《04.HarmonyOS企业安全框架-助力开发者构建企业安全产品.pdf》由会员分享,可在线阅读,更多相关《04.HarmonyOS企业安全框架-助力开发者构建企业安全产品.pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、HarmonyOS企业安全框架助力开发者构建企业安全产品 企业安全典型场景 HarmonyOS企业安全平台能力框架数据访问前数据访问前可审计可审计(用于云侧风控)(用于云侧风控)可拦截可拦截(非预期的访问方式、传输行为)(非预期的访问方式、传输行为)可记录访问行为可记录访问行为企业设备上的功能、策略配置可被企业安全产品管理企业设备上的功能、策略配置可被企业安全产品管理数据访问中数据访问中数据访问后数据访问后企业信息资产防护目标访问行为可关联到企业用户访问行为可关联到企业用户数据可管理数据可管理用户可管理用户可管理设备可管理设备可管理请查收这个文件,信息比较敏感,不要发给别人收到数据发送:期望发
2、送后依然受到属主数据发送:期望发送后依然受到属主控制,接收后无法截屏控制,接收后无法截屏/打印打印/复制复制企业信息资产防护典型场景数据发送:期望对非法传输进行拦截数据发送:期望对非法传输进行拦截应用(FTP/浏览器/邮件/)合法传输非法传输企业IT云数据审计:需要感知端侧企业设备上数据审计:需要感知端侧企业设备上的访问事件的访问事件,用于云侧风控,用于云侧风控应用文件窗口网络企业设备企业设备即时通信应用云侧风控判定企业企业ITIT管理云管理云企业企业ITIT管理应用管理应用文件管理文件管理网络连接网络连接应用与进程管理应用与进程管理端侧系统能力:需要维护系统能力完整性、稳定演进,避免被上层应
3、用侵入式对接企业IT管理应用:基于企业安全策略,以端云协同方式获取端侧设备状态、下发管理指令企业IT管理云:基于企业制定的安全策略,管控端侧企业设备,防止企业资产泄露企业安全风控企业安全风控安全策略管理安全策略管理企业安全管理能力构建挑战下发管理指令上报端侧状态用户管理用户管理易管理易管理VSVS完整性与稳定演进完整性与稳定演进HarmonyOS企业安全平台能力HarmonyOSHarmonyOS安全底座:操作系统基础安全能力安全底座:操作系统基础安全能力HarmonyOSHarmonyOS企业安全平台能力企业安全平台能力HarmonyOS分级安全基础平台能力企业安全差异化能力:基于企业场景安
4、全诉求,构建安全平台框架能力企业安全产品、生态应用企业安全产品、生态应用HarmonyOS系统能力企业安全平台框架企业安全产品业界企业安全生态产品企业内部安全产品HarmonyOSHarmonyOSKIA数据管控数据受控分享企业设备管理用户认证管理安全审计HarmonyOS企业安全平台能力数据访问前数据访问前可审计可审计(用于云侧风控)(用于云侧风控)可拦截可拦截(非预期的访问方式、传输行为)(非预期的访问方式、传输行为)可记录访问行为可记录访问行为企业设备上的功能、策略配置可被企业安全产品管理企业设备上的功能、策略配置可被企业安全产品管理数据访问中数据访问中数据访问后数据访问后企业信息资产防
5、护目标访问行为可关联到企业用户访问行为可关联到企业用户企业管理类应用(帐号认证)HarmonyOS账号管理企业帐号管理企业场景下用户管理:企业帐号接入管理框架统一用户认证框架帐号身份关联用户登录认证帐号认证能力注册PIN码认证指纹认证人脸认证 提供企业帐号与本地用户的统一身份关联管理,同时支持通过企业帐号认证、本地用户认证两种方式登录设备 提供统一框架,为企业安全产品提供企业账号认证能力注册,账号认证类型和协议不受限制,提供更高的灵活度企业帐号认证云系统锁屏企业帐号ID企业帐号密码PIN码指纹以企业帐号登录设备,关联本地用户以本地用户登录设备,关联企业帐号头像数据访问前数据访问前可审计可审计(
6、用于云侧风控)(用于云侧风控)可拦截可拦截(非预期的访问方式、传输行为)(非预期的访问方式、传输行为)可记录访问行为可记录访问行为企业设备上的功能、策略配置可被企业安全产品管理企业设备上的功能、策略配置可被企业安全产品管理数据访问中数据访问中数据访问后数据访问后企业信息资产防护目标访问行为可关联到企业用户访问行为可关联到企业用户普通文件机密文件秘密文件企业关键资产文件管理:场景示例1可标记企业关键资产的风险等级可设定允许不同等级关键资产发送的可信网段范围可 发 送 可 信 网 段 范 围关键资产文件被FTP/邮件/网页传输到非可信网段时,可对传输行为发起拦截 文 件 风 险 等 级 与 传 输
7、 拦 截 策 略 配 置 传 输 拦 截企业关键资产文件分级管理框架关键资产文件属性配置企业关键资产文件管理框架拦截策略配置文件系统企业关键资产文件管理网络管理企业管理类应用文件访问事件监听拦截策略决策拦截策略执行关键资产属性配置应用访问数据、发送数据时,被以系统统一拦截机制管控,避免企业应用直接监听内核企业关键资产文件管理:场景示例2数据发送方:数据发送方:示例应用示例应用 聊天工具类应用聊天工具类应用文档内容数据接收方:数据接收方:示例应用示例应用文档类应用文档类应用发送文件发送文件您好,请查收这个文件收到文 件.d o c可 设 定 文 件 访 问 控 制 策 略访 问 控 制 策 略
8、跟 随 文 件,无 法 篡改、无 法 去 除;文件传输过程不泄露、不依赖通道安全限 制 对 文 件 的 访 问,对 风 险 行 为 发 起 拦 截即 使 上 层 应 用 被 攻 击,拦 截 也 不 会 失 效 发送前发送前 传输中传输中 发送后发送后系统能力诉求系统能力诉求系统服务(剪贴板/打印/窗口管理/)传输类应用(邮箱/即时通信/.)文档编辑类应用数 据 分 享 管 控-权限管理数 据 分 享 管 控-凭据与策略管理细 粒 度 文件沙箱拦截点DLPDLP文件文件访问控制策略(是否能打印/截屏/复制/.)文件内容密文被分享文件被分享文件企业数据管理云-策略校验与凭据管理发送端接收端数 据
9、分 享 管 控-权限管理数 据 分 享 管 控-凭据与策略管理文 件 浏 览 器传输类应用(邮箱/即时通信/.)系 统 级 文 件 访 问 控 制 策 略 设 定入 口,应 用 无 需 特 殊 适 配:基于 指 定 的 接 收 方 身 份,生 成 带控 制 策 略 的 文 件 密 文端 云 协 同 解 密 文 件;文 件 控 制 策 略 执 行 可 在 系 统 层 独 立 管 控,不 受上 层 应 用 攻 击 影 响 发送前发送前 传输中传输中 发送后发送后1 11 1文 件 控 制 策 略 跟 随 被 分 享 文件 密 文,无 法 被 篡 改、去 除2 22 23 33 3文件受控分享系统能
10、力框架沙 箱 策 略 1沙 箱 策 略 2沙 箱 策 略 n系统服务(剪贴板/打印/窗口管理/)受 控 分 享 文 件 1受 控 分 享 文 件 2受 控 分 享 文 件 n应 用 分 身 1应 用 分 身 2应 用 分 身 n鸿蒙权限管控动态加载权限管控策略动态加载权限管控策略动态切换管控策略动态切换管控策略文件受控分享系统能力框架企业管理类应用企业数据审计框架事件查询事件订阅文件管理网络管理窗口管理事件采集与监听企业数据审计框架 针对主流操作事件,提供统一开放接口,避免上层应用直接操作内核数据访问前数据访问前可审计可审计(用于云侧风控)(用于云侧风控)可拦截可拦截(非预期的访问方式、传输行
11、为)(非预期的访问方式、传输行为)可记录访问行为可记录访问行为企业设备上的功能、策略配置可被企业安全产品管理企业设备上的功能、策略配置可被企业安全产品管理数据访问中数据访问中数据访问后数据访问后企业信息资产防护目标访问行为可关联到企业用户访问行为可关联到企业用户企业管理类应用企业设备管理框架设备管理企业设备管理框架企业设备管理设备状态采集设备状态管理网络管理应用管理用户管理企业设备状态采集设备状态采集网络状态采集系统状态采集应用状态采集应用包管理网络管理窗口管理设备风险操作框架归一:针对受控企业办公设备,通过企业设备管理框架提供统一设备信息采集、设备管理能力,避免企业应用直接操作内核;能力受限
12、开放,避免风险扩散:限定只有企业应用/MDM应用可使用HarmonyOS企业安全能力部署:与消费者产品隔离HarmonyOSHarmonyOS企业安全平台能力企业安全平台能力HarmonyOSHarmonyOS安全底座:操作系统基础安全能力安全底座:操作系统基础安全能力消费者产品安全框架企业产品安全框架企业管理类应用企业设备管理框架设备管理设备状态采集企业用户管理框架企业关键资产文件分级管理框架企业数据分享管控框架企业数据审计框架文件系统网络管理窗口管理HarmonyOS企业安全能力框架事件查询事件订阅管控策略查询帐号管理帐号身份关联关键资产文件属性配置拦截策略配置能力向企业安全应用生态伙伴开放谢谢