MSP零信任移動業務安全防護方案-

需求場景
需求分析
解決方案
方案優勢

需求場景

随着移動互聯網的突起，金(jīn)融機構完成從(cóng)“坐(zuò)商”到(dào)“行商”的轉型，移動展業、移動營銷等新業态層出不窮，新興技術與工(gōng)作(zuò)方式的引入，導緻網絡邊界日趨模糊。傳統的網絡防護方式中，默認内網更加安全可靠，通過在邊界部署防火牆等方式，來(lái)達到(dào)安全防護的目的。金(jīn)融行業作(zuò)爲我國信息基礎設施的關鍵行業，經常是APT組織攻擊的主要對(duì)象。傳統的安全管理(lǐ)模式已經無法滿足金(jīn)融機構的安全需求，因此迫切需要改進原有的防禦架構，構建更加高(gāo)效的網絡安全防護體系。

需求分析

近年來(lái)，移動營銷需求不斷增長，需要采購的智能(néng)移動終端也(yě)越來(lái)越多，導緻訪問權限很(hěn)容易被濫用(yòng)。爲保證用(yòng)戶在系統安全策略下(xià)正常工(gōng)作(zuò)，拒絕合法用(yòng)戶越權的服務請(qǐng)求和(hé)非法用(yòng)戶的非授權訪問請(qǐng)求，需要進行細粒度的授權管理(lǐ)，進而确保人員和(hé)設備的安全可信。
在移動金(jīn)融完整場景中，終端是所有業務應用(yòng)展現(xiàn)的窗口，其業務相關應用(yòng)程序也(yě)更容易遭受黑客的威脅攻擊，從(cóng)而無法保障移動業務的安全可靠運行，也(yě)不能(néng)根據風(fēng)險情況動态調整用(yòng)戶授權和(hé)訪問控制狀态，以便及時(shí)發現(xiàn)并修複潛在的風(fēng)險威脅。需要按照零信任理(lǐ)念，構建持續監測機制和(hé)動态調整訪問權限的能(néng)力。
完整的移動營銷方案需要覆蓋智能(néng)終端設備、網絡通信、後台管理(lǐ)及移動應用(yòng)等多個部分，雖然目前企業采用(yòng)了(le)基礎的安全防護手段，但(dàn)是不能(néng)夠形成基于移動設備管理(lǐ)、移動應用(yòng)管理(lǐ)等方面的縱深防護體系，更無法對(duì)金(jīn)融機構的數據進行全生命周期的保護，難以做到(dào)基于零信任的持續檢測與響應的長效動态機制。

解決方案

上(shàng)訊信息結合金(jīn)融企業現(xiàn)有移動設備情況，在充分考慮其需求的前提下(xià)，對(duì)傳統的邊界防護體系進行改造升級，也(yě)構建了(le)基于零信任的移動業務安全防護方案。該方案基于軟件定義邊界安全架構，将控制平面和(hé)數據平面分離，包括移動終端、管控平台和(hé)安全網關三個部分，通過相互協作(zuò)聯動，實現(xiàn)移動業務的可信安全防護。

用(yòng)戶設備可信訪問
采用(yòng)單包敲門(mén)技術，實現(xiàn)系統自(zì)身網絡和(hé)業務應用(yòng)隐藏，僅允許可信設備及應用(yòng)的授權用(yòng)戶看(kàn)到(dào)并訪問被保護的業務服務，收斂網絡暴露攻擊面，提升移動業務訪問防護強度。
持續信任動态訪問
基于ATT&CK威脅框架，從(cóng)終端用(yòng)戶、終端設備、移動應用(yòng)和(hé)網絡通信維度，實時(shí)監測IOC和(hé)IOA指标，持續進行多維度、智能(néng)化關聯分析和(hé)信任評估，感知(zhī)移動業務整體安全态勢，并根據實時(shí)評估可信的程度動态調整權限以及聯動響應處置，實現(xiàn)一體化細粒度的動态訪問控制體系。
移動業務全面防護
基于零信任安全架構，結合平台設備管理(lǐ)、安全檢測、安全加固、安全沙箱等能(néng)力。提供設備全面管控，包括設備截屏/錄屏、文(wén)件分享、控制藍牙、控制攝像頭等，以确保設備安全可控；提供應用(yòng)全面管理(lǐ)，包括應用(yòng)上(shàng)線前漏洞檢測、上(shàng)線後安全監測等，保障移動應用(yòng)運行安全；提供敏感數據全周期保護，包括數據存儲、使用(yòng)、共享、傳輸、銷毀，構建移動業務數據洩露防護體系。

方案優勢

MSP零信任移動業務安全防護方案，通過多種技術手段和(hé)安全措施，保障了(le)金(jīn)融機構的信息安全和(hé)合規性。

身份認證和(hé)訪問控制

通過強化身份認證和(hé)訪問控制，保障了(le)金(jīn)融機構的系統和(hé)數據安全。在用(yòng)戶登錄時(shí)，該方案可以對(duì)用(yòng)戶身份進行多重認證，包括基于證書、密碼、指紋等多種方式的認證方式，以及基于設備信任度和(hé)用(yòng)戶行爲模式等因素進行訪問控制。

應用(yòng)程序安全管理(lǐ)

可以對(duì)移動應用(yòng)程序進行全方位的安全管理(lǐ)，包括應用(yòng)程序加密、完整性保護、應用(yòng)程序審計(jì)等功能(néng)，以保障應用(yòng)程序的安全性和(hé)合規性。

數據安全管理(lǐ)

可以對(duì)移動設備上(shàng)的數據進行加密和(hé)保護，防止數據洩露和(hé)外(wài)部攻擊。同時(shí)可以對(duì)移動設備上(shàng)的數據進行遠程清除和(hé)遠程鎖定等操作(zuò)，以應對(duì)設備丢失或被盜的情況。

網絡安全管理(lǐ)

可以對(duì)移動設備上(shàng)的網絡連接進行安全管控，包括流量控制、VPN接入、應用(yòng)層防火牆等功能(néng)，以保障數據在傳輸過程中的安全性和(hé)完整性。

安全事(shì)件監控和(hé)響應

可以實時(shí)監控移動設備上(shàng)的安全事(shì)件，并通過實時(shí)報(bào)警和(hé)安全事(shì)件響應等措施，快(kuài)速響應和(hé)處理(lǐ)各種安全威脅。