需求场景

随着企业数字化转型的加速，远程办公、移动办公和混合办公模式越来越普遍，因此企业大部分资源会放在云上，但仅依靠网络边界的方式，会使得效率变得低下，同时也会给企业带来一系列互联网安全风险。面对网络安全威胁变化和网络边界泛化模糊的新形势，以“从不信任，始终验证”为基本原则的零信任架构应运而生。美国国家标准与技术研究院（NIST）将零信任安全定义为“一组不断发展的网络安全范式，将防御从静态的、基于网络边界转移到关注用户、资产和资源的领域”。

需求分析

· 随着企业的发展，员工数量也在逐年增加，组织架构和人员结构可能存在较为复杂的情况，员工信息化水平参差不齐，可能导致访问权限被滥用。为保证用户在系统安全策略下正常工作，拒绝合法用户越权的服务请求和非法用户的非授权访问请求，需要进行细粒度的授权管理，进而确保人员和设备都是安全可信的。

· 企业移动业务不断开展，网络暴露面逐渐增多，先建立连接再进行用户认证的传统网络通信防护方式，存在较多的安全风险，如端口恶意扫描和拒绝服务攻击等，需要收敛暴露面减少攻击面，建设先认证再连接的网络安全隧道，保障移动业务网络通信的机密性和完整性。

· 企业员工使用个人自带设备进行移动办公时，移动应用会运行在复杂的环境中，风险威胁可能随时发生，从而无法保障移动应用的安全可靠运行，也不能及时根据风险情况动态调整用户授权和访问控制状态，需要按照零信任理念，构建持续监测机制和动态调整访问权限的能力。

· 一般企业对于日益严峻的移动安全威胁，虽然采用了一些安全防护手段，但基本是单一的、孤立的，缺乏整体的、统一的全生命周期防护，不能形成基于移动终端、移动应用和通信网络的纵深防护体系，更不能对移动业务敏感数据进行全生命周期保护，无法做到基于零信任的持续检测与响应的长效动态机制。

解决方案

上讯信息结合实际的应用场景，对传统的边界防护体系进行改造升级，构建更加适应企业业务发展的零信任移动安全防护体系，通过提供安全可信访问、网络安全传输、持续信任评估和动态访问控制等能力，保障企业移动业务安全高效开展。

· 安全可信访问：采用单包敲门技术，实现系统自身网络和业务应用隐藏，仅允许可信设备及应用的授权用户看到并访问被保护的业务服务，收敛网络暴露攻击面，提升移动业务访问防护强度。

· 网络安全传输：针对移动应用APP访问业务服务，采用应用级双向认证安全隧道技术，以及基于用户、设备、应用、微应用、服务和接口的细粒度最小化授权，保障移动业务通信安全。

· 持续信任评估：基于ATT&CK威胁框架，针对多端设备、用户、应用和网络，实时监测风险IOC和IOA指标，持续进行多维度、智能化关联分析和信任评估，并动态调整权限以及联动响应处置。

· 动态访问控制：从终端用户、终端设备、移动应用和网络通信维度，进行持续性威胁风险监测，感知移动业务整体安全态势，实时评估可信程度，实现一体化细粒度的动态访问控制体系。

· 全生命周期防护：基于零信任安全架构，结合平台安全检测、安全加固、安全沙箱、设备管理等移动安全防护能力，提供移动用户、移动应用、网络通信、业务数据等方面的全周期防护。