上汽乘用车业务移动化场景的零信任思考与实践
日期:2021年10月28日 阅:203
近两年随着企业数字化升级加速和新冠疫情的冲击,上海汽车集团股份有限公司乘用车公司(以下简称“上汽乘用车”)将越来越多的核心应用迁移到云计算平台和互联网,其服务范围已经远远超出了原有内部网络边界,企业业务系统走向了更开放的生态模式。这种变化给企业传统IT架构带来了很大挑战,一方面,涉及到外部的公有云上面的服务跟数据脱离了传统的安全边界管控的范畴;另一方面,访问关键应用服务和数据的终端设备管控也力有不逮。多种挑战加持下,让企业原有IT场景安全方案面临重大挑战。
上汽乘用车企业数据安全方面面临着几个重点问题:
1. 安全边界的模糊化
网络边界不再等于安全边界,过去相对独立、分散的网络已经融合为深度关联、相互依赖的整体。传统安全防护体系强调边界防御,Firewall/NGFW、IDS、IPS、UTM、Anti-DDoS等无一例外都强调网络边界的防御。但随着云计算、WiFi、移动互联网、远程办公等网络场景、应用场景的出现,网络访问与接入对移动性提出了前所未有的要求与挑战:云计算、移动互联网,远程办公将网络的安全边界延伸到了企业网络之外,WiFi的出现将传统企业的物理网络边界扩展到了 WiFi 信号可覆盖的任何一个位置。
2. 企业数据泄露风险
疫情期间员工使用BYOD(自带设备办公)设备远程办公,造成大量的企业数据和敏感信息留存于设备之上。移动设备的易失性会让丢失的设备沦为竞争对手或不法分子攻击企业的重要工具,对企业造成的危害不是简简 单单的损失了一个设备,是整个企业核心机密面临遭受窃取的严重威胁。
除设备丢失造成的企业数据风险外,员工泄漏成为企业数据遭受泄漏的另一个威胁,据调查,尽管 85%的企业采取了保密措施,但仍有 23% 的企业发生过泄密事件,员工通过拍照、截屏录屏、文件转发、复制粘贴等各种形式的被动泄漏或主动泄漏,都成为威胁企业财产和商誉的重要问题。
3. 国家政策对信息安全要求标准的提高
国家政策持续加码,对数据信息安全要求也越来越高,当前已出台《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《国家电子政务标准化指南》等相关政策标准。企业为满足国家对于信息数据安全建设的要求,需要以业务为中心,规范建设企业数据信息安全保障体系,以满足相关部门对于信息安全的监管要求。
面对以上安全边界风险、数据泄漏风险以及国家政策合规,上汽乘用车从贴合企业自身业务场景出发,基于上述安全背景,率先提出一种建设思路:在终端数据防护层面,面对业务数据在BYOD(自带设备办公)设备上留存使用,不管控不行、强管控则与个人信息保护要求相违背的现状。使用一款轻量化的解决方案在终端(包括桌面终端和移动终端)实现数据保护与用户体验兼顾的的目的。
从安全边界风险考虑主要是远程安全接入访问层面,使用SDP(软件定义边界)技术,灵活的网络访问策略和安全策略可有效减少网络安全隐患,且不对外暴露任何TCP端口,避免因为网络协议自身漏洞造成的攻击,从而可有效减少互联网暴露面,将内部业务服务在互联网侧隐身,提高公司全域网络安全。对访问主体的身份可信度进行持续评估和动态访问控制,同时实现业务应用服务隐藏和数据安全传输。再和终端数据安全方案集合起来形成一个完整的闭环保护方案,可满足收敛暴露面、可信访问控制以及数据链路安全保障等核心诉求。
从数据防泄漏角度主要包含桌面终端和移动终端数据防泄漏安全防护,PC解决方案我司采用通过领先的安全沙箱技术为不同区域的网络访问提供安全的逻辑隔离方法,使员工能够在一台计算机上,同时建立多个逻辑隔离空间(互联网安全空间、普通业务区安全空间、涉密区安全空间),在每个安全空间中可进行不同的网络访问,安全空间内的操作通过应用的安全策略得到控制,安全空间中数据全程在个人桌面无法访问和读取。PC工作空间实施后可以有效地阻止病毒、木马对企业网络的攻击,可靠地防止公司机密数据有意泄漏(外接设备、截录屏、URL二次跳转、文件打印)和无意的泄漏(病毒侵入、木马攻击、忘锁屏)。
特别是上汽乘用车在使用了PC工作空间解决方案后,公司之前从安全合规角度针对第三方外包开发、运维必须配发本地PC设备,通过部署PC工作空间后,有效且安全的解决了此问题,第三方外包使用个人设备即可安全的访问公司内部业务服务。在节省了采购硬件成本同时大大的降低了公司的运维成本,工作效率上也有进一步的提升。
针对移动端的数据防泄漏安全防护,我司采用了移动端的虚拟安全域数,在移动设备上划分出独立的安全区域,该区域设备上个人区域完全隔离,且个人区域无法访问工作区域的内容。帮助公司重新建设移动互联网时代下企业办公数据的移动安全边界,同时能够完全保障员工的个人隐私不被侵犯。对于目前主流的企业的移动应用类型的安全保护,无论是(Android/iOS) Native应用、H5应用还是混合应用,都能快速提供通用的安全防护能力,包括应用数据加密、防止向个人应用复制/粘贴数据、应用防截屏以及动态水印能力等DLP能力,确保企业数据在安全区域内无法泄漏企业的数据,从而保障了我们企业财产和商誉的重要问题。
通过轻量级安全架构的实施部署,在符合国家政策信息安全要求的同时,更加有效的保障且提搞了企业的生产力、创新能力。通过对端、管、云安全数据的全面采集和智能分析,为上汽乘用车信息安全数字化转型助力。