需求場景

隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速，遠(yuǎn)程辦公、移動辦公和混合辦公模式越來越普遍，因此企業(yè)大部分資源會放在云上，但僅依靠網(wǎng)絡(luò)邊界的方式，會使得效率變得低下，同時也會給企業(yè)帶來一系列互聯(lián)網(wǎng)安全風(fēng)險。面對網(wǎng)絡(luò)安全威脅變化和網(wǎng)絡(luò)邊界泛化模糊的新形勢，以“從不信任，始終驗(yàn)證”為基本原則的零信任架構(gòu)應(yīng)運(yùn)而生。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）將零信任安全定義為“一組不斷發(fā)展的網(wǎng)絡(luò)安全范式，將防御從靜態(tài)的、基于網(wǎng)絡(luò)邊界轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源的領(lǐng)域”。

需求分析

· 隨著企業(yè)的發(fā)展，員工數(shù)量也在逐年增加，組織架構(gòu)和人員結(jié)構(gòu)可能存在較為復(fù)雜的情況，員工信息化水平參差不齊，可能導(dǎo)致訪問權(quán)限被濫用。為保證用戶在系統(tǒng)安全策略下正常工作，拒絕合法用戶越權(quán)的服務(wù)請求和非法用戶的非授權(quán)訪問請求，需要進(jìn)行細(xì)粒度的授權(quán)管理，進(jìn)而確保人員和設(shè)備都是安全可信的。

· 企業(yè)移動業(yè)務(wù)不斷開展，網(wǎng)絡(luò)暴露面逐漸增多，先建立連接再進(jìn)行用戶認(rèn)證的傳統(tǒng)網(wǎng)絡(luò)通信防護(hù)方式，存在較多的安全風(fēng)險，如端口惡意掃描和拒絕服務(wù)攻擊等，需要收斂暴露面減少攻擊面，建設(shè)先認(rèn)證再連接的網(wǎng)絡(luò)安全隧道，保障移動業(yè)務(wù)網(wǎng)絡(luò)通信的機(jī)密性和完整性。

· 企業(yè)員工使用個人自帶設(shè)備進(jìn)行移動辦公時，移動應(yīng)用會運(yùn)行在復(fù)雜的環(huán)境中，風(fēng)險威脅可能隨時發(fā)生，從而無法保障移動應(yīng)用的安全可靠運(yùn)行，也不能及時根據(jù)風(fēng)險情況動態(tài)調(diào)整用戶授權(quán)和訪問控制狀態(tài)，需要按照零信任理念，構(gòu)建持續(xù)監(jiān)測機(jī)制和動態(tài)調(diào)整訪問權(quán)限的能力。

· 一般企業(yè)對于日益嚴(yán)峻的移動安全威脅，雖然采用了一些安全防護(hù)手段，但基本是單一的、孤立的，缺乏整體的、統(tǒng)一的全生命周期防護(hù)，不能形成基于移動終端、移動應(yīng)用和通信網(wǎng)絡(luò)的縱深防護(hù)體系，更不能對移動業(yè)務(wù)敏感數(shù)據(jù)進(jìn)行全生命周期保護(hù)，無法做到基于零信任的持續(xù)檢測與響應(yīng)的長效動態(tài)機(jī)制。

解決方案

新冠疫情的影響，導(dǎo)致企業(yè)遠(yuǎn)程辦公需求激增，上訊信息結(jié)合實(shí)際的應(yīng)用場景，對傳統(tǒng)的邊界防護(hù)體系進(jìn)行改造升級，構(gòu)建更加適應(yīng)企業(yè)業(yè)務(wù)發(fā)展的零信任移動安全防護(hù)體系，通過提供安全可信訪問、網(wǎng)絡(luò)安全傳輸、持續(xù)信任評估和動態(tài)訪問控制等能力，保障企業(yè)移動業(yè)務(wù)安全高效開展。

· 安全可信訪問：采用單包敲門技術(shù)，實(shí)現(xiàn)系統(tǒng)自身網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用隱藏，僅允許可信設(shè)備及應(yīng)用的授權(quán)用戶看到并訪問被保護(hù)的業(yè)務(wù)服務(wù)，收斂網(wǎng)絡(luò)暴露攻擊面，提升移動業(yè)務(wù)訪問防護(hù)強(qiáng)度。

· 網(wǎng)絡(luò)安全傳輸：針對移動應(yīng)用APP訪問業(yè)務(wù)服務(wù)，采用應(yīng)用級雙向認(rèn)證安全隧道技術(shù)，以及基于用戶、設(shè)備、應(yīng)用、微應(yīng)用、服務(wù)和接口的細(xì)粒度最小化授權(quán)，保障移動業(yè)務(wù)通信安全。

· 持續(xù)信任評估：基于ATT&CK威脅框架，針對多端設(shè)備、用戶、應(yīng)用和網(wǎng)絡(luò)，實(shí)時監(jiān)測風(fēng)險IOC和IOA指標(biāo)，持續(xù)進(jìn)行多維度、智能化關(guān)聯(lián)分析和信任評估，并動態(tài)調(diào)整權(quán)限以及聯(lián)動響應(yīng)處置。

· 動態(tài)訪問控制：從終端用戶、終端設(shè)備、移動應(yīng)用和網(wǎng)絡(luò)通信維度，進(jìn)行持續(xù)性威脅風(fēng)險監(jiān)測，感知移動業(yè)務(wù)整體安全態(tài)勢，實(shí)時評估可信程度，實(shí)現(xiàn)一體化細(xì)粒度的動態(tài)訪問控制體系。

· 全生命周期防護(hù)：基于零信任安全架構(gòu)，結(jié)合平臺安全檢測、安全加固、安全沙箱、設(shè)備管理等移動安全防護(hù)能力，提供移動用戶、移動應(yīng)用、網(wǎng)絡(luò)通信、業(yè)務(wù)數(shù)據(jù)等方面的全周期防護(hù)。

方案優(yōu)勢

上訊信息移動安全防護(hù)方案，遵循零信任安全架構(gòu)，采用檢測與響應(yīng)的自適應(yīng)機(jī)制，通過安全檢測加固、設(shè)備安全管控、安全沙箱隔離、風(fēng)險威脅監(jiān)測、安全隧道通信和數(shù)據(jù)泄露防護(hù)等功能，構(gòu)建一體化、自動化、全周期的零信任移動安全防護(hù)體系，實(shí)現(xiàn)移動業(yè)務(wù)的全周期安全防護(hù)，保障移動業(yè)務(wù)的安全運(yùn)行和高效開展。