移动安全管理系统产品介绍.docx

擎天卫士移动安全管理系统白皮书擎天卫士移动安全管理系统白皮书中安保实业有限公司2015年6月目录1.概述31.1.市场背景31.2.企业挑战32.产品简介42.1.产品概述42.2.产品架构53.产品功能概述63.1.设备管理63.2.内容管理73.3.应用管理73.4.集中管控74.主要功能84.1.管理平台84.1.1.用户管理84.1.2.设备管理84.1.3.报表管理94.1.4.系统维护104.2.自服务平台104.3.移动终端114.3.1.应用更新114.3.2.修改密码114.3.3.操作日志114.3.4.配置管理114.3.5.客户端升级114.3.6.登陆注销114.3.7.关于125.产品特点126.应用场景137.系统运行环境157.1.管理平台157.2.自服务平台167.3.移动端168.服务支持161. 概述1.1. 市场背景近年来由于IT技术和通讯技术的进一步融合，移动互联网产业得到了迅猛发展，正逐渐渗透到人们生活、工作的各个领域。随着 3G、4G网络的优化完善，智能手机及平板电脑市场的空前繁荣，基于iOS、Android、Windows Phone及 Windows 8 等主流操作系统的智能终端设备具有普及程度高，计算能力强，存储容量大的特点，利用智能终端设备访问企业IT系统进行移动办公成为市场潮流。未来，越来越多的企业员工将摆脱办公室的约束，通过智能手机等移动终端设备来处理日常事务。1.2. 企业挑战据国际权威咨询公司Gartner预测，到2014年90%的企业将会支持员工在个人移动设备上运行企业办公应用程序，员工使用个人智能终端设备办公已经成为一种无法逆转的潮流。这类被称为BYOD(Bring Your Own Device, 自带设备办公)的现象为企业安全和管理带来了新的挑战：n 企业网络边界变得模糊，原有的边界防御系统无法有效保护企业数据安全。企业员工的移动设备可以在任何时间、任何地点接入移动互联网或公共/家庭Wi-Fi网络，移动终端中的企业数据也会暴露在来自互联网的攻击之下，BYOD打破了原有的企业网络边界，正是这种边界的模糊性使BYOD成为企业信息安全体系的薄弱环节，需要新的方法保护企业数据安全。n 个人应用与企业应用混用，为企业带来信息安全风险。同一移动终端设备上既有个人应用，又有企业应用和数据，个人应用可以随意访问、存取企业数据，从而存在企业数据被个人应用非法上传、共享和外泄的风险。如存储在手机中的办公邮件、文件、图片、通信记录以及与业务内容有关的短信等，这些敏感信息的泄漏给企业带来极大的信息安全风险。n 不同于传统 PC 平台 Windows 操作系统一枝独秀，移动设备平台已形成多操作系统共存的局面，而且不少厂家还对操作系统进行了不同程度定制化改动，需要对移动设备多操作系统保持良好兼容。n 企业内部移动应用和文档的分发、更新需要耗费大量人力物力成本，且容易发生遗漏，面对海量的手机应用如何保证员工只使用合规的应用。n 移动设备容易丢失，移动设备中所保存的企业敏感数据也因此面临泄密风险，设备丢失不但意味着敏感商业信息的泄漏和丢失，所丢失的设备也可能会变成攻击企业网络的跳板。n 手机有限的处理能力让病毒侵入成为可能，企业应用商店应避免恶意软件的破坏。2. 产品简介2.1. 产品概述擎天卫士移动安全管理系统是一套面向企业移动终端安全管理平台，解决企业在向移动办公拓展过程中面临的安全、管理以及部署等的各种挑战，帮助企业在享受移动办公带来成本下降、效率提升的同时加强对移动设备的管理控制以及安全防范。企业管理员可以更加高效的管控移动终端，可制定灵活可控的安全策略，提升移动终端的安全指数。擎天卫士移动安全管理系统解决了员工个人隐私的安全性以及工作和个人生活的平衡性问题。擎天卫士采用工作区数据和个人区数据完全隔离的方式，个人区不能访问工作区数据，同时工作区也不能访问个人区的数据和应用，保证了数据的隐私，真正的实现了“公私隔离”，很好的保证了个人生活和工作的平衡。产品分为管理平台、自服务平台及移动终端。产品提供ios、andriod、windows phone等跨平台、跨设备下的移动设备管理（MDM），移动应用管理（MAM），移动内容管理（MCM）等功能。主要解决保护敏感信息问题，资产管理问题，应用管理问题，设备安全问题。2.2. 产品架构擎天卫士分为WEB管理平台，WEB自服务平台，移动终端三部分。 管理平台管理平台是基于WEB的管理系统，供系统管理员使用，提供全部管理维护功能。通过管理平台企业管理员，可以查看权限范围内的移动终端使用情况，并可以进行各项操作。 自服务平台自服务平台也是基于WEB的系统，供普通用户使用，提供自行管控个人设备功能。通过自服务平台企业普通用户，可以向自己的设备进行远程管控操作。 移动端移动端部署在企业移动设备终端上，企业通过移动端执行管理平台下发的各项策略操作，及自服务平台发出的操作，员工可以通过移动端安全访问企业内网。产品架构如下：技术架构如下：系统部署3. 产品功能概述擎天卫士移动安全管理系统主要功能包括设备管理，内容管理，应用管理及集中管控，有效的解决了企业在移动办公中遇到的安全及设备管理等问题。3.1. 设备管理擎天卫士设备管理（MDM）拥有完善的设备指令下发、地理定位以及安全策略管理的功能。管理员能通过管理中心看到每个移动终端的详细信息，并可对指定或者所有的终端进行清除企业数据或全部数据、远程锁屏解锁设备、远程启动鸣音、推送消息等强制指令的下发。同时可以对移动终端进行地图定位，管理员可查看移动终端的当前地理定位。管理员可灵活的自定义移动终端的安全策略，可根据需要设置移动设备密码复杂度及使用周期，以及移动终端功能禁用，比如语音、短信彩信、摄像头、WIFI、蓝牙、数据接口等。3.2. 内容管理擎天卫士通过沙箱技术在移动终端建立了一个独立的工作区，采用的公私隔离技术很好的将企业数据和个人数据完全隔离，所有的企业应用和数据存储在受保护的安全工作区内，避免非法存取企业数据，使IT部门能更好地保护企业的应用和数据，也为员工提供了无差别的个人应用体验，达到“一机两用” 的效果。擎天卫士对工作区域进行了数据加密，防止设备丢失或数据擦除后非法进行数据恢复。3.3. 应用管理擎天卫士提供一个统一的入口，企业需要使用移动应用都要求经过审核后，才可以向企业内部发布，形成企业私有的应用市场，很好的规范了企业移动设备应用的下载和使用，而且提高了管理员统一管理企业移动应用的效率。企业可以自行决定移动应用添加删除。管理员对终端应用有绝对的管理权限，可强制安装、卸载，禁用终端应用。同时根据实际需要发布移动应用管理策略，指定部分或全部设备安装或卸载移动应用。企业员工无法自己安装卸载企业推送的应用。3.4. 集中管控为了更好的对移动终端的安全进行管理，擎天卫士提供了各种集中管理控制的功能，使得管理员对终端设备从注册，使用，到删除的整个设备全生命周期都能完全掌控。擎天卫士提供了机构和用户管理功能，根据企业实际情况建立部门结构和对应用户账号，账号登陆上线后即可自动绑定设备。管理员可根据需要按分子公司或部门推送设备或应用管控策略。擎天卫士提供统计报表功能，通过报表查看设备上线使用的情况，安装应用数量，策略部署情况及终端设备限制，为了记录管理员以及企业员工所进行的操作，擎天卫士提供了日志功能，管理平台可记录并展示管理员的操作、时间和内容，在自服务平台历史记录中可以看到当前设备收到的远程操作及策略包括来自管理平台，以及普通个人用户进行的操作，时间和结果。4. 系统主要功能4.1. 管理平台4.1.1. 用户管理用户管理分为机构管理和用户管理两部分管理员可以根据实际部门结构通过平台新建、编辑、删除，查看部门机构，程树型结构显示。并且通过部门发布安全和应用管理策略。管理员可以通过用户管理功能，新建，删除，编辑，查看，用户账号密码等相关信息，并且可以批量导入用户，导出用户密码；并且可以通过用户账号发布安全和应用管理策略。4.1.2. 设备管理4.1.2.1. 资产管理提供设备资产的管理功能，可以录入，搜索，编辑，删除，批量导出资产，可查看资产设备标识，设备名，唯一号，型号，持有人，系统版本，运营商，绑定状态等相关信息。管理员可基于单个设备发布安全和应用策略。4.1.2.2. 安全管控管理员可对设备资产进行远程相关安全操作，如擦除设备数据，包括企业应用，远程锁定解锁设备，解除绑定，远程控制设备响铃，向设备发送弹屏消息，定位设备。4.1.2.3. 配置发布管理管理员可以通过该功能发布多种不同规则的安全策略，选择指定不同的设备下发生效。控制不同部门机构下的设备应用不同的安全策略，密码规则，指定密码长度，强度；终端功能限制，包括控制通话，短信，录音，相机，截屏，蓝牙，wifi，网络，定位，usb借口，应用安装等基础功能禁用或启用。4.1.2.4. 应用发布管理管理员可以通过该功能发布多次不同规则的应用策略，指定不同机构下设备下发生效。管理者需要的推送的应用自行上传，可强制应用安装，卸载，禁用。4.1.2.5. 发布历史管理员可查看策略发布的历史记录，包括该记录的操作人，策略名称，发布日期，发布类型，发布内容，成功率，并且根据日期进行搜索。4.1.3. 报表管理4.1.3.1. 设备统计系统根据设备绑定情况，设备系统版本，在线设备，客户端版本统计设备数量，显示四张饼状图。4.1.3.2. 应用统计系统根据应用已部署的设备和未部署的设备数量，显示两张饼状图。4.1.3.3. 配置统计系统根据密码策略部署情况，功能限制策略已部署和未部署的数量，显示三张饼状图。4.1.3.4. 安全统计管理员可根据日期搜索统计发生定位，锁屏，解锁，擦除设备，解绑，发送消息，响铃，擦除企业应用的设备数量。4.1.4. 系统维护4.1.4.1. 账号管理提供系统管理员账号管理，可增加，编辑，搜索，删除管理员账号，其中admin未默认账号不可删除。4.1.4.2. 终端升级管理管理员可添加，删除需要下发客户端程序。4.1.4.3. 企业应用管理管理者可以添加，删除需要推送下发的APP安装包。4.1.4.4. 操作日志管理员可查看系统产生的全部操作，并且可以根据日期搜索。4.2. 自服务平台用户登陆后可查看绑定设备的相关信息，包括录入信息，如：设备名，标识，IMEI等；设备硬件信息，如：型号，电话号码，MAC地址，版本等；及解锁密码。普通用户可以通过自服务平台远程擦除数据，锁定解锁设备，发送消息，控制响铃，定位设备操作。还可以查看该设备上的安全历史操作记录。4.3. 移动终端4.3.1. 应用更新用户通过手动更新可获取服务器对该设备下发的应用策略。4.3.2. 修改密码用户可以自行修改登录密码。4.3.3. 操作日志用户可查看相关日志，包括配置更新，应用更新，安全操作日志查看。4.3.4. 配置管理用户可查看，更新当前最新安全控制策略。当用户尝试破坏终端管理配置时，系统将阻止或者进行恢复配置。4.3.5. 客户端升级用户可手动更新检查客户端是否为最新版本。4.3.6. 登陆注销用户通过账号密码登陆后认证绑定，才可使用客户端，注销时需要向管理员获取设备密码，才可注销。4.3.7. 关于显示当前客户端版本信息。5. 产品特点 全面管理功能集移动设备管理、应用管理、内容管理三大功能于一体，为企业的移动办公提供集中管控，为企业应用商店构筑移动平台，为企业内部文档分发建立移动渠道。 多方面安全体系移动设备防丢失，支持设备定位、远程锁定、数据擦除、弹屏消息、铃音控制，屏蔽恶意移动应用风险；公私数据隔离，隐私信息防止外泄。 跨平台解决方案支持Android 操作系统，并可平滑拓展到IOS及 Windows Phone操作系统。 强制的配置策略企业可自行推送移动应用、设备功能控制基本策略，移动终端设备强制应用策略。 私有企业应用商店提供统一入口，利用自行研发的推送服务，支持企业应用管理功能。支持企业应用推送安装，卸载，禁用。强制发布企业应用推送策略，避免恶意应用风险。 数据安全隔离擎天卫士利用沙箱技术，移动终端上建立独立工作区，将工作数据与个人数据完全隔离，禁止任何个人应用读取、访问工作区。同时采用加密技术防止信息泄露。 便捷自服务平台通过WEB自服务平台，个人用户可以自己远程管理控制设备，实现设备定位，锁定，数据擦除，定位等操作，大大降低管理员的工作量。6. 应用场景l 户外作业：在电力，油气管道，公路巡检等户外条件下，需要通过手持移动设备，采集数据，拍照记录，并且与后台进行数据同步，本产品可安装于这些设备中，进行数据保护，快速定位，设备防损等事项。电力巡线石油管道道路巡检l 数据保护：警察执法取证，法庭审判过程记录，物价数据采集等相关政府信息的泄露都会对社会产生不可预计的影响，通过使用本产品对设备数据远程擦除，或终端基础