安全挑戰(zhàn)
隨著移動互聯(lián)網(wǎng)的快速發(fā)展與5G技術(shù)的應(yīng)用落地,智能終端迅速普及,,以手機,、平板電腦為代表的個人智能終端設(shè)備逐漸成為企業(yè)辦公、企業(yè)信息傳遞的重要終端平臺,。通過移動終端連接企業(yè)或單位內(nèi)網(wǎng),、處理移動辦公業(yè)務(wù)、傳播企業(yè)數(shù)據(jù)信息等行為使得傳統(tǒng)的網(wǎng)絡(luò)邊界變得模糊不清,,復(fù)雜多樣,,加劇了企業(yè)安全風(fēng)險的引入。
2020初IDC預(yù)測,,全球移動辦公人群數(shù)量可達8億,,實際上,由于新冠疫情的原因,,這個數(shù)字被遠遠超越,。家庭版辦公,、異地辦公、隔離辦公越來越成為必須的辦公場景,。
然而,,辦公移動化在提高工作效率的同時,也為內(nèi)網(wǎng)安全打開了新的風(fēng)險敞口,,面臨著諸多的挑戰(zhàn),。
1.環(huán)境更復(fù)雜
·移動終端連接到酒店、機場的公共無線WiFi,,或者攻擊者設(shè)置的釣魚WiFi,,攻擊者可以通過中間人攻擊等手段獲取敏感數(shù)據(jù)。
·移動終端被越獄/Root,,或者感染了病毒,,導(dǎo)致敏感數(shù)據(jù)在終端落地時被竊取。
·2013年路透社披露,,美國國家安全局在國際通用的RSA加密算法中放置后門,,企業(yè)在移動數(shù)據(jù)傳輸加密過程要考慮對國產(chǎn)化密碼算法的支持。
2.終端難管理
·移動終端設(shè)備和操作系統(tǒng)碎片化嚴(yán)重,,如何保證安全策略的一致性,、如何在一個統(tǒng)一的平臺上管理各種設(shè)備?
·個人自帶設(shè)備上既有個人應(yīng)用,,又有單位數(shù)據(jù)和應(yīng)用,,如何明確區(qū)分并隔離移動終端上的企業(yè)/私人數(shù)據(jù)與應(yīng)用,既確保企業(yè)數(shù)據(jù)安全性又不涉及個人隱私,?
·移動設(shè)備一旦丟失,、被盜,數(shù)據(jù)安全性如何保障,?
3.應(yīng)用不安全
·移動應(yīng)用使用了單一的身份認(rèn)證機制,,難以保證使用者的合法性。
移動應(yīng)用本身存在安全漏洞,、使用了不安全的開源組件、易被逆向破解后植入惡意程序,。
·企業(yè)內(nèi)部應(yīng)用分發(fā)時,,手工方式效率低下,通過互聯(lián)網(wǎng)應(yīng)用商店發(fā)布又可能存在被篡改二次打包的風(fēng)險,,需要有安全便捷的應(yīng)用分發(fā)渠道,。
2019年發(fā)現(xiàn)了四種預(yù)裝后門惡意軟件的入門級智能手機型號,還發(fā)現(xiàn)了三個約會應(yīng)用程序Grindr,、Romeo和Recon包含安全漏洞,,這些漏洞導(dǎo)致暴露用戶的位置。
解決方案
奇安信移動安全解決方案從網(wǎng)絡(luò)環(huán)境安全、移動終端安全,、傳輸信道安全,、移動應(yīng)用安全、數(shù)據(jù)安全等方面,,增強移動業(yè)務(wù)全生命周期的防護能力,,可廣泛應(yīng)用于適合移動政務(wù)、移動辦公,、移動醫(yī)療,、移動展業(yè)、移動金融,、制造業(yè),、物聯(lián)網(wǎng)等多種應(yīng)用場景。
方案架構(gòu)如下圖所示:
1.移動可信環(huán)境感知系統(tǒng)
采用大數(shù)據(jù)分析和人工智能技術(shù)對用戶,、設(shè)備,、環(huán)境屬性等訪問上下文進行感知和建模,實現(xiàn)風(fēng)險和信任的持續(xù)度量,。
對終端進行數(shù)據(jù)收集,、行為分析、風(fēng)險評估,,感知終端環(huán)境風(fēng)險,。
2.移動應(yīng)用自防護系統(tǒng)
通過封裝(Wrapping)技術(shù)將自身多種安全技術(shù)注入到應(yīng)用程序中,與應(yīng)用程序融為一體,,實時監(jiān)測,、阻斷攻擊,使程序自身擁有運行時自保護的能力,。并且應(yīng)用程序無需在編碼時進行任何的修改,,只需進行簡單的配置即可,以此構(gòu)建業(yè)務(wù)App內(nèi)生安全生態(tài)環(huán)境,,保障業(yè)務(wù)App的應(yīng)用安全,、環(huán)境安全和數(shù)據(jù)安全。
3.移動終端安全管理系統(tǒng)
·采用沙箱技術(shù)搭建專用工作區(qū),,實現(xiàn)公私數(shù)據(jù)隔離,,企業(yè)數(shù)據(jù)落地即加密。
·在運行企業(yè)應(yīng)用前對終端環(huán)境進行安全檢測/殺毒,,防范惡意代碼,、通信劫持。
·對終端設(shè)備進行統(tǒng)一管控,,提高終端可控性,。
4.云手機安全管理系統(tǒng)
采用全新的VMI(Virtual Mobile Infrastructure虛擬移動設(shè)施,,與PC云桌面類似)技術(shù),將云計算技術(shù)運用于網(wǎng)絡(luò)終端服務(wù),,通過云服務(wù)器實現(xiàn)云服務(wù)的手機,。
通過創(chuàng)建虛擬手機為企事業(yè)提供APP應(yīng)用平臺,而用戶僅需在手機端安裝奇安信云手機移動客戶端(Android或IOS版本),,并通過該客戶端認(rèn)證鑒權(quán)后,,即可確保員工能夠隨時隨地使用移動設(shè)備訪問企事業(yè)的數(shù)據(jù)和應(yīng)用程序,同時確保企事業(yè)數(shù)據(jù)和應(yīng)用程序的終端零留存不泄露,。
方案部署方式如下圖所示:
應(yīng)用價值
1.提供工作專屬的工作空間,,充分實現(xiàn)公私數(shù)據(jù)隔離。
2.通過專屬的應(yīng)用管理平臺,,實現(xiàn)業(yè)務(wù)應(yīng)用全生命周期安全管控,。
3.針對各種有可能造成數(shù)據(jù)泄密的渠道和方法做了安全的防護措施,確保內(nèi)部業(yè)務(wù)數(shù)據(jù)安全防泄露,。
4.通過奇安信專有的強項殺毒技術(shù),,實現(xiàn)移動終端環(huán)境安全可靠。
5.在通道側(cè)深度集成了SSL-VPN,,移動辦公數(shù)據(jù)全程通過加密通道進行傳輸,,確保在傳輸過程中不被泄露。
6.ID,,進行二次身份驗證實現(xiàn)雙因子認(rèn)證,,同時還可與客戶現(xiàn)有的證書體系對接,確保身份的唯一性,。