需求場(chǎng)景

隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速，遠(yuǎn)程辦公、移動(dòng)辦公和混合辦公模式越來(lái)越普遍，因此企業(yè)大部分資源會(huì)放在云上，但僅依靠網(wǎng)絡(luò)邊界的方式，會(huì)使得效率變得低下，同時(shí)也會(huì)給企業(yè)帶來(lái)一系列互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。面對(duì)網(wǎng)絡(luò)安全威脅變化和網(wǎng)絡(luò)邊界泛化模糊的新形勢(shì)，以“從不信任，始終驗(yàn)證”為基本原則的零信任架構(gòu)應(yīng)運(yùn)而生。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）將零信任安全定義為“一組不斷發(fā)展的網(wǎng)絡(luò)安全范式，將防御從靜態(tài)的、基于網(wǎng)絡(luò)邊界轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源的領(lǐng)域”。

需求分析

· 隨著企業(yè)的發(fā)展，員工數(shù)量也在逐年增加，組織架構(gòu)和人員結(jié)構(gòu)可能存在較為復(fù)雜的情況，員工信息化水平參差不齊，可能導(dǎo)致訪問(wèn)權(quán)限被濫用。為保證用戶在系統(tǒng)安全策略下正常工作，拒絕合法用戶越權(quán)的服務(wù)請(qǐng)求和非法用戶的非授權(quán)訪問(wèn)請(qǐng)求，需要進(jìn)行細(xì)粒度的授權(quán)管理，進(jìn)而確保人員和設(shè)備都是安全可信的。

· 企業(yè)移動(dòng)業(yè)務(wù)不斷開展，網(wǎng)絡(luò)暴露面逐漸增多，先建立連接再進(jìn)行用戶認(rèn)證的傳統(tǒng)網(wǎng)絡(luò)通信防護(hù)方式，存在較多的安全風(fēng)險(xiǎn)，如端口惡意掃描和拒絕服務(wù)攻擊等，需要收斂暴露面減少攻擊面，建設(shè)先認(rèn)證再連接的網(wǎng)絡(luò)安全隧道，保障移動(dòng)業(yè)務(wù)網(wǎng)絡(luò)通信的機(jī)密性和完整性。

· 企業(yè)員工使用個(gè)人自帶設(shè)備進(jìn)行移動(dòng)辦公時(shí)，移動(dòng)應(yīng)用會(huì)運(yùn)行在復(fù)雜的環(huán)境中，風(fēng)險(xiǎn)威脅可能隨時(shí)發(fā)生，從而無(wú)法保障移動(dòng)應(yīng)用的安全可靠運(yùn)行，也不能及時(shí)根據(jù)風(fēng)險(xiǎn)情況動(dòng)態(tài)調(diào)整用戶授權(quán)和訪問(wèn)控制狀態(tài)，需要按照零信任理念，構(gòu)建持續(xù)監(jiān)測(cè)機(jī)制和動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限的能力。

· 一般企業(yè)對(duì)于日益嚴(yán)峻的移動(dòng)安全威脅，雖然采用了一些安全防護(hù)手段，但基本是單一的、孤立的，缺乏整體的、統(tǒng)一的全生命周期防護(hù)，不能形成基于移動(dòng)終端、移動(dòng)應(yīng)用和通信網(wǎng)絡(luò)的縱深防護(hù)體系，更不能對(duì)移動(dòng)業(yè)務(wù)敏感數(shù)據(jù)進(jìn)行全生命周期保護(hù)，無(wú)法做到基于零信任的持續(xù)檢測(cè)與響應(yīng)的長(zhǎng)效動(dòng)態(tài)機(jī)制。

解決方案

新冠疫情的影響，導(dǎo)致企業(yè)遠(yuǎn)程辦公需求激增，上訊信息結(jié)合實(shí)際的應(yīng)用場(chǎng)景，對(duì)傳統(tǒng)的邊界防護(hù)體系進(jìn)行改造升級(jí)，構(gòu)建更加適應(yīng)企業(yè)業(yè)務(wù)發(fā)展的零信任移動(dòng)安全防護(hù)體系，通過(guò)提供安全可信訪問(wèn)、網(wǎng)絡(luò)安全傳輸、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制等能力，保障企業(yè)移動(dòng)業(yè)務(wù)安全高效開展。

· 安全可信訪問(wèn)：采用單包敲門技術(shù)，實(shí)現(xiàn)系統(tǒng)自身網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用隱藏，僅允許可信設(shè)備及應(yīng)用的授權(quán)用戶看到并訪問(wèn)被保護(hù)的業(yè)務(wù)服務(wù)，收斂網(wǎng)絡(luò)暴露攻擊面，提升移動(dòng)業(yè)務(wù)訪問(wèn)防護(hù)強(qiáng)度。

· 網(wǎng)絡(luò)安全傳輸：針對(duì)移動(dòng)應(yīng)用APP訪問(wèn)業(yè)務(wù)服務(wù)，采用應(yīng)用級(jí)雙向認(rèn)證安全隧道技術(shù)，以及基于用戶、設(shè)備、應(yīng)用、微應(yīng)用、服務(wù)和接口的細(xì)粒度最小化授權(quán)，保障移動(dòng)業(yè)務(wù)通信安全。

· 持續(xù)信任評(píng)估：基于ATT&CK威脅框架，針對(duì)多端設(shè)備、用戶、應(yīng)用和網(wǎng)絡(luò)，實(shí)時(shí)監(jiān)測(cè)風(fēng)險(xiǎn)IOC和IOA指標(biāo)，持續(xù)進(jìn)行多維度、智能化關(guān)聯(lián)分析和信任評(píng)估，并動(dòng)態(tài)調(diào)整權(quán)限以及聯(lián)動(dòng)響應(yīng)處置。

· 動(dòng)態(tài)訪問(wèn)控制：從終端用戶、終端設(shè)備、移動(dòng)應(yīng)用和網(wǎng)絡(luò)通信維度，進(jìn)行持續(xù)性威脅風(fēng)險(xiǎn)監(jiān)測(cè)，感知移動(dòng)業(yè)務(wù)整體安全態(tài)勢(shì)，實(shí)時(shí)評(píng)估可信程度，實(shí)現(xiàn)一體化細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制體系。

· 全生命周期防護(hù)：基于零信任安全架構(gòu)，結(jié)合平臺(tái)安全檢測(cè)、安全加固、安全沙箱、設(shè)備管理等移動(dòng)安全防護(hù)能力，提供移動(dòng)用戶、移動(dòng)應(yīng)用、網(wǎng)絡(luò)通信、業(yè)務(wù)數(shù)據(jù)等方面的全周期防護(hù)。

方案優(yōu)勢(shì)

上訊信息移動(dòng)安全防護(hù)方案，遵循零信任安全架構(gòu)，采用檢測(cè)與響應(yīng)的自適應(yīng)機(jī)制，通過(guò)安全檢測(cè)加固、設(shè)備安全管控、安全沙箱隔離、風(fēng)險(xiǎn)威脅監(jiān)測(cè)、安全隧道通信和數(shù)據(jù)泄露防護(hù)等功能，構(gòu)建一體化、自動(dòng)化、全周期的零信任移動(dòng)安全防護(hù)體系，實(shí)現(xiàn)移動(dòng)業(yè)務(wù)的全周期安全防護(hù)，保障移動(dòng)業(yè)務(wù)的安全運(yùn)行和高效開展。