在移动互联网日益发展的新形势下,大部分企业都面临着移动化转型的需求以提升员工的工作效率。从最基础的移动办公,到核心业务的全面移动化,移动办公覆盖的场景越来越广泛。作为时下最主流的移动办公方式,个人手机越来越多的开始被企业和组织用于承载关键业务和核心应用,这种方式行业上称之为BYOD(Bring Your Own Device)。在BYOD的场景下:

企业安全管理员的“灵魂三问”

如何在保护个人隐私的前提下管理企业应用?

企业应用如何安全地访问企业的内网数据?

如何保证移动设备上的企业数据资产的安全?

天空卫士重新定义DLP(从Data Loss PreventionData Lifecycle Protection),关注企业数据存储、使用和流转的各个环节并加以保护,从而提供企业数据全生命周期的安全管理。企业的移动应用所存储和使用的数据实际上是企业数据资产在传统边界安全防护体系外的延伸,天空卫士移动安全解决方案,以虚拟安全域技术为关键基础技术,基于统一的数据安全策略,在用户个人手机上为企业的数据资产保驾护航。

天空卫士移动安全解决方案

1、企业应用管理安全

针对BYOD场景,为了不影响员工个人应用和原有的使用习惯,天空卫士放弃了传统的MDM管控方式,而将关注点放在企业应用和企业数据上:通过在手机上构建虚拟安全域的方式,将企业移动应用与个人移动应用完全隔离;企业的传统移动应用只需要通过天空卫士的管理控制台就可以方便地加壳转化为可运行于天空卫士虚拟安全域里的应用。天空卫士的移动安全管理平台同时也为企业移动应用管理员提供了统一的管理平台,以实现员工认证管理、企业移动应用管理、数据安全策略的配置、移动设备管理与监控、以及移动安全相关的报告等功能。

员工需要通过身份认证才能进入安全域,使用企业应用并处理业务;

I.系统提供不同安全层级的身份认证,包括:集成多种认证服务器、单一设备登录、双因素身份认证

II.用户可使用包括用户名/密码、手势密码、指纹密码、面容ID等多种方式进行认证


系统提供一个企业级私有应用市场,实现对企业应用发布、更新、下架、删除的迭代管理,简化IT流程;

员工在移动办公的过程中,系统自动记录和阻断员工的敏感操作,在保护企业数据的同时提供违规证据,帮助IT部门进行合规性教育;

I.管理员可针对用户、时间、位置等条件设置对企业应用的细粒度管理


II.系统提供多个维度的监控和报告,帮助管理员全面了解移动设备和移动应用的情况




 

如果员工离职或不慎遗失设备,系统提供对失控设备的安全防护,管理员可远程擦除企业数据并禁用企业应用,防止数据进一步泄漏。

2、企业应用传输安全

企业应用需要访问企业内部各个业务系统的数据,为了保证移动设备在企业外部也能够访问这些内网资源,企业需要向互联网开放相应的网站、系统、APP接口等,在这样的情况下,除了员工有心或无心造成的数据泄漏外,更严重的是,恶意攻击者可能利用这些移动端开放的数据通道,对企业的内部系统发起攻击,带来巨大的损失。

天空卫士移动安全解决方案使用统一的加密数据通道来保证移动端企业应用和企业应用和部署在企业内网的移动安全服务器(MAG)之间的通讯安全,同时也减少了企业内部系统对外部的攻击暴露面,保证了”内网“核心业务系统的安全。

安全隧道:

实现安全加密隧道传输,确保数据传输过程的通信安全。

移动安全网关(MAG):

MAG服务器作为移动应用访问企业核心资源的应用级网关,对安全域的流量进行应用级的细粒度管控,杜绝非授权的外部访问。更进一步的是,可以搭配天空卫士的SWG网关,实现基于内容的DLP,仅允许满足企业DLP策略要求的数据下发到员工的移动设备上。

部署安全:

所有的企业应用都需要通过MAG服务器才能访问内网资源。MAG服务器作为访问的唯一入口,实现了隔离外部网络和内部网络的效果。天空卫士建议将MAG服务器部署到DMZ区, 通过防火墙来进一步保护MAG服务器的安全,实现对内网核心业务的双重安全保护。

3、企业应用数据安全

天空卫士移动安全解决方案对安全域内的企业应用进行隔离和管控,有效防止因员工主动、被动或第三方应用不受控导致的企业敏感数据泄漏。

加密存储:

在企业应用的使用过程中,部分信息会存放在移动设备的本地存储,甚至是存储卡等外置存储中。这部分落盘数据在多种场景下都存在泄漏的可能:

I.将移动设备连接电脑端管理系统,比如苹果的iTunes,华为HiSuite,将数据拷贝到外部电脑;

II.使用云端的备份比如苹果iCloud,将数据同步到云端存储;

III.拆除存储卡到电脑上访问、或者绕过手机操作系统直接读取手机硬盘数据。

天空卫士移动安全解决方案,将安全域内所产生的所有数据都进行高强度加密存储,防止了以上途径的数据泄漏。

应用控制:

用户打开企业应用后,可能通过对内容进行拷贝/剪切、截屏、分享等方式将企业应用中包含的信息通过个人应用向外发送,造成企业机密信息外泄。

天空卫士移动安全解决方案,通过技术手段实现对安全域内企业应用的操作进行管控(包括记录日志,加密,阻断,告警等等),目的是为了防止企业的敏感数据从安全域内泄漏出去;但对于安全域外的个人应用,不做任何的管控,确保BYOD设备的用户正常的使用自己的设备。


添加水印:

为了防止用户对屏幕拍照后将照片恶意传播,天空卫士移动安全解决方案支持对企业应用显示水印信息,在发现信息泄漏的情况后可进行追踪溯源。


天空卫士,让移动办公更安全!

企业在办公移动化的过程中,重点关注移动办公应用的业务功能性,而对涉及到的传输层安全、数据本地安全、应用操作管控等安全领域的知识缺乏,导致部署的移动应用及其服务器端API很轻易的就成为了攻击者的突破口。天空卫士的移动安全产品通过移动终端上的虚拟安全域和后台移动安全网关相结合的方式,让移动办公真正实现安全、高效。在保证企业数据安全的前提下,让移动办公真正落地。配合天空卫士的强大的数据安全网关,则可以在内容层面上对移动办公实现更精细的数据安全管控。

常见问题:

问题1:与市面上大多数已有的移动安全解决方案相比,天空卫士的移动安全解决方案有何特点?

大多数移动安全厂商依旧采用的是MDM管控的技术方案。而时下最主流的用户场景,是用户使用自己的移动设备,即在手机或平板上安装企业的办公应用,就可以实现随时处理工作。由于移动设备上面会同时存在大量的用户个人应用程序及个人隐私数据信息,用户是不希望企业能够监控到这部分内容的。因为无法消除员工的隐私顾虑,这种伪BYOD的的技术方案在企业推广时常常遭遇不易落地的现实。

天空卫士移动安全解决方案关注的是企业数据安全。技术实现上完全没有采用MDM,就能实现企业应用与个人应用完全隔离,其中包括数据隔离。员工个人应用程序及使用习惯完全无需进行更改和调整。这种轻量级的管控方案更容易被员工所接受。

问题2:与传统VPN方案相比,天空卫士移动安全解决方案网络管控的区别与优势?

在我们的传统的认知中,VPN是远程接入最成熟的手段,它也是现有大多数移动解决方案中内网穿透采用的技术实现。 当前的VPN技术足够成熟,可以同时满足远程接入、数据加密、身份认证、高可靠性等需求,但是,也存在其无法解决的安全弊端:首先,VPN的控制方式太过静态和粗粒度:一旦建立了VPN隧道,用户是可以无限制的访问服务器资源的,这样无法满足用户的分类分级、资源隔离和动态调整等需求;其次,VPN技术只是针对远程用户,对于本地用户不适用,而实际的场景中,对于移动用户,位置应该仅仅是用户的一个属性而已,不管用户的位置在外部或者内部,只要其使用的是移动设备,则可访问资源权限应该是相同的。

天空卫士移动安全解决方案实现网络的应用级管控,采用自研的安全隧道将指定客户端的安全域应用流量转发至移动安全网关,通过移动安全网关管理目标的内网服务器范围。

问题3:国家在法律法规层面对移动安全有何相关要求?

网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。在《网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》中有从技术要求和管理要求两个维度对移动互联技术等级保护要求进行了明确的描述。

作者简介

 

刘茜,北京天空卫士网络安全技术有限公司产品经理,电子科技大学通信工程学士和管理双学士。关注大数据、数据挖掘和机器学习算法及应用和移动安全产品 。加入天空卫士之前在赛门铁克从事安全产品的研发工作。