不破解、不Root的移动端企业级安全域技术,是如何帮助企业构建围栏的?

摘要: 手机勒索软件肆虐、安卓平台漏洞百出、智能硬件千疮百孔、信息和数据泄露无处不在,在移动互联网蓬勃发展的今天,移动安全的威胁却日益严重。

题图来源:视觉中国

题图来源:视觉中国

截止2017年第二季度,全球范围的移动用户数量已经达到50亿,到2020年,全球大约75%的人口都将通过移动设备上网。按照互联网发展的两个阶段,PC的出现突破了空间轴的界限,移动互联则填平了时间轴的鸿沟。

在企业安全这个领域来看,移动互联网时代的业务模式也发生了变化。

相比传统PC安全内网/外网的划分,无论是做设备、做网关、做VPN等都是有边界的,相当于“好的东西出不去,坏的东西进不来”。但到了移动端,这个架构完全被打乱,不存在内网/外网的划分,现在也叫云管端架构。在新的架构下,安全的形式也发生翻天覆地的变化。

“如今,企业的移动化水平在快速发展,但在企业级应用方面,却属于刚刚开始。”企业移动办公领域的开拓者“指掌易”COO这样向钛媒体表示。

指掌易这家公司,基于虚拟安全域(VSA)技术,拓展为企业移动管理(EMM)、移动数据防泄露(DLP)、企业安全工作空间(MOS)等三大类产品及服务,为企业提供移动安全整个生命周期的解决方案。指掌易COO许铭认为,在移动互联网时代,移动终端的威胁不会减少甚至会逐渐增多,而未来一定会有一个大而全的解决方案来解决移动安全的问题。

指掌易COO  许铭

指掌易COO 许铭

五大安全威胁日益发酵

互联网平台移动端角力加剧, APP和多个产业结合,它给人们的生活带来了巨大的变化,同时也带来了各种各样的风险。移动互联网安全问题也会成为互联网发展的一个巨大障碍。

在许铭看来,目前移动安全威胁仍呈现五大态势:

一是恶意软件将继续发展。恶意软件一直是攻击者达到攻击目标的最有效方式,2017 年恶意软件继续演化发展,内存驻留恶意软件成为新趋势,这类软件特别难以检测。

 二是对于移动设备的攻击逐渐增长。2017年针对移动设备的攻击将更加猖獗,源于移动设备的企业泄露将成为极为重要的企业安全问题。

 三是物联网设备配套的 APP 应用将成为新的攻击对象 。2016 年物联网市场已经十分火爆,对于物联网的攻击行为也日益显现。随着物联网连接企业网络、消费者家庭和地方政府,安全风险正在不断加大。未来除了移动 APP 外,可穿戴设备、物联网设备配套的 APP 应用将成为主要攻击对象。针对不同类型的物联网和智能家居的木马程序可能会逐渐增多。

四是大数据、人工智能和机器学习将更加成熟地应用于移动安全市场 。现代的威胁情报馈送和混合IT环境使得安全监管和管理的活动超越了人类的能力。人工智能、机器学习、大数据、高级算法等能够发挥技术的优势帮助企业识别和响应攻击,变被动应对安全威胁为主动防御。

五是态势感知将使移动安全可见、可控、可管、可预测。2017 年移动APP安全态势感知产品将全方位感知网络安全态势,实时监控移动APP安全状况,为安全监管部门提供属地化的移动互联网安全全景视图,包括移动APP分发渠道监测、APP安全漏洞监测、APP盗版仿冒监测、 APP恶意行为监测以及黄恐赌毒等内容违规监测,结合安全大数据进行挖掘和分析,使移动安全可见、可控、可管、可预测。

两大场景,三道围栏实现移动终端安全

随着移动智能终端技术的快速发展,移动办公现象的普及,越来越多的企业员工开始使用移动智能终端进行办公,其中自带移动设备工作BYOD(Bring Your Own Device)也成为潮流。为什么之前移动办公应用的情况不好,就是因为当企业员工在移动终端安装BYOD之后,会形成数据混乱甚至个人隐私泄露的情况。

指掌易要做的,一是保证用户的隐私,而是保证数据的安全。

“我们做了一套虚拟工作空间(MOS),也是虚拟安全应用。不管是BYOD还是其他终端,我都在设备上搭建一套虚拟安全空间,在空间里面的应用以及内容是受到保护的。即使手机丢失,也能保证在虚拟安全空间中的应用以及数据的安全。”

其优势也比较明显,比如对应用零改造,秒级完成安全化封装,支持对已加固的应用进行再次封装;超高机型和应用适配性,APP兼容性高达99%以上,超过目前行业内所有其他产品;超轻量级,封装后的应用体积和耗电量增量微小;开箱即用,简化配置;独有的封装技术,为应用提供一系列的安全管理和控制服务能力。

然而要从终端切入移动端安全,绕不开的一件事是权限。例如安卓的一个APP是不能管控另一个APP的,只有操作系统可以。而以前传统的做法是首先将手机ROOT,但这种做法是利用漏洞来做的,一上来现将系统破坏,但是这一点在企业行不通。好比人感冒,首先将人的免疫系统破坏,虽然什么病都可以治,但也存在着更大的风险。

而另外一种做法是定制手机,同时也存在着权限的问题,比如华为管不了360的手机一样,同时定制手机成本极高,而且万一定制系统不完善导致系统不稳定,将是更加要命的一个事情。

“具体我们做了一个虚拟安全机的产品,我们叫做扩展虚拟安全域(砂箱技术),是在操作系统和应用之间这一层,需要管理的APP就会把这个安全砂箱当做操作系统,当他调用操作系统上的任何应用,都首先经过安全砂箱,很好地起到保护作用。这也是全球范围之内,指掌易是唯一一家在做的事情。”许铭介绍。

从应用场景来看,指掌易分为应用管控和移动办公的数据保护。

作为应用管控,含有围栏的概念,包括时间围栏、地理围栏以及结合第三方的电子围栏。时间围栏是可以设定某个应用或者某个应用的某种能力在特定时间段内是可以使用或者不可使用的。例如在教育领域,小孩普遍都在使用手机,这就存在两大风险,其一是游戏其二是不良信息,这时时间围栏的作用就凸显出来了,比如在上课的时间段内只能打开跟教学相关的内容,晚上睡觉,家长也可以通过后台来锁定手机的某些应用或功能。地理围栏是基于位置,这在军队、监狱的场景中应用较多。而电子围栏目前在企业应用较多,如开会不能录音、拍照等,都可以通过电子围栏进行拦截。

许铭介绍,该方案能够集移动设备管理(MDM)、移动应用管理(MAM)、移动安全管理(MSM)、移动内容管理(MCM)于一体的集中移动安全管理系统。从用户、设备、应用、内容四个维度来实现对移动终端高效、安全的统一管理。同时支持内网部署、内网推送,对安卓和iOS系统进行细粒度管理,多项SaaS及移动终端管理技术专利,支持本地化适配和功能定制,企业专属的应用商店,便于应用统一管理。

作为移动办公领域数据保护场景,通常在工作中出现如审批、报销等数据的防泄漏,指掌易可以做到数据的加解密。“我们在证券行业做的一个案例,企业的通讯录不能随便拿出去,我们做了加密,即使黑客拿到通讯录名单也打不开,但是对于数据原始的状态,我们在安全域里面是可以看的。”

同时对于传统VPN来说,不管是PC还是手机连接到企业内网都是非常复杂,也存在几个问题:

第一个必须要登录;第二,登录之后,设备是VPN、网络环境是VPN,打开OA之后可以间接到企业内网,但是个人使用不了。指掌易做的是应用级VPN,这样就可以省略登录的过程,其次应用打开之后,比如打开OA,就可以连接到VPN,对个人来说,可以在4G与VPN之间自由切换。目前在军队、金领域应用较多。

“在数据保护场景还有全套的数据防泄漏(DLP),比如这篇文章打开我想拿走,拷贝粘贴、蓝牙传输、截屏等一系列的能力,指掌易都已经做到了防泄漏功能。同时结合围栏的能力有效杜绝数据泄露。甚至拿摄像机拍摄,指掌易都会加动态的水印,万一泄露,也可以通过泄露的图片追溯回来。”该方案基于成熟高效的技术平台,让用户实施成本更低、周期更短,终端用户无感知应用平台、更易接受,还适用各类业务应用场景,完整满足移动端DLP需求。同时,移动端解密时间比友商节省30%以上,对移动端系统资源占用率不超过5%。

例如在交通行业,如东方航空的10000台设备飞行包,空乘人员在上飞机必须要拿飞行包(Ipad),在过去要拿飞行手册,但是现在通过Ipad可以将所有的文档、设备以及飞行数据等存放在Ipad里面,如何保护这些数据的安全。

指掌易在做保护这些数据安全的方案分几个层面:

首先,iPad必须是专用的,只能允许在飞机上使用,甚至一些应用名单,在iPad上面可以装哪些APP;

其次,假如iPad丢了,可实现远程数据销毁;

再次,大量的文档要去做分发、升级,这就需要全面地从后台做配置,包括应用升级、文档更新等,甚至阅后即焚的功能。

指掌易移动安全解决方案在移动端拥有176项安全能力,数量远超同类产品,同时也是目前全球唯一能在iOS和Android两大平台实现“全型号“支持的移动安全解决方案,在安卓应用市场支持的APP数量超过50万款,因此能够为任何规模、任何类型的企事业单位实现最高级别的安全保障。

目前,指掌易在公安、军队、央企政府、金融包括证券、保险等、制造业、交通运输等行业都已经有了深度应用。(本文首发钛媒体,作者/徐有伟)

更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App

本文系钛媒体原创,未经授权不得使用,如需获取转载授权,请点击这里
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

徐有伟
徐有伟

结交一言重,相期千里至!

评论(0

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈