企业移动应用安全管理分析
2015-03-16中国电信股份有限公司江苏分公司企业信息化部
中国电信股份有限公司江苏分公司 企业信息化部 刘 东
企业移动应用安全管理分析
中国电信股份有限公司江苏分公司 企业信息化部 刘 东
从移动设备的安全性、设备上企业数据安全性、设备数据传输的安全性、企业移动App(应用)的分发与更新等几个方面对企业移动应用安全所面临的几个突出问题进行分析,为企业移动应用安全管理提供一些解决思路。
移动应用; 自带移动设备办公; 安全
0 引言
随着3G、4G、Wi-Fi(无线保真)等无线网络接入的快速普及,移动办公、移动运维、移动营销成爆发性增长趋势。IDC(因特网数据中心)数据显示,2014年全球智能手机出货量达到12.5亿台,预计到2018年将达到18亿台。移动应用办公的兴起给企业带来了全新的业务支撑和安全挑战,开始动摇IT(信息技术)主管部门传统的开发运维与安全管理模式。越来越多的企业相信移动办公将成为生产运营的“新常态”。事实上,移动终端代表了企业移动模式的起始阶段,而企业移动应用终将改变员工和企业未来的工作方式。
移动化接入使得企业网络边界重新发得模糊。企业员工既可以通过基站无线通信网络在公共场所接入到公司网络,也可以通过Wi-Fi接入公司网络。随之而来的安全隐患也越来越明显,目前大部分企业分发移动应用软件通过第三方应用商店进行发布,繁琐的流程不仅费时而且不利于管控和数据统计,也无法对移动客户端App(应用)操作行为进行有效地监督和审计。
基于此,企业急需制定整体的移动办公战略,寻求移动终端安全防护方案,以此来大幅改善企业内部的业务及运营状况,从而为企业创造可持续的竞争优势。
1 移动应用安全管理的概念与目的
“无安全,不移动”,对于移动办公来说,数据的安全是首要考虑的问题。移动办公是以移动终端为基础,通过终端上的应用访问企业内部的应用系统和数据,其安全性不仅仅是终端与网络的安全,还包含整个移动办公应用系统的安全管控和运维管理。
企业移动应用安全管理是针对BYOD(自带移动设备办公)设备进行移动设备安全管理(MDM)、移动应用安全管理(MAM)、移动数据安全管理(MCM)、App分发管理、App更新管理、关键事件记录和追踪等一系列的移动应用全生命周期的管理。实现移动设备从注册、部署、运行和回收的全生命周期的管理,以及终端上的移动应用和文档数据管理。除此以外,移动终端安全管理还提供了移动安全接入管理以及后台运维、报表统计等服务等功能,实现企业移动数据的全方位立体化防护,确保数据零泄露。除了移动终端的安全管理,还需要确保移动办公数据的通道安全和接入安全,包括移动安全接入网关、网络准入控制及移动终端安全管理系统和设备。
2 移动应用安全管理的解决方案
下面将从移动应用安全管理三大要素(MDM、MAM、MCM)进行阐述解决方案和思路。
2.1 移动设备管理
移动设备管理主要包含: 设备注册、设备信息收集、设备接入控制、设备监控。如图1所示,移动设备需要先在系统中进行预注册,然后移动终端通过企业自建或第三方应用商店下载安装企业发布的移动安全管理客户端,用户通过客户端进行正式注册,安全客户端将手机设备信息上传至设备管理系统完善设备注册信息,设备管理系统相关安全控制策略下发,备份设备数据并对手机做实时监控。当设备丢失,通过设备管理系统进行定位并锁定,可以进行远程数据擦除,在丢失设备被找回时,可通过设备管理系统进行数据恢复,恢复手机初始状态。
2.2 移动应用管理
移动应用管理主要包含: 应用SDK Framework(安全沙箱技术)、企业应用商店。见图2。
2.2.1 安全沙箱
安全沙箱技术是在用户手机端开辟独立的工作区域,在BYOD下终端具有双重身份,企业数据和个人数据通过沙箱技术进行安全隔离,数据通过加密进行独立存储,确保终端中个人和企业信息的安全性和隐私性。沙箱可采用AES(高级加密标准)256高强度加密算法,确保企业应用以及企业数据的安全性。安全沙箱内,企业相关文档和内容,可通过自定义策略进行终端共享,有限地被外部访问和获取。
安全沙箱技术的实现是通过自封装SDK Framework应用集成框架,将安全沙箱涉及的操作封装成API(应用程序接口),供自己或第三方App开发厂商调用,使其具备安全沙箱功能。
2.2.2 企业应用商店
为了能够快速灵活进行企业定制App分发,完全拥有应用商店管理权限,企业必须自己搭建应用商店。对于大型企业应用商店要具备分发Native、Hybrid与HTML5(超文本标识语言)三大类型的移动App。管理员可以基于用户权限分组对应用进行分发管理,可以自定义应用的类别,实现灵活、个性化的App分类。分发App的数据记录在数据库中,便于企业进行相关数据统计,对App的管理和使用进行调优。
2.3 移动内容管理
移动内容管理主要包含: 文档安全管理、文档泄露防护、文档在线阅读、文档安全分发。
2.3.1 文档安全管理
分发到移动客户端的数据和文档(企业内部文件、邮件、用户信息等),加密存储于Sandbox安全沙箱内,加密文件无法被其他应用软件打开查看。允许授权的移动终端设备进行访问,非授权的移动终端设备无权访问。允许授权的企业应用访问,沙箱外及未授权的应用无法访问。
2.3.2 文档泄露防护
