一份关于全球BYOD(Bring Your Own Device,即携带自己的设备办公)应用趋势的最新调查报告显示,68%的企业员工更乐于使用移动和更灵活的方式来进行工作,而具体到中国市场,这一数字更是达到了78%;同时还有超过33%的中国企业表示正在或即将支持BYOD。
尽管BYOD可以提升员工办公效率,减少企业的部分IT投资,仍有不少企业的CXO们将其“拒之门外”,原因就是担忧其所带来的安全和管理问题。然而即使企业CXO们拒绝BYOD,仍有15%的企业员工表示他们会想尽办法将其移动终端应用于工作之中;调查还显示到2017年,90%的企业将在一定程度上支持BYOD;而到2018年,员工持有的设备将是目前的两倍多。所以说,“堵”不是办法,顺应BYOD大潮已是必然趋势!
当然,想让CXO们顺应BYOD大潮,解决“安全防护能力差”、“认证审计难”、“影响网络稳定性”等种种痛点将成为“先决”条件!为此,网康基于旗下的ICG上网行为管理(以下简称“网康ICG”)产品打造了创新的BYOD解决方案,旨在解决企业CXO们的痛点需求,助其企业拥抱BYOD!那么网康ICG是如何解决企业CXO们的“痛点”呢?下面就为大家详细介绍一下。
痛点一:老板、员工、访客等,如何区别认证?
对于BYOD行为的管理,用户身份认证是关键——它是保证BYOD安全/管控的第一步,也是最重要的一步。而对于企业的老板、管理者、员工来说,他们所面对的管控规则(安全认证等级)不尽相同,因此传统的安全策略难以对其进行有效、精细的区隔,必需为之配备相应的认证策略。与此同时,面对外来访客、业务合作伙伴和潜在客户的接入或数据分享需求,如何保障他们方便、快捷的完成认证,获得与内部员工不同的访问权限,以保证企业内网的安全..., 这一切都是企业CXO首先要考虑的。
网康ICG提供了多种用户认证和识别方式,包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、ESMTP认证、SOCKS认证、PPPoE认证账号识别、第三方用户识别等等;更支持多种Web认证方法,可以快速区分企业老板、管理者、员工、及访客,让接入企业网络的用户可以尽快拥有符合其身份的上网权限。
网康ICG还提供了企业“组织结构”管理功能,可快速建立企业的组织架构,便于为等级不同的企业老板、管理者和员工划分相应的网络权限,以实现精细化管控,保证企业“关键人”的应用体验。
而值得一提的是,对于外来访客、业务合作伙伴和潜在客户,网康ICG则提供了快速、灵活、方便的短信认证方式,即通过设定、分发统一的初始口令,及定义账号缓存的有效时间,有效保证访客用户身份的安全,及企业内网的安全。(了解更多,请参考《确保企业网络安全 网康ICG认证功能助力》)
2痛点二:终端多种多样 如何防私接?
痛点二:员工终端多种多样,接入随意...怎么办?
身份虽然得到了认证,但对于已经习惯(或准备)BYOD的企业员工来说,其通常会携带2-3台移动终端(手机、平板电脑等)接入企业网络,那么如何保证同一用户(身份)的多台移动终端执行相同的管理策略?如何保证移动终端的准确识别?能否及时阻止不安全的移动终端接入等等,都成为了企业CXO们仍要面对的难题。
网康ICG产品管理策略设置
网康ICG上网行为管理产品在管理策略之中实现了用户与终端(工具)的联动,即无论用户使用的是何种移动终端、终端使用的是何种操作系统,其均可精准识别,并进行基于用户身份的管控。
而所有接入企业网络中的移动终端还会被网康ICG进行实时监控,网管员还可将其区分为授信或非授信终端设备,一旦设备被设置为“非可信”,那么其将无法接入企业网络,即可有效防止不可靠的移动终端接入企业网络,从而保证企业内网的安全。
快速识别“一拖N”的行为 网康ICG精准防私接
当然,在“封杀”了企业员工的移动终端后,部分员工也会耍些“小聪明”——通过即插即用、价格低廉的随身Wi-Fi、家用网关、无线路由器等消费级网络设备来打造自己专属的“无线网络”,以实现移动终端的自由接入。对此,传统的BYOD解决方案通常难以解决,也就留下了严重的安全隐患,而网康ICG则具备“一拖N”防私接能力,可快速识别“一拖N”的网络私接行为,精确定位“N”即私接用户数量,并进行有效管控,彻底封杀员工的“小聪明”行为,消除内网的安全隐患。(了解更多,请参考《警惕无线一拖N危害 网康ICG精准防私接》)
3痛点三:从BYOD到BYOA 精准识别难
痛点三:从BYOD到BYOA,精准识别应用难!
在不少企业CXO看来,移动终端的识别远不及移动应用的识别重要,特别是在移动应用层出不穷的今天,BYOD正在向BYOA过渡(自带应用),再结合不同的移动终端、不同版本的操作系统,企业对于移动应用的管控越发困难。其实看到这里我们不难发现,只有实现对移动应用的精准识别,才能真正解决企业CXO的痛点需求,而这也正是网康ICG的强项!
网康ICG对(移动)应用的识别是通过应用特征与行为特征实现的。所谓应用特征是指在成序列的数据包应用层信息中,存在有规律的字节特征,其可唯一地标识某种应用协议,就如同一个人无论穿什么样式、颜色的衣服,其指纹特征不会改变,而且是唯一的。
类似地,网康ICG还可以通过特征值准确地识别网络应用;而行为特征则是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。
网康ICG支持的部分应用及应用协议
目前网康ICG拥有国内最全面的网络应用协议数据库,分为20余类,共600多种协议,覆盖超过3000种主流应用,应用识别率超过95%以上;而对于新出现的(移动)应用,网康还有专门的团队进行每周跟踪更新,旨在为企业CXO们提供最精准的应用识别。
当然,为了帮助企业CXO们更好地实现对移动应用的管控,网康ICG还进一步实现了用户、终端和应用的相互联动,即在同一条策略中即可完成全部的管控。而经过我们的实际测试,各类应用均可实现精准控制,表现令人满意。
4痛点四:移动终端加大法律和数据风险
痛点四:移动终端将加大法律风险,甚至造成数据信息泄露!
互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也容易被不良内容侵蚀。而移动终端设备的引入,使得员工可以更加自由、隐蔽地通过公司内网访问互联网不良资源,比如访问色情、赌博、犯罪网站等,或通过公司内网向互联网发布一些过激言论、反动信息等,这不仅会为公司形象带来负面影响,甚至如果触犯了国家的法律招致有关部门的调查,还会牵连公司面临法律风险;与此同时,企业的机密数据信息也有可能通过移动终端泄露出去,导致企业面临巨大的损失。因此对员工浏览内容进行审计,对外发信息进行过滤控制等,在企业CXO看来是执行BYOD的首要前提!
网康ICG基于多年积累的上网行为管理经验,在审计和内容过滤方面拥有得天独厚的优势——通过网康ICG,企业CXO可制定精细化的信息收发监控策略,有效控制信息的传播范围,控制敏感信息的泄露,从而避免可能引起的法律风险。
网康ICG提供了丰富的内容审计和过滤能力,包括针对邮件收发、IM、论坛发帖、搜索引擎关键字、HTTP文件传输、HTTPS加密网页、FTP文件传输等的审计和过滤。下面我们就以邮件收发为例,为大家展现一下网康ICG强大的内容审计和过滤能力。
针对邮件外发的审计和过滤策略配置
网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容,还可以审计通过Web-mail发送邮件的内容,实现对用户邮件收发内容的全面审计。与此同时,其可基于邮件特征对邮件外发内容进行审计和过滤,并能够匹配收发邮件的标题及内容关键字等特征进行邮件报警,从根本上杜绝包含敏感信息邮件的外发行为,保证企业信息的安全。
此外,网康ICG还支持对外发邮件的人工审核,将那些包含敏感信息的邮件暂时拦截下来,缓存在ICG本地,由审计员审核内容后在决定是否允许外发,从而确保精准过滤。经过我们的实际测试,所有符合审计策略的邮件都被准确拦截,表现出色。
最完整的BYOD解决方案诞生
通过上述介绍我们不难看出,基于网康ICG打造的BYOD解决方案已经实现了人、应用、内容和终端(工具)四个维度的联动,超越了传统的基于人、应用和内容三个维度联动的BYOD解决方案。而为了打造最完整的BYOD解决方案,网康ICG还在策略制定中引入了时间和位置两个维度,即从六个维度实现了对BYOD的有效识别和控制。
其中在时间维度,网康ICG提供了灵活的时间设置,可精细到每天,甚至是每个时段。这样,CXO们就可以制定出更加人性化的管控策略——即在工作时间严格阻止一切与工作不相关的应用,而在工作以外的时间,则当开放一些娱乐应用。
基于位置维度进行BYOD管控是网康ICG的一大创新,企业CXO可利用移动终端(工具)和位置的联动,制定精细化管控策略,例如在一幢办公大厦的某一层,允许西办公区的iOS及Android设备接入互联网;而在东办公区,则允许除了Linux外的所有设备接入互联网,但禁止QQ及移动QQ。
综上所述,网康ICG实现了基于人、时间、应用、终端、位置五个维度的策略设置,再结合其强大的内容审计和过滤能力,从六个维度打造了业界最完整的BYOD解决方案,轻松消除了企业CXO们的多个“痛点”,而其强大之处还不止这些哦!
5痛点五:移动终端安全上网难保证
痛点五:数以千万计的网站 如何保证移动终端安全上网?
如果说对于移动应用管控更多的是为了保证企业员工的工作效率,那么在黑客越来越倾向于攻击移动终端的今天,对于移动终端上网行为的管控,就是保证企业网络安全的关键,特别是隐藏在丰富Web应用背后的挂马、钓鱼网站尤其值得警惕。然而面对数以千万计的URL,传统的网页过滤(通过预设关键字与网页内容进行匹配)方式不仅效率低下,且误封率很高,实际应用效果很差;而黑名单的设置,又很难做到面面俱到,因此企业CXO们对于移动终端的上网安全尤为担心。
网康ICG的URL预分类库(部分)
而网康ICG采用的是URL预分类技术,根据中国的文化背景、伦理道德、法律法规、应用领域、上网习惯等等,进行全面采集、多级分类,生成URL分类数据库,同时借助网康自主研发的URL搜索引擎,7*24小时进行区域性(主要是中国大陆)URL抓取,并对抓取的网页进行相关性的链接分析。然后通过智能多级分类系统、人工校验审核等多级过滤技术对获取到的URL进行有效性校验和内容分类匹配,导入数据库。目前,网康ICG的URL数据库包括40多个类别,超过3000万条的URL,同时还在为每天新产生的URL和失效的URL进行跟踪和验证,由此打造了全球最大的中文URL分类数据库。
在针对网页访问策略的设置中,网康ICG提供了比应用策略更加丰富的选项,包括网站类型、网址、网页内容、日流量额度、单次上传、下载限制等等,提供了多元化的管控选择。而经过我们的实际测试,网康ICG对于网页的管控非常精准。
当然,考虑到不同行业有着更加细化的网站分类,因此网康ICG还提供了自定义URL类别功能,企业CXO可根据企业的需要自定义新的类别;与此同时,为了让管控更加精准,网康ICG同样具备黑白名单功能,实现对于一些需要跳过管控策略的网站,进行无条件地允许或阻塞。
此外,特别值得一提的是,网康ICG还提供了访问页面被阻塞后的自定义页面,相比传统的“无法显示页面”的提示信息更人性化;同时也让企业员工更加明确上网规则,及受限制的网站,进一步提升了员工自身的安全上网意识。
6痛点六:企业员工抵制BYOD管理策略
痛点六:管控严,员工总是抵制BYOD策略,这该怎么办?
其实站在员工角度来看,BYOD的真正内涵是自由自在的移动办公,因此在面对企业的BYOD管控时,难免会出现抵触心理;特别是在企业CXO制定了严格管控策略的情况下,员工在工作中可能会产生情绪,反而影响了工作效率。因此如何制定“宽松又安全可控”的管控策略,成为了企业CXO的新难题!
灵活的上网时长限额策略
而网康ICG则从时间和流量两个维度提供了支持移动终端各项应用的灵活限额管理,很好地解决了CXO们的新烦恼。其中在上网时长方面,网康ICG提供了以天为单位的时间管理策略,并可与用户、工具、位置、应用实现联动,制定更加人性化的管控策略。例如企业员工可以利用午休的90分钟时间通过移动终端观看视频,而一旦超时,视频将会自动关闭,且在这一天之内均无法再利用企业网络观看视频,这样不仅缓和了员工对于BYOD管控策略的抵触,还能帮助员工做到专时专用。
而在上网流量方面,网康ICG同样提供了以天为单位的上网流量管理策略,同样可与用户、工具、位置、应用实现联动,从而制定灵活,人性化的管控策略。
当然,企业的网络带宽是有限的,而为企业员工提供了灵活的上网时长和流量的管控策略,很可能会造成企业网络在某一时间被占满,从而影响到企业的正常业务,特别是员工利用移动终端进行P2P下载这种行为,必须要受到一定的限制。
针对此需求,网康ICG特别提供了带宽控制功能,可细化到员工具体应用的上、下行带宽,从而保证企业重要业务的畅通和稳定。经过我们的实际测试,在未进行限制时,移动终端的P2P下载速度几乎等同于企业的出口带宽,同时其它应用的体验明显受到影响;而通过带宽限制,移动终端的下载速率被严格的限制在限定值之下,管控精准。此外,网康ICG还可针对并发连接数、新建连接数进行限制,在应对突发流量需求时,也可保证企业重要业务的稳定。
网康ICG:BYOD时代,企业CXO的好帮手
通过对网康ICG的介绍我们不难看出,其完全突破了传统BYOD解决方案(基于人、应用、内容)的束缚,实现了上网行为管理产品在BYOD领域的创新,通过引入终端、位置、时间等新的管控维度,实现了对移动终端及应用的更好、更精准的管控,再结合强大的认证能力和针对访客打造的专属管控策略,以及高效的“一拖N”防私接解决方案,网康ICG全面解决了企业CXO在BYOD时代面临的痛点,是企业在BYOD时代腾飞的最好帮手!