解读|《移动办公及业务应用安全保障白皮书》
- 作者: 指掌易科技
- 分类:新闻
随着移动互联网的快速发展,个人消费类移动应用大量涌现并深深影响社会生活的同时,包括,政府、金融、运营商、能源、交通等在内的各行业的业务/办公等应用服务正在逐步实现移动化。iimedia research(艾媒咨询)数据显示,中国智能移动办公市场规模逐年上升,2019年中国智能移动办公市场规模达288亿元,预计2020年市场规模将达到375亿元,增长率为30%。
尤其在疫情期间,移动办公及业务应用成为众多企事业单位抗击疫情、复工复产的重要选择,并为保障“一手抓抗疫,一手抓生产”发挥了重要作用。如何有效控制移动办公中的网络安全风险是各单位在业务移动化过程中面临的重要问题。
3月13日,中国网络安全产业联盟发布《移动办公及业务应用安全保障白皮书》(以下简称《白皮书》)。本《白皮书》由中国网络安全产业联盟、北京指掌易科技有限公司、中国移动通信集团有限公司等单位共同编制,旨在为各行业业务移动化进程中,面对移动业务场景安全保障需求,提供建设思路的指导和借鉴。
本《白皮书》中,梳理了移动办公及业务应用发展的现状,系统分析了移动办公和业务应用面临的安全风险,结合当前国家和行业的网络安全监管合规要求,提出了面向行业移动业务场景进行安全保障建设的整体思路,从安全技术和安全管理两个维度提供了可参考的控制措施体系设计,并介绍了主要安全技术,最后对移动办公及业务应用安全发展趋势做出了预测。本《白皮书》还选取了典型企业移动办公应用安全保障案例进行了重点介绍。
no.1 在移动终端上为企业员工提供一个独立的安全工作空间,将企业移动业务运行在安全工作空间内,与个人区域完全隔离,保护企业数据在移动设备上的安全;
no.2 在传输端,建立应用级安全传输通道,保障企业数据在传输过程中的安全;
no.3 在服务接入侧,建立安全接入网关,对接入的用户、应用、设备进行多维度的安全评估与认证,确保服务接入安全。
指掌易方案价值
截至目前,该平台已成功服务于全国人大、全国政协、中国平安、伊利集团、上汽集团、泸州老窖、中国电信、南京证券、万科地产、我爱我家等近千家各行业用户,根据用户场景需求输出所需的安全能力,帮助各行业用户积极拥抱byod,充分尊重个人隐私,简化it运维,实现移动业务高效赋能,达成安全风险控制和安全监管合规等管理目标,护航各行业用户移动化、数字化转型。
移动办公及业务应用面临的安全风险
行业机构建设和运营移动办公及业务应用,是一个覆盖“云、管、端”的完整互联网信息系统,包括了移动端的app,数据中心的移动应用服务,以及移动端与应用服务之间的数据通信信道等组成部分。业务移动化在增强协作和提升效率的同时,也会面临着网络安全风险。诸如:
端--安装运行在智能移动设备上的办公和业务应用app,面临着敏感信息泄露、应用仿冒、用户身份冒用、个人隐私侵犯等风险;
管--从移动端到服务端之间的通信,会通过移动互联网(运营商移动接入网络或无线wifi,以及有线互联网部分)进行,同样会面对通信窃听导致敏感信息泄露的风险和非法篡改通信内容危害通信完整性的风险;
云--移动办公和业务应用的服务端,往往是部署在数据中心内部的核心信息资产。需要提供移动办公需求时,业务应用服务器暴露于互联网,增加了企业业务系统的互联网暴露面,导致服务器被恶意攻击和窃取等风险。
国家以及行业的监管合规要求
各行业机构在践行移动安全保障实践工作中,合规性管理是一类重要的管理机制,需要满足不同层面的监管合规要求,包括gb/t 22239-2019《网络安全等级保护基本要求》、gb/t 23927-2016《信息安全技术 移动智能终端安全架构》等国家标准、典型行业标准以及企业建立的标准。从国家、行业、企业,在不同层面加大标准规范方面的管理力度,为各行业机构在移动安全保障实践中提供思路和方法上的借鉴和指导。
移动办公及业务应用安全保障设计思路
在面向多种移动办公及移动业务应用时,需要进行统一的移动安全保障体系的设计和实施。在实施移动安全保障设计时,可能被采用的五项主要关键技术,包括身份认证、安全传输、应用安全容器、移动终端dlp以及app加固。同时,《白皮书》中也进一步归纳了七步保障思路,保障从安全技术和安全管理两个维度实现可落地的控制措施建设。
-
重视byod场景
-
以移动应用为中心
-
以风险评估和合规分析确定需求,选择控制措施
-
选择良好适配、快速赋能的技术方案
-
结合场景需求,制定安全控制策略
-
积累运营数据、提升感知能力
-
履行网络安全监管合规义务
指掌易方案
指掌易移动业务智能安全平台(mbs,mobile business smart-security platform),秉承“安全业务化、业务安全化”的安全理念,在不影响原有业务的基础上为企业移动办公业务提供“云、管、端”全方位的安全赋能。
no.1 无需设备管理,直接保护办公和业务应用;
no.2 实施快速简便,简化byod移动办公推广过程,保障优异的用户体验;
no.3 开放可扩展、轻量级平台,一站式解决移动安全问题。