MDM移动安全防护系统技术解决方案

1、目录一、背景说明2（一）工程背景2MD陈统技术解决方案（二）应用现状2二、需求分析44（一）功能性需求分析4（二）非功能性需求分析5三、解决方案67（一）平安的网络接入控制7（二）手机行为规管理8（三）应用行为规8（四）通信规管理9 （五）区域差异化策略控制9专业资料（六）时间围栏策略10 （七）手机平安测评评测10（八）丰富的设备运维11（九）强大的审计追责能力11（十）实时执行命令策略1214（十一）友好的管理设计12四、方案价值及优势专业资料背景说明（一）工程背景随着移动互联网技术的开展，IT消费化时代已经成为现今的主流，越来越 多的单位员工使用个人平板电脑和智能手机进展日常公务处理，越

2、来越多的单 位为了提升业务的反响速度也为单位人员统一购置PDA或者平板电脑用于办公使用。由于其移动的便捷性，使得我们很难区分哪里是办公室，哪里是家，在 给我们带来便利的同时，威胁也随之而来。“移动办公也可称为“ 3A办公，也叫移动OA,即办公人员可在任何时 间Anytime、任何地点Anywhere处理与业务相关的任何事情 Anything。 这种全新的办公模式，可以让办公人员摆脱时间和空间的束缚。单位信息可以 随时随地通畅地进展交互流动，工作将更加轻松有效，整体运作更加协调，利 用手机的移动信息化软件，建立手机与电脑互联互通的企业软件应用系统，摆 脱时间和场所局限，随时进展随身化的业务管理和

3、沟通，帮助工作人员有效提 高工作效率。（二）应用现状业务性质决定了员工需要使用移动智能终端设备进展正常办公。这种最新潮的办公模式，通过在手机、平板上安装信息化软件，使得手机也具备了和电 脑一样的办公功能，而且它还摆脱了必须在固定场所固定设备上进展办公的限 制，为管理者和商务人士提供了极大便利。它不仅使得办公变得随心、轻松， 而且借助手机通信的便利性，使得使用者无论身处何种紧急情况下，都能高效 迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极为重要的意专业资料新型的移动办公方式也为单位的信息平安现状防护提出了更为严格的防护要求和挑战。1、移动设备具有易失性，从而具有泄露业务数据的隐患移

4、动设备由于其便携性，经常会出现丧失的情况。而移动设备中所保存的敏感数据也因此面临泄密风险。2、员工主动泄密，业务数据被泄漏移动设备的便携性使得其更加难以统一管理。难以保证个别离职人员不会将设备中的商密信息泄露给竞争对手。3、移动操作系统的碎片化问题严重，统一管理不便Android设备就有2万多款不同型号，员工自带的设备多种多样，如何保证 策略执行的一致性、如何在统一的平台上管理各种设备是另一个挑战。4、应用质量参差不齐，应用市场平安性堪忧据360的数据统计，78%的知名应用被盗版，第三方应用市场及论坛仍然 是恶意程序传播的主要途径（占61%）,最不平安的某小型应用市场的恶意程序占 比竟高达20

5、.2%,应用市场的平安性堪忧。5、手机病毒数量和类型的高速增长，使移动设备成为渗透网络的跳板在移动互联网越来越深入人心的今天,攻击者已经开场将视线由PC转向了移动设备。同时，由于 Root权限滥用和新的黑客攻击技术，移动设备成为滋生 平安风险的新温床，容易成为黑客入侵渗透网的跳板。6、公私数据混用，个人隐私难以得到保障专业资料同一移动终端设备上既有个人应用，又有业务数据和应用，个人应用可以 随意访问、存取业务数据，业务应用同样也会触及到个人数据。如何明确区分 并隔离移动终端上的业务数据/私人数据与应用，制止业务数据被个人应用非法 上传、共享和外泄，同时制止业务应用访问个人数据，尊重移动终端上的

6、私人 数据是一个难以防止的问题。集团公司的移动信息平安现状急迫的需要得到解决。二、需求分析移动智能终端设备防护的对象分散、品牌复杂，对于功能性和非功能性要求上都有着近乎苛刻的要求。（一）功能性需求分析移动互联网技术的高速开展，给我们的日常生活带来了便利，同时也提升了办公效率，随之而来的问题是，员工用移动设备办公的时候，由于其分散性，得不到集中管理，为单位部文档资料的泄露埋下了不可无视的隐患，同时 又很难进展事后的追责。隐患一：海量恶意软件防不胜防。大量恶意软件混杂在软件市场，一旦用户下载、安装带有木马、后门的软件，用户的个人信息、隐私、公司部的来往 信息、客户的资料信息等数据将受到严重威胁。隐

7、患二：“云备份可能造成信息泄露。“云备份既节省存储空间，又 便于多平台信息共享和恢复。然而，没有人能保证数据在云效劳器上不被非法 浏览、篡改或删除。倘假设有敏感信息泄露，后果将不堪设想。隐患三：免费 WIFI不平安。免费 WIFI上网时数据存在被监听、截获和篡专业资料改的风险，联网的手机甚至还会遭到漏洞攻击，从而造成损失、影响平安。隐患四：GPS定位控制。移动设备的高便携性特点，使得存有重要数据的 移动设备难以进展有效统一的管理，极大的增加了数据通过移动智能终端设备 带出造成数据泄露的风险。隐患五：拍照信息泄露。对于部资料、客户的隐私信息进展拍照。通过网 络渠道快速传播，而其中有可能包含了部的

8、 XX资料，或客户的隐私资料，造 成不必要的客户纠纷。隐患六：缺少有效的接入防护。由于业务的特殊性，部支撑网络接入位置 分散，在这种环境下随意接入网络部网络，存在违规接入风险。存在以移动设 备为载体，部网络被入侵的风险。隐患七：移动设备难以进展统一有效的管理。设备中数据存在被无意或恶 意倒卖的可能性。移动设备的平安隐患并不只存在于上述的列举中，实际环境中存在的更多 的平安隐患是我们无法完全列举的，甚至是我们还没有发现的。由于移动设备使用的普遍性，单纯通过制度来管理是无法进展有效控制的，如何结合一套针对移动智能终端平安管理的软件来解决以上问题就显得尤为重要。（二）非功能性需求分析好的产品在满足功

9、能需求的同时，同样要做到非功能性的一些设计要求。非功能性的产品可以概括为兼容性、可靠性、易用性、高效率等几个方面。广泛的兼容性专业资料产品应兼容IOS系统设备手机、ipad等和Android系统设备手机、Pad 等常见的移动设备系统。产品能兼容市面上常见的移动设备品牌，包括但不仅限于Apple、华为、三星、OPPO、Vivo、小米、努比亚、LG、魅族、中兴、金立、1 +、TCL、乐视 等。对于市面上没有由部自行开发或改良的手机型号，应能够提供兼容性方案 设计或二次开发以满足企业对于手机兼容性的要求。高可靠性产品应能够与常见的移动设备软件具备良好的兼容性。在与生僻的软件产生不兼容情况后，产品应能

10、够在短时间重建其性能水平并恢复直承受影响数 据。高易用性产品应具备友好的用户交互界面。产品功能操作在设计上应该便于理解、便于学习等，增加产品的可操作性。例如产品要具备短期的数据记忆能力，便 于数据的输入。高效率产品在使用的时候应具备低资源占用的特性。具体表现为，上线产品后，手机不能够有明显的速度下降；在一定条件下，产品占用的手机存储资源不应超过双方协商的资源占用数据。三、解决方案MDM系统定位于解决单位在向移动办公及其使用拓展过程中面临的平安、 管理以及部署等方面的各种挑战，帮助单位在享受移动办公带来本钱下降、效专业资料率提升的同时加强对移动设备的管理控制以及平安防。MDM系统解决了公司部手机

11、使用过程中的平安问题，使得员工能够更平安的使用手机及其网络，不用再担忧企业部数据通过移动智能终端的非法接入、木马、病毒等方式发生泄密事件，不用再担忧移动智能终端丧失或者被窃而导致的个人及企业信息数据泄露问题，不用再担忧移动智能终端成为入侵单位部 网络的渠道问题。MDM系统解决了移动设备工作人员使用移动智能终端设备办公过程中的管理问题，管理员可以更加高效的管控移动智能终端，可制定灵活可控的平安策 略，提升移动智能终端的平安指数，可通过多样化的图表以及日志记录，更直 观的查看全局状态以及追踪可能的问题细节。MDM系统从移动智能终端的行为控制、通信规、信息审计、GPS定位控制等多维度，配合以平安测评

12、等技术，为部移动设备的使用提供完备的解决方 案。极大程度的躲避了因拍照、上网等造成的公司及个人信息泄露风险，极大 程度上躲避了以移动设备作为跳板，导致部网络被入侵的风险。（一）平安的网络接入控制基于NACP准入控制技术，实现对移动智能终端的入网管理，阻止非法移动智能终端任意接入单位网络，同时对安装应用、设备越狱、USB调试模式、网络通讯环境等平安隐患进展检测，仅允许检测合格的终端接入网络。对于检 测不合格的移动智能终端提供可引导式修复界面，方便用户进展自主修复，从 源头出发保障了入网设备的平安性，协助网络管理人员建立一个合法合规的移动办公环境。专业资料我们的方案秉承“不改变网络、不依赖网络设备

13、、部署简单的特性，兼 容各种复杂的网络环境，支持分布式快速部署，为您解决移动智能终端网络准 入控制的合规性要求，到达“违规不入网、入网必合规的管理规。（二）手机行为规管理MDM系统的“平安规管理功能可实现对移动设备的摄像头、蓝牙、屏幕 截屏、网络共享、GPRS网络连接、密码管理进展限制和管理，能够对文件添加 阅读水印。一方面防止了移动设备的滥用、病毒传播等危险行为，另一方面也 规了单位人员使用移动设备的行为，防止信息的泄密，为企业人员创立了一套 标准的使用规那么。（三）应用行为规MDM系统包含了虚拟化平安办公桌面，结合沙箱技术在移动智能终端上建 立独立工作区，将单位的敏感数据隔离，个人信息进展

14、加密存储，一键灵活切 换工作区和个人区。平安办公区预置完备的移动应用程序，可实现制止非法应用的使用，并且 可对违规终端下发远程数据擦除指令，有效的解决部敏感数据泄露问题。应用平安功能可以实现对移动智能终端设备的移动应用以及个人信息数据 建立平安办公桌面，对敏感应用进展统一平台化桌面式管理。支持对移动设备的应用使用权限进展限制，防止移动智能终端使用非法APP程序，协助管理人员对移动设备统一推送 APP应用程序，支持一键式安 装，支持对办公桌面中的常用 APP进展自定义设定。并且通过虚拟化隔离技术 实现平安办公桌面下数据的公私别离，从而保障在办公桌面下仅允许运行单位专业资料部指定的应用，从应用使用

15、方面保证重要数据不被非法应用任意存取（四）通信规管理MDM系统提供对移动设备的 WIFI连接控制、通话控制、访问限制，防止 移动设备通过违规外联发生危害移动设备的情况出现。为了更精准的实现对移动用户连接 WIFI的控制，采用多种匹配方式，IP地 址、MAC地址、WIFI名称三种方式结合使用，到达更精准的管理。WIFI连接收理功能协助管理员对移动设备的 WIFI连接进展管理和控制， 通过两种模式黑和白的控制，对移动设备可连接的WIFI进展限制。移动通讯管理功能能够协助管理人员对使用SIM的设备进展通话限制，通过输入对应的，进展精准匹配，到达只能和允许通话的进展联系的目的。访问限制解决方案通过自主

16、研发的 Gview浏览器，来实现对移动端访问网 络的限制，管理员通过策略限制，只允许访问特定的。（五）区域差异化策略控制MDM系统方案针对移动设备的高便携性，无法进展集中式管理的缺点，提 供了基于GPS卫星信号的高精度地理围栏功能。限定移动设备的可用地理围，对私自离开指定区域的移动设备进展强制锁 屏、涉密数据自动去除以及恢复出厂设置等操作，并且对于遗失的移动设备可 通过卫星信号进展远程定位、数据远程擦除，防止设备遗失所造成的泄密事件 发生。MDM系统的区域策略能够实现对移动智能终端的策略配置进展灵活管理和专业资料下发，考虑到移动设备的流动性，可通过 WIFI、地理位置和扫描二维码的方式实现对移

17、动智能终端的策略下发，让策略和以上三种方式做绑定。以 WIFI为 例，当用户连接到指定的 WIFI时，策略会自动进展更新，从而实现策略的灵活 下发。（六）时间围栏策略MDM系统方案针对特殊的时间策略需求，提供了基于时间围栏的策略方案。为了能够使策略的实施更加人性化，引入了时间围栏的管理概念，可以通 过设定周期特定时间段执行指定的限制策略，来灵活管控设备使用。当用户选 择了工作日，早八点到晚五点执行禁用摄像头策略的时候，被管控单元在上班 时间是无法翻开相关摄像头应用的，包括微信，qq拍照发送图片功能等，当超过限制时间，禁用摄像头策略自动关闭，被管控者又可继续使用相关应用的摄 像头功能。（七）手机

18、平安测评评测MDM系统方案通过对移动智能终端设备信息实时分析平安评测，帮助单 位对存在平安隐患的移动智能终端用户设备提供智能一键修复机制，快速修复 移动智能终端设备存在的各类平安隐患。防止出现用户因修复平安隐患的复杂 性和专业性，面对漏洞无从下手，导致不能及时接入网络进展业务操作的问 题。MDM系统支持对终端存在的平安隐患工程进展自定义修复配置，对特定平安工程的问题自主配置修复方式。专业资料（八）丰富的设备运维MDM系统集成了丰富的设备运维和管理功能，可实现对移动设备的消息 推送、文件下发以及设备监视功能，通过消息推送功能可实时对全网移动设备 下发消息，帮助管理员更好的下发通知。文件下发功能结

19、合系统置的平安云 盘，可实现文件的统一下发和管理，并在移动端置文件平安浏览器，通过云盘 下发的文件只能在平安浏览器中查看，不需要第三方应用的支持即可直接浏 览，为了更好的保障文件浏览平安，支持文件水印并且文件无法外发，只能查 看，而且MDM系统还可以和其他产品进展无缝对接，通过加密系统加密的文 件可以在平安浏览器直接查看。设备监视功能能够帮助单位管理人员更好的对 设备进展监视，实现移动设备屏幕快照以及调取移动设备前置摄像头和后置摄 像头拍取设备当前画面，实现灵活管理。（九）强大的审计追责能力MDM系统所提供的高时效、高敏捷的行为审计处理功能，可以帮助客户 实现限定终端通信的目的，对上网记录、短

20、信、QQ、微信等常见的通讯方式，进展高敏度审计，防止单位敏感信息通过此类方式传送出去，造成 XX信息的 泄露。同时所提供的黑白以及审计功能实现了对移动智能终端网络通讯的整体 监控管理，极大的提高了移动设备的可管理性。MDM系统提供的信息审计功能实现对移动智能终端的行为审计，秉承“掌 控网络终端，规终端行为的核心理念，实时洞察移动端的一举一动，帮助单 位全面解决移动智能终端所带来的平安隐患，通过实施有效的行为监控功能为 客户实施网络防御策略和事后网络平安评估工作提供了有力的数据保证。专业资料我们所提供的MDM审计功能可实现对移动端的短信、浏览、APP运行的 行为审计，同时基于高敏感度、高时效性的

21、信息审计系统，对用户的网页标题 关键字、网页容关键字、URL关键字、类型等信息进展详细的记录，生成部的 浏览日志系统，管理人员可以通过审计日志详细的了解当前终端的所有网络操 作行为，并且及时的调整相关策略，提高客户部的整体网络平安性。（十）实时执行命令策略MDM系统结合公司研发的消息中间件平台，引入了远程锁定设备、远程解锁设备、远程擦除数据，远程定位功能，管理员一键操作，立即执行。大大提高了管理员的工作效率，同时严格的掌控被管理的设备，在出现突发情况下， 及时响应。（十一） 友好的管理设计产品不仅要有易用的功能，还要有友好的用户交互界面、产品管理界面。MDM系统在研发设计之初便将产品的“友好交

22、互确立为产品是否成功的重要指标之一。我们力求产品在解决客户问题的时候，让客户在使用产品过程 中得到“享受而不是“承受。生动的视图分析MDM系统通过视图的方式对网用户进展详情展现，如：网用户的报警信息、评测详情、上线状态等，管理人员通过图形化界面就可第一时间了解全网 用户的动态。系统中各部门图标都是灵活变动的，通过对部门图标的放大缩小 可进入部门查看用户详情，多样化的操作让用户管理不再枯燥，大大提高管理效率专业资料视图分析功能可以对全网的移动智能终端用户进展分析，然后通过视图界 面的方式进展精细化的展现。当网用户出现违规行为时可以第一时间在视图界 面中展现出来，方便管理员的查看和分析。并且此系统

23、还可以通过图标区分， 实现对接入用户系统的判断，让对用户的管理通过界面展现的方式来实现，大 大提升了管理人员的工作便利性。图表管理图表管理功能实现对移动智能终端的日志信息进展汇总展现，功能包含在 线状态分析、测评状态分析、入网风险分析、上网行为分析、设备类型分析、 运行状态分析、行为平安审计，管理人员通过图表分析结果可对存在异常的移 动智能终端进展提前预警，方便管理人员对违规人员进展及时有效的处理，并 且改变相应平安策略。个性化的权限控制MDM系统所提供的细颗粒度权限管理功能，充分考虑了网络管理人员在 实际运维过程中所遇到的各类问题，实现对单位移动设备的摄像头、蓝牙、网 络共享、截屏、密码管理

24、等策略的控制。还可对账户进展基于区域策略的权限 管理，通过账户连接指定的 WIFI、GPS定位以及扫描二维码的方式进展策略的 灵活控制，对不同工种、不同部门、不同区域的用户提供不同的平安策略，真 正意义上实现个性化权限管理。多种日志呈现方式MDM系统的图表功能是通过对移动设备使用过程中的行为进展采集和分 析，进而实现数据的可视化管理，通过分布图、趋势图的方式把这些日志信息专业资料 形成可视化的图表。用户不仅可以查看今日、昨日、近 7日的数据，还可以通 过日期插件任意选择某个时间段的数据，通过图表全部展示出来，大大方便了 管理人员进展查看和分析。层级集约式管理MDM系统采用分布式部署、集中管理设计理念，提供独立的级联管理系 统。级联管理系统下可接入多个次级联管理系统，进展分布式部署，实现各个 子网自主管理。各次级联管理系统数据定时向自身上级级联系统汇总数据，数 据最终汇总至核心级联管理系统，实现整个网络集中管理。四、方案价值及优势移动终端普及是一把“双刃剑，既是“平安隐患，带来了新的信息数 据XX问题、管理问题，又是新的机遇，为员工和客户保持联系提供了及其重 要的信息载体。要全面地对待移动终端在公司办公中的快速普及及其使用，扬 长避短，通过建立健全规章制度，科学、人性的管控方式，使得移动智能终端 真正成为平安