解读|《移动办公及业务应用安全保障白皮书》
作者:星期四, 三月 19, 20200

随着移动互联网的快速发展,个人消费类移动应用大量涌现并深深影响社会生活的同时,包括,政府、金融、运营商、能源、交通等在内的各行业的业务/办公等应用服务正在逐步实现移动化。iiMedia Research(艾媒咨询)数据显示,中国智能移动办公市场规模逐年上升,2019年中国智能移动办公市场规模达288亿元,预计2020年市场规模将达到375亿元,增长率为30%。

尤其在疫情期间,移动办公及业务应用成为众多企事业单位抗击疫情、复工复产的重要选择,并为保障“一手抓抗疫,一手抓生产”发挥了重要作用。如何有效控制移动办公中的网络安全风险是各单位在业务移动化过程中面临的重要问题。

3月13日,中国网络安全产业联盟发布《移动办公及业务应用安全保障白皮书》(以下简称《白皮书》)。本《白皮书》由中国网络安全产业联盟、北京指掌易科技有限公司、中国移动通信集团有限公司等单位共同编制,旨在为各行业业务移动化进程中,面对移动业务场景安全保障需求,提供建设思路的指导和借鉴。

本《白皮书》中,梳理了移动办公及业务应用发展的现状,系统分析了移动办公和业务应用面临的安全风险,结合当前国家和行业的网络安全监管合规要求,提出了面向行业移动业务场景进行安全保障建设的整体思路,从安全技术和安全管理两个维度提供了可参考的控制措施体系设计,并介绍了主要安全技术,最后对移动办公及业务应用安全发展趋势做出了预测。本《白皮书》还选取了典型企业移动办公应用安全保障案例进行了重点介绍。

移动办公及业务应用面临的安全风险

行业机构建设和运营移动办公及业务应用,是一个覆盖“云、管、端”的完整互联网信息系统,包括了移动端的APP,数据中心的移动应用服务,以及移动端与应用服务之间的数据通信信道等组成部分。业务移动化在增强协作和提升效率的同时,也会面临着网络安全风险。诸如:

–安装运行在智能移动设备上的办公和业务应用APP,面临着敏感信息泄露、应用仿冒、用户身份冒用、个人隐私侵犯等风险;

–从移动端到服务端之间的通信,会通过移动互联网(运营商移动接入网络或无线WIFI,以及有线互联网部分)进行,同样会面对通信窃听导致敏感信息泄露的风险和非法篡改通信内容危害通信完整性的风险;

–移动办公和业务应用的服务端,往往是部署在数据中心内部的核心信息资产。需要提供移动办公需求时,业务应用服务器暴露于互联网,增加了企业业务系统的互联网暴露面,导致服务器被恶意攻击和窃取等风险。

国家以及行业的监管合规要求

各行业机构在践行移动安全保障实践工作中,合规性管理是一类重要的管理机制,需要满足不同层面的监管合规要求,包括GB/T 22239-2019《网络安全等级保护基本要求》、GB/T 23927-2016《信息安全技术 移动智能终端安全架构》等国家标准、典型行业标准以及企业建立的标准。从国家、行业、企业,在不同层面加大标准规范方面的管理力度,为各行业机构在移动安全保障实践中提供思路和方法上的借鉴和指导。

移动办公及业务应用安全保障设计思路

在面向多种移动办公及移动业务应用时,需要进行统一的移动安全保障体系的设计和实施。在实施移动安全保障设计时,可能被采用的五项主要关键技术,包括身份认证、安全传输、应用安全容器、移动终端DLP以及App加固。同时,《白皮书》中也进一步归纳了七步保障思路,保障从安全技术和安全管理两个维度实现可落地的控制措施建设。

重视BYOD场景

以移动应用为中心

以风险评估和合规分析确定需求,选择控制措施

选择良好适配、快速赋能的技术方案

结合场景需求,制定安全控制策略

积累运营数据、提升感知能力

履行网络安全监管合规义务

指掌易方案

指掌易移动业务智能安全平台(MBS,Mobile Business Smart-security Platform),秉承“安全业务化、业务安全化”的安全理念,在不影响原有业务的基础上为企业移动办公业务提供“云、管、端”全方位的安全赋能。

图:MBS移动业务安全解决方案

No.1 在移动终端上为企业员工提供一个独立的安全工作空间,将企业移动业务运行在安全工作空间内,与个人区域完全隔离,保护企业数据在移动设备上的安全;

No.2 在传输端,建立应用级安全传输通道,保障企业数据在传输过程中的安全;

No.3 在服务接入侧,建立安全接入网关,对接入的用户、应用、设备进行多维度的安全评估与认证,确保服务接入安全。

指掌易方案价值

No.1 无需设备管理,直接保护办公和业务应用;

No.2 实施快速简便,简化BYOD移动办公推广过程,保障优异的用户体验;

No.3 开放可扩展、轻量级平台,一站式解决移动安全问题。

截至目前,该平台已成功服务于全国人大、全国政协、中国平安、伊利集团、上汽集团、泸州老窖、中国电信、南京证券、万科地产、我爱我家等近千家各行业用户,根据用户场景需求输出所需的安全能力,帮助各行业用户积极拥抱BYOD,充分尊重个人隐私,简化IT运维,实现移动业务高效赋能,达成安全风险控制和安全监管合规等管理目标,护航各行业用户移动化、数字化转型。

附《白皮书》目录

一、 移动办公及业务应用发展现状
( 一) 移动互联网发展规模
( 二) 移动办公及业务应用发展现状
( 三) 移动办公及业务应用的设备使用模式

二、 移动办公及业务应用面临的安全风险
( 一) 移动应用 APP 安全风险
( 二) 移动应用通信安全风险
( 三) 移动应用服务端安全风险

三、 移动办公及业务应用安全监管要求
( 一) 国家标准
1. 等级保护 2.0 移动互联安全扩展要求
2. 移动智能终端安全架构
( 二) 行业标准
1. 金融行业
2. 电信行业
3. 公安行业
4. 司法行政行业
( 三) 企业标准
1. 中国移动
2. 中国电信
3. 中国铁路总公司

四、 移动办公及业务应用安全保障实践
( 一) 实践领域的发展变化
1. 个人应用 APP 加固
2. 移动设备管理( MDM) 和企业移动管理( EMM)
3. BYOD 模式的应用和数据安全
4. 多模式融合方案
( 二) 典型行业移动办公及业务应用安全保障解析
1. 金融行业业务应用安全保障解析
2. 政府机构移动安全保障解析
3. 物流行业移动办公安全保障解析
4. 房地产服务行业移动办公安全保障解析

五、 移动办公及业务应用安全保障设计
( 一) 移动办公及业务应用安全保障思路
( 二) 移动办公及业务应用安全控制体系
1. 安全技术控制
2. 安全管理措施
( 三) 移动办公及业务应用安全保障关键技术
1. 身份管理和身份认证
2. 数据安全传输
3. 移动端应用级安全容器
4. 移动端防敏感信息泄露
5. 移动 APP 加固

六、 发展趋势预测
( 一) 移动应用场景快速丰富
( 二) BYOD 自携设备成为主流模式
( 三) 移动应用服务面临安全威胁水平提升
( 四) 移动办公与业务系统面临更强的安全合规监管
( 五) 平台级解决方案更具竞争力

附录 A 典型企业移动办公应用安全保障案例
( 一) 指掌易移动业务智能安全平台( MBS)
( 二) 中国移动保障移动办公业务安全解决方案
( 三) 安天智信零信任移动应用安全交付系统( zADS)
( 四) 蓝盾企业移动信息化安全管理系统( S-EMM)
( 五) 绿盟科技零信任安全解决方案
( 六) 任子行移动应用安全防护平台
( 七) 深信服 EMM 解决方案
( 八) 天融信移动设备管理系统 TopEMM
( 九) 卫士通橙讯安全即时通讯协作平台
( 十) 北信源安全移动办公平台-信源豆豆 Linkdood.
( 十一) 奇安信“蓝信”
( 十二) 筑泰防务移动安全办公解决方案
( 十三) 360 金钟罩移动业务威胁感知防御系统

附录 B 术语及名词定义

参考文献

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章