【新华企业资讯】奇安信：基于零信任的内生安全移动办公解决方案

       之前详细介绍过NIST标准《企业远程办公、远程访问和自带设备（BYOD）安全指南》。由于该标准发布于2016年，故未涉及零信任架构。对于政企客户，由于移动办公极大增加了攻击暴露面，我们认为应该将安全作为第一优先级加以考虑。

       考虑到零信任方案已经具备落地条件，我们基于等保2.0要求，参考NIST标准，瞄准实战化运行要求，提出基于零信任的内生安全移动办公解决方案。

       该方案具有五大安全特性——深度融合、风险可控、访问可信、满足合规、符合信创，适应了当前移动办公的发展趋势。该方案是通用型解决方案，并未涉及具体供应商产品。方案具有可落地性，已得到实践验证。

       远程和移动办公（后文简称“移动办公”）解决方案的五个趋势推导了五项安全需求，如下图所示：

安全移动办公解决方案的趋势与需求

       1）深度融合需求：是指安全与业务/IT的深度融合。安全移动解决方案是企业数字化转型的助推器。正如美军针对自己的业务（即作战任务）提出了“三个任意”愿景（参见《美军JIE：任意设备任意时间任意地方满足联合作战需求》），而安全移动解决方案正是美军实现该愿景的重要助推器。对于国内政企客户而言，为了更好地促进业务发展和安全保障：

•        应将移动端的安全措施（如多因素身份认证、单点登录、VPN启用、沙箱等）通过SDK或内部集成等方式嵌入应用流程中，以避免移动办公和安全防护形成“两张皮”；
• 
  
•        应打通桌面和移动端的用户体验、业务数据、安全数据，以避免桌面办公和移动办公形成“两张皮”；
• 
  
•        应依据安全内生的理念，将移动办公解决方案和安全解决方案进行深度融合，形成一体化的安全移动办公解决方案，助力企业向数字化、移动化转型。

       2）风险可控需求：移动办公在提供极大便利的同时，也极大增加了攻击暴露面，如公开暴露的网络传输环境、更易失控的终端设备、更加复杂的终端类型、更不可信的APP应用、更不可预知的用户行为等，不得不将安全性作为最高优先级。由于移动办公的风险覆盖了从移动终端到开放网络再到企业内部环境的全程，需要综合使用叠加演进的安全滑动标尺模型中基础结构安全、纵深防御、积极防御等各个类别的安全控制，建立系统化安全防护体系，确保移动办公的风险可控。

       3）访问可信需求：移动办公风险正在向技术栈的高层（应用和数据层）发展，访问主体的可信问题日益突出。为更好保障高价值应用和数据资源，尤其是防止内部违规和横向移动，应在系统化安全防护的基础上，采用零信任模式增强对核心应用系统和数据资源的安全保护。零信任架构提供了细粒度、动态化、基于属性的访问控制，增强了对终端环境、网络环境、用户行为等属性的感知发现和分析，可实现在移动办公过程中实时动态控制和调整安全策略的关键能力。

       4）满足合规要求：符合相关的国家政策、法令法规、标准规范要求，在合规性要求上考虑整体安全方案设计。尤其是遵守国家网络安全法，符合国家等级保护要求，能够通过等保测评机构的测评。同时，也满足企业内部业务合规要求。

       5）符合信创要求：芯片漏洞层出不穷，网络安全危机四伏，信息技术应用创新（即“信创”）成为信息化进程中的必经之路。应在芯片、操作系统、中间件、应用系统、密码算法等各个层面，确保满足信创要求。

       遵循网络安全法、等级保护2.0等法规要求，以支撑业务为目标，以保护数据为核心，采用“零信任”的安全理念，构建一体化安全保障体系，形成覆盖云平台、数据、应用、网络、主机、终端的内生安全能力，全面提升移动办公安全性。内生安全移动办公系统框架如下所示：

内生安全移动办公方案框架

       该框架的主体部分为移动办公的业务和IT架构（以绿色虚线框定），用于实现移动办公的高效沟通协作（如即时通讯、视频会议、通知公告等）、业务集成（如OA审批、邮件系统对接等）、应用扩展（如考勤管理、任务管理、日程管理等）。其底层资源采用信创体系，以符合信创要求。

       右侧为移动办公安全体系，安全体系与移动办公业务/IT架构进行深度融合，打造成一体化的内生安全移动办公解决方案。

       移动办公安全体系包括了若干安全领域：终端安全、移动网络安全、移动接入与访问安全、移动安全管理、应用安全、数据安全、业务安全、云平台安全、主机安全等，覆盖了从移动办公终端到接入网络再到企业内部IT环境的全过程，如下图所示：

移动办公内生安全体系框架

       上述完整的移动办公内生安全体系框架，贴合移动办公场景，形成纵深防御体系，具有积极防御能力，创新采用零信任技术，形成体系化、实战化的安全防护能力，能够实现七个确保：

•        确保移动终端环境的安全可信

• 
  

•        确保移动接入链路的保密可用

• 
  

•        确保移动应用的架构和使用安全

• 
  

•        确保移动办公平台的安全运行

• 
  

•        确保移动办公对数据的可信访问

• 
  

•        确保移动办公数据的安全流转

• 
  

•        确保移动办公业务的安全合规

       下面主要介绍移动办公安全体系中采用的零信任相关机制。其它技术领域（如云安全、网络安全、主机安全等）的安全控制措施相对成熟，不再赘述。

       零信任的基本思想是在网络边界的基础上，增强身份新边界，尽可能收缩应用和数据资源暴露面。它以对人员、设备、应用、服务等的统一身份管理为基础，实时感知环境安全水平并分析用户行为，持续提供信任评估，实现基于信任的强访问控制和精细化动态授权，形成事前强身份认证、事中实时信任评估、事后行为审计和策略调整的信任服务体系。零信任架构的核心要点如下图所示：

零信任访问控制模型

       上述核心要点需要若干技术组件进行支撑，这些技术组件可抽象为可信访问代理、可信访问控制系统、身份管理系统、身份分析系统、终端感知系统、网络感知系统等。如下图所示。通过这些技术组件，构建动态可信的安全访问平台（即图中的零信任动态可信访问控制区），作为访问主体（即图中的用户区）和访问客体（即图中的数据区）之间的安全桥梁，保障新IT架构下的主体对客体业务、数据访问的安全可信。

零信任身份安全参考架构

       在暴露面最大的移动智能终端上，利用新一代沙箱技术构建安全可信的虚拟运行环境，即企业移动可信工作区（简称可信工作区）。如果移动安全组件与移动办公平台未能集成，则可信工作区会有自己的门户形态；如果移动安全组件与移动办公平台已经集成，则可信工作区没有自己的门户形态，完全内生于移动平台之中，也就是将各种安全组件（包括威胁感知、安全沙箱、安全管控等）和移动办公App集成在一起，成为一体化的具有内生安全特性的移动办公平台。这种一体化方案正是我们提出的安全内生移动办公解决方案。

       可信工作区为企业级应用和数据提供增强的数据保护方案，全面降低由于引入移动智能终端给企业带来的一系列安全风险。可信工作区借鉴零信任思想，基于人、设备、应用多个维度构建全新的安全模型：

       1）数字身份边界可信

       通过将新一代应用沙箱与身份认证技术深度整合，可信工作区对企业应用在移动终端上的边界进行了规整：第一层边界是可信工作区自身，通过应用沙箱技术隔离的方式，构建了企业应用和个人应用之间的边界，并且在边界入口处对用户进行基本身份认证；第二层边界是在可信工作区内部，根据应用的不同价值度/敏感度来定义企业内部应用之间的边界，对一些高敏度应用进行基于时间、位置、行为等因素的持续动态的增强身份认证，确保这些高敏感/高价值应用在正确时间、正确地点、被正确用户安全访问。

       2）移动终端环境可信通过移动终端环境感知代理，采用大数据分析和人工智能技术，对用户、时间、地点、设备、网络、应用、系统环境属性等访问上下文进行感知和建模，持续进行风险检测、数据收集、行为分析、风险评估等，实现风险和信任的持续度量。

       3）企业应用数据可信可信工作区通过构建数据全生命周期（存储、传输、使用、共享等）安全防护方案，使企业应用/数据更加可信：如在数据存储阶段，采用应用层透明加解密技术，对需要落地存储的文件进行高强度加密存储，对于数据加密密钥等关键信息通过密钥沙箱技术进行安全存储；在数据传输阶段，采用基于TLS的应用级加密通道，实现在数据传输过程中的安全通道访问；在数据使用阶段，通过禁止截屏、禁用拷贝粘贴、应用/文档水印等安全控制手段，防止企业员工在使用数据过程中的有意无意造成的企业数据泄露行为；在数据共享阶段，通过企业应用和个人应用之间的隔离，企业应用之间的隔离，防止不同敏感级别应用之间的数据共享和交互。 

       4移动零信任部署效果

       在移动终端环境，包含桌面终端（笔记本电脑）和移动智能终端。桌面终端安装了常用的终端安全防护组件。由于移动智能终端的风险更大，应采用增强的业务安全加固，包含多因素认证（MFA）、移动环境感知等。

       在内网环境，包含可信访问控制和业务数据中心两个部分。可信访问控制部分采用零信任模式，基于可信访问代理、可信访问控制系统、移动环境感知系统、身份分析系统等零信任组件，组成移动环境零信任落地方案，提供了移动环境下多因素认证、动态授权、持续评估的安全能力，保障了对移动业务资源的安全访问。

       业务数据中心采用超融合私有云的部署方式，为政企客户提供更好的隐私和安全保护；采用信创CPU、操作系统等，以满足信创要求；采用云安全资源池进行动态灵活的安全防护。通过部署上述安全控制组件，应用零信任访问控制、移动可信工作区的控制措施，可确保移动办公对业务数据资源的可信访问和安全流转。可实现的零信任访问效果如下图所示：

移动零信任部署效果

       安全移动办公实践是一个系统工程，需要系统规划、系统设计、系统建议、系统运行。任何一个环节的缺失都会带来短板效应。

       作为一个系统工程，移动安全的保障范围应该是全领域的覆盖，从移动终端环境的防御到移动接入网络的保障，从移动应用的安全开发到移动业务平台的安全加固，以至于移动数据的隔离、加密和保护等，当然也缺不了相应的安全管理、审计和持续的安全运营。

安全移动办公实践是一个系统工程

       注意到，在开展安全移动办公方案的落地建设时，通常无需从零开始。因为移动办公往往都是基于企业已经存在的业务环境下叠加开展的。此时，业务平台、数据安全、安全运营保障都有了一定基础，主要是与已有安全保障措施进行有机结合，增加移动安全所需能力。

       移动安全工作是一个持续运营的过程。应确保技术措施和管理手段在业务执行过程中进行有益结合和实施。比如通过运营来优化安全策略，不断调整移动用户移动策略、及时删除离职用户等，这样可以有效地发挥出安全运行效果。尽可能利用企业中已有的安全管理中心/态势感知中心，来统一监控移动安全态势。 

       四、结束语

       本文给出了基于零信任的内生安全移动办公解决方案，具有五大安全特性（深度融合、风险可控、访问可信、满足合规、符合信创），以应对移动办公发展的五大趋势。从更高的层面讲，企业还需要做好安全治理，建立并优化适合自身的整体安全架构。

       文中所提方案是通用解决方案，并未涉及具体的供应商产品。方案本身具有可落地性，已得到实践验证。奇安信集团大力投入对零信任安全架构的研究和产品标准化，结合不同行业现状，积极推动“零信任身份安全架构”在业界的落地实践，其方案已经在部委、央企、金融等行业进行广泛落地实施，得到市场、业界的高度认可。

       我们认为，本次疫情将催生移动办公需求的增长。当疫情结束之后，移动办公需求也不会降低，而是成为固定办公的有益补充，甚至会成为某些企业的常态。

       我们期待，在不久的未来，随着网络成熟度的提升和零信任架构的成熟完善，企业用户能够实现“三个任意”的移动办公目标。