需求場景

隨著企業(yè)數(shù)字化轉型的加速，遠程辦公、移動辦公和混合辦公模式越來越普遍，因此企業(yè)大部分資源會放在云上，但僅依靠網絡邊界的方式，會使得效率變得低下，同時也會給企業(yè)帶來一系列互聯(lián)網安全風險。面對網絡安全威脅變化和網絡邊界泛化模糊的新形勢，以“從不信任，始終驗證”為基本原則的零信任架構應運而生。美國國家標準與技術研究院（NIST）將零信任安全定義為“一組不斷發(fā)展的網絡安全范式，將防御從靜態(tài)的、基于網絡邊界轉移到關注用戶、資產和資源的領域”。

需求分析

· 隨著企業(yè)的發(fā)展，員工數(shù)量也在逐年增加，組織架構和人員結構可能存在較為復雜的情況，員工信息化水平參差不齊，可能導致訪問權限被濫用。為保證用戶在系統(tǒng)安全策略下正常工作，拒絕合法用戶越權的服務請求和非法用戶的非授權訪問請求，需要進行細粒度的授權管理，進而確保人員和設備都是安全可信的。

· 企業(yè)移動業(yè)務不斷開展，網絡暴露面逐漸增多，先建立連接再進行用戶認證的傳統(tǒng)網絡通信防護方式，存在較多的安全風險，如端口惡意掃描和拒絕服務攻擊等，需要收斂暴露面減少攻擊面，建設先認證再連接的網絡安全隧道，保障移動業(yè)務網絡通信的機密性和完整性。

· 企業(yè)員工使用個人自帶設備進行移動辦公時，移動應用會運行在復雜的環(huán)境中，風險威脅可能隨時發(fā)生，從而無法保障移動應用的安全可靠運行，也不能及時根據風險情況動態(tài)調整用戶授權和訪問控制狀態(tài)，需要按照零信任理念，構建持續(xù)監(jiān)測機制和動態(tài)調整訪問權限的能力。

· 一般企業(yè)對于日益嚴峻的移動安全威脅，雖然采用了一些安全防護手段，但基本是單一的、孤立的，缺乏整體的、統(tǒng)一的全生命周期防護，不能形成基于移動終端、移動應用和通信網絡的縱深防護體系，更不能對移動業(yè)務敏感數(shù)據進行全生命周期保護，無法做到基于零信任的持續(xù)檢測與響應的長效動態(tài)機制。

解決方案

新冠疫情的影響，導致企業(yè)遠程辦公需求激增，上訊信息結合實際的應用場景，對傳統(tǒng)的邊界防護體系進行改造升級，構建更加適應企業(yè)業(yè)務發(fā)展的零信任移動安全防護體系，通過提供安全可信訪問、網絡安全傳輸、持續(xù)信任評估和動態(tài)訪問控制等能力，保障企業(yè)移動業(yè)務安全高效開展。

· 安全可信訪問：采用單包敲門技術，實現(xiàn)系統(tǒng)自身網絡和業(yè)務應用隱藏，僅允許可信設備及應用的授權用戶看到并訪問被保護的業(yè)務服務，收斂網絡暴露攻擊面，提升移動業(yè)務訪問防護強度。

· 網絡安全傳輸：針對移動應用APP訪問業(yè)務服務，采用應用級雙向認證安全隧道技術，以及基于用戶、設備、應用、微應用、服務和接口的細粒度最小化授權，保障移動業(yè)務通信安全。

· 持續(xù)信任評估：基于ATT&CK威脅框架，針對多端設備、用戶、應用和網絡，實時監(jiān)測風險IOC和IOA指標，持續(xù)進行多維度、智能化關聯(lián)分析和信任評估，并動態(tài)調整權限以及聯(lián)動響應處置。

· 動態(tài)訪問控制：從終端用戶、終端設備、移動應用和網絡通信維度，進行持續(xù)性威脅風險監(jiān)測，感知移動業(yè)務整體安全態(tài)勢，實時評估可信程度，實現(xiàn)一體化細粒度的動態(tài)訪問控制體系。

· 全生命周期防護：基于零信任安全架構，結合平臺安全檢測、安全加固、安全沙箱、設備管理等移動安全防護能力，提供移動用戶、移動應用、網絡通信、業(yè)務數(shù)據等方面的全周期防護。

方案優(yōu)勢

上訊信息移動安全防護方案，遵循零信任安全架構，采用檢測與響應的自適應機制，通過安全檢測加固、設備安全管控、安全沙箱隔離、風險威脅監(jiān)測、安全隧道通信和數(shù)據泄露防護等功能，構建一體化、自動化、全周期的零信任移動安全防護體系，實現(xiàn)移動業(yè)務的全周期安全防護，保障移動業(yè)務的安全運行和高效開展。