Mark因为近一年发生了很多事情，停更了很久，向大家道歉，后面会尽可能坚持连更，近期Mark会重点跟大家分享一些数据安全层面的内容，比如BYOD安全的应用（本次话题）、企业数据安全建设思路、企业数据泄露发生后的应急及感想等。欢迎大家多多关注、探讨交流。

甲方安全从业者都听过大量的关于数据安全的解决方案，这些通用性方案为我们在实际企业安全建设过程中提供了一定的思路和技术支持，但通用方案落地到具体的业务场景中，如何很好的结合业务落地？如何防止企业“黑天鹅”事件的发生？一万个人眼中有一万个哈姆雷特，不同的企业业务需求对于数据安全的落地方案都是不一样的，今天Mark就分享一个实际企业安全建设中，通过BYOD层面的安全技术保障公司业务数据，并为业务带来价值的一个落地方案，希望可以给各位提供一个思路，欢迎交流指正。

一、背景

安全部门在企业中属于职能部门，由业务部门提供资金支持，为业务提供安全保障和技术服务。安全所有工作中，数据安全的工作一般对业务的影响和资金投入比较大，安全方案想要快速执行落地，需要使用“自上而下”的策略，搞定业务老大，让其心甘情愿为你的方案提供资金和管理层面的影响力支持，那本次要聊的方案怎么实现呢，为业务带来哪些实际价值呢。

二、正文

1、场景

具体到场景，本次面向的行业是“金融行业”，业务为“电销、催收、客服、预提醒等”场景。

2、价值

要跟各位聊的“byod方案”将会为业务两个主要方面价值，一是合规价值，二是业务价值。

2.1、合规价值

合规层面价值相对通俗、通用：最近国家、监管、行业出台了很多合规条文，这些是公司需要遵守的红线。此处Mark简单整理罗列一些个人认为在当前“个人信息保护”重要环境趋势下比较重要的文件，不做细节阐述：

2.2、业务价值

业务价值就是需要实实在在给业务提供增长、为业务人员提高kpi的东西了，如：

用户电话接通率的提高（相对于固话）；

实现准实时自动化质检，提升质检及时性和效率，降低质检人力成本；

实现自动化数据运营，可视化显示运营数据状态；

降低客户因数据泄露、恶劣话术等的投诉量；

实现业务人员自动化办公流程，提高办公效率。

那为了实现上述价值我们需要设计一个什么样的方案，执行什么工作呢，开始我们的正片：

3、详细技术方案

3.1、“电销、催熟、客服、预提醒等”类场景细化

一线业务人员会登录公司听过的业务系统，基于业务系统上的数据与客户进行沟通，沟通方式包括电话、短信、及时通讯工具，使用到的工具包括PC、手机、固话、app。

3.2、此类场景中存在的风险

1) 业务合规风险：

如存在语言不当、恐吓、诈骗、电话骚扰等；

2) 数据泄漏风险：

如存在倒卖公司系统账号、倒卖数据、离职带走数据等。

3.3、方案实现

如何解决上述风险，使业务数据和业务人员可控、可管、可审计！老规矩，我们继续用瑞•达利欧定义的5个步骤的成功方法论来详细介绍：

3.3.1、有明确的目标：

数据不会出现信息泄漏，业务人员工作内容和方式满足合规要求、可控、可审计，为业务产生价值。

3.3.2、找到阻碍视线目标的问题，并且不能容忍这些问题：

1) 敏感信息明文可见问题；

2) 业务人员可以下载信息数据或过多权限问题；

3) 公司内外部的信息泄漏问题，如业务人员账号泄露等；

4) 业务人员工作内容（电话、短信、聊天等）不可见问题；

3.3.3、准确诊断问题、找到问题的根源：

1) 敏感数据明文显示问题&业务人员可以下载敏感数据或过多权限问题；

2) 内部员工的数据泄漏；

3) 工作内容不可见：员工存在使用私人工具，如手机、及时通讯用户与客户沟通，内容不可见。

风险的整改是道选择题，不同的风险选择，对应不同的整改方案，为了便于大家选择，我把整改方案拆分成3个阶段：基础篇、进阶篇、终结篇。

3.3.4、规划可以解决问题的方案

关键点概述：

1）、敏感数据在存储和传输过程中加密处理，显示时脱敏；

2）、使用公司统一配发的固话、手机、SIM卡、即时通讯账号；

3）、严禁公司员工使用私人手机，制定带惩罚手段的管理制度，定期人工巡检；

4）、限制手机使用时间、地点、app种类、上网策略等等；

5）、手机平台存在丰富的接口，可以供第三方系统灵活调用。

A. 项目准备阶段    

a)    BYOD解决方案厂商选择    

Mark选择了业内领先的多家厂商进行沟通测试，每个厂商的沟通介绍会议皆会邀请项目需求方共同参与，需求确认共识后形成会议纪要，最后汇总“供应商功能对比表”。   

 测试功能重点：    

手机硬件系统层面管控能力：时间围栏、地理围栏、app和上网黑白敏感、手机号脱敏、即时通讯id等信息脱敏。    

审计能力：电话、短信、及时通讯聊天、语音、视频、红包、转账等等。    

接口能力：各类审计接口免费开放，存在电话、短信、即时通讯等接口，可供第三方系统对接，用以实现自动化审计、系统调用手机拨打电话、收发短信、添加好友、聊天等。。    

b)    头部公司解决方案现状    

了解同行业前十头部公司相同场景的进度情况，用以借鉴参考。    

c)    共识    

与业务相关方一起从技术和商务角度确认合作厂商和落地后业务人员的使用场景。    

基于确认解决方案场景与一线员工做会议共识和需求收集。如：对组长级别以上的一线员工进行会议沟通和答疑，共识解决方案实现后的落地效果，收集现场对方案的良性反馈，优化至方案中，并形成记录。   

 d)    达成多方共识后发起采购，进入建设阶段

B. 项目建设阶段    

a) 制定项目详细进度计划安排    

将制定好工作计划通过会议的方式跟项目相关方进行共识，项目开展过程中严格按照工作计划执行，每天行程日报记录。    

b) 工作内容

工作内容我会拆分成3个阶段：基础篇、进阶篇、终极篇。

基础篇

目标：

业务人员与客户沟通内容可审计，沟通方式可控。

实现后的业务场景：

公司严禁使用私人手机，敏感数据存在业务系统中，业务人员必须通过公司统一提供定制化的工作手机、公司名义统一申请的SIM卡与客户沟通交流；即时通许账号由业务人员通过工作SIM卡申请和绑定，进而通过此账号与客户沟通。注：非官方类即时通讯账号需进行养号操作后使用。

措施：

业务系统：无调整（业务系统自身安全性省略）

工作手机平台：

通用功能：时间围栏（限制可使用手机的工作时间）、地理围栏（限制可使用手机的工作地点）、app白名单（限制手机中可以使用的app工具）、上网白名单（限制手机中可以访问的网页）、SIM插拔限制（限制SIM卡的更换）、电话审计、短信审计、app审计（即时通讯app为重点）；

特定功能：红包转账审计告警，即时通讯工具登录登出审计告警，关键词审计告警；

相关第三方系统：无调整。

进阶篇

目标：

客户相关敏感信息做到数据的全生命周的脱敏处理，且不影响业务人员正常工作开展。

实现后的业务场景：

公司严禁使用私人手机，敏感数据存在业务系统中，且对敏感信息进行脱敏处理，业务人员通过业务系统上的功能自动调用手机与客户进行打电话、发短信、添加好友等操作。 

实现后的场景：

1) 员工入职：

员工入职后，公司统一配备工作手机、工作SIM卡和工作及时讯通账号，并在固资系统进行登记、备案、制定设备编号；员工需将相关信息在业务系统进行登记备案。

注：非备案内手机卡和即时通讯账号等内容，系统自动识别并限制使用。

2) 员工工作：

所有客户系统相关资料皆脱敏和存储在业务系统中，员工与客户的交互信息皆需通过业务系统发起，如向客户拨打电话、发送短信、添加即时通讯好友，禁用员工pc端即时通讯聊天工具。工作手机端手机拨打记录、呼入呼出电话显示、通讯录、短信电话、客户即时通讯id、客户即时通讯通讯电话号皆脱敏展示，如138*****123。所有工作手机端的通话、短信、即时通讯等相关聊天记录皆可通过API接口的方式传给第三方平台。

注：手机通讯录、手机号、即时通讯账号等客户相关信息在全流程中皆脱敏展示。

3) 员工离职：

员工离职需交还工作手机、SIM卡和工作及时讯通账号，并在固资系统和业务系统中进行变更备案。

整改措施：

1) 业务系统：

权限梳理改造：一线员工只能查看自己工作范围的数据，无任何信息下载权限；组长、总监及以上职位权限按需开通，且开通需要经过审批流程留痕。

敏感数据处理：业务系统显示脱敏，传输使用加密协议，存储通过公司加密平台加密后存储。

系统对接：系统间的接口开发对接，本次方案中包括：业务系统、呼叫中心系统、质检平台系统、手机平台系统。

数据流程图：

上述数据流转设计说明：

a. 用户相关数据皆存储在业务系统中，所以业务系统作为数据发起方

b. 呼叫中心作为整体数据流转中间层，存储审计数据，转发业务流转数据。

增加数据中间层的优点：手机管理平台作为商业产品，增加中间层可以减少对商业产品的定制化开发成本；数据集中存储转发，降低手机管理平台数据转发压力。

基于场景确定数据流转流程和涉及到的接口对接重点：

a. 手机打电话的流程：业务系统发起拨打电话、经呼叫中心、到手机平台、再到手机，手机自动开始拨打电话。

b. 接口对接重点：

确定唯一标识参数；

确定入参、回调；

电话、短信的接口需要做到准实时。

2) 工作手机平台：

通用功能：手机设置时间围栏、地理围栏、app白名单、上网白名单、SIM插拔告警

特定功能：红包转账审计告警，即时通讯工具登录登出审计告警，关键词审计告警

3) 第三方系统：

建立数据分析平台，接受所有手机平台审计到的信息，如电话录音、短信、即时通讯记录等，结合语音转文字、图片转文字、大数据分析等技术，对业务人员产生的数据进行分析，实现自动化质检、运营数据等内容。

遗留风险问题：手机层面是显示脱敏，手机数据本地存储并未加密或脱敏，存在在手机端获取用户明文的风险，如即时通讯存在调用本地通讯录的权限，可以直接看到通讯录明文，此类漏洞虽然可以通过限制app的权限实现，但是总是会有新的场景出现，处于频繁升级rom系统，修复漏洞的循环。pc端的审计不足。手机端经常出现脱敏不完全的问题。

终极篇

目标：

解决进阶篇的风险。

实现后的业务场景：

将工作手机锁进办公桌的柜子中，操作层面通过电脑实现，如：即时通讯沟通、收发短信、发起拨打电话操作等，电话沟通层面通过蓝牙耳机连接手机实现。

措施：

PC端：

通过域控等方式限制PC端安装软件的权限，只允许业务人员使用固定的软件进行办公，限制usb口的使用。

业务系统：

在业务系统层面的开发定制化即时通讯窗口，通过接口与手机端对接，效果：在定制化即时通讯中与客户沟通，接口层面同步调用手机外发，所有即时通讯外发流量经手机端发出，而并非直接通过pc的网络传输，实现所有通讯内容可以审计的目的。注：此类只针对pc端审计不到的即时通讯软件，目前部分企业级别的即时通讯软件可以通过对官方进行付费后获取数据。

C. 项目试运行及推广阶段

制作使用教学视频和使用文档，选择部分人员进入试运行阶段，现场培训和驻场技术支持。

具备上线条件后全部推广上线。

3.3.5、做一切必要的事来践行这些方案，实现成果：

A. 制定严格的项目计划，通过会议与相关方共识并严格执行， 不然规划做得再好，不执行也无济于事。 

B. 针对本次方案，制定清晰的成功标准，如：

系统SLA为4个9;

业务人员通过系统层面发起电话、短信等请求后，手机的实际响应延迟不超过10s;

敏感数据100%脱敏，业务人员无法获取相关明文信息;

等等。

4、系统部署方案

整个方案落地后，手机平台系统、业务系统和三方支持系统强关联绑定，任何一个环节出问题都会影响整个业务系统的运转，所以我们对于支持系统的SLA有极高的要求。

建议采用高可用部署方案，上线前做压力测试，定义sla，宕机演练，制定自动恢复脚本，宕机恢复不超过5分钟，建立系统监控告警系统，出现系统异常等问题可以第一时间响应。

5、管理流程制度及相关方案

系统建设完成后，将进入运营阶段，标准化的管理流程、制度及方案至关重要。

5.1、管理流程

基于落地后的业务场景，建立以下标准化管理流程，不同的团队负责不同的工作，并形成记录多方共识。举例如下图所示:

5.2、管理制度

通过管理制度对人员规范进行说明和限制，内容包括但不限于：

限制私人手机使用，业务人员使用公司统一配发的工作手机和SIM卡进行工作，工作手机限制时间、地点、应用，违规惩罚等。

制度名称包括但不限于：

《工作手机合规管理办法》

《工作手机资产管理细则》

5.3、相关方案包括但不限于：

《系统压力测试方案》

《系统应急方案》

《数据备份方案》

《常见问题汇总》

《系统使用手册》

三、总结

整个项目过程中的几个关键词：沟通、共识、协同、记录、制度、管理流程。

Mark认为，好的解决方案是至少七分技术，人永远是最不可控的风险项，所以在此方案中，尽可能通过技术方式来实规避风险，技术落地管理制度。

技术太多总结就不做了，再聊一点自己在甲方做事的体悟。

Mark觉得在甲方做安全两点很重要：“思路”和“姿势”。

思路：安全不可以脱离业务独立存在，公司的业务场景中有解决问题的思路，跟业务“在一起”才能更好的使安全产生效果和价值。那如何可以更好的了解业务呢，举个例子：Mark每年会做一次全集团的安全风险评估，访谈的方式，跟集团各业务线的产品负责人、技术负责人、VP进行沟通，了解业务流程、数据流程、系统细节（实际查看系统的每个功能）、业务未来规划，并向其介绍当前安全已经做了哪些事情，使他们也可以了解安全。这么做的目的主要有两个：一是了解业务，发现风险，推动业务整改；二是安全口碑建设，让业务人员也能了解安全，知道安全团队在做什么事情，可以做什么事情，彼此可以更好的配合。

姿势：公司的企业文化中有做事的“姿势”，技术再牛，姿势不正确，事倍功半。举个例子：比如你的公司的技术文化是“深度敏捷”，你需要足够了解敏捷，知道他的角色分工，开发流程等，安全做事姿势同样需要结合“敏捷”的方法论，讲究迭代，组建Scrum team，定SM和PO等，在这个模式下开展工作。如果你还是按照传统的项目管理模式，你在这家公司是格格不入的，解决方案再漂亮，也很难成功落地。

最后，Mark感谢各位的观看，上述内容仅代表个人观点，仅供参考，欢迎留言吐槽和交流。

*本文作者：Mark2019，转载请注明来自FreeBuf.COM