某基金公司是由国有商业银行直接发起设立并控股的合资基金管理公司,服务于超过5000万客户,其资产管理规模近2万亿。作为国内头部基金公司,在网络安全和数据安全的建设上已经非常完善。目前已在办公网敏感数据的创建、流转、存储等数据安全生命周期的关键点部署网络、邮件、终端等数据安全管控设备。但是,随着业务的迅速发展, App应用数量增加,手机邮件及App的防护需求凸显。
平衡是个永恒的难题
基金公司员工使用手机处理工作任务非常普遍。不只是邮件,大量的业务应用(App)也是在手机端。数据使用要合规,必须对移动终端上潜在的数据泄漏风险做好防护。
手机-平板是员工个人设备。BYOD模式下,员工隐私保护和企业数据保护之间存在冲突。
管太严,影响业务和办公效率,也会给IT运维人员带来额外的管理支持负担,内部服务满意度低,员工不愿意使用,IT安全部门容易吃力不讨好。
管太松,企业数据泄密风险高,手机端是一个不可回避的数据安全暴露面,一旦出现数据安全泄露事件,相关责任人需要为此担责。
因此,基金公司要求移动解决方案既可以保证企业移动应用的安全,又不影响业务,还要保护员工个人隐私。在这种BYOD场景下,基金公司同时要求基于零信任安全理念构建解决方案,确保接入系统的终端、应用、用户真实性,即:
默认情况下不信任内部或外部的任何人、设备、系统。
基于身份和访问控制构建信任访问内部应用,用户、移动设备、移动业务访问都被认证、授权、应用和通道加密。
另辟蹊径,解决两难问题
面对两难的问题,多角度思考,既要兼顾,又要抓住问题的关键点对症下药。找到了安全性、易用性、易管理的平衡点成为解决方案的关键。天空卫士建议用移动接入网关(MAG)来匹配基金公司的需求。
MAG解决方案采用企业应用安全域隔离的技术,将企业移动App与个人手机应用App完全分离。当使用基金公司企业应用App时,员工就如同在使用一台公司统一配发的移动办公终端,企业数据和个人数据完全分离。当关闭企业应用App后,回到个人手机状态,也不会继续占用手机有效的资源,影响员工隐私。
该基金公司部署天空卫士移动安全解决方案,建立企业移动办公门户,有效管控了安全浏览器、数智营销、移动办公、手机邮件等几个关键移动应用App的安全。
方案架构功能如下:
优势明显,用户选择才会不纠结
功能达标,性能超“飙”
天空卫士移动安全解决方案,针对移动终端上的企业App和数据进行特别保护,不侵犯员工隐私,不会对员工个人移动App有任何限制或监控,而且提供足够的易用性和稳定性,不会降低移动App的高效性。
无开发、无限制、“躺赢”
天空卫士移动安全解决方案无需对企业已经开发好的移动App做特殊安全加固;也无需对手机设备进行管理和控制,综合安全域、水印、截屏管控、加密传输通道等多种应用级安全手段,保证了企业移动应用安全,同时能够和企业整体数据安全方案统一策略。
“持续验证,永不信任”构建企业移动安全平台
天空卫士移动应用安全方案基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,保障了移动办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
用户对本次方案高度认可,用户体验超出用户预期,对企业移动应用app在查看敏感数据时,所提供的屏幕水印技术更是赞赏有加。
本方案落地简单,能有效管控手机端应用安全数据安全风险,不影响业务,不涉及员工个人隐私,容易管理运维,尤其是对一些金融机构,具备很高的实用性。
合理的期望,
是一种正确评估,
在愿望和实际情况之间,
找到最佳的平衡点。