解读 |《移动办公及业务应用安全保障白皮书》

2020-03-19

随着移动互联网的快速发展,个人消费类移动应用大量涌现并深深影响社会生活的同时,包括,政府、金融、运营商、能源、交通等在内的各行业的业务/办公等应用服务正在逐步实现移动化。


尤其在疫情期间,移动办公及业务应用成为众多企事业单位抗击疫情、复工复产的重要选择,并为保障“一手抓抗疫,一手抓生产”发挥了重要作用。如何有效控制移动办公中的网络安全风险是各单位在业务移动化过程中面临的重要问题。


3月13日,中国网络安全产业联盟发布《移动办公及业务应用安全保障白皮书》(以下简称《白皮书》)。本《白皮书》由中国网络安全产业联盟、北京指掌易科技有限公司、中国移动通信集团有限公司等单位共同编制,旨在为各行业业务移动化进程中,面对移动业务场景安全保障需求,提供建设思路的指导和借鉴。


本《白皮书》中,梳理了移动办公及业务应用发展的现状,系统分析了移动办公和业务应用面临的安全风险,结合当前国家和行业的网络安全监管合规要求,提出了面向行业移动业务场景进行安全保障建设的整体思路,从安全技术和安全管理两个维度提供了可参考的控制措施体系设计,并介绍了主要安全技术,最后对移动办公及业务应用安全发展趋势做出了预测。本《白皮书》还选取了典型企业移动办公应用安全保障案例进行了重点介绍。


移动办公及业务应用面临的安全风险

行业机构建设和运营移动办公及业务应用,是一个覆盖“云、管、端”的完整互联网信息系统,包括了移动端的APP,数据中心的移动应用服务,以及移动端与应用服务之间的数据通信信道等组成部分。业务移动化在增强协作和提升效率的同时,也会面临着网络安全风险。诸如:

--安装运行在智能移动设备上的办公和业务应用APP,面临着敏感信息泄露、应用仿冒、用户身份冒用、个人隐私侵犯等风险;

--从移动端到服务端之间的通信,会通过移动互联网(运营商移动接入网络或无线WIFI,以及有线互联网部分)进行,同样会面对通信窃听导致敏感信息泄露的风险和非法篡改通信内容危害通信完整性的风险;

--移动办公和业务应用的服务端,往往是部署在数据中心内部的核心信息资产。需要提供移动办公需求时,业务应用服务器暴露于互联网,增加了企业业务系统的互联网暴露面,导致服务器被恶意攻击和窃取等风险。


国家以及行业的监管合规要求

各行业机构在践行移动安全保障实践工作中,合规性管理是一类重要的管理机制,需要满足不同层面的监管合规要求,包括GB/T 22239-2019《网络安全等级保护基本要求》、GB/T 23927-2016《信息安全技术 移动智能终端安全架构》等国家标准、典型行业标准以及企业建立的标准。从国家、行业、企业,在不同层面加大标准规范方面的管理力度,为各行业机构在移动安全保障实践中提供思路和方法上的借鉴和指导。


移动办公及业务应用安全保障设计思路

在面向多种移动办公及移动业务应用时,需要进行统一的移动安全保障体系的设计和实施。在实施移动安全保障设计时,可能被采用的五项主要关键技术,包括身份认证、安全传输、应用安全容器、移动终端DLP以及App加固。同时,《白皮书》中也进一步归纳了七步保障思路,保障从安全技术和安全管理两个维度实现可落地的控制措施建设。

  • 重视BYOD场景

  • 以移动应用为中心
  • 以风险评估和合规分析确定需求,选择控制措施
  • 选择良好适配、快速赋能的技术方案
  • 结合场景需求,制定安全控制策略
  • 积累运营数据、提升感知能力
  • 履行网络安全监管合规义务


白皮书目录

一、 移动办公及业务应用发展现状

(一) 移动互联网发展规模

(二) 移动办公及业务应用发展现状

(三) 移动办公及业务应用的设备使用模式

二、 移动办公及业务应用面临的安全风险

(一) 移动应用APP安全风险

(二) 移动应用通信安全风险

(三) 移动应用服务端安全风险

三、 移动办公及业务应用安全监管要求

(一) 国家标准

1. 等级保护2.0移动互联安全扩展要求

2. 移动智能终端安全架构

(二) 行业标准

1. 金融行业

2. 电信行业

3. 公安行业

4. 司法行政行业

(三) 企业标准

1. 中国移动

2. 中国电信

3. 中国铁路总公司

四、移动办公及业务应用安全保障实践

(一) 实践领域的发展变化

1. 个人应用APP加固

2. 移动设备管理(MDM)和企业移动管理(EMM)

3. BYOD模式的应用和数据安全

4. 多模式融合方案

(二) 典型行业移动办公及业务应用安全保障解析

1. 金融行业业务应用安全保障解析

2. 政府机构移动安全保障解析

3. 物流行业移动办公安全保障解析

4. 房地产服务行业移动办公安全保障解析

五、 移动办公及业务应用安全保障设计

(一) 移动办公及业务应用安全保障思路

(二) 移动办公及业务应用安全控制体系

1. 安全技术控制

2. 安全管理措施

(三) 移动办公及业务应用安全保障关键技术

1. 身份管理和身份认证

2. 数据安全传输

3. 移动端应用级安全容器

4. 移动端防敏感信息泄露

5. 移动APP加固

六、 发展趋势预测

(一) 移动应用场景快速丰富

(二) BYOD自携设备成为主流模式

(三) 移动应用服务面临安全威胁水平提升

(四) 移动办公与业务系统面临更强的安全合规监管

(五) 平台级解决方案更具竞争力

附录A 典型企业移动办公应用安全保障案例

(一) 指掌易移动业务智能安全平台(MBS)

(二) 中国移动保障移动办公业务安全解决方案

(三) 安天智信零信任移动应用安全交付系统(zADS)

(四) 蓝盾企业移动信息化安全管理系统(S-EMM)

(五) 绿盟科技零信任安全解决方案

(六) 任子行移动应用安全防护平台

(七) 深信服EMM解决方案

(八) 天融信移动设备管理系统TopEMM

(九) 卫士通橙讯安全即时通讯协作平台

(十) 北信源安全移动办公平台-信源豆豆Linkdood

(十一) 奇安信“蓝信”

(十二) 筑泰防务移动安全办公解决方案

(十三) 360金钟罩移动业务威胁感知防御系统

附录B 术语及名词定义

参考文献



附件:《移动办公及业务应用安全保障白皮书》 提取码:hrll 
联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号