近日,新冠疫情牵动着全国人民的心,按照疫情防控“少流动”“少接触”“少聚集”的原则,企业采取居家远程在线办公模式,远程办公已经越来越常态化。隔离在家的人是安全的,但是数据安全却存在很大的隐患。很多企业管理人员存在以下担忧:
不知道员工电脑上有哪些数据,怎么办?
在家中访问公司的业务数据,数据泄密怎么办?
远程办公电脑安全管控措施不足,无意中泄露怎么办?
需要通过手机访问公司的应用,如何保证数据安全?
原来的好多应用都是在内网部署,现在需要从互联网访问,安全性如何保证?
天空卫士早在2019年就已经推出远程办公数据安全方案,且不断优化,天空卫士远程办公数据安全方案最与众不同的地方是,我们基于业界先进的统一内容安全(UCS)与人工智能及大数据分析技术,将 Web、数据、邮件、终端和移动设备安全等技术有效结合到统一的管控平台(UCSS)。通过同一管理平台、同一套管理策略管理所有设备,统一监控、统一保护、统一服务、统一分析,数据与设备一目了然,清晰可视,我们的目标是让数据安全保护变得更简单。近两年来远程办公需求爆炸式增长,数据安全问题成为企业/组织关注的焦点。为了便于用户的理解和方案的落地,我们将大而全的方案提炼精简,整理成几个典型的应用场景供大家参考。
电脑终端访问内网/应用
通过电脑访问公司的内网或者应用服务是我们用的最多的远程办公方式。电脑又分为两种类型,即公司为员工配备的办公电脑和员工“私人”的办公电脑。
公司配备的办公电脑
如果是通过公司的办公电脑访问业务,我们为了保障员工的访问不间断和数据安全,推荐企业使用终端DLP产品。DLP终端安装在企业用户的终端上,对终端上的文件共享、邮件、Web、应用程序等传输的数据进行监控,如对打开、另存、复制、打印、拷贝、刻录、在线传输(如:QQ、邮件客户端、蓝牙)、文件共享等行为进行管控,既可以监控和阻断试图离开终端的敏感数据,并以弹窗的方式警告用户的违规情况,并根据安全策略产生相关的动作(如阻止、审计、提示、加密等),同时生成预警日志和审计日志,使企业能够最大化的加强对关键数据的管控。
DLP还可以扫描终端存储介质保存的机密数据,将其记录或移动至安全位置,保护企业数据资产的安全。即使终端电脑不在公司内部,终端DLP仍然执行离线数据防泄露检测,提供随时随地的安全防范。
个人购置的办公电脑
有的企业允许员工带个人电脑进公司办公,既方便员工,也节约了成本。但是我们很难要求员工在个人电脑上装终端DLP。由此带来的问题就是,个人电脑终端访问企业业务是不受控的,我们不知道员工访问或者下载了哪些数据,数据是否存在被泄露的风险。我们推荐的解决方案是,在企业内部统一部署网络DLP和增强型Web安全网关(ASWG)。
网络DLP用来保护通过互联网传输的
敏感数据的安全
网络DLP对员工通过论坛、网页、邮件等方式上传、外发敏感数据进行监测,及时阻断敏感数据的外发,防止同时生成预警日志和审计日志。
ASWG用来保护通过外部电脑访问的
企业应用数据安全
此处的ASWG部署模式为反向代理。ASWG对超过上百种Internet应用程序提供管理控制功能,包括使用客户端和基于Web2.0技术的应用程序,针对多种IM应用,可以允许使用其中一种而阻止其它。
ASWG集成多病毒引擎和内容识别引擎。对上传应用服务器的内容先进行扫描,没有问题再转发到应用服务器;对应用服务器下载的内容进行识别,确保下载的数据是不含敏感内容。ASWG对于访问应用服务器的行为能够详细的记录,并能够分析相关的流量,根据需要拉取不同的分析报表。
统一内容安全管理平台(UCSS)将网络DLP和ASWG集成在同一个管理平台上,执行统一安全策略,随时保护Web安全和数据安全。
云桌面访问内网/应用
有的公司给每个员工配有云桌面,员工居家办公可以通过电脑访问公司云桌面,然后通过云桌面接入公司业务系统,这有分为两种情况,装有终端DLP的云桌面和没有装终端DLP的云桌面。
装有终端DLP的云桌面
如果企业的云桌面已经安装终端DLP系统,其实场景是和上面的装有终端DLP的电脑接入公司业务系统是一样的,员工可以放心的访问企业的业务系统和服务器。
没有终端DLP的云桌面
如果企业的云桌面没有安装终端DLP系统,相当于上面的用个人电脑访问业务的场景,员工也可以直接从应用中下载数据,或者通过互联网上传、下载数据,如果要保障数据安全,我们推荐部署网络DLP和增强型web安全网关。
此处ASWG的部署方式为正向部署。ASWG可以对用户上网行为进行审计 (URL分类、应用识别等),可监控病毒、木马、恶意脚本、未知威胁等Web攻击行为,在威胁到达之前提前拦截。
移动终端访问内网/应用
我们通常会通过手机登录公司邮箱、访问OA系统、企业网盘等,在这个过程中,如何保障通信不被窃听,敏感数据不被下载和分享呢?我们推荐使用移动安全接入网关(MAG),用于完善企业和组织的应用程序安全以及企业数据安全。
在 BYOD 的模式下, MAG支持对企业应用的数据进行加密存储,保证在安全域内的应用系统的相关信息无法在外部被有效获取。通过多因子身份认证技术,确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据。在安全域内的企业应用之间可以互相之间进行数据共享,接受统一的安全策略管理,杜绝非授权的外部访问。在管理平台上对企业所有的终端进行统一管理,如果手机不慎遗失,可以进行对终端机密信息的擦除操作,保障移动端的数据不被窃取,防止终端丢失后大量终端上的数据被泄露。更重要的是MAG将个人应用和企业应用隔离开,不改变员工操作习惯,不接触用户的隐私。
综合办公设备访问内网/应用
中大型企业的办公是一个综合体,不同事业部、不同部门的人远程访问的接入方式不同,可以是个人电脑、也可以是公司电脑、有云桌面、也有个人移动终端,数据安全的保障更为复杂。针对这样的企业,我们推荐综合解决方案,即终端DLP+网络DLP+ASWG+MAG。
终端数据可视化
员工电脑上有存有哪些企业敏感数据呢?是否存在敏感信息被泄露的风险?这是很多企业管理者的疑问。针对这一问题,我们推荐用终端DLP产品来帮助客户解决烦恼。终端DLP可以扫描终端上存储的敏感数据,将其记录或移动至安全位置,防止企业的核心数据资产以违反安全策略规定的形式流出企业。清晰地可视化视图,让管理者对数据的分布情况一目了然。
与零信任集成
有些公司已经部署完零信任系统,对应用的访问授权做了细粒度控制。但是零信任只能控制到员工可以通过什么样的形式访问哪些应用系统,至于访问了系统中的哪些数据并不能识别到,这意味着敏感数据的防护能力存在缺失。针对此类用户,我们推荐数据安全与零信任集成方案。
数据安全与零信任架构集成,
具有以下优势:
符合美国国防部零信任架构;
通过数据安全解决方案集成,使零信任架构从单一静态的接入层管控解决方案,升级到更细粒度的内容管控层,并且可以实现动态的闭环管控;
业务安全管控能力提升,可以实现对应用、服务、端口、数据等业务资源的全面管控;
持续的信任评估提升,从单一的身份、网络、基线方面信任评估,升级实现数据和应用层面的信任评估,可以实现持续、动态、闭环的信任评估和管控;
持续的动态访问控制提升,可以根据对访问数据的不断评估,结合网络访问策略,持续不断的进行动态访问控制;
信任评估范围提升,从原来的设备、网络层的信任评估,升级实现对人员及内容的动态信任评估。
天空卫士持续专注于数据安全领域,将数据安全和行为分析相结合,推出以人为本的数据安全体系,通过人工智能分析引擎对人员对数据的操作进行行为分析,可以进一步准确的发现风险,并且提前预防风险的发生。产品已广泛应用于政府、证券、银行、保险、智能制造、医疗、互联网、汽车、芯片等行业。