系统架构
为了解决移动办公应用数据机密性、应用篡改等多方面安全风险,同时结合移动办公场景的特点,建设方案整体架构图如下:
以安全隔离空间技术为核心,本产品提供包括应用管理、设备管理、内容管理、上网行为管理、统一安全认证、数据防泄露等多种安全功能,帮助企业快速实现移动安全能力集成。同时产品还提供通用的移动化安全办公套件,包括安全浏览器、安全企业云盘、安全邮箱、安全 IM 等,帮助企业实现移动化 办公。同时借助于我们自主的数据分析平台,我们为多种行业提供解决方案。
用户通过移动终端上的安全管理平台应用接入内网,该应用做到了终端个人数据和办公数据完美隔离,同时还支持生物特征识别以及单点登录。安全管理员通过后台管理系统实现对移动设备、办公应用、敏感内容的统一管理,后台管理系统还可以提供详细的安全审计日志以及移动应用加固功能。后台管理系统和安全管理平台通过安全网络进行通信。
采用了本产品之后,应用开发变得简单,开发商只需关注业务流程在移动终端的展现,而与安全、认证、设备管理、应用管理等相关内容都由本产品完 成,移动业务变得更加快速、安全、便捷。
系统功能
在移动终端,我们提供了移动安全空间应用,同时兼容 Android 4.4 以上 系统和 iOS 系统。而在服务器端,我们提供 Web 端后台管理系统,该系统可以采用私有云或者 SaaS 方式部署在指定服务器上,本产品主要功能包含移动设备管理、移动应用管理、移动内容管理以及移动安全管理等。其中:
移动设备管理包括资产管理、设备信息、设备定位、数据擦除、远程操作等功能。
移动应用管理包括应用商店、应用策略、检测加固、应用水印等功能。 移动内容管理包含文档隐藏、文档推送、文档加密等功能。
移动安全管理包括网络安全、数据加密及防泄露、防卸载功能等。
1、移动设备管理服务
1)设备信息
在后台可查看所有已激活设备的详细信息,方便管理员控制设备使用情况。
2) 设备定位
管理员可配置设备定位策略,可根据用户或者设备类型选择是否获得设备位置,通过设备实时定位,管理员可方便了解工作人员所在位置,或者定位已丢失设备。
3)数据擦除
管理员可根据设备使用情况,对丢失无法找回的设备或其他需要擦除数据的设备,远程擦除部分或全部数据,确保数据安全。
4)远程操作
管理员可以通过后台管理系统,为员工设备推送锁屏密码、推送响铃追踪 或者锁定设备等。
5)合规管理
可以针对设备是否 root、操作系统是否过期、是否更换 SIM 卡等信息判断设备合规性,对于违规设备可以采取通知警告、锁定设备、擦除数据等措施。
2、移动应用管理服务
通过移动应用安全隔离空间机制,将个人数据与办公数据隔离,访问移动应用产生的文件和数据安全存储在移动应用安全隔离空间中。在移动应用隔离空间中将对网络进行隔离,只允许访问移动应用安全平台白名单列表中的网络地址。
1)应用商店
建设私有应用商店,在服务端上传应用之后,管理员可以通过后台管理系统配置应用授权对象,用户在客户端可以方便的对应用进行安装、更新、删除等操作。当管理员标注某一应用为必装应用后,则该应用在授权用户范围内自动安装且无法删除。
2)应用水印
后台管理平台提供可配置的应用水印功能,可以在安全隔离空间内所有应用和文档上显示自定义水印,例如显示当前用户名等,防止数据泄露。管理员可以通过后台管理系统配置水印的颜色、字体大小以及显示透明度。
3)应用策略
支持对应用设置黑白名单功能,对黑名单中的应用,如果检测到系统中安装可执行相应策略。对于白名单中的应用,可以限制其访问时间段或者访问地点。
3、移动内容管理服务
MCM 移动文档管理支持文件/文件夹的上传、删除、重命名、推送等操作,并且上传后自动加密。实现对移动设备内容全面安全管理,保证企业内部文档在移动设备上的安全浏览及文档的实时更新;实现企业文档的分发及权限设置 及管理。目前支持 Android 4.0+以上设备。
1)企业文档管理
企业内部专属文档管理,支持文件的上传、删除、重命名、推送等操作,并且上传后自动加密。支持查看文件接收情况,以及已推送的组。支持单个用户/设备进行再推送或删除操作。操作更快捷简单,提高企业的工作效率。
2)文档分发
系统可以将企业文档的分发到指定用户的移动终端上,实现企业文档统一下发和文件共享。文档推送可通过组进行推送,推送组支持按不同过滤条件不同维度进行多元化组合,更方便企业对企业文档进行集中规范安全管理。
3)文档下载
管理员通过服务器向授权用户推送的文档会在启动安全空间的时候自动下载到本地,用户可以通过内容管理应用查看。
4)落地加密
所有安全空间内部下载、创建的文件,都将自动经过高强度的加密处理, 以保证数据的安全。加密方式支持 AES128 和 AES256 两种方式,还可以根据项目需求扩展加密算法。 支持的文档格式包括 txt、doc、docx、ppt、pptx、xls、xlsx 以及 pdf。
4、 移动安全管理服务
1)数据防泄露
通过数据加密、网络加密、应用水印、截屏限制、摄像头限制等多种手段保障数据不被泄露。提供应用落地数据透明加密功能的集成,支持对敏感数据进行加密。
2)围栏策略
后台管理平台可以配置地理围栏和时间围栏策略,针对地理位置或者所处时间限制设备内容、应用启动等。通过该功能可以实现诸如在办公区域限制终端拍照功能、在非办公区域限制某应用启动等功能。
3)防卸载客户端支持防卸载功能
管理端通过 Web 管理页面开启客户端防卸载功能 后,客户端将不能手动从设备上卸载,同时客户端具有保活处理。
4) 日志管理
后台管理平台提供了包括客户端日志、应用日志、管理员日志等详细的日 志信息供运维人员查看调用。
特点和优势
1、提供设备、应用、内容的全生命周期安全管理
本产品主要提供移动设备管理(MDM)、移动应用管理(MAM)以及移动 安全管理(MSM)功能: 通过 MDM 功能,可以对设备进行统一、高效、便捷的管理,从设备注册开始,到设备淘汰、丢失、被盗后采取相应处理,设备的整个生命周期都可以被管理员掌握。
通过 MDM 还可以对设备进行策略限制,禁止设备的某些功能;对设备下发合规要求,对违规设备进行处理;远程定位丢失设备,擦除敏感数据等。 通过 MAM 功能,后台建立了私有的应用商店,员工再也不用到处去找办公应用的下载和更新地址,通过私有应用商店,可以便捷的完成办公应用的下发和更新。通过配置应用权限,还可以实现应用访问控制、应用黑名单以及应 用启动围栏限制等功能。
通过 MSM 功能,单位在虚拟域中的数据安全性得到了有效保障。同时支持配置地理围栏和时间围栏策略,控制设备和应用的访问时间、地点等,还提供详细的日志管理功能。
2、切合等保 2.0 中关于移动互联的要求
随着等保 2.0 新标准的逐渐敲定,对移动互联方面的安全保障又提出了新的要求,新标准中,不仅规定了网络和数据方面的安全标准,同时对移动终端、移动应用以及服务器安全都做了严格的规定。而本产品,从安全管理平台角度出发,对于等保要求中提到的主机、数据、网络、终端、应用安全都做到了很好的覆盖。可以满足等保二、三级标准的建设要求。
3、个人和办公数据“真”隔离
不同于其他类似的产品,本产品使用的安全隔离空间技术,可以使得所有后台下发的应用均从系统中无法找到和定位,同时沙箱中的办公应用和系统中的个人应用可以共存,例如沙箱外的微信可以和沙箱内的微信同时开启,前者用来私人生活,隐私不会泄露;后者用来办公,安全性得到加强。从而真正做到了办公空间和个人空间的完美隔离。
4、 应用零修改,同时具备顶尖的设备兼容性和运行稳定性
不同于其他产品,本产品对应用进行保护时,无需对应用进行任何修改,一样可以对应用实现完整的安全能力保护。在应用上传到后台管理系统时,自动对应用做了保护处理,同时完全不侵犯程序本身代码。而且也正因为对应用没有改动,使得本产品对市面上各个机型以及各个系统版本都能做到良好的适配,设备兼容性达到 99.6%,应用集成方面,对于谷歌市场前 500 名应用适配率达到 100%。
5、领先的加密能力
支持 AES,DES,3DES 和 SM4 标准的加密算法。同时采用动态加密算法,通过执行不同的二进制数据生成多个不同的加密库和加密密钥,使得黑客很难开发通用的篡改方案,从而提高黑客的攻击成本。同时根据需要,我们可以提供完整的加密电话、加密短信、加密邮件、加密 IM 解决方案,完善整个移动办公生态圈的安全能力。
1 review for Cisco