移动安全建设的关键要点(二)

公司动态

前文回顾:移动安全的建设要点包括(1)移动安全是以数据为核心的多维管理;(2)尽量减少设备相关性(3)移动安全的建设一定要保证运营容易(4)移动安全一定要保护最终用户的隐私。具体参见前文:(移动安全建设的关键要点

今天我们继续从移动安全产品演进及用户实践痛点的角度切入,为读者展现移动安全建设的关键点。

5.安全要实现闭环

EMM安全属性很弱,因为这个概念更偏重于“管”,限制最终用户哪些设备功能不能用,哪些应用不能用,但对于可以碰触的数据,即员工可以使用的数据,企业却没办法做到有效的防护。例如,在使用中,员工通过复制、粘贴、截屏等转发敏感词,在与客户聊天中出现不合规的敏感词;在数据使用后,员工存储到本机导致数据泄露,或是在传输过程中被恶意攻击者截获。所以,很多用户开始提出数据防复制粘贴、防截屏、传输加密、审计、阅后即焚等一系列“安全”诉求。在2015年之后,移动安全在EMM的基础上,开始融合加密、网关、审计等一系列安全能力,真正的帮助企业用户实现了数据使用前、使用中、使用后的闭环安全防护。

6.安全问责要将业务部门纳入其中

15年,是移动安全市场增长最快的一年,原以为移动安全市场将进入爆发期,但仅仅一年时间又打破了我们的认知,市场规模增幅开始持续下滑趋势。随着移动办公的快速拓展,企业安全需求渐显,并且伴随着移动安全产品能力的逐渐完善,市场增长幅度应该加快,是什么原因造成了这种反常的现象?

15年前,移动安全主要在金融这类安全合规诉求较高的行业落地,到了16年,厂商亟需拓展新的行业领域,但在向新行业领域的拓展中,厂商遭遇到了极大的阻力。在云+移动的时代,企业信息化建设的技术门槛在降低,而业务功能越来越细分化,这就导致业务部门在信息化建设过程中的主导权越来越大,却鲜有企业将业务部门纳入到相应的安全问责制中,而安全是一件与业务体验相悖的事情,业务部门手持权柄却未有担当,一定会抵制安全项目的落地,“业务先行”的理念导致企业IT部门在安全行动上缩手缩脚,很难推动项目的落地。

7.安全要与业务融合

而在16-17年,移动安全市场活力降低,资本热情逐渐退却,甚至有一些知名度较高的厂商倒在了创业的路上。面对用户根深蒂固的“业务先行”理念,存活下来的移动安全厂商当然不可能被动的等待用户安全意识的自发觉醒。在教育市场及专心打磨核心价值的过程中,厂商发现了用户最大的痛点,移动安全无法契合企业的实际业务需求:

1)     在移动业务交付期,会涉及到特定设备归属管理、用户身份管理、应用范围等问题,例如哪些员工可以使用特定设备,怎么保证设备只能由这些人用,不同部门的员工可以下载哪些应用;

2)     在业务启用阶段,会涉及到准入问题,例如,员工在哪些时间、哪些区域通过什么样的网络可以使用业务应用;

3)     在业务使用期间,会涉及到数据防泄露问题,例如,对存储、传输、使用过程中的数据进行加密,即使企业数据被恶意窃取也无法正常打开使用,使用后,有些敏感数据要可以阅后即焚;

4)     业务使用后,还要优化,包括AB测试,应用使用情况分析,例如统一个业务应用分为A、B两个功能不同的版本,分发给不同的部门去使用,测试使用效果然后进行优化,对每个应用的使用情况进行统计分析,看员工更喜欢使用哪些功能,哪些功能应用效果不佳,淘汰不好的功能,优化好的功能;

5)     业务优化后要迭代,迭代会有涉及到灰度的问题,例如,应用更新迭代后,为保证业务的连续性,要先在一小部分人中测试,这个时候企业要做好同一应用不同版本的发布管理。

到今天,移动安全产品的演进仍在继续,朝着安全与业务融合的方向努力。最后,感谢厂商与诸多先行实践者的共同努力,为更多的用户提供了宝贵的经验借鉴。您是否在移动安全的规划/实践过程中有过那些误区,走过那些弯路?欢迎您给我留言。

移动办公安全的首选

免费试用