安全管理規(guī)范,移動業(yè)務安全解決方案,除了提供上述的各種技術手段解決移動業(yè)務安全風險,還要配套相應的安全管理流程規(guī)范和措施,做到從需求、設計、研發(fā)、測試、上線和運維等全流程的安全管理,充分發(fā)揮解決方案的防護效果。依據(jù)行業(yè)特點,制定的移動安全管理規(guī)范和措施,主要包括《移動設備安全管理標準規(guī)范》、《移動應用安全防護規(guī)范標準》、《Android安全編碼規(guī)范》、《iOS安全編碼規(guī)范》、《移動業(yè)務應用安全設計規(guī)范》、《移動業(yè)務應用上線發(fā)布流程規(guī)范》和《移動業(yè)務應用安全運維規(guī)范》等。移動安全防護解決方案可選擇上訊信息移動安全管理平臺。可信評估
移動應用防調試保護,采用輕量化監(jiān)測探針和安全沙箱技術,在零信任環(huán)境下構建可信運行環(huán)境,在移動應用運行時,從設備環(huán)境、應用威脅、網(wǎng)絡劫持和敏感行為等角度,持續(xù)檢測運行環(huán)境異常及調試注入威脅,及時研判告警并觸發(fā)響應動作阻斷攻擊,確保移動應用的安全運行。移動應用數(shù)據(jù)保護,通過安全沙箱技術,構建移動應用數(shù)據(jù)泄露防護能力,實現(xiàn)敏感數(shù)據(jù)從存儲、使用、輸入、輸出到銷毀的全周期保護。所有加固功能,均以策略形式體現(xiàn),企業(yè)可根據(jù)實際需要,進行靈活自定義選擇配置。移動應用安全加固對應用性能影響較小,基本可以忽略不計,并兼容新版本操作系統(tǒng)版本及主流廠商主流機型,在保障移動應用安全性的同時,具備良好的用戶體驗。移動警務安全方案結合金融企業(yè)現(xiàn)有移動設備情況,對企業(yè)購買設備個人使用場景下的移動設備進行安全保護。
移動設備安全管理,通過設備資產管理、設備安全管控和設備合規(guī)檢測,結合靈活的策略配置、細粒度的管控措施和多種遠程控制命令,實現(xiàn)移動設備從部署安裝、注冊使用到淘汰回收的全生命周期管控,保障企業(yè)移動業(yè)務安全高效開展。采用多因素認證,如密碼、短信等,驗證用戶身份并綁定設備,采集設備信息生成設備指紋,通過指紋比對,確保移動設備的合法接入。設備管理還提供設備安全配置、遠程控制、合規(guī)檢測等,通過多種管控措施,確保移動設備安全可控。對設備運行環(huán)境、違規(guī)操作行為和威脅攻擊行為進行實時安全監(jiān)測,并通過數(shù)據(jù)處理和關聯(lián)分析,感知移動設備安全態(tài)勢。當設備丟失或回收時,能夠遠程擦除業(yè)務數(shù)據(jù)、注銷設備及報廢設備等,確保無敏感數(shù)據(jù)殘留。
通過部署移動安全管理平臺,針對企業(yè)敏感數(shù)據(jù),進行文件存儲加密、頁面截屏防護、內容復制限制、頁面數(shù)字水印、遠程數(shù)據(jù)擦除和恢復出廠設置等數(shù)據(jù)泄漏防護,實現(xiàn)敏感數(shù)據(jù)從存儲、使用、分享、傳輸?shù)戒N毀的全生命周期保護。針對存儲數(shù)據(jù),采用國密算法進行加密保護;在數(shù)據(jù)使用過程中,通過文件透明加密、頁面截屏防護、頁面數(shù)字水印、內容復制限制、安全鍵盤輸入等措施,防止敏感數(shù)據(jù)泄露;在數(shù)據(jù)傳輸時,通過網(wǎng)絡安全隧道進行加密和完整性保護;當終端回收或丟失時,能夠遠程擦除數(shù)據(jù)和恢復出廠確保無敏感數(shù)據(jù)殘留,實現(xiàn)數(shù)據(jù)從存儲、使用、傳輸?shù)戒N毀的全生命周期保護,確保數(shù)據(jù)可信。在移動應用上線發(fā)布前,解決移動應用程序存在的安全漏洞,保障移動應用程序安全。
移動應用安全加固,在操作系統(tǒng)原有安全體系基礎上,采用虛擬機保護機制、JAVA2C和白盒加密技術,提供移動應用程序的防逆向、防篡改、防調試和數(shù)據(jù)保護。將開發(fā)完成的移動應用APP上傳到管理平臺進行安全加固,通過對移動應用程序進行自動化加殼,利用動態(tài)加載、實時鉤子、虛擬機保護和透明加密等技術手段,實現(xiàn)移動應用的防逆向分析、防篡改二次打包、防動態(tài)調試注入和數(shù)據(jù)保護等功能,確保移動應用程序APP安全及可靠運行。產品中所有加固功能,均以策略形式體現(xiàn),企業(yè)用戶可根據(jù)實際需要,進行靈活自定義選擇配置。同時,產品可兼容新版本操作版本及主流廠商主流機型,在保障移動應用安全性時,具備良好的用戶體驗。上訊信息為企業(yè)提供一體化、智能化、場景化、可視化的移動安全整體解決方案。業(yè)務應用可控
針對移動應用APP的程序代碼漏洞的安全防護,保障移動應用程序代碼和運行安全??尚旁u估
隨著企業(yè)數(shù)字化轉型的加速,遠程辦公、移動辦公和混合辦公模式越來越普遍,因此企業(yè)大部分資源會放在云上,但依靠網(wǎng)絡邊界的方式,會使得效率變得低下,同時也會給企業(yè)帶來一系列互聯(lián)網(wǎng)安全風險。面對網(wǎng)絡安全威脅變化和網(wǎng)絡邊界泛化模糊的新形勢,以“從不信任,始終驗證”為基本原則的零信任架構應運而生。美國國家標準與技術研究院(NIST)將零信任安全定義為“一組不斷發(fā)展的網(wǎng)絡安全范式,將防御從靜態(tài)的、基于網(wǎng)絡邊界轉移到關注用戶、資產和資源的領域”??尚旁u估