移动业务安全专家

2019年7月11日,云南省第五届网络安全等级保护技术大会在昆明成功举办。本次大会由云南省网络安全等级保护工作领导小组、云南省公安厅主办,指掌易作为移动业务安全专家,受邀作为大会的技术支持单位出席,并带来题为《新等保下的移动政企安全实践》的演讲。

屏幕快照 2019-08-30 上午11.19.46.png

云南省第五届网络安全等级保护技术大会,以“忠诚履职践使命,网络安全保大庆”为主题,聚焦云南省政企网络安全,指掌易综合在政企移动业务安全领域的思考、探索、实践,同与会嘉宾分享了在网络安全等级保护2.0的新时代下,政企移动业务的实践经验与案例,用专注之心、倾专业之力,借等保之势,为政企用户的网络安全保驾护航。

屏幕快照 2019-08-30 上午11.19.51.png

指掌易解决方案总监 林迪

当前世界,正经历着新一轮的移动互联网、云计算、物联网、区块链以及人工智能等技术为代表的信息变革。在信息化快速发展及移动互联网快速覆盖的趋势下,移动化已经成为政府机构和大型机构提升业务效率、提高核心竞争力的重要驱动力。任何事物的蓬勃发展都需要安全作保障,移动业务也不例外。伴随着移动化的日益复杂,在“无边界”的网络数字化时代,传统的安全手段已无法满足政企移动化的整体安全需求,“无边界”情况下端到端的安全保护才是趋势。

移动业务目前存在的安全风险主要体现在支撑业务的移动应用、业务数据、网络通信和移动终端,具体体现在身份认证、访问控制、安全审计、传输加密、入侵防范、资源管控等。传统安全涉及到的风险,也体现在移动环境中:比如通信数据文明发送、通信数据可解密、敏感数据本地可破解、敏感信息泄露、密码学误用、可二次打包、代码可逆向、安全APP的效率低和体验差导致影子IT等。如何在移动互联的新形式下,确保移动业务安全是当前政企推进移动化亟需解决的核心问题。

屏幕快照 2019-08-30 上午11.19.57.png

等保2.0政策下的移动互联安全保障

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护2.0标准和规范,并将于2019年12月1日开始实施。等保2.0把移动互联网安全、工业控制安全、物联网安全、大数据安全、云计算安全等新兴业务也纳入了监管,监管对象从传统信息系统变成了业务系统,并针对云计算、移动互联、物联网和工业控制系统等新兴领域提出了更为细致的扩展要求。

综合起来看,在移动互联业务环境中,对信息化部门,面临着多重保障职责:

  1. 对业务安全的保障。包括网络、终端、数据、认证等相关各个层面的安全性保障。等保2.0对移动互联的要求,给出了统一的标准,将能够有效指导实际工作;

  2. 对运维和管理的保障。面向各种业务场景、各种类型的移动终端、高度分散的时间与地点,对最终用户要能够进行及时有效的支持,对业务应用要进行统一的分发和管理,对开发商还要进行一致的管理性和安全性要求,这些对于信息化部门都是巨大的挑战,需要有统一的保障能力。

  3. 对业务移动化普及的保。移动互联作为新兴的业务环境,最终用户是否能够真正接受、真正用起来,才是衡量工作成效和价值的最终标准。而移动互联场景下,用户体验至关重要,传统各类安全与管理手段,如果使用繁琐、影响个人隐私,用户都不会接受,最终导致项目失败,业务目的无法达成。因此,业务移动化是否能具有足够的目标用户普及率,也是信息化部门一并考虑的重要课题。

移动互联安全风险分析

随着移动互联网的发展,移动信息化建设对各项业务的发展也带来了深远的影响。移动终端参与到办公及业务的环节越来越多,移动终端本身的可移动性有效地提升了办公效率,尤其对内部的一些流程上报、审批、无纸化办公、业务处理带来了深远的影响。在移动互联网发挥积极作用的同时,移动终端设备、应用等各种组成部分的特殊性,也带来了诸多安全隐患:

  1. 信息、数据泄露风险

  2. 恶意程序和恶意攻击

  3. 通过移动端对服务端的渗透攻击

  4. 应用破解风险

  5. 应用分发风险

移动互联安全解决方案

指掌易整体方案思路,结合业务数字化、“云+移动化”的业务基础架构演进建议采用搭建基于移动业务生命周期的“一站式”移动业务安全服务中心,包括安全业务支撑平台,安全业务交付平台及安全终端环境。

移动业务安全架构(SAME)

  1. 安全基础支撑平台是架构的基础,从技术、服务和实施工具集三方面保证整个架构体系能够有可靠稳定基础来落地。组织的各类移动化业务可以借助此支撑平台,快速获得各类安全能力,并实现灵活的管理和运维。

  2. 安全业务交付模块。安全业务交付平台在零信任的网络环境中,提供直达移动端业务运行环境的安全隧道,配合身份准入、传输加密、访问审计,交付移动业务并管理其全生命周期。

  3. 安全终端运行环境。会在移动端构建虚拟安全域(VSA,Virtual Security Area),针对业务的载体——应用及数据——实现细粒度的隔离和安全管理。鉴于移动环境的复杂性和多变性,相关安全能力不依赖于设备的型号和归属权,并且会结合后台实现完整的 PPDR 闭环安全管理。

数据采集与感知分析:

指掌易大数据统计中心(智能态势感知系统)是移动应用安全服务中心的重要组件,基于强大的数据采集及分析能力,精准捕捉并展示移动设备的日常使用行为数据,将信息与数据充分融合,通过丰富的可视化效果,呈现全面准确的行为分析。

指掌易移动业务安全整体解决方案先后应用于全国政协、全国人大、水利部、山东省政府、新疆省政府等多个政府客户,这是指掌易助力等保2.0落地的安全实践,也是移动互联安全合规在政府快速应用的缩影。解决好安全问题,有力推动移动互联的快速普及,从而有力提升业务效率,实现业务的不断创新。

2019年是中国摆脱新常态低迷期、走向高质量发展模式关键年。作为数字化转型的重要抓手,移动互联可实现人、业务、移动设备随时联结,快速协同,越来越多的政企以移动为中心开展业务。在等保2.0政策的指导下,如何建立先进的信息化管理体系,以移动化、数字化的思维安全、高效开展移动业务,重塑政企行业竞争力,是每家政企时刻思考的重要课题。

等保合规只是开始,移动化、数字化的浪潮却早已滚滚而来。

“合抱之木,生于毫末;九层之台,起于累土;千里之行,始于足下。” 

指掌易愿以专注之心、倾专业之力,借等保之势,成就政企数字化转型之道。