安全挑戰(zhàn)

隨著移動互聯網的快速發(fā)展與5G技術的應用落地，智能終端迅速普及，以手機、平板電腦為代表的個人智能終端設備逐漸成為企業(yè)辦公、企業(yè)信息傳遞的重要終端平臺。通過移動終端連接企業(yè)或單位內網、處理移動辦公業(yè)務、傳播企業(yè)數據信息等行為使得傳統(tǒng)的網絡邊界變得模糊不清，復雜多樣，加劇了企業(yè)安全風險的引入。

2020初IDC預測，全球移動辦公人群數量可達8億，實際上，由于新冠疫情的原因，這個數字被遠遠超越。家庭版辦公、異地辦公、隔離辦公越來越成為必須的辦公場景。

然而，辦公移動化在提高工作效率的同時，也為內網安全打開了新的風險敞口，面臨著諸多的挑戰(zhàn)。

1.環(huán)境更復雜

·移動終端連接到酒店、機場的公共無線WiFi，或者攻擊者設置的釣魚WiFi，攻擊者可以通過中間人攻擊等手段獲取敏感數據。

·移動終端被越獄/Root，或者感染了病毒，導致敏感數據在終端落地時被竊取。

·2013年路透社披露，美國國家安全局在國際通用的RSA加密算法中放置后門，企業(yè)在移動數據傳輸加密過程要考慮對國產化密碼算法的支持。

2.終端難管理

·移動終端設備和操作系統(tǒng)碎片化嚴重，如何保證安全策略的一致性、如何在一個統(tǒng)一的平臺上管理各種設備？

·個人自帶設備上既有個人應用，又有單位數據和應用，如何明確區(qū)分并隔離移動終端上的企業(yè)/私人數據與應用，既確保企業(yè)數據安全性又不涉及個人隱私？

·移動設備一旦丟失、被盜，數據安全性如何保障？

3.應用不安全

·移動應用使用了單一的身份認證機制，難以保證使用者的合法性。

移動應用本身存在安全漏洞、使用了不安全的開源組件、易被逆向破解后植入惡意程序。

·企業(yè)內部應用分發(fā)時，手工方式效率低下，通過互聯網應用商店發(fā)布又可能存在被篡改二次打包的風險，需要有安全便捷的應用分發(fā)渠道。

2019年發(fā)現了四種預裝后門惡意軟件的入門級智能手機型號，還發(fā)現了三個約會應用程序Grindr、Romeo和Recon包含安全漏洞，這些漏洞導致暴露用戶的位置。

解決方案

奇安信移動安全解決方案從網絡環(huán)境安全、移動終端安全、傳輸信道安全、移動應用安全、數據安全等方面，增強移動業(yè)務全生命周期的防護能力，可廣泛應用于適合移動政務、移動辦公、移動醫(yī)療、移動展業(yè)、移動金融、制造業(yè)、物聯網等多種應用場景。

方案架構如下圖所示：

1.移動可信環(huán)境感知系統(tǒng)

采用大數據分析和人工智能技術對用戶、設備、環(huán)境屬性等訪問上下文進行感知和建模，實現風險和信任的持續(xù)度量。

對終端進行數據收集、行為分析、風險評估，感知終端環(huán)境風險。

2.移動應用自防護系統(tǒng)

通過封裝（Wrapping）技術將自身多種安全技術注入到應用程序中，與應用程序融為一體，實時監(jiān)測、阻斷攻擊，使程序自身擁有運行時自保護的能力。并且應用程序無需在編碼時進行任何的修改，只需進行簡單的配置即可，以此構建業(yè)務App內生安全生態(tài)環(huán)境，保障業(yè)務App的應用安全、環(huán)境安全和數據安全。

3.移動終端安全管理系統(tǒng)

·采用沙箱技術搭建專用工作區(qū)，實現公私數據隔離，企業(yè)數據落地即加密。

·在運行企業(yè)應用前對終端環(huán)境進行安全檢測/殺毒，防范惡意代碼、通信劫持。

·對終端設備進行統(tǒng)一管控，提高終端可控性。

4.云手機安全管理系統(tǒng)

采用全新的VMI（Virtual Mobile Infrastructure虛擬移動設施，與PC云桌面類似）技術，將云計算技術運用于網絡終端服務，通過云服務器實現云服務的手機。

通過創(chuàng)建虛擬手機為企事業(yè)提供APP應用平臺，而用戶僅需在手機端安裝奇安信云手機移動客戶端（Android或IOS版本），并通過該客戶端認證鑒權后，即可確保員工能夠隨時隨地使用移動設備訪問企事業(yè)的數據和應用程序，同時確保企事業(yè)數據和應用程序的終端零留存不泄露。

方案部署方式如下圖所示：

應用價值

1.提供工作專屬的工作空間，充分實現公私數據隔離。

2.通過專屬的應用管理平臺，實現業(yè)務應用全生命周期安全管控。

3.針對各種有可能造成數據泄密的渠道和方法做了安全的防護措施，確保內部業(yè)務數據安全防泄露。

4.通過奇安信專有的強項殺毒技術，實現移動終端環(huán)境安全可靠。

5.在通道側深度集成了SSL-VPN，移動辦公數據全程通過加密通道進行傳輸，確保在傳輸過程中不被泄露。

6.ID，進行二次身份驗證實現雙因子認證，同時還可與客戶現有的證書體系對接，確保身份的唯一性。