中新網4月27日電 在4月26日召開的2017年智能終端產業鏈全生態戰略合作峰會上,360移動安全子公司總裁趙剛應邀作為安全專家代表,做了主題為《移動辦公帶來的安全邊界的擴大離散和不確定》的演講。趙剛表示:“面對移動環境下的新風險,我們需要重新定義移動辦公安全:從IT驅動的安全轉向業務驅動的安全,(對移動辦公)要實現從內到外的全方位防護。”
據介紹,目前的移動化邊界存在三個新特點,這就是安全邊界的擴大、離散、不確定。其中,移動化和業務的外向開放,導致防護邊界層次與空間擴大,使邊界防護成為難題;終端的多樣性、分散性導致邊界、業務交互、人員身份管理成為難題;而移動終端的接入,以及微信、Web郵箱等個人應用的辦公化則導致防護邊界的不確定。
事實上,隨著越來越多的員工移動設備或企業配置的移動設備進入企業網絡,傳統的企業安全防護邊界早已失效,事實上,很多威脅來自內部人員。360威脅情報中心最新發布的《政企業務安全狀況分析報告》認為,針對政企辦公等業務安全很多威脅是由惡意或無意的內部人員造成的。傳統基於邊界防護的體系面臨巨大挑戰——我們不能再繼續基於邊界防護的思維進行辦公安全的防護。
與此同時,攻擊者的手段日益高級,過去那種單點、隔離式的防護手段,也會令政企的辦公時刻面臨挑戰,比如僅依靠密碼管理的手段,一旦被攻破,無疑給攻擊者提供了訪問敏感數據的鑰匙。這要求我們還需要從整體上、採取多種手段進行辦公安全的防護,而不能僅僅依靠單個手段與技術。
趙剛在演講中特別介紹瞭解決身份安全、環境安全、隧道傳輸、應用交互安全,以及應用自身安全等移動安全問題的不同技術手段。
比如身份安全問題,可以採用“下一代軟Token”、“生物識別”,實現動態雙因子保證身份唯一性;採用“免密Login” 解決身份唯一性。
針對環境安全問題,要從終端管理轉向移動終端環境管理; 對於終端環境進行定期檢查、接入業務前檢查等手段。
對隧道傳輸問題,則應將隧道加密技術應用到3G/4G、Wifi、雲計算中。對應用交互安全問題,可以通過規範通訊方式,採用企業級交互軟件,保障內容安全。對於應用自身安全,可以通過採用應用加固服務,黑/白盒測試提高應用安全。
據趙剛介紹,360企業安全在2016年發佈的360天機移動政務安全辦公套件,整合了上述技術手段,提供了一套完整的移動政務安全解決方案,可全面滿足移動政務信息化安全辦公的需求。