移動(dòng)業(yè)務(wù)安全架構(gòu)淺析
一、?移動(dòng)業(yè)務(wù)安全架構(gòu)產(chǎn)生的背景
【業(yè)務(wù)移動(dòng)化安全風(fēng)險(xiǎn)】
? ? 移動(dòng)應(yīng)用的發(fā)展使業(yè)務(wù)移動(dòng)化逐漸成為政府及大型企業(yè)信息化創(chuàng)新的重要方向,相應(yīng)的移動(dòng)業(yè)務(wù)安全風(fēng)險(xiǎn)也愈發(fā)凸顯。移動(dòng)業(yè)務(wù)正因?yàn)槿鄙俦匾陌踩侄味艿絿?yán)重制約。這些安全風(fēng)險(xiǎn)集中表現(xiàn)在支撐業(yè)務(wù)的移動(dòng)應(yīng)用、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)通信和移動(dòng)終端,具體體現(xiàn)在身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、傳輸加密、入侵防范、資源管控等諸多方面。
【過(guò)往技術(shù)的發(fā)展】
? ? 云計(jì)算、移動(dòng)化的出現(xiàn),使得在新的網(wǎng)絡(luò)和應(yīng)用環(huán)境下,傳統(tǒng)的基于網(wǎng)絡(luò)邊界防護(hù)的安全方案已經(jīng)無(wú)法滿足信息安全的需求,無(wú)邊界情況下端到端的安全保護(hù)才是趨勢(shì)。
? ? 移動(dòng)端由于Android的碎片化以及Google在中國(guó)市場(chǎng)的特殊情況,導(dǎo)致中國(guó)的移動(dòng)化市場(chǎng)環(huán)境格外復(fù)雜。復(fù)雜的移動(dòng)化市場(chǎng)環(huán)境也導(dǎo)致在移動(dòng)端進(jìn)行安全和管理的復(fù)雜度大大增加。相關(guān)技術(shù)和產(chǎn)品演進(jìn)主要經(jīng)歷了以下幾個(gè)階段:
2008~2012年,起步期。在應(yīng)用上表現(xiàn)為專用終端+專用安全管理系統(tǒng)的搭配。這是在金融、公安、能源、物流等一些行業(yè),已經(jīng)開(kāi)始使用Windows CE/Windows Mobile/Linux/黑莓系統(tǒng)的專用終端進(jìn)行移動(dòng)業(yè)務(wù)處理。相應(yīng)的移動(dòng)安全管理技術(shù),都是針對(duì)特定終端型號(hào)、特定操作系統(tǒng)、特定業(yè)務(wù)場(chǎng)景提供的封閉技術(shù)。
? ? 2012年~2015年,發(fā)展期。表現(xiàn)為配發(fā)通用終端(COPE)為主+基于移動(dòng)設(shè)備管理(MDM)的通用安全管理系統(tǒng)的搭配:以iOS和Android的成熟開(kāi)始,通過(guò)使用標(biāo)準(zhǔn)化的操作系統(tǒng)級(jí)安全管理接口,MDM/EMM平臺(tái)能夠?qū)Ω鞣N終端進(jìn)行基于設(shè)備級(jí)管理為基礎(chǔ)的安全管理,從而使得企業(yè)可以采購(gòu)消費(fèi)類移動(dòng)終端,結(jié)合軟件平臺(tái)實(shí)現(xiàn)定制化的管控能力。這一階段傳統(tǒng)面向消費(fèi)類應(yīng)用的代碼級(jí)應(yīng)用加固和檢測(cè)以及殺毒技術(shù)在企業(yè)環(huán)境中也得到了一些應(yīng)用,但技術(shù)應(yīng)用面很窄,大多偏向于單點(diǎn)的、孤立的系統(tǒng)安全,不具備大規(guī)模復(fù)制的能力。
? ? 2015年至今,優(yōu)化期。這一階段表現(xiàn)為以使用個(gè)人移動(dòng)設(shè)備(BYOD)+基于移動(dòng)應(yīng)用管理(MAM)系統(tǒng)的搭配:與上一階段的最大區(qū)別是,用戶更加注重隱私和使用體驗(yàn),大多數(shù)場(chǎng)景下以使用自有設(shè)備(BYOD)為主,輔以配發(fā)設(shè)備,出于用戶體驗(yàn)和管理復(fù)雜度考慮,不能進(jìn)行基于設(shè)備級(jí)的安全管理,對(duì)于潛在的應(yīng)用級(jí)威脅缺少預(yù)防和處置手段,急需以應(yīng)用為中心,整合各種安全能力構(gòu)建完整的業(yè)務(wù)安全管理體系。
【技術(shù)方案趨勢(shì)】
? ? 基于以上情況,中國(guó)的移動(dòng)安全將遠(yuǎn)超傳統(tǒng)意義上的系統(tǒng)安全概念,需要基于移動(dòng)安全和管理為客戶提供整體移動(dòng)化賦能解決方案和服務(wù),本質(zhì)上是對(duì)業(yè)務(wù)移動(dòng)化賦能。相應(yīng)的,移動(dòng)安全方案更強(qiáng)調(diào)與業(yè)務(wù)整合的能力,而且不僅是某一個(gè)特定的安全能力,還需要一整套完整的安全框架,整合所有業(yè)務(wù)移動(dòng)化需要的安全能力。
? ? 出于業(yè)務(wù)快速迭代和保障用戶體驗(yàn)的考慮,還需要將安全能力快速、無(wú)縫內(nèi)嵌到業(yè)務(wù)中,而不能影響甚至阻礙業(yè)務(wù)的開(kāi)展推廣,這就需要具備先進(jìn)的移動(dòng)應(yīng)用管理技術(shù),根據(jù)業(yè)務(wù)上下文智能識(shí)別安全風(fēng)險(xiǎn),并結(jié)合人工智能、大數(shù)據(jù)技術(shù),以安全的智能化,支持業(yè)務(wù)的智能化。
因此,這種移動(dòng)業(yè)務(wù)安全架構(gòu)需要能夠從單點(diǎn)擴(kuò)展到全局,從整體、系統(tǒng)上來(lái)把握安全態(tài)勢(shì);同時(shí)打通并關(guān)聯(lián)數(shù)據(jù),發(fā)現(xiàn)異常行為并進(jìn)行阻斷與保護(hù),緊密貼合新型IT環(huán)境下的移動(dòng)業(yè)務(wù)系統(tǒng),更好地滿足各行業(yè)的移動(dòng)安全需求。
二、移動(dòng)業(yè)務(wù)安全架構(gòu)的定義
? ? 移動(dòng)業(yè)務(wù)安全架構(gòu)(移動(dòng)業(yè)務(wù)安全架構(gòu))是指:基于虛擬化、移動(dòng)操作系統(tǒng)、移動(dòng)安全、數(shù)據(jù)分析等相關(guān)技術(shù),通過(guò)多種安全機(jī)制和技術(shù)管理手段,在保障網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用及數(shù)據(jù)安全性的同時(shí),快速建立起一個(gè)處于可信環(huán)境下,協(xié)調(diào)互通、靈活易用并能夠?qū)崿F(xiàn)快速工作交付的移動(dòng)信息系統(tǒng),最大化移動(dòng)信息系統(tǒng)的使用效率和效果的網(wǎng)絡(luò)安全新架構(gòu)。
? ? ?圖1:移動(dòng)業(yè)務(wù)安全架構(gòu)架構(gòu)概覽
? ? 一套完整的移動(dòng)業(yè)務(wù)安全架構(gòu)解決方案具備如下特征:
? √ 以業(yè)務(wù)安全為切入點(diǎn),以移動(dòng)終端上的操作系統(tǒng)為實(shí)施平臺(tái)(但不限于特定的操作系統(tǒng)),以應(yīng)用和數(shù)據(jù)安全為中心,結(jié)合云計(jì)算、移動(dòng)端容器化技術(shù)、物聯(lián)網(wǎng)技術(shù)、數(shù)據(jù)分析技術(shù)復(fù)合而成的,為無(wú)邊界的網(wǎng)絡(luò)新環(huán)境,打造安全、高效的移動(dòng)業(yè)務(wù)環(huán)境。
? √ 強(qiáng)調(diào)為業(yè)務(wù)移動(dòng)化賦能,而不僅僅是保護(hù)IT安全,更是要通過(guò)安全手段與相關(guān)機(jī)制,幫助用戶建立起移動(dòng)業(yè)務(wù)的入口,并能夠?qū)崿F(xiàn)快速的工作交付,打通業(yè)務(wù)分發(fā)、保護(hù)、迭代、監(jiān)管及優(yōu)化的移動(dòng)化全流程。
? √ 在移動(dòng)端提供普適的虛擬安全域(VSA),實(shí)現(xiàn)公私隔離、數(shù)據(jù)防泄露、運(yùn)行環(huán)境和應(yīng)用狀態(tài)監(jiān)測(cè)等;在后臺(tái),提供以BYOD為主體、全場(chǎng)景支持的統(tǒng)一移動(dòng)安全賦能平臺(tái),實(shí)現(xiàn)遠(yuǎn)程的動(dòng)態(tài)安全策略、合規(guī)性管理、異常行為遠(yuǎn)程處置以及安全態(tài)勢(shì)感知分析,形成云、管、端一體化的新型移動(dòng)安全業(yè)務(wù)體系架構(gòu)。
三、移動(dòng)業(yè)務(wù)安全架構(gòu)的理念和目標(biāo)
1.?移動(dòng)業(yè)務(wù)安全架構(gòu)的核心理念
1.1支撐彈性架構(gòu),交付敏捷業(yè)務(wù)?
云計(jì)算與移動(dòng)互聯(lián)網(wǎng)的發(fā)展,加強(qiáng)了用戶對(duì)敏捷IT的需求,而傳統(tǒng)的頂層設(shè)計(jì)機(jī)制在這種快速迭代技術(shù)環(huán)境下遇到了很大的問(wèn)題。新的移動(dòng)業(yè)務(wù)架構(gòu)需要簡(jiǎn)化應(yīng)用環(huán)境的準(zhǔn)備、部署和運(yùn)維,形成彈性的IT架構(gòu)、支持敏捷的業(yè)務(wù)交付成為滿足用戶需求的主流選擇,而移動(dòng)業(yè)務(wù)安全架構(gòu)可以有力的支撐彈性架構(gòu)的建立。
1.2業(yè)務(wù)融合安全,實(shí)現(xiàn)安全閉環(huán)
傳統(tǒng)的業(yè)務(wù)安全多采用補(bǔ)充和加固方法,這樣不僅滯后而且被動(dòng),容易陷入“治標(biāo)不治本”的局面。隨著系統(tǒng)復(fù)雜性的增加,傳統(tǒng)安全機(jī)制更加捉襟見(jiàn)肘。移動(dòng)業(yè)務(wù)安全架構(gòu)將安全整合在IT架構(gòu)中,在移動(dòng)端上圍繞業(yè)務(wù)應(yīng)用實(shí)現(xiàn)快速整合并融合在業(yè)務(wù)中,能夠?qū)崿F(xiàn)彈性架構(gòu)的安全交付,并形成契合業(yè)務(wù)上下文的自適應(yīng)安全服務(wù)能力。
1.3軟件定義安全,優(yōu)化業(yè)務(wù)體驗(yàn)
不同行業(yè)和場(chǎng)景的移動(dòng)業(yè)務(wù)系統(tǒng)差異較大,而幫助用戶建立移動(dòng)IT架構(gòu)的供應(yīng)商各有特點(diǎn),很難形成標(biāo)準(zhǔn)模式。移動(dòng)業(yè)務(wù)安全架構(gòu)從安全管理的角度切入,在一定程度上屏蔽業(yè)務(wù)系統(tǒng)的復(fù)雜性,簡(jiǎn)化業(yè)務(wù)邏輯,能夠在保證用戶隱私的前提下,持續(xù)改善安全服務(wù)的用戶體驗(yàn)。
2.?移動(dòng)業(yè)務(wù)安全架構(gòu)的架構(gòu)目標(biāo)
業(yè)務(wù)安全賦能:在移動(dòng)化業(yè)務(wù)和安全融合的大趨勢(shì)下,通過(guò)移動(dòng)業(yè)務(wù)安全架構(gòu)架構(gòu)對(duì)業(yè)務(wù)移動(dòng)化實(shí)踐進(jìn)行安全賦能;
可靠安全服務(wù):基于業(yè)務(wù)需求和安全技術(shù),提供契合業(yè)務(wù)上下文的自適應(yīng)安全服務(wù)能力;
敏捷安全交付:在移動(dòng)化業(yè)務(wù)快速迭代的要求下,簡(jiǎn)化業(yè)務(wù)應(yīng)用環(huán)境的準(zhǔn)備、部署和運(yùn)維,形成敏捷的安全業(yè)務(wù)交付能力;
保障安全體驗(yàn):在保證用戶隱私的前提下,持續(xù)改善安全服務(wù)的用戶體驗(yàn)。
圖2:移動(dòng)業(yè)務(wù)安全架構(gòu)架構(gòu)目標(biāo)
四、技術(shù)原理及實(shí)現(xiàn)
1. 移動(dòng)業(yè)務(wù)安全架構(gòu)總體架構(gòu)
移動(dòng)業(yè)務(wù)安全架構(gòu)(移動(dòng)業(yè)務(wù)安全架構(gòu))由通用技術(shù)棧、自適應(yīng)安全體系、移動(dòng)應(yīng)用組件、移動(dòng)化業(yè)務(wù)組件和工具集構(gòu)成。
圖3:移動(dòng)業(yè)務(wù)安全架構(gòu)總體架構(gòu)
? ? 移動(dòng)業(yè)務(wù)安全架構(gòu)架構(gòu)滿足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)測(cè)要求》(等保2.0)的要求,可通過(guò)安全審計(jì)和移動(dòng)終端的狀態(tài)檢測(cè)與資源優(yōu)化等體系化技術(shù)手段實(shí)現(xiàn)移動(dòng)應(yīng)用和數(shù)據(jù)、移動(dòng)終端、網(wǎng)絡(luò)通信和服務(wù)端的安全。
通用技術(shù)棧是架構(gòu)的基礎(chǔ),通過(guò)VSA、安全網(wǎng)關(guān)、移動(dòng)平臺(tái)技術(shù)提供移動(dòng)端的沙箱能力、傳輸側(cè)的安全能力、云端后臺(tái)的基礎(chǔ)能力。自適應(yīng)安全體系是架構(gòu)的關(guān)鍵支撐,提供支撐業(yè)務(wù)和應(yīng)用安全的預(yù)測(cè)、保護(hù)、檢測(cè)和響應(yīng)機(jī)制及措施。面向不同行業(yè)和場(chǎng)景的辦公協(xié)作、資產(chǎn)管理、客服服務(wù)等業(yè)務(wù),對(duì)各類移動(dòng)應(yīng)用進(jìn)行安全賦能。工具集提供產(chǎn)品、服務(wù)和實(shí)施指導(dǎo),為移動(dòng)業(yè)務(wù)安全保駕護(hù)航。
2. 移動(dòng)業(yè)務(wù)安全架構(gòu)功能組件
2.1 通用技術(shù)棧
負(fù)責(zé)移動(dòng)業(yè)務(wù)的適配、業(yè)務(wù)流程編排和一些定制開(kāi)發(fā)工作,可以快速實(shí)現(xiàn)現(xiàn)有業(yè)務(wù)帶有安全屬性的移動(dòng)化,并與移動(dòng)安全網(wǎng)關(guān)一起實(shí)現(xiàn)訪問(wèn)用戶的統(tǒng)一身份認(rèn)證。相關(guān)技術(shù)主要包括:VSA技術(shù)、安全網(wǎng)關(guān)技術(shù)、移動(dòng)化平臺(tái)技術(shù)。
VSA(Virtual Security Area)?是一個(gè)集合了沙箱(虛擬運(yùn)行環(huán)境)和容器(精簡(jiǎn)系統(tǒng)功能)技術(shù)的,位于移動(dòng)操作系統(tǒng)之上的安全域。移動(dòng)APP在安全域中運(yùn)行的時(shí)候,不會(huì)直接和系統(tǒng)通訊。當(dāng)APP調(diào)用系統(tǒng)功能的時(shí)候,實(shí)際上調(diào)用的是VSA從系統(tǒng)中獲取的相關(guān)能力。
這項(xiàng)技術(shù)是在不需要修改移動(dòng)應(yīng)用(APP)源代碼的情況下,通過(guò)在APP的外部罩上一個(gè)“殼”,并限制APP在一個(gè)虛擬的運(yùn)行空間運(yùn)行,以監(jiān)控和管理應(yīng)用的各種操作,實(shí)現(xiàn)安全防護(hù)的目的。通過(guò)VSA技術(shù),可將相同安全等級(jí)和相同安全需求的應(yīng)用放在一個(gè)邏輯組內(nèi),方便對(duì)其使用同一個(gè)安全訪問(wèn)控制策略,如同形成了一個(gè)安全區(qū)域,“虛擬安全域”的名稱就來(lái)自于此。
圖4:VSA工作原理
? ? 企業(yè)的移動(dòng)辦公應(yīng)用經(jīng)過(guò)移動(dòng)應(yīng)用安全平臺(tái)(MOS)發(fā)布后,通過(guò)虛擬安全域(VSA)與移動(dòng)安全網(wǎng)關(guān)之間建立的安全接入隧道,連接到內(nèi)?業(yè)務(wù)后臺(tái)。移動(dòng)安全網(wǎng)關(guān)與MOS互相配合,綜合身份準(zhǔn)入、配置管理、訪問(wèn)審計(jì)和通訊加密等安全功能,是整個(gè)移動(dòng)業(yè)務(wù)安全架構(gòu)方案的安全通道和傳輸樞紐。
移動(dòng)端基于VSA的雙域隔離實(shí)現(xiàn)了數(shù)據(jù)防泄露,在確保移動(dòng)安全的同時(shí)進(jìn)行隱私保護(hù)。移動(dòng)安全網(wǎng)關(guān)實(shí)現(xiàn)應(yīng)用級(jí)身份認(rèn)證、加密傳輸和安全審計(jì)。這些作為移動(dòng)業(yè)務(wù)安全架構(gòu)的核心技術(shù)能力,為移動(dòng)應(yīng)用構(gòu)建、安全賦能、生命周期管理提供服務(wù)支撐。
圖5:移動(dòng)安全?關(guān)工作原理
? ? 移動(dòng)化平臺(tái)提供基礎(chǔ)技術(shù)支撐,提供面向終端、應(yīng)用、門戶的技術(shù)能力,主要包括遠(yuǎn)程控制、設(shè)備管理、應(yīng)用建模、元數(shù)據(jù)管理、認(rèn)證鑒權(quán)、單點(diǎn)登錄等功能。
2.2 自適應(yīng)安全體系
主要包括預(yù)測(cè)、保護(hù)、檢測(cè)、響應(yīng)四部分。
預(yù)測(cè):威脅、行為趨勢(shì)
保護(hù):代碼混淆、白名單、身份認(rèn)證、安全加固、資源加密
檢測(cè):反破解、反模仿、特權(quán)控制、校驗(yàn)、設(shè)備指紋/綁定、上下文驗(yàn)證、反惡意軟件
響應(yīng):弱點(diǎn)恢復(fù)、本質(zhì)修復(fù)、動(dòng)態(tài)準(zhǔn)入修正
2.3?移動(dòng)應(yīng)用組件
?按用途、形態(tài)和來(lái)源劃分,用途上包括移動(dòng)辦公應(yīng)用和其他業(yè)務(wù)應(yīng)用;形態(tài)上包括APP、H5和輕應(yīng)用;來(lái)源上包括自研、第三方和公共應(yīng)用。
2.4 移動(dòng)化業(yè)務(wù)組件
主要包括辦公協(xié)作、資產(chǎn)管理、現(xiàn)場(chǎng)服務(wù)、客戶服務(wù)等內(nèi)容。
2.5 工具集
工具集主要覆蓋產(chǎn)品、服務(wù)和實(shí)施領(lǐng)域的相關(guān)內(nèi)容。產(chǎn)品主要包括EMM、MOS、數(shù)據(jù)集成、態(tài)勢(shì)感知等。服務(wù)主要包括移動(dòng)安全規(guī)劃和咨詢、終端適配、安全集成、安全運(yùn)維等。
3. 移動(dòng)業(yè)務(wù)安全架構(gòu)架構(gòu)實(shí)現(xiàn)邏輯
圖6:移動(dòng)業(yè)務(wù)安全架構(gòu)架構(gòu)實(shí)現(xiàn)邏輯
? ? 移動(dòng)業(yè)務(wù)安全架構(gòu)的整體實(shí)現(xiàn)過(guò)程是基于通用技術(shù)平臺(tái),以滿足移動(dòng)化業(yè)務(wù)需求為目標(biāo),構(gòu)建服務(wù)移動(dòng)應(yīng)用的安全能力,提供工具集實(shí)現(xiàn)快速構(gòu)建與交付,構(gòu)建起完整的應(yīng)用安全技術(shù)服務(wù)體系。滿足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)測(cè)要求》(等保2.0)的要求。
為確保最終用戶的體驗(yàn),同時(shí)保護(hù)用戶個(gè)人隱私,安全能力需要與業(yè)務(wù)緊密融合,實(shí)現(xiàn)基于業(yè)務(wù)上下文的精準(zhǔn)保護(hù),并且隨著業(yè)務(wù)的持續(xù)開(kāi)展,在安全能力上也能夠?qū)崿F(xiàn)按需交付,不會(huì)阻礙用戶的正常使用。
? ? 從上層業(yè)務(wù)角度看,移動(dòng)化業(yè)務(wù)的體現(xiàn)是各類移動(dòng)應(yīng)用,業(yè)務(wù)的迭代需要體現(xiàn)在移動(dòng)應(yīng)用的迭代中,這就需要相應(yīng)的工具集來(lái)提供快速構(gòu)建和交付的能力。
? ? 在具體業(yè)務(wù)場(chǎng)景中,通用技術(shù)棧提供底層業(yè)務(wù)安全能力,實(shí)現(xiàn)對(duì)業(yè)務(wù)安全威脅和行為趨勢(shì)的預(yù)測(cè);通過(guò)加固加密手段預(yù)防業(yè)務(wù)安全隱患;通過(guò)漏洞掃描等檢測(cè)手段對(duì)安全問(wèn)題進(jìn)行管控;通過(guò)脆弱性恢復(fù)、動(dòng)態(tài)準(zhǔn)入調(diào)整等手段實(shí)現(xiàn)及時(shí)響應(yīng)。整個(gè)過(guò)程中,最終交付的安全能力要與業(yè)務(wù)融合,但對(duì)于業(yè)務(wù)載體的移動(dòng)應(yīng)用而言,附加安全能力的過(guò)程需要實(shí)現(xiàn)代碼解耦,即不能要求每一個(gè)移動(dòng)應(yīng)用都在開(kāi)發(fā)過(guò)程中進(jìn)行代碼級(jí)更改以支持安全能力,由此才能支撐整體業(yè)務(wù)的快速迭代和快速交付。
五、應(yīng)用場(chǎng)景
? ? 業(yè)務(wù)移動(dòng)化的市場(chǎng)遍布各主要行業(yè),包括軍隊(duì)、公安、制造、能源、金融、政府、交通運(yùn)輸、TMT、快消、地產(chǎn)、醫(yī)療、教育、服務(wù)業(yè)等,不同行業(yè)移動(dòng)化成熟度差異較大,但核心由兩個(gè)場(chǎng)景構(gòu)成:業(yè)務(wù)線(LOB)移動(dòng)化與移動(dòng)辦公協(xié)同。
? ? 過(guò)去這兩個(gè)場(chǎng)景的系統(tǒng)搭建是獨(dú)立的,但現(xiàn)在越來(lái)越多的企業(yè)傾向于采用統(tǒng)一的平臺(tái)提供全面的服務(wù)保障。由此對(duì)安全管理的需求就不再只局限于設(shè)備管理,而是擴(kuò)展到了更多的場(chǎng)景:
A類-安全合規(guī)類需求:如等保合規(guī)需求;
B類-資產(chǎn)保護(hù)類需求:如知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密防泄露需求;
C類-運(yùn)維管理類需求:如遠(yuǎn)程配置、資產(chǎn)管理需求,還包括大量無(wú)人值守的智能終端業(yè)務(wù)運(yùn)維場(chǎng)景;
D類-業(yè)務(wù)服務(wù)類需求:如移動(dòng)門戶、統(tǒng)一應(yīng)用商店、無(wú)紙化會(huì)議等需求,此類需求主要是由業(yè)務(wù)轉(zhuǎn)型創(chuàng)新驅(qū)動(dòng)。
? ? 在傳統(tǒng)的安全語(yǔ)境中,A類需求是主導(dǎo),但現(xiàn)在B類、C類、D類正逐漸發(fā)展成為移動(dòng)安全管理的重要驅(qū)動(dòng)力。
1. 安全合規(guī)類——等保2.0規(guī)范貫標(biāo)
【背景】
? ? 隨著《網(wǎng)絡(luò)安全法》的頒布實(shí)施,原有的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)也相應(yīng)調(diào)整升級(jí)。新的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》明確了“移動(dòng)互聯(lián)安全擴(kuò)展要求”部分。新增要求從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、安全建設(shè)管理、安全運(yùn)維管理等方面對(duì)移動(dòng)安全防護(hù)提出了要求。
【問(wèn)題需求】
? ? 傳統(tǒng)的針對(duì)網(wǎng)絡(luò)、終端、服務(wù)器和業(yè)務(wù)應(yīng)用系統(tǒng)的信息安全措施已相對(duì)完善。隨著移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展,傳統(tǒng)業(yè)務(wù)應(yīng)用開(kāi)始向移動(dòng)端遷移,但與業(yè)務(wù)和應(yīng)用移動(dòng)化趨勢(shì)相適應(yīng)的的移動(dòng)安全卻成為一塊短板,對(duì)企業(yè)移動(dòng)應(yīng)用的發(fā)展形成威脅。這些威脅主要來(lái)自移動(dòng)應(yīng)用軟件、移動(dòng)終端、網(wǎng)絡(luò)通信和服務(wù)端。移動(dòng)安全防護(hù)需求與日俱增。
【功能組件】
? ? 從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、安全建設(shè)管理、安全運(yùn)維管理等方面對(duì)照等保2.0要求貫標(biāo),主要功能包括:
? 移動(dòng)安全網(wǎng)絡(luò)設(shè)備貫標(biāo)
? 移動(dòng)應(yīng)用軟件防護(hù)貫標(biāo)
? 移動(dòng)終端防護(hù)貫標(biāo)
? 移動(dòng)應(yīng)用服務(wù)端防護(hù)貫標(biāo)
? 移動(dòng)安全運(yùn)維貫標(biāo)
? 數(shù)據(jù)防泄露(DLP)保護(hù)
? 數(shù)據(jù)加密與密碼保護(hù)
? 身份鑒別及應(yīng)用數(shù)據(jù)管理
? 安全事件審計(jì)與分析
2.?資產(chǎn)保護(hù)類——制造業(yè)手機(jī)防泄密
【背景】
?? ?高科技制造企業(yè)在設(shè)計(jì)、生產(chǎn)、制造、工藝流程等方面通常具備獨(dú)特的技術(shù)方法。在移動(dòng)智能設(shè)備普及、提倡個(gè)性的90后員工大量上崗的背景下,不論在廠區(qū)還是辦公室,都會(huì)存在不同程度的信息泄露問(wèn)題,泄露的主要方式包括通過(guò)手機(jī)進(jìn)行拍照、截圖、敏感文件和數(shù)據(jù)外泄等。
【問(wèn)題需求】
? ? 為避免信息泄露,禁用手機(jī)、采購(gòu)功能機(jī)以及破壞攝像頭等措施無(wú)法充分利用移動(dòng)設(shè)備的能力,阻礙企業(yè)的數(shù)字化轉(zhuǎn)型。在推進(jìn)業(yè)務(wù)移動(dòng)化的進(jìn)程中,廠區(qū)關(guān)鍵區(qū)域、移動(dòng)辦公的敏感信息極易泄露,導(dǎo)致無(wú)法估計(jì)的損失。為此大型制造企業(yè)經(jīng)常需要批量采購(gòu)定制移動(dòng)終端,并且從制度上嚴(yán)令禁止在廠區(qū)內(nèi)使用手機(jī)。
【功能組件】
? ? 為大型制造企業(yè)提供移動(dòng)終端的安全防護(hù)和應(yīng)用管控,改善廠區(qū)員工的移動(dòng)化體驗(yàn),主要功能包括:
?設(shè)置安全區(qū)域匹配安全策略
?設(shè)置地理圍欄和時(shí)間圍欄
?設(shè)置與門禁集成的電子圍欄
?安全區(qū)域內(nèi)攝像頭禁用
?數(shù)據(jù)防泄露(DLP)保護(hù)措施
?移動(dòng)終端應(yīng)用白名單
?移動(dòng)應(yīng)用敏感數(shù)據(jù)加密
?保證加密傳輸和安全認(rèn)證的移動(dòng)安全網(wǎng)關(guān)
3. 業(yè)務(wù)服務(wù)類——移動(dòng)辦公(BYOD)
【背景】
隨著企業(yè)信息化建設(shè)的快速發(fā)展,業(yè)務(wù)系統(tǒng)所提供的服務(wù)內(nèi)容和形式迅速延伸,傳統(tǒng)封閉的內(nèi)網(wǎng)辦公模式已無(wú)法滿足移動(dòng)業(yè)務(wù)發(fā)展的需求。移動(dòng)互聯(lián)網(wǎng)應(yīng)用接入、智能終端遠(yuǎn)程辦公、員工使用自帶移動(dòng)智能設(shè)備辦公等多樣化的辦公需求逐漸增加。
【問(wèn)題需求】
當(dāng)前使用自帶設(shè)備進(jìn)行移動(dòng)辦公(BYOD)的理念正逐漸深入人心,但實(shí)踐中未能廣泛落地,其核心問(wèn)題在于傳統(tǒng)的以設(shè)備管理為中心的安全方案難以兼顧企業(yè)信息管理和用戶體驗(yàn)。因此急需以業(yè)務(wù)服務(wù)為中心,充分適應(yīng)BYOD的發(fā)展趨勢(shì),輕量可擴(kuò)展、開(kāi)箱即用的移動(dòng)辦公安全解決方案。
【功能組件】
? ? 面向BYOD的移動(dòng)安全辦公空間能夠兼顧用戶體驗(yàn)和移動(dòng)辦公安全防護(hù),主要功能包括:
?用于推送和安裝應(yīng)用的移動(dòng)應(yīng)用商店
?實(shí)現(xiàn)辦公與個(gè)人數(shù)據(jù)隔離的安全工作空間
?數(shù)據(jù)防泄露(DLP)保護(hù)措施
?企業(yè)應(yīng)用準(zhǔn)入控制
?工作區(qū)品牌化界面
?安全的移動(dòng)辦公組件,包括安全郵件、安全瀏覽器、安全云盤
?保證加密傳輸和安全認(rèn)證的移動(dòng)安全網(wǎng)關(guān)