企業移動辦公的六大安全風險與應對實踐。 隨著移動計算時代的到來,在家辦公、異地辦公和遠端辦公等詞彙開始逐漸成為「移動辦公」的各種表現形式,資訊資料和計算終端走出企業的安全邊界是不可爭議的趨勢。 現今的差旅人員總得隨身帶著平板設備或智慧手機,攜帶自有設備BYOD逐漸流行,而資訊安全問題也越來越多地浮出水面。
資訊安全問題無論是對傳統辦公還是移動辦公,都非常重要:在傳統辦公場景中,由於設備單一、資料邊界清晰、使用環境明確等因素,使得企業資料始終在可控的範圍內流轉;然而,隨著移動化相關技術的高速發展,企業資料的載體已由傳統的PC 、筆記本,轉移到了智慧行動裝置、移動應用App上;這些新型的設備和應用所帶來的不僅僅是新興的辦公形勢,也將企業資料的安全管理邊界無限延伸開來,早已遠遠脫離了企業內部的管控環境。 針對這樣的現狀,現階段,僅有很小一部分企業針對移動辦公部署了相對完整的安全解決方案。 移動辦公面臨的安全問題是比傳統辦公更為複雜的裝置類型和資料運行環境。
傳統辦公可以依靠技術手段解決大部分的「人為」問題,相當於遏制大部分「人」的安全風險;然而目前移動辦公很難通過技術手段規避「人為」風險,比如個人對行動裝置的使用習慣造成的資訊洩露風險,人為因素導致的設備丟失等, 這些全都是傳統安全手段無法防禦的層面。
企業移動辦公的六大安全風險與應對實踐
移動辦公面臨六大安全風險
1、行動裝置具有易失性,從而具有洩露企業資料的隱患
行動裝置由於其便攜性極易丟失,每年有7000萬部手機丟失,其中60%的手機包含敏感資訊,而行動裝置中所保存的企業敏感性資料也因此面臨洩密風險。 設備丟失不但意味著敏感商業資訊的洩漏,所丟失的設備也可能會變成駭客攻擊商業網路的跳板。
2、員工主動洩密,給企業帶來資料洩露的損失
根據調查,儘管85%的企業採取了保密措施,但仍有 23% 的企業發生過洩密事件,員工的主要洩密途徑除了拍照洩漏、存儲在手機中進而外泄外,還有離職員工拷貝企業重要資訊,從而出賣資料。
3、移動作業系統的碎片化問題嚴重,統一管理不便
Android設備就有2萬多款不同型號,員工自帶的設備多種多樣,如何保證策略執行的一致性、如何在統一的平臺上管理各種設備是企業面臨另一個挑戰。
4、應用品質參差不齊,應用市場安全性堪憂
據360的資料統計, 78%的知名應用被盜版,協力廠商應用市場及論壇仍然是惡意程式傳播的主要途徑(占61%),最不安全的某小型應用市場的惡意程式占比竟高達20.2%,應用市場的安全性堪憂。
5、手機病毒數量和類型的高速增長,使行動裝置成為滲透商業網路的跳板
在移動互聯網越來越深入人心的今天,攻擊者已經開始將視線由PC轉向了行動裝置。 同時,由於Root許可權濫用和新的駭客攻擊技術,行動裝置成為滋生安全風險的新溫床,容易成為駭客入侵滲透企業內網的跳板。
6、公私資料混用,個人隱私難以得到保障
同一移動終端設備上既有個人應用,又有企業資料和應用,個人應用可以隨意訪問、存取企業資料,企業應用同樣也會觸及到個人資料。 如何明確區分並隔離移動終端上的企業/私人資料與應用,禁止企業資料被個人應用非法上傳、共用和外泄,同時禁止企業應用訪問個人資料,尊重移動終端上的私人資料是一個難以避免的問題。
移動安全風險的防護
對於此類安全風險我們主要從兩個方面考慮防護:設備和應用。 基於近現代電子計算基礎架構來看,一般的計算終端,自底向下簡單劃分為硬體、作業系統、應用軟體和資料檔案。 傳統計算終端如PC、伺服器,都是比較典型的例子;但在移動化終端領域,由於技術和商業因素,硬體設備和系統、應用軟體app和資料檔案都形成了形式上的緊耦合,如要對其上的資料進行管理,實現可控,實際上是對資料保存和運行的載體— —設備和應用進行統一的安全管理和防護。
在設備層面上,主要是加強對行動裝置的本身的管理控制。 移動端的殺毒能力解決了病毒的威脅從而洩露企業資料的問題,對於設備的管理原則解決了移動終端丟失或者被竊而導致的企業資料洩露問題,通道資料的加密與設備准入策略解決了移動終端成為入侵商業網路的管道問題, 資料的追蹤審查與設備操作行為審計解決了員工惡意洩密問題。 公私資料分離與沙箱技術解決了員工個人隱私的安全性以及工作和個人生活的平衡性問題:工作資料與個人資料完全隔離,個人區不能訪問工作區資料,同時工作區也不能訪問個人區的資料和應用,保證了個人資料的隱私和企業資料的安全。 最後,對設備硬體資訊的即時收集,可以為企業IT管理者提供有效的資產管理資料和資訊。
在應用層面上,可以通過建立企業內部應用商店,實現統一、安全、受控的移動應用推送的管道和手段,一方面可以保證內部應用在分發過程中完整性和安全性,另一方面也提高了企業內部軟體app交付的有效性。 從應用本身來說,通過進行對應用軟體app加密、加殼保護,不僅可以使應用app遠離惡意破解、反編譯、二次打包、記憶體抓取等常見的威脅手段;同時,也可以給應用app提供了額外的安全保護,如:資料加密、簽名校驗、防記憶體修改、 完整性校驗、應用安全檢測等。 通過對應用程式深度加密處理,程式文字資訊加密功能,能有效防止應用被反編譯和惡意篡改和,保護應用不被二次打包,保護資料資訊不會被駭客竊取。 給予應用最強保護。