移动互联网时代,传统安全防护手段还适用么?

公司动态

有这样一群站在时代风口的职业经理人--CIO/CISO,在互联网及移动互联网的道路上如履薄冰。在传统信息化时代,他们战战兢兢,通过十数年的时间逐步完善了传统PC办公安全体系,但是被人们所依赖的移动智能设备及新的办公方式又带来了新的安全挑战,传统的安全防护手段还适用么?

1.   传统安全防护手段能否应对移动互联网时代的安全问题?

我先问另外一个问题,企业能否将线下的生意照搬到网上?我想对于这个问题,已经不需要再讨论了,大家已经有了一个共识--线下及线上的运营思维方式不同,将传统的生意照搬到网上甚至会对原有线下生意造成冲击。同样,传统安全建设与移动互联网时代的安全建设在思维方式上迥然不同,究竟是什么原因致使我们需要转变思维?

2.   什么原因致使移动互联网时代安全建设需要转变思维?

2.1 移动互联网打破时间、空间限制,安全边界逐渐消失

如果说传统安全的攻防更像是古代战争的话,移动互联网时代的安全攻防也更近似于现代化战争。两者的区别是什么呢?古代战争中,国家通常在边境处建立一些险要的关隘,如长城等,人们生活在以高墙为壁垒的城池中,城外还要加上护城河,侵略者需要按部就班的选择攻击路线,先要攻克一个个险要的关隘,渡过护城河,攻破一座座城池。而现代呢,你看还有国家会建立城池来防御敌人么?空军、海军、定位导弹等新技术已经使这种边界式的防护失效了,你不知道敌人会在哪打过来,你也不知道敌人什么时间会打过来。

而移动互联网扮演的正是这些空军、海军、定位导弹的角色,移动互联网随时、随地从公共网络的接入办公打破了时间、空间限制。员工在家办公时,他的孩子拿着手机玩的时候,可能进行误操作将企业敏感信息转发出去。员工在跟朋友聚会的时候,移动设备中的敏感信息可能被有心人士偷拍。这就是无边界时代带来的传统边界式防护失效。

2.2 碎片化办公行为的不可控造成的零信任

这又涉及到另一个概念,叫“零信任”,传统PC安全解决方案建立在一个假设之上,员工是可信的,外部人员是不可信的。很多CIO会想,人性是最难把握的,员工要泄露,我也没办法,所以假定他们是可信的,但是,这里有一个前提,当时CIO的所有假设是基于员工在办公室工作的情况下,这才是员工可信的基础。

举个例子,以传统咨询行业为例,咨询公司为甲方定做的报告如果出现有任何形式的公开,咨询公司会被甲方乃至整个行业封杀,这个后果够严重吧,但我们很少看到有咨询公司会导入技术手段,并且很少出现泄密事件,这里面的逻辑在哪呢,咨询公司在甲方驻场实施项目期间,这是一个办公室场所的工作行为,咨询公司人员的所有行为对于项目经理及甲方都是可控的,你在甲方去哪些地方,接触哪些人,接入哪些网络都是可控的,所有人员手里所掌握的资料都仅是整个项目环节的一小部分,并且所掌握什么资料都是可以记录在案,而掌控整体资料的项目经理,出于自身利益考虑,更不会傻到冒着被行业封杀的危险去做一些交易,这就是在“可控环境”下的可信任。

而在移动时代,碎片化的办公行为导致了信息扩散的随意性,例如,员工可以通过任意网络接入公司系统获取资料,但员工没有能力辨别所接入的WiFi是否可信;员工在移动办公的同时在用微信与朋友聊天,有可能误操作将企业敏感信息转发出去。这种环境下,企业即使默认员工是可信的,但再也没办法默认员工办公行为是可靠的。这就是所谓的“零信任环境”。

3.   移动互联网而时代的安全思维方式究竟是什么?

“移动特性”致使我们安全建设环境发生了根本性的改变,我们究竟应该以怎样的思维方式应对移动互联网时代的安全问题,下一周,我们会继续这一话题。敬请您关注我们下一期的内容,期望我们的内容会对您有所帮助!

如您对以上内容持有反对或补充观点,或期望看到哪些内容,敬请留言或致电400-705-6665,欢迎您与我们做进一步的深入探讨。

移动办公安全的首选

免费试用