MSP零信任移动业务安全防护方案-

需求场景
需求分析
解决方案
方案优势

需求场景

随着移动互联网的突起，金融机构完成从“坐商”到“行商”的转型，移动展业、移动营销等新业态层出不穷，新兴技术与工作方式的引入，导致网络边界日趋模糊。传统的网络防护方式中，默认内网更加安全可靠，通过在边界部署防火墙等方式，来达到安全防护的目的。金融行业作为我国信息基础设施的关键行业，经常是APT组织攻击的主要对象。传统的安全管理模式已经无法满足金融机构的安全需求，因此迫切需要改进原有的防御架构，构建更加高效的网络安全防护体系。

需求分析

近年来，移动营销需求不断增长，需要采购的智能移动终端也越来越多，导致访问权限很容易被滥用。为保证用户在系统安全策略下正常工作，拒绝合法用户越权的服务请求和非法用户的非授权访问请求，需要进行细粒度的授权管理，进而确保人员和设备的安全可信。
在移动金融完整场景中，终端是所有业务应用展现的窗口，其业务相关应用程序也更容易遭受黑客的威胁攻击，从而无法保障移动业务的安全可靠运行，也不能根据风险情况动态调整用户授权和访问控制状态，以便及时发现并修复潜在的风险威胁。需要按照零信任理念，构建持续监测机制和动态调整访问权限的能力。
完整的移动营销方案需要覆盖智能终端设备、网络通信、后台管理及移动应用等多个部分，虽然目前企业采用了基础的安全防护手段，但是不能够形成基于移动设备管理、移动应用管理等方面的纵深防护体系，更无法对金融机构的数据进行全生命周期的保护，难以做到基于零信任的持续检测与响应的长效动态机制。

解决方案

上讯信息结合金融企业现有移动设备情况，在充分考虑其需求的前提下，对传统的边界防护体系进行改造升级，也构建了基于零信任的移动业务安全防护方案。该方案基于软件定义边界安全架构，将控制平面和数据平面分离，包括移动终端、管控平台和安全网关三个部分，通过相互协作联动，实现移动业务的可信安全防护。

用户设备可信访问
采用单包敲门技术，实现系统自身网络和业务应用隐藏，仅允许可信设备及应用的授权用户看到并访问被保护的业务服务，收敛网络暴露攻击面，提升移动业务访问防护强度。
持续信任动态访问
基于ATT&CK威胁框架，从终端用户、终端设备、移动应用和网络通信维度，实时监测IOC和IOA指标，持续进行多维度、智能化关联分析和信任评估，感知移动业务整体安全态势，并根据实时评估可信的程度动态调整权限以及联动响应处置，实现一体化细粒度的动态访问控制体系。
移动业务全面防护
基于零信任安全架构，结合平台设备管理、安全检测、安全加固、安全沙箱等能力。提供设备全面管控，包括设备截屏/录屏、文件分享、控制蓝牙、控制摄像头等，以确保设备安全可控；提供应用全面管理，包括应用上线前漏洞检测、上线后安全监测等，保障移动应用运行安全；提供敏感数据全周期保护，包括数据存储、使用、共享、传输、销毁，构建移动业务数据泄露防护体系。