MDM移动安全防护系统技术解决方案金盾

MDM系统技术MDM系统技术解决方案目录18886一、背景阐明 319908(一)项目背景 331192(二)应用现状 38740二、需求分析 426007 424677(一)功效性需求分析 429178(二)非功效性需求分析 5751三、解决方案 623528 722179(一)安全的网络接入控制 76639(二)手机行为规范管理 710308(三)应用行为规范 723688(四)通信规范管理 810784(五)区域差别化方略控制 810654(六)时间围栏方略 915360(七)手机安全测评评测 913624(八)丰富的设备运维 920396(九)强大的审计追责能力 1026731(十)实时执行命令方略 1013962(十一)和谐的管理设计 1020748四、方案价值及优势 12

背景阐明项目背景随着移动互联网技术的发展，IT消费化时代已经成为现今的主流，越来越多的单位员工使用个人平板电脑和智能手机进行日常公务解决，越来越多的单位为了提高业务的反映速度也为单位人员统一购置PDA或者平板电脑用于办公使用。由于其移动的便捷性，使得我们很难分辨哪里是办公室，哪里是家，在给我们带来便利的同时，威胁也随之而来。“移动办公”也可称为“3A办公”，也叫移动OA,即办公人员可在任何时间（Anytime）、任何地点（Anywhere）解决与业务有关的任何事情（Anything）。这种全新的办公模式，能够让办公人员摆脱时间和空间的束缚。单位信息能够随时随处畅通地进行交互流动，工作将更加轻松有效，整体运作更加协调，运用手机的移动信息化软件，建立手机与电脑互联互通的公司软件应用系统，摆脱时间和场合局限，随时进行随身化的业务管理和沟通，协助工作人员有效提高工作效率。应用现状业务性质决定了员工需要使用移动智能终端设备进行正常办公。这种最新潮的办公模式，通过在手机、平板上安装信息化软件，使得手机也含有了和电脑同样的办公功效，并且它还摆脱了必须在固定场合固定设备上进行办公的限制，为管理者和商务人士提供了极大便利。它不仅使得办公变得随心、轻松，并且借助手机通信的便利性，使得使用者无论身处何种紧急状况下，都能高效迅捷地开展工作，对于突发性事件的解决、应急性事件的布署有极为重要的意义。新型的移动办公方式也为单位的信息安全现状防护提出了更为严格的防护规定和挑战。1、移动设备含有易失性，从而含有泄露业务数据的隐患移动设备由于其便携性，经常会出现丢失的状况。而移动设备中所保存的敏感数据也因此面临泄密风险。2、员工主动泄密，业务数据被泄漏移动设备的便携性使得其更加难以统一管理。难以确保个别离职人员不会将设备中的商密信息泄露给竞争对手。3、移动操作系统的碎片化问题严重，统一管理不便Android设备就有2万多款不同型号，员工自带的设备多个多样，如何确保方略执行的一致性、如何在统一的平台上管理多个设备是另一种挑战。4、应用质量参差不齐，应用市场安全性堪忧据360的数据统计，78%的出名应用被盗版，第三方应用市场及论坛仍然是恶意程序传输的重要途径(占61%)，最不安全的某小型应用市场的恶意程序占比竟高达20.2%，应用市场的安全性堪忧。5、手机病毒数量和类型的高速增加，使移动设备成为渗入网络的跳板在移动互联网越来越进一步人心的今天，攻击者已经开始将视线由PC转向了移动设备。同时，由于Root权限滥用和新的黑客攻击技术，移动设备成为滋生安全风险的新温床，容易成为黑客入侵渗入内网的跳板。6、公私数据混用，个人隐私难以得到保障同一移动终端设备上现有个人应用，又有业务数据和应用，个人应用能够随意访问、存取业务数据，业务应用同样也会触及到个人数据。如何明确分辨并隔离移动终端上的业务数据/私人数据与应用，严禁业务数据被个人应用非法上传、共享和外泄，同时严禁业务应用访问个人数据，尊重移动终端上的私人数据是一种难以避免的问题。集团公司的移动信息安全现状急迫的需要得到解决。需求分析移动智能终端设备防护的对象分散、品牌复杂，对于功效性和非功效性规定上都有着近乎苛刻的规定。功效性需求分析移动互联网技术的高速发展，给我们的日常生活带来了便利，同时也提高了办公效率，随之而来的问题是，员工用移动设备办公的时候，由于其分散性，得不到集中管理，为单位内部文档资料的泄露埋下了不可无视的隐患，同时又很难进行事后的追责。隐患一：海量恶意软件防不胜防。大量恶意软件混杂在软件市场内，一旦顾客下载、安装带有木马、后门的软件，顾客的个人信息、隐私、公司内部的来往信息、客户的资料信息等数据将受到严重威胁。隐患二：“云备份”可能造成信息泄露。“云备份”既节省存储空间，又便于多平台信息共享和恢复。然而，没有人能确保数据在云服务器上不被非法浏览、篡改或删除。倘若有敏感信息泄露，后果将不堪构想。隐患三：免费WIFI不安全。免费WIFI上网时数据存在被监听、截获和篡改的风险，联网的手机甚至还会遭到漏洞攻击，从而造成损失、影响安全。隐患四：GPS定位控制。移动设备的高便携性特点，使得存有重要数据的移动设备难以进行有效统一的管理，极大的增加了数据通过移动智能终端设备带出造成数据泄露的风险。隐患五：拍照信息泄露。对于内部资料、客户的隐私信息进行拍照。通过网络渠道快速传输，而其中有可能包含了内部的机密资料，或客户的隐私资料，造成不必要的客户纠纷。隐患六：缺少有效的接入防护。由于业务的特殊性，内部支撑网络接入位置分散，在这种环境下随意接入网络内部网络，存在违规接入风险。存在以移动设备为载体，内部网络被入侵的风险。隐患七：移动设备难以进行统一有效的管理。设备中数据存在被无意或恶意倒卖的可能性。移动设备的安全隐患并不只存在于上述的列举中，实际环境中存在的更多的安全隐患是我们无法完全列举的，甚至是我们还没有发现的。由于移动设备使用的普遍性，单纯通过制度来管理是无法进行有效控制的，如何结合一套针对移动智能终端安全管理的软件来解决以上问题就显得尤为重要。非功效性需求分析好的产品在满足功效需求的同时，同样要做到非功效性的某些设计规定。非功效性的产品能够概括为兼容性、可靠性、易用性、高效率等几个方面。广泛的兼容性产品应兼容IOS系统设备（手机、ipad等）和Android系统设备（手机、Pad）等常见的移动设备系统。产品能兼容市面上常见的移动设备品牌，涉及但不仅限于Apple、华为、三星、OPPO、Vivo、小米、努比亚、LG、魅族、中兴、金立、1+、TCL、乐视等。对于市面上没有由内部自行开发或改善的手机型号，应能够提供兼容性方案设计或二次开发以满足公司对于手机兼容性的规定。高可靠性产品应能够与常见的移动设备软件含有良好的兼容性。在与生僻的软件产生不兼容状况后，产品应能够在短时间内重建其性能水平并恢复直接受影响数据。高易用性产品应含有和谐的顾客交互界面。产品功效操作在设计上应当便于理解、便于学习等，增加产品的可操作性。例如产品要含有短期的数据记忆能力，便于数据的输入。高效率产品在使用的时候应含有低资源占用的特性。具体体现为，上线产品后，手机不能够有明显的速度下降；在一定条件下，产品占用的手机存储资源不应超出双方协商的资源占用数据。解决方案MDM系统定位于解决单位在向移动办公及其使用拓展过程中面临的安全、管理以及布署等方面的多个挑战，协助单位在享有移动办公带来成本下降、效率提高的同时加强对移动设备的管理控制以及安全防备。MDM系统解决了公司内部手机使用过程中的安全问题，使得员工能够更安全的使用手机及其网络，不用再紧张公司内部数据通过移动智能终端的非法接入、木马、病毒等方式发生泄密事件，不用再紧张移动智能终端丢失或者被窃而造成的个人及公司信息数据泄露问题，不用再紧张移动智能终端成为入侵单位内部网络的渠道问题。MDM系统解决了移动设备工作人员使用移动智能终端设备办公过程中的管理问题，管理员能够更加高效的管控移动智能终端，可制订灵活可控的安全方略，提高移动智能终端的安全指数，可通过多样化的图表以及日志统计，更直观的查看全局状态以及追踪可能的问题细节。MDM系统从移动智能终端的行为控制、通信规范、信息审计、GPS定位控制等多维度，配合以安全测评等技术，为内部移动设备的使用提供完备的解决方案。极大程度的规避了因拍照、上网等造成的公司及个人信息泄露风险，极大程度上规避了以移动设备作为跳板，造成内部网络被入侵的风险。安全的网络接入控制基于NACP准入控制技术，实现对移动智能终端的入网管理，制止非法移动智能终端任意接入单位网络，同时对安装应用、设备越狱、USB调试模式、网络通讯环境等安全隐患进行检测，仅允许检测合格的终端接入网络。对于检测不合格的移动智能终端提供可引导式修复界面，方便顾客进行自主修复，从源头出发保障了入网设备的安全性，协助网络管理人员建立一种正当合规的移动办公环境。我们的方案秉承“不变化网络、不依赖网络设备、布署简朴”的特性，兼容多个复杂的网络环境，支持分布式快速布署，为您解决移动智能终端网络准入控制的合规性规定，达成“违规不入网、入网必合规”的管理规范。手机行为规范管理MDM系统的“安全规范管理功效”可实现对移动设备的摄像头、蓝牙、屏幕截屏、网络共享、GPRS网络连接、密码管理进行限制和管理，能够对文献添加阅读水印。首先避免了移动设备的滥用、病毒传输等危险行为，另首先也规范了单位人员使用移动设备的行为，避免信息的泄密，为公司人员创立了一套原则的使用规则。应用行为规范MDM系统包含了虚拟化安全办公桌面，结合沙箱技术在移动智能终端上建立独立工作区，将单位的敏感数据隔离，个人信息进行加密存储，一键灵活切换工作区和个人区。安全办公区预置完备的移动应用程序，可实现严禁非法应用的使用，并且可对违规终端下发远程数据擦除指令，有效的解决内部敏感数据泄露问题。应用安全功效能够实现对移动智能终端设备的移动应用以及个人信息数据建立安全办公桌面，对敏感应用进行统一平台化桌面式管理。支持对移动设备的应用使用权限进行限制，避免移动智能终端使用非法APP程序，协助管理人员对移动设备统一推送APP应用程序，支持一键式安装，支持对办公桌面中的惯用APP进行自定义设定。并且通过虚拟化隔离技术实现安全办公桌面下数据的公私分离，从而保障在办公桌面下仅允许运行单位内部指定的应用，从应用使用方面确保重要数据不被非法应用任意存取。通信规范管理MDM系统提供对移动设备的WIFI连接控制、通话控制、网站访问限制，避免移动设备通过违规外联发生危害移动设备的状况出现。为了更精确的实现对移动顾客连接WIFI的控制，采用多个匹配方式，IP地址、MAC地址、WIFI名称三种方式结合使用，达成更精确的管理。WIFI连接管理功效协助管理员对移动设备的WIFI连接进行管理和控制，通过两种模式（黑名单和白名单）的控制，对移动设备可连接的WIFI进行限制。移动通讯管理功效能够协助管理人员对使用SIM的设备进行通话限制，通过输入对应的电话号码，进行精确匹配，达成只能和允许通话的号码进行联系的目的。网站访问限制解决方案通过自主研发的Gview浏览器，来实现对移动端访问网络的限制，管理员通过方略限制，只允许访问特定的网站。区域差别化方略控制MDM系统方案针对移动设备的高便携性，无法进行集中式管理的缺点，提供了基于GPS卫星信号的高精度地理围栏功效。限定移动设备的可用地理范畴，对私自离开指定区域的移动设备进行强制锁屏、涉密数据自动去除以及恢复出厂设立等操作，并且对于遗失的移动设备可通过卫星信号进行远程定位、数据远程擦除，避免设备遗失所造成的泄密事件发生。MDM系统的区域方略能够实现对移动智能终端的方略配备进行灵活管理和下发，考虑到移动设备的流动性，可通过WIFI、地理位置和扫描二维码的方式实现对移动智能终端的方略下发，让方略和以上三种方式做绑定。以WIFI为例，当顾客连接到指定的WIFI时，方略会自动进行更新，从而实现方略的灵活下发。时间围栏方略MDM系统方案针对特殊的时间方略需求，提供了基于时间围栏的方略方案。为了能够使方略的实施更加人性化，引入了时间围栏的管理概念，能够通过设定周期内特定时间段执行指定的限制方略，来灵活管控设备使用。当顾客选择了工作日，早八点到晚五点执行禁用摄像头方略的时候，被管控单元在上班时间是无法打开有关摄像头应用的，涉及微信，qq拍照发送图片功效等，当超出限制时间，禁用摄像头方略自动关闭，被管控者又可继续使用有关应用的摄像头功效。手机安全测评评测MDM系统方案通过对移动智能终端设备信息实时分析安全评测，协助单位对存在安全隐患的移动智能终端顾客设备提供智能一键修复机制，快速修复移动智能终端设备存在的各类安全隐患。避免出现顾客因修复安全隐患的复杂性和专业性，面对漏洞无从下手，造成不能及时接入网络进行业务操作的问题。MDM系统支持对终端存在的安全隐患项目进行自定义修复配备，对特定安全项目的问题自主配备修复方式。丰富的设备运维MDM系统集成了丰富的设备运维和管理功效，可实现对移动设备的消息推送、文献下发以及设备监视功效，通过消息推送功效可实时对全网移动设备下发消息，协助管理员更加好的下发告知。文献下发功效结合系统内置的安全云盘，可实现文献的统一下发和管理，并在移动端内置文献安全浏览器，通过云盘下发的文献只能在安全浏览器中查看，不需要第三方应用的支持即可直接浏览，为了更加好的保障文献浏览安全，支持文献水印并且文献无法外发，只能查看，并且MDM系统还能够和其它产品进行无缝对接，通过加密系统加密的文献能够在安全浏览器直接查看。设备监视功效能够协助单位管理人员更加好的对设备进行监视，实现移动设备屏幕快照以及调取移动设备前置摄像头和后置摄像头拍取设备现在画面，实现灵活管理。强大的审计追责能力MDM系统所提供的高时效、高敏捷的行为审计解决功效，能够协助客户实现限定终端通信的目的，对上网统计、短信、QQ、微信等常见的通讯方式，进行高敏度审计，避免单位敏感信息通过这类方式传送出去，造成机密信息的泄露。同时所提供的网站黑白名单以及网站审计功效实现了对移动智能终端网络通讯的整体监控管理，极大的提高了移动设备的可管理性。MDM系统提供的信息审计功效实现对移动智能终端的行为审计，秉承“掌控网络终端，规范终端行为”的核心理念，实时洞察移动端的一举一动，协助单位全方面解决移动智能终端所带来的安全隐患，通过实施有效的行为监控功效为客户实施网络防御方略和事后网络安全评定工作提供了有力的数据确保。我们所提供的MDM审计功效可实现对移动端的短信、网站浏览、APP运行的行为审计，同时基于高敏感度、高时效性的信息审计系统，对顾客的网页标题核心字、网页内容核心字、URL核心字、网站类型等信息进行具体的统计，生成内部的浏览网站日志系统，管理人员能够通过审计日志具体的理解现在终端的全部网络操作行为，并且及时的调节有关方略，提高客户内部的整体网络安全性。实时执行命令方略MDM系统结合公司研发的消息中间件平台，引入了远程锁定设备、远程解锁设备、远程擦除数据，远程定位功效，管理员一键操作，立刻执行。大大提高了管理员的工作效率，同时严格的掌控被管理的设备，在出现突发状况下，及时响应。和谐的管理设计产品不仅要有易用的功效，还要有和谐的顾客交互界面、产品管理界面。MDM系统在研发设计之初便将产品的“和谐交互”确立为产品与否成功的重要指标之一。我们力求产品在解决客户问题的时候，让客户在使用产品过程中得到“享有”而不是“承受”。生动的视图分析MDM系统通过视图的方式对网内顾客进行详情呈现，如：网内顾客的报警信息、评测详情、上线状态等，管理人员通过图形化界面就可第一时间理解全网顾客的动态。系统中各部门图标都是灵活变动的，通过对部门图标的放大缩小可进入部门查看顾客详情，多样化的操作让顾客管理不再枯燥，大大提高管理效率。视图分析功效能够对全网的移动智能终端顾客进行分析，然后通过视图界面的方式进行精细化的呈现。当网内顾客出现违规行为时能够第一时间在视图界面中呈现出来，方便管理员的查看和分析。并且此系统还能够通过图标分辨，实现对接入顾客系统的判断，让对顾客的管理通过界面呈现的方式来实现，大大提高了管理人员的工作便利性。图表管理图表管理功效实现对移动智能终端的日志信息进行汇总呈现，功效包含在线状态分析、测评状态分析、入网风险分析、上网行为分析、设备类型分析、运行状态分析、行为安全审计，管理人员通过图表分析成果可对存在异常的移动智能终端进行提前预警，方便管理人员对违规人员进行及时有效的解决，并且变化对应安全方略。个性化的权限控制MDM系统所提供的细颗粒度权限管理功效，充足考虑了网络管理人员在实际运维过程中所碰到的各类问题，实现对单位移动设备的摄像头、蓝牙、网络共享、截屏、密码管理等方略的控制。还可对账户进行基于区域方略的权限管理，通过账户连接指定的WIFI、GPS定位以及扫描二维码的方式进行方略的灵活控制，对不同工种、不同部门、不同区域的顾客提供不同的安全方略，真正意义上实现个性化权限管理。多个日志呈现方式MDM系统的图表功效是通过对移动设备使用过程中的行为进行采集和分析，进而实现数据的可视化管理，通过分布图、趋势图的方式把这些日志信息形成可视化的图表。顾客不仅能够查看今天、昨日、近7日的数据，还能够通过日期插件任意选择某个时间段的数据，通过图表全部展示出来，大大方便了管理人员进行查看和分析。层级集约式管理MDM系统采用分布式布署、集中管理设计理念，提供独立的级联管理系统。级联管理系统下可接入多个次级联管理系统，进行分布式布署，实现各个子网自主管理。各次级联管理系统数据定时向本身上级级联系统汇总数据，数据最后汇总至核心级联管理系统，实现整个网络集中管理。方案价值及优势移动终端普及是一把“双刃剑”，既是“安全隐患”，带来了新的信息数据保密问题、管理问题，又是新的机遇，为员工和客户保持联系提供了及其重要的信息载体。要全方面地看待移动终端在公司办公中的快速普及及其使用，扬长避短，通过建立健全规章制度，