随着移动互联网和智能终端的不断发展,企业级办公移动化势不可挡。越来越多的企业也希冀借助移动互联网和移动智能终端实现企业内部应用系统的移动化,为企业在激烈的市场竞争中赢得先机,但随之而来的,是移动化所带来的安全顾虑。移动化安全建设无从下手,已成为许多企业的声音。企业级移动化安全究竟该如何规划建设?
万事开头难:从VPN安全接入开始 移动化是大势,安全必不可少。IT部门着手做移动安全建设,多数情况下会感觉无从下手,原因有二:
移动安全涉及面广:包括身份认证安全、攻击入侵防御、信息恶意泄密、移动设备安全、移动传输安全、App应用服务器安全、安全合规与审计等,涉及的技术方向太多,且复杂度较高。
安全与业务强关联:如内部BBS、邮件、OA、CRM、ERP等,都需要管控到应用层级别,对业务的开发与测试、发布与推广、使用与更新等环节都可能造成端到端的影响。
正是这样的原因,移动安全建设不可能一蹴而就。信服君建议IT/安全部门先选择1个基础的协作类App,例如移动OA、移动邮件等,利用SDK或者自动封装的方式集成VPN安全接入能力,解决接入用户的身份安全、传输安全和权限划分等问题,同时将服务器隐藏在内部网络,使黑客失去攻击目标。这是业务移动化初期,一举两得的做法,IT/安全部门在方案设计、部署实施和运营的过程中,积累经验的同时,员工会逐渐形成使用移动App进行移动办公的习惯,提升办公协作的效率。
核心业务App:比安全接入更进一步防护 IT/安全部门积累了一定经验之后,根据业务部门的需要,可以考虑进一步对核心业务App进行安全保护。从数据安全角度看,VPN安全接入为App增加了传输安全和服务器安全保护能力,但是这些对于核心业务App而言远远不够,安全风险依然存在,如:
黑客入侵威胁:针对移动终端的木马病毒增长率为72.3%,背后的黑色产业链众多,BYOD设备上的企业信息面临被黑客窃取的巨大威胁。
信息泄密风险:员工BYOD设备外网连接便捷、互联网应用众多,员工无意或者恶意泄密行为难以控制,一旦发生泄密事件,传播速度快、范围广。
因此,信服君建议,核心业务系统进行移动化迁移可以先选择1个核心业务App进行试点,例如CRM、ERP等。利用自动封装的方式将App迁移至安全沙箱中,加大黑客攻击难度;同时App在移动终端中与个人应用数据完全隔离,有效降低企业数据被窃取、被泄密的风险。
横向移动化扩展:多个业务App安全保护 经过App安全接入和App安全隔离保护的实施与运营,IT/安全部门已经为多个业务App的安全保护做好了一定的准备,员工也完全熟悉移动安全办公模式。在这种情况下,建议单位可以考虑逐步对各类系统进行移动化改造,将各类企业级应用统一使用安全工作域来管理。员工只需要下载一个EMM客户端,进入工作域之后从应用商店下载各类业务App,所有App均可从安全工作域访问,应用本身和数据被沙箱隔离保护。
工作域隔离方案不仅考虑了企业数据安全保护,还考虑了员工使用的便捷性,个人与工作界限清楚,但可随时随地切换,体验好;同时企业应用不影响个人App,保护员工隐私,降低员工抵触心理,真正地全面提升业务效率。
纵向移动化深入:生产类应用管控 对于核心的生产类业务App,如金融的移动展业、政府的移动警务、企业的移动制造等,在开展移动业务时,办公终端务必符合单位的相关规定,因此需要采用专机管控的方式保证合规与安全,我们建议在部署工作域隔离的基础上实施MDM强管控,并禁止对个人应用的访问。由于移动设备是企业所有,工作专用,无个人应用,采用MDM管控不存在BYOD情况下的隐私等问题。
采用MDM管控加上沙箱隔离管控,在满足管控和安全保护的基础上,避免采购高成本的定制机,有效缩短业务上线时间,大幅降低IT/安全部门运维支持的人力投入。将媲美专用定制机的移动安全方案延伸到生产环境中,促使业务效率得到更进一步提升。
结语 某公司智安全基于多年对企业级用户移动办公需求的理解推出的EMM安全方案,能够支持企业级用户从零开始,分阶段完善业务的移动化安全保护机制,创新的 APP自动封装、工作域/安全域隔离及自建企业应用商店等,可以轻松满足企业级用户在业务移动化不同阶段的安全保护需求,并将持续演进,更好地支持未来业务的移动化创新。 | 
发表于 2017-12-11 14:50
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-12-11 15:16
工程师1级 
