操作系统，致使1786部手机在用户不知情的情况下被强制安装了手机APP，且无法删除，结果两人被杭州市西湖区法院以破坏计算机信息系统罪判刑。

目前，智能手机的主流操作系统有苹果的iOS和谷歌的 Android（安卓），苹果手机由于其封闭的生态系统和独有的模式，在智能手机APP应用方面建立了自己的安全体系；安卓系统由于采取的是开放式的发展模式，因此在更有利于众多厂商参与的同时也让其安全性更加复杂。比如奇虎360发布的《2015年Android手机应用盗版情况调研报告》显示，2015年安卓手机应用盗版情况仍然猖獗，平均每款正版APP对应92．7个盗版，工具类软件以及模拟辅助类游戏最易遭仿冒。

更重要的是，对于以智能手机为代表的移动终端，目前在移动互联网安全方面存在着标准不完善甚至是缺失的情况。为此，2014年，中关村网络安全与信息化产业联盟企业移动计算工作组联合华为、中兴、小米、联想、奇虎360等国内知名企业，采取众筹模式，共同制定了《移动终端应用开发、安装、运行管控机机制（指南）》《企业移动终端管理API规范》等团体标准，填补了我国相关技术标准的空白，为因家移动信息化安全建设提供了实用的技术标准，为国家标准提供了支撑和补充。

情景1  自发制定

相同的“想法”让王克和国内众多同仁为解决我国移动智能终端的网络安全问题走到了一起，然而缺乏专业平台的现实却困扰着他们，让“梦想照进现实”，他们该怎么实现自己的标准制定梦想？

当听到来自华为公司的代表郑志彬博土提出“企业在做移动智能终端管理时，安全性比较突出”的话题时，王克的心里马上有了一种“于我心有戚戚焉”的感觉。

这是发生在2013年中国计算机学会计算机安全专业委员会举办的一次行业内研讨会上的一幕，王克当时的身份是该专业委员会的一名资深专家，长期关注网络安全问题。

听到国内知名企业华为同样对该问题有着深刻的认识，王克在研讨会上就专门找到郑志彬做起了“研讨”，结果两人越聊越投机，越聊“共同语言”也越多，经过双方的深度交流和智力上的激情碰撞，让王克有了一个大胆的“想法”——把国内从事移动智能终端网络安全的相关企业组织起来，共同解决我国移动智能终端的网络安全问题。尤其是要制定相应的标准，让移动互联网络的安全有“规矩”，两人甚至就标准的主要内容都有了共同的想法。

自己的新“想法”在研讨会上得到郑志彬在内的众多国内企业的支持之后，王克就在研讨会后开始“奔走”，准备将自己的“想法”变成现实。而“梦想照进现实”的第一步，就是需要一个合适的“平台”，将这些企业联系在一起，便于开展工作和解决问题。

作为我国网络安全领域的资深专家，王克开始积极发挥自己在业内的影响力，为自已的新“梦想”寻找资源，无奈一方面当时的移动互联网发展方兴未艾，移动智能终端的安全性问题还远未得到充分重视；另一方面由于移动智能终端的网络安全具有较强的跨行业特征，当时并没有一个相应的主管部门，也没有相对应的机构来专注该领域。于是，虽经多方努力，但是相应的平台仍迟迟未能搭建起来。

就在王克还在为自己的“梦想”多方奔走的时候，我国信息网络领域的一件“大事”发生了，那就是2013年12月26日，在北京市政府和中关村管委会等有关部门的支持和推动下，中关村网络安全与信息化产业联盟（以下简称联盟）正式成立。联盟的宗旨是整合资源，服务引领，协同创新，集群发展；以建设国家网络强国为己任，致力于联合国内IT和网络安全企业，以应用为导向，以标准为牵引，以创新为动力，通过贯通上下游产业链，探索和建立网络安全产业新业态，促进产学研合作和科技成果转化，打造可持续发展的产业环境。

经朋友介绍，王克与联盟理事长于晴在刚刚“呱呱坠地”没多久的联盟秘书处会面了，听完王克的来意与想法之后，于晴不假思索就答应了王克的“要求，并且真诚地邀请和欢迎王克加入到联盟中来，实现自己的“梦想”。

就这样，联盟里多了一个资深专家和下设机构，王克也多了一个新身份——联盟企业移动计算工作组（EMCG）组长。而华为、中兴、小米等一大批国内从事移动智能终端产业的公司，也成为联盟EMCG的首批成员。

曾经研讨会上“志同道合”的朋友们又ー次聚集在一起开了个“座谈会”，不过这次无论是身份——联盟成员，还是意图——制定我国的企业移动智能终端相关标准，都已经十分明确了，大家开始围绕主题畅所欲言。有代表提出：企业移动信息化有什么问题要解决？还有代表提出：企业移动信息化怎么管理？能否借鉴国际上的移动设备管理（MDM）的方法同时解决接口不兼容等问题？也有代表提出：企业移动信息化安全问题关键是要把标准统一起来，要找个组织来做标准……

在王克看来，现在的网络安全关键是软件安全，软件不安全整个网络都不安全，有道是“软件不安全，赛博（网络）无宁日”。因此，企业移动智能终端的安全管理需要从软件安全入手，解决软件安全是解决移动信息化安全的关键。

在大家你一言我一语的开放式讨论中，许多共识开始形成。尤其是制定我国企业移动智终端软件方面的安全标准成为大家的共识，相关的标准制定工作也由此决定正式启动。

2014年4月23日，是王克加盟联盟后第一个重要的日子一一这一天，由北京市公安局、中关村管委会联合主办，联盟承办的“首都网络安全日企业级信息安全技术高峰论坛暨中关村信息安全产业联盟企业移动计算工作组（EMCG）成立仪式”在北京新世纪日航饭店举行，来自政府相关主管部门、网络安全研究机构及信息安全企业的共计200余名专家学者和技术人员参加了会议研讨和交流。就在这一天，中关村信息安全产业联盟企业移动计算工作组正式宣告成立，北京鼎普科技有限公司、北京锐安科技有限公司、奇虎360科技有限公司、北京交控科技有限公司等作为应邀工作组成员单位，参与了工作组成立启动仪式。

“我们工作组是为适应移动互联网技术发展的新形势，建立我国企业移动办安全有序的产业环境而设立。当时的近期任务主要是制定产业各环节技术标准规范，简化不同层面技术对接，提高企业移动业务部署效率；强化应用软件生命期管理，净化计算环境，保证系统安全可靠。而未来发展方向则是逐步建设以国家需要和市场需求为导向，以企业为主体，产学研相结合的企业移动计算产业技术创新机制，开创企业间‘协同创新、标准引领、产业发展、合作共贏’的新局面，为我国的信息安全建设作出应有的贡献。”工作组组长王克说道。