MSP零信任移動業務(wù)安(ān)全防護方案-

需求場景
需求分(fēn)析
解決方案
方案優勢

需求場景

随着移動互聯網的突起，金融機構完成從“坐(zuò)商(shāng)”到“行商(shāng)”的轉型，移動展業、移動營銷等新(xīn)業态層出不窮，新(xīn)興技(jì )術與工(gōng)作(zuò)方式的引入，導緻網絡邊界日趨模糊。傳統的網絡防護方式中(zhōng)，默認内網更加安(ān)全可(kě)靠，通過在邊界部署防火牆等方式，來達到安(ān)全防護的目的。金融行業作(zuò)為(wèi)我國(guó)信息基礎設施的關鍵行業，經常是APT組織攻擊的主要對象。傳統的安(ān)全管理(lǐ)模式已經無法滿足金融機構的安(ān)全需求，因此迫切需要改進原有(yǒu)的防禦架構，構建更加高效的網絡安(ān)全防護體(tǐ)系。

需求分(fēn)析

近年來，移動營銷需求不斷增長(cháng)，需要采購(gòu)的智能(néng)移動終端也越來越多(duō)，導緻訪問權限很(hěn)容易被濫用(yòng)。為(wèi)保證用(yòng)戶在系統安(ān)全策略下正常工(gōng)作(zuò)，拒絕合法用(yòng)戶越權的服務(wù)請求和非法用(yòng)戶的非授權訪問請求，需要進行細粒度的授權管理(lǐ)，進而确保人員和設備的安(ān)全可(kě)信。
在移動金融完整場景中(zhōng)，終端是所有(yǒu)業務(wù)應用(yòng)展現的窗口，其業務(wù)相關應用(yòng)程序也更容易遭受黑客的威脅攻擊，從而無法保障移動業務(wù)的安(ān)全可(kě)靠運行，也不能(néng)根據風險情況動态調整用(yòng)戶授權和訪問控制狀态，以便及時發現并修複潛在的風險威脅。需要按照零信任理(lǐ)念，構建持續監測機制和動态調整訪問權限的能(néng)力。
完整的移動營銷方案需要覆蓋智能(néng)終端設備、網絡通信、後台管理(lǐ)及移動應用(yòng)等多(duō)個部分(fēn)，雖然目前企業采用(yòng)了基礎的安(ān)全防護手段，但是不能(néng)夠形成基于移動設備管理(lǐ)、移動應用(yòng)管理(lǐ)等方面的縱深防護體(tǐ)系，更無法對金融機構的數據進行全生命周期的保護，難以做到基于零信任的持續檢測與響應的長(cháng)效動态機制。

解決方案

上訊信息結合金融企業現有(yǒu)移動設備情況，在充分(fēn)考慮其需求的前提下，對傳統的邊界防護體(tǐ)系進行改造升級，也構建了基于零信任的移動業務(wù)安(ān)全防護方案。該方案基于軟件定義邊界安(ān)全架構，将控制平面和數據平面分(fēn)離，包括移動終端、管控平台和安(ān)全網關三個部分(fēn)，通過相互協作(zuò)聯動，實現移動業務(wù)的可(kě)信安(ān)全防護。

用(yòng)戶設備可(kě)信訪問
采用(yòng)單包敲門技(jì )術，實現系統自身網絡和業務(wù)應用(yòng)隐藏，僅允許可(kě)信設備及應用(yòng)的授權用(yòng)戶看到并訪問被保護的業務(wù)服務(wù)，收斂網絡暴露攻擊面，提升移動業務(wù)訪問防護強度。
持續信任動态訪問
基于ATT&CK威脅框架，從終端用(yòng)戶、終端設備、移動應用(yòng)和網絡通信維度，實時監測IOC和IOA指标，持續進行多(duō)維度、智能(néng)化關聯分(fēn)析和信任評估，感知移動業務(wù)整體(tǐ)安(ān)全态勢，并根據實時評估可(kě)信的程度動态調整權限以及聯動響應處置，實現一體(tǐ)化細粒度的動态訪問控制體(tǐ)系。
移動業務(wù)全面防護
基于零信任安(ān)全架構，結合平台設備管理(lǐ)、安(ān)全檢測、安(ān)全加固、安(ān)全沙箱等能(néng)力。提供設備全面管控，包括設備截屏/錄屏、文(wén)件分(fēn)享、控制藍牙、控制攝像頭等，以确保設備安(ān)全可(kě)控；提供應用(yòng)全面管理(lǐ)，包括應用(yòng)上線(xiàn)前漏洞檢測、上線(xiàn)後安(ān)全監測等，保障移動應用(yòng)運行安(ān)全；提供敏感數據全周期保護，包括數據存儲、使用(yòng)、共享、傳輸、銷毀，構建移動業務(wù)數據洩露防護體(tǐ)系。