安全挑战

随着移动互联网的快速发展与5G技术的应用落地,智能终端迅速普及,以手机、平板电脑为代表的个人智能终端设备逐渐成为企业办公、企业信息传递的重要终端平台。通过移动终端连接企业或单位内网、处理移动办公业务、传播企业数据信息等行为使得传统的网络边界变得模糊不清,复杂多样,加剧了企业安全风险的引入。

2020初IDC预测,全球移动办公人群数量可达8亿,实际上,由于新冠疫情的原因,这个数字被远远超越。家庭版办公、异地办公、隔离办公越来越成为必须的办公场景。

然而,办公移动化在提高工作效率的同时,也为内网安全打开了新的风险敞口,面临着诸多的挑战。

1.环境更复杂

·移动终端连接到酒店、机场的公共无线WiFi,或者攻击者设置的钓鱼WiFi,攻击者可以通过中间人攻击等手段获取敏感数据。

·移动终端被越狱/Root,或者感染了病毒,导致敏感数据在终端落地时被窃取。

·2013年路透社披露,美国国家安全局在国际通用的RSA加密算法中放置后门,企业在移动数据传输加密过程要考虑对国产化密码算法的支持。

2.终端难管理

·移动终端设备和操作系统碎片化严重,如何保证安全策略的一致性、如何在一个统一的平台上管理各种设备?

·个人自带设备上既有个人应用,又有单位数据和应用,如何明确区分并隔离移动终端上的企业/私人数据与应用,既确保企业数据安全性又不涉及个人隐私?

·移动设备一旦丢失、被盗,数据安全性如何保障?

3.应用不安全

·移动应用使用了单一的身份认证机制,难以保证使用者的合法性。

移动应用本身存在安全漏洞、使用了不安全的开源组件、易被逆向破解后植入恶意程序。

·企业内部应用分发时,手工方式效率低下,通过互联网应用商店发布又可能存在被篡改二次打包的风险,需要有安全便捷的应用分发渠道。

2019年发现了四种预装后门恶意软件的入门级智能手机型号,还发现了三个约会应用程序Grindr、Romeo和Recon包含安全漏洞,这些漏洞导致暴露用户的位置。
解决方案

奇安信移动安全解决方案从网络环境安全、移动终端安全、传输信道安全、移动应用安全、数据安全等方面,增强移动业务全生命周期的防护能力,可广泛应用于适合移动政务、移动办公、移动医疗、移动展业、移动金融、制造业、物联网等多种应用场景

方案架构如下图所示:

移动安全解决方案

1.移动可信环境感知系统

采用大数据分析和人工智能技术对用户、设备、环境属性等访问上下文进行感知和建模,实现风险和信任的持续度量。

对终端进行数据收集、行为分析、风险评估,感知终端环境风险。

2.移动应用自防护系统

通过封装(Wrapping)技术将自身多种安全技术注入到应用程序中,与应用程序融为一体,实时监测、阻断攻击,使程序自身拥有运行时自保护的能力。并且应用程序无需在编码时进行任何的修改,只需进行简单的配置即可,以此构建业务App内生安全生态环境,保障业务App的应用安全、环境安全和数据安全。

3.移动终端安全管理系统

·采用沙箱技术搭建专用工作区,实现公私数据隔离,企业数据落地即加密。

·在运行企业应用前对终端环境进行安全检测/杀毒,防范恶意代码、通信劫持。

·对终端设备进行统一管控,提高终端可控性。

4.云手机安全管理系统

采用全新的VMI(Virtual Mobile Infrastructure虚拟移动设施,与PC云桌面类似)技术,将云计算技术运用于网络终端服务,通过云服务器实现云服务的手机。

通过创建虚拟手机为企事业提供APP应用平台,而用户仅需在手机端安装奇安信云手机移动客户端(Android或IOS版本),并通过该客户端认证鉴权后,即可确保员工能够随时随地使用移动设备访问企事业的数据和应用程序,同时确保企事业数据和应用程序的终端零留存不泄露。

方案部署方式如下图所示:

移动安全解决方案

应用价值

1.提供工作专属的工作空间,充分实现公私数据隔离。

2.通过专属的应用管理平台,实现业务应用全生命周期安全管控。

3.针对各种有可能造成数据泄密的渠道和方法做了安全的防护措施,确保内部业务数据安全防泄露。

4.通过奇安信专有的强项杀毒技术,实现移动终端环境安全可靠。

5.在通道侧深度集成了SSL-VPN,移动办公数据全程通过加密通道进行传输,确保在传输过程中不被泄露。

ID,进行二次身份验证实现双因子认证,同时还可与客户现有的证书体系对接,确保身份的唯一性。