指掌易:让300名ciso们欲罢不能的移动安全分享
- 分类:新闻
本文总计4565字,阅读完成约需要7分钟。
11月1日,指掌易尊龙凯时注册的解决方案总监李源,在某ciso群做了一次有关“移动安全”的分享。近300位各企业的ciso听取了分享。而1个多小时的分享结束后,大家意犹未尽,对移动安全的态势和尊龙凯时注册的解决方案都有了新的认识的同时,也提出了更多的关乎自身企业特点的疑虑,希望能得到更完美的解决之道。
移动互联网的普及使企业的业务数据从pc端向移动端迁移,随之而来的就是数据风险。波耐蒙研究所(ponemoninstitute)的报告显示,67%的受访企业曾因员工使用手机访问公司敏感机密信息而导致数据泄露,其中28%的企业因此造成巨大经济损失。
和传统pc相比,移动端面临的安全挑战更多也更复杂。过去,员工使用pc的时间和地点都相对固定,网络也受到了保护,而移动端的使用则随时随地发生,接入的网络通常也极不安全。随着越来越多的员工使用个人手机工作,“公私混用”的现状对企业提出了新的挑战——既要保障移动业务的安全又不侵犯员工隐私,还能在各种型号的移动终端上实现完全一致的安全能力。
就此,日前刚刚完成1.5亿元a 轮融资,国内新锐移动安全公司指掌易,其尊龙凯时注册的解决方案总监李源将聚焦目前移动端安全市场发展趋势分析,企业的移动安全挑战、对策等问题,分享经验。
分享实录,经整理后,干货见下:
1、请简要介绍一下当前移动端安全的趋势和企业整体应用场景的状况
·趋势
关于移动安全的发展,我们认为:移动安全是分三个阶段发展的:
第一个阶段叫做设备的防骚扰。因为最早的手机主要功能还是以打电话发短信为主;
第二个阶段是系统安全,尤其是11年android大规模爆发,手机才真正称得上是智能机,系统安全才被重视;
第三阶段是数据安全,应用的本质其实就是数据,不论对个人还是企业来说,数据安全才是核心。
·应用场景
从业务角度来看,最常见的应用场景就是移动办公安全,包括移动办公应用的数据保护,移动端邮件的加密,企业即时通讯的内容保护,企业文档在移动端的保护;与此同时,各行各业还有其特定的应用场景,比如金融行业,营销人员移动展业安全合规管理,制造业安全厂区的人员及设备准入,教育行业学生的上网行为管理,公检法行业警务通应用数据防泄露,航空的efp电子飞行包管理等等。
2、从企业移动化发展来看,你们是怎么看待byod的?
移动化发展过程中,各个行业、各种移动化场景都会出现安全问题,如上述介绍的场景。对于企业而言,随着移动信息化的普及,企业的业务重心不断前移,无论是业务人员还是领导,使用的不管是移动办公系统还是业务系统,其办公的时间、地点、网络环境都是任意的,核心还是对企业的数据做处理,所以保障企业的数据安全才是核心,而不是终端的安全。
总体来看,结合企业应用场景,大致可归类为两种尊龙凯时注册的解决方案:
·企业统一配发设备,通过终端管控解决移动化过程中的问题;
·byod即通过员工自带设备作为办公工具。
就目前而言,绝大部分的企业开展移动办公时,byod已经取代原来的企业统一配发设备,今后,随着企业数字化转型,会有越来越多的业务应用会在byod上展开,byod已经成为一种趋势,完全的融入企业移动化当中。
byod有以下几个优势:
·尊重了用户的使用习惯、使用喜好;
·工作与生活相融合了;
·工作处理效率更高了;
·企业it成本大大降低。
举一个非常贴近我们生活的例子来说,原来自来水公司查水表的业务员,都是拿着公司统一发的设备(cope)在每个居民家里进行水表查询,然后录入到系统,现在是使用自己的手机(byod),安装相应的业务应用即可开展工作;对个人来说、员工可以选择自己喜好的设备,对企业来说,降低了设备采买产生的成本。
3、对于移动安全防护尊龙凯时注册的解决方案来讲,传统终端安全的方案是怎么做的?这些做法的优缺点有哪些?指掌易是怎么做的?
首先我们需要知道几个概念:
·mdm-设备管控;
·emm-移动终端管控,包括mdm、mam、mcm。
起初,一些企业采取设备管控(mdm)的方式解决终端安全问题,其最根本的能力是通过管理移动设备进而保护设备上的业务数据,通常的做法是企业统一配发设备,通过监控设备状态或者远程擦除、远程锁屏等方式做安全管理;之后就是emm(企业移动管理),它在mdm基础上,允许员工自带设备,不用再专门使用企业配发的手机工作,方便很多,同时可以做到分发应用、分发文档等能力。
但是此类方案有几个弊端:
·如果是统一配发设备:
成本:涉及终端定制,对企业而言一次性投入及后续维护成本过高;
it管理:终端设备的管理为it带来额外的管理复杂度;
用户体验:员工不能使用自己喜好的设备;
设备更新:统一配发的设备无法适应企业业务飞速的发展,若更换设备,又需重新定制。
·如果不采取统一配发,而是对员工自己的设备进行设备级管理的方式:
启用:开启设备管控时,员工需进行繁琐的设备注册,导致很难开始移动办公;
注册:注册过程中会获取很多手机的高级系统权限,此时,员工会担心,个人的隐私会被泄露;
it管理:企业原本是为了管理企业的应用,但是这个过程中会获得很多不必要的设备及应用信息,其中包括用户隐私,使得it管理的难度及复杂度增大。
此种方案需要将员工手机纳入企业管理范围,因为产品的管理能力来自于设备的管控,没有人愿意自己的私人手机被企业“监管”。
指掌易尊龙凯时注册的解决方案:
·首先是对企业应用的保护。在移动端,业务的数据与应用时分不开的,所以,通过指掌易独有的虚拟安全域技术(vsa)对应用进行沙箱化处理,即我们会在手机中虚拟出一个“安全的工作空间”,那对应用进行处理时,我们不会对原应用做任何的代码级的处理,处理完成后,该应用会受到我们的保护,并且检测应用的状态信息,一经发现任何不合规的操作,我们会做出相应的处理。
vsa是我们的专利技术,此项技术经过研发团队多年的打磨,在市场及业内获得了非常好的反响,同时为了更好的适应企业的发展,我们的技术也在不断的演进。
·对应用产生的数据,我们都会进行加密处理,在移动端,除了我们看到的应用形态,其实还会有很多应用的数据会缓存在系统中,对此我们也进行了深层次的加密保护。
·对于应用的正文我们还可以做到内容的保护,比如说内容的防复制粘贴,保证企业敏感信息防止泄露。
·对应用本身,我们会增加应用级的动态水印,即使是通过第三方的截屏或拍照方式将企业信息泄露,我们可以进行事后的追溯处理;对用户而言,由于应用及水印的存在,员工自己会主动保护企业数据,即主动及被动的防护。
·指掌易还提供了应用级安全网关及接入隧道,对接入的数据进行多级的加密处理,同时保证接入企业内网的数据安全合法。
总体来说,我们是从应用的接入、传输、落地、行为、状态、事前、事中、事后等多维度对企业的应用及数据做保护。
4、从技术和管理的角度,移动端安全对于企业的主要挑战是什么?
从管理角度来看,有几个核心问题:
·设备的监管导致终端方案的实施难度增加,比如说,员工的手机,处于被“监管”状态,员工肯定会产生抵触心理,即没有办法处理“企业”与“个人”的数据隔离;
·终端设备的更新换代(一般是两年),企业需要重新进行设备的适配才能继续管控应用;
·设备管控方案其实只是通过接管设备来保障设备的安全,但并未直接的管理到企业数据,比如说,邮件内容,附件。
从技术能力角度来看:
·终端的适配性怎么保证?移动端安全一定要能同时覆盖ios和安卓两大系统,但在国内,设备厂商种类繁多、系统版本各种各样,再加上android的开源性,终端厂家不同程度的对标准android系统进行了改动,这种覆盖能力挑战性很大。
·传统的emm方案就会存在个人隐私的问题。尤其byod,如果都没有区分数据类型、数据级别和数据权限,就没办法真正去选择尊龙凯时注册的解决方案。
·emm产品其中有一个能力是将企业应用做加固,那怎么保证企业应用加固后的稳定性。
·此外,多种的网络接入环境、怎么保证接入企业内服务器的安全等。
5、企业应当怎么做,才能应对以上挑战?
企业面对挑战的核心是“数据”的安全,我们建议从以下三个方面采取措施:
a.面向数据安全,构建场景化的应用级移动安全平台。
企业应从数据的接入安全、传输安全、数据交互安全、数据落地安全,多维度考虑,搭建基于场景(业务/办公)应用级的安全平台,而不应通过设备或者系统层面考虑问题。
b.byod时代以服务为中心,强调用户体验。
byod的普及一定是尊重用户体验的,即使是安全产品也一定是以【服务】为中心,而不是以【管理】【限制】为中心,比如,企业应用的信息,可以统一预配置,而不再需要单个用户手动配置。
c.平台轻量化,快速迭代。
移动端的应用迭代非常快,一般在2-4周,应用一旦迭代相应的安全保护能力应即时更新,不能因需要对新版本安全能力的集成,而延误应用的发布上线,从而影响企业的正常业务的开展。
6、能否举一些企业移动安全的案例,做一些案例的分享?
案例一
之前我们做过的一个案例,是国内某集团型制造业企业是行业内领先的大型企业,有近2万名byod移动办公用户,传统mdm/emm尊龙凯时注册的解决方案需要每位用户将自己的设备注册并纳入企业mdm/emm的管理,设备注册过程繁琐,还可能收集用户个人的隐私数据,难以满足其对于优异用户体验的要求。
我们为该客户提供一套基于应用的轻量级安全服务平台,做到了企业与个人数据的隔离,同时企业应用也受到相应的安全保护。
案例二
另外一个比较典型的案例,该企业是全球光电尊龙凯时注册的解决方案领导厂商,纳斯达克上市公司,由于数字化转型驱动,建造了先进智能化的生产园区,其生产过程的资料信息、厂区信息安全需要得到保障,尤其是移动安全。
此外,该企业的生产区分为“弱管控区”和“强管控区”。基于此,我们为该客户制定了软、硬一体的安全尊龙凯时注册的解决方案。基于地理围栏,员工及访客一旦入厂,进入弱管控区,设备及企业应用就能执行相应的合规策略;当人员进入强管控区,需结合时间/位置信息,设备及应用会立刻执行更为严格的安全策略,比如,应用黑白名单,设备禁用摄像头、麦克风等,防止安全工作区的信息通过各种方式外泄。
通过安全监测、扫码准入等多种手段,我们保证了带入厂区的设备能满足企业用户的合规要求。
7、企业在移动终端实施安全方案时,是否要考虑个人数据和隐私的问题?
“个人隐私”这是一个原则性问题,对于byod的设备来讲,企业必须尊重这一原则,对用户来说,个人信息处于“不安全”、”被窥探“的状态,势必会导致实施的难度,即使强行上线,也会带来各种各样的问题。
之前我们在很多客户中遇到,企业在实施了emm的方案后,由于该方案需对设备进行接管,员工认为自己的隐私被企业获取了,在企业自上而下的推行过程当中,受到了很多实施阻力,即使有的企业推行下去之后,由于过多的员工并没有真正使用,导致项目的废弃,最后又重新考虑方案的架构。
8、给企业在移动安全方面的一些建议,特别是传统企业。
企业在构建移动安全的方案时,我认为有几个方向或者说关键点要把握住:
a.尊重用户体验:好用但是不安全,不可行;安全但是不好用,更不可行。(使用体验、预配置、统一移动门户)
b.安全是整体的,多维度的:一定要从整体上考虑安全、应用及数据的接入安全、传输安全、数据落地的安全;事前可分析、事中可审计、事后可追溯,现在非常火的一个词“态势感知”就是很好的体现。
其实,传统企业在考虑安全问题时,还是停留在数据库保护、数据存储加密、攻防对抗、容灾等,其实这是片面的,从信息化的发展来看,业务一定会从pc端向移动端转移,移动端的安全问题越来越不可忽视。
c.未来的安全产品一定是服务形式、平台化的,具有高可扩展性、并具有强大的多维度整合能力。
d.安全服务能力应同日常的办公、业务相融合。
感谢大家。
9、qa环节
相关阅读:
2017/11.02 指掌易科技