用数据不落地的方法应对BYOD带来的数据安全威胁
作者: 日期:2017年04月01日 阅:4,666

据Gartner预测,随着BYOD趋势的到来,到2018年,25%的企业数据流量将直接从移动设备流向云端。面对防御日益严密的企业服务器,黑客越来越难以绕过或者打破服务器端的防护,因此他们会更乐于另辟蹊径,那么企业员工的移动设备就将成为他们的捷径。

 

安全工作空间

面对如此情况,从源头出发,从企业员工的终端入手,不失为一个应对更加复杂的企业数据安全威胁的好办法。

简单来说,企业服务器与员工设备之间建立一个“安全工作空间”,应用和数据始终存储在服务器端,用户通过本地设备操作服务器端的应用读取服务器端的数据,操作结果通过加密的视频传输到客户端。

员工无需将数据下载到本地设备就可以编辑和处理数据,实现真正的数据不落地。即使黑客将木马或后门程序通过不安全的网络植入到了员工设备,都无法盗取企业数据或进入企业内网。

以谐桐科技的UZER安全工作空间为例,UZER具有完整的后台管理系统,根据员工级别、文档级别设置安全管理权限,绑定企业通讯录,实施安全管理权限和密码设定,以及审计管理等。最关键的是,数据一直保存在安全防护相对严密的服务器端,而安全防护措施较弱的个人终端,则充当显示器的角色,无法存储也不能存储企业的数据。

UZER功能与企业需求

那么UZER安全工作空间在BYOD的趋势下如何保障企业安全?首先让我们对比一下,安全牛发布的《做好BYOD安全 必须保证“7个要务”》文章中列举的要点:

第一:当员工自带设备进行办公时,一旦像之前一样对设备安装监控软件,监控员工电子邮件和搜索内容就成了重大的隐私侵犯。因此企业必须推出移动安全策略,既不侵犯员工隐私,又能满足IT设施的安全需求。

UZER安全工作空间彻底将个人应用、数据与企业应用、数据分离。员工可以用自己的终端设备通过UZER安工作空间去查看、修改以及上传数据,但无法下载到本地。UZER不监控员工在个人设备上购物,看网页等等个人行为,保障员工个人隐私。

换句话说,员工只有在使用UZER安全工作空间时才能访问企业数据,只监控员工在安全工作空间内,对企业数据的操作行为。一旦员工出现违反安全规则的操作,就会触发相关的安全警报机制,防止数据外泄。这样就不会给员工带来反感和排斥,让安全和执行做到两全其美。

第二:Zimperium报告称,BYOD环境中,60%的移动设备都运行的是过时的OS,这些过时的OS往往隐藏着已知的巨大的安全漏洞,黑客很容易就能以这些漏洞为跳板,进入公司内网伺机破坏。

UZER安全工作空间,将企业应用和数据都保存在服务器端,员工操作的是服务器端的应用,操作结果通过视频的方式推送到终端,因此无论员工设备是什么样的系统,黑客都无法以员工的终端为跳板盗取企业数据。

第三:虽然恶意软件App肯定是个问题,但还有其他更大的威胁存在。Zimperium发现,网络威胁比应用威胁常见15倍。教育员工公共WiFi的危险性,是强BYOD项目的基础。

谐桐科技认为,我们无法控制每个员工严格按照安全守则的规则操作个人设备,也无法避免他们不去点击那些高度伪装的钓鱼邮件。所以我们换了一个思路,从服务器端解决问题,让应用与数据做到真正的不落地,最终解决移动设备的安全性所带来的风险。

案例

在实际业务场景中,谐桐科技为南京市雨花台区政府提供了一套数据安全解决方案。雨花台区政府通过多年的信息化建设,已经建成了包括OA、门户在内的多个业务应用系统。面对2000个不同层次工作人员,面临同时访问互联网与政务应用的网络环境,如何保障系统的安全运行,降低数据泄漏可能,同时有效保障业务部门的高效运行,降低信息部门的运维压力,是必须要解决的问题。

谐桐科技为雨花台政府部署UZER安全工作空间,将每一个业务应用都部署在服务器端,用户本地电脑无需安装业务应用直接使用,当员工操作业务应用时,直接在服务器端完成,终端看到的只是从服务器端传下来的视频,这样真正的做到数据永不落地,降低数据丢失风险。并且为每个业务应用提供独立的运行环境,解决了不同插件之间的冲突问题,大大减少了运维工作量。

小结

据统计,当今企业有85% – 90%的安全支出花费在网络边界防护上,但发生在网络边界的黑客入侵事件仅有约20% – 25%。相反,企业仅有10%-15%的安全预算花费在针对内部网络的保卫上,而大部分网路攻击都集中在内部网络。

作者:谐桐科技

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章