随着移动互联技术的进步和通信基础设施建设的日益成熟与普及,越来越多员工已经不仅仅在办公室处理单位的日常事务,移动办公人员用智能手机、PAD和笔记本等移动终端通过公共通信网络(如:3G/Wifi/Vpdn等)访问单位内部的资源和应用,但是,这种通过公共网络接入也给单位网络引入了新的安全威胁,而传统的终端×××已经满足不了现有的智能手机/平板电脑等移动终端的安全接入需求。
BYOD(Bring Your Own Device)指自带设备办公,这些设备包括手机、平板、个人电脑等,通过这些智能终端,企业员工可以在任何时间,任何地点,通过任何设备完成邮件收发、资源访问和业务处理。BYOD更像是一场由员工个人使用习惯引发的企业办公模式的革新,它得益于智能终端计算能力的日益强大、触控体验的逐步完善,以及移动互联网的迅速普及。BYOD的出现,标志着个性化移动办公时代的到来。
移动办公安全解决方案从网络的移动用户身份安全、移动终端接入安全、网络通信安全、应用访问控制和移动终端信息存储安全等环节进行综合安全防护,构成多层次、全方位的移动安全管理体系。为智能手机用户、掌上电脑以及移动PC用户提供安全的移动信息安全服务,为用户提供了强有力的数据信息安全支撑。
移动办公安全解决方案由四部分组成,分别是:安全接入网关(主要由高性能工控主板和加密设备2大部分组成的硬件)、客户端加密设备(如:数字证书、TF卡等)、移动终端安全管理系统以及 SDK接口开发包组成。主要功能有:
移动接入终端身份安全,通过TF卡/Usbkey/证书/口令用户/动态口令密码等方式来保证接入终端用户身份安全;
网络通信安全,通过高安全算法(SM1/SM2/SM4)对传输通道加密,确保移动接入终端和内网通讯的链路安全;
应用安全访问,基于移动安全接入网关的安全访问控制实现不同的接入终端可访问不同的应用;
移动办公应用数据存储安全,对接入终端要求安全高或应用数据极为重要的客户建议应用数据不落地,能保证移动终端和内网应用能实时连接且安全访问互访;移动终端从移动应用上下载的文件落地加密存储在终端上,实现移动应用数据的安全存储和交换。
移动终端管理,方案基于和移动设备厂商联动可实现对移动智能终端的网络、外设进行更深层次的安全管控,如:移动终端在移动办公的同时保证在链路层上可有效阻断终端与外网的连接,且还可以实现安全接入之后自动关闭红外、蓝牙等外设设备的数据传输,只保留移动安全接入链路的数据通讯,从网络边界方面规范了数据的通讯安全。另:在移动终端接入内网方面还可针对性做移动终端环境检测,如:移动终端是否安装杀毒软件/是否存在某些风险因素等,以此来达到接入终端的安全接入管控。
与应用的结合移动办公中,关于应用场景有2类:一类是移动办公以应用录入、查询和审批为主,此类应用场景的安全方案可完全由上述移动安全接入系统实现,而不用关注具体的应用形态(因为数据不落地);另一类是移动办公不仅考虑录入、查询和审批,还需要将相关数据/文档下载至移动终端进行使用,此类应用场景的安全方案需重点关注和考虑下载数据的安全性。
在移动办公方案的建设和应用中,基于移动办公需要,各移动应用系统的搭建有WEB/WAP、APP和虚拟化三种情形;基于安全考虑,一旦应用数据需要落地,则必须对此下载数据进行加密控制,从而防止数据泄密。
因此在确保移动办公数据使用安全的前提下,方案亦根据三种思路分别论述:
WAP/WEB应用,在WAP/WEB应用中,移动智能终端本身具备多种浏览器(UC、Safari等)访问,而此类浏览器亦无较好相关安全措施满足移动办公数据加密和安全防护,因此方案关于此部分的建设思路为:基于移动安全管理平台(客户端)SDK组件包开发/设计出单独的安全浏览器(加密浏览器),通过此浏览器访问WAP/WEB应用时可实现数据下载加密;而其他浏览器通过移动安全管理平台阻止其访问相关应用。
APP应用,APP应用旨在移动终端安装Client程序,通过Cilent来访问相关应用系统,安全建设方案在完成移动终端接入内网后,移动安全管理平台(客户端程序)可提供标准的API接口和SDK安全加密程序,实现应用系统Cilent程序下载数据时调用安全加密接口进行数据加密(如移动办公数据本身不可下载,在保证移动终端安全接入的前提下本身相对安全,则无需进行数据加密处理),此类方案形态如移动终端的邮件收发安全加密等。
与虚拟化应用的结合,随着内网应用的不断扩展和延伸,应用自身亦无法确保对移动终端的可适配性,因此根据大型综合应用和复杂环境特性,基于和终端虚拟化结合的思路,采用Citrix解决方案与应用集成的技术实现方式进行无缝匹配。Citrix应用虚拟化技术采用较小的成本,在不改动原有应用的基础下,利用远程桌面,应用发布,应用虚拟化等技术,实现用户对应用的远程访问.采用这种方案能够有效的保护已有信息化投资,降低移植技术风险。
360天机企业移动终端安全管理系统由两部分组成:
基于web的管理中心
移动客户端
360天机管理中心是基于web的管理系统,通过管理中心企业管理人员可以查看管辖范围内的移动终端使用情况,实施各项操作。
管理中心部署在企业内网服务器,为便于中小规模企业使用,奇虎360提供公网服务器管理中心服务。对于部署在内网服务器的管理中心,首次部署时将指定一个管理员账号,登录成功后可以在管理中心指定其他管理员。对于使用公网服务器的管理中心,管理员需要向天机工作人员提交申请,经认证通过后开通其所提交账号为管理员账号。
管理中心可以通过浏览器直接访问,为确保管理中心正常运行,您的浏览器需要满足以下条件:浏览器内核为IE6.0 或更高版本,或者Chrome内核
t 客户端
360天机客户端部署在企业需要管理的移动终端上,企业可通过客户端实施管理中心下发的安全策略,员工可通过客户端安全地访问企业内网和办公。
为确保客户端正常运行,您的移动终端系统需要满足以下条件:
Android 2.2及更高版本,或iOS6及更高版本
天机的系统架构图如下所示: