華為移動終端安全管控解決方案

　　您遇到的問題是這樣的么？

　　問題1：

　　IT消費化趨勢下，員工用BYOD設備辦公的同時也可能正在做自己的私事，如訪問社交網絡，IM聊天等，這些都會給企業(yè)信息安全帶來隱患，因為企業(yè)敏感數據與個人隱私數據保存在一個地方，沒有隔離，移動終端本身可能成為被攻擊的跳板。

　　問題2：

　　移動智能設備體積小，位置不確定，容易丟失，也使得信息擴散尤為便利，從而導致泄密的概率大大增加。

　　華為是如何幫您解決的

　　企業(yè)數據與個人數據在終端上的隔離

　　對于企業(yè)數據在移動設備上的泄漏，以及個人隱私的保護，華為BYOD解決方案提供了一個智能移動接入客戶端軟件AnyOffice。AnyOffice運行在一個“安全沙箱”中，如圖1，企業(yè)數據和應用軟件都被隔離在“安全沙箱”中，關鍵文檔和數據被自動加密。

圖1 安全沙箱

　　用戶在AnyOffice內閱覽和編輯的所有內容都不能拷貝到AnyOffice外部，也不能把AnyOffice外部的數據拷貝進來，從企業(yè)角度看，這種手段既保證企業(yè)數據不被外泄，也防范個人數據中可能存在的企業(yè)違規(guī)信息（如新聞、娛樂信息）以及病毒、木馬等非法程序在企業(yè)內部的傳播和感染。從用戶的角度看，用戶個人數據都被隔離在“安全沙箱”之外，因此，不必擔心BYOD設備中的個人數據會在移動辦公的過程中流入企業(yè)內網而引起個人隱私的泄露。

　　AnyOffice缺省提供了華為自研的安全郵件（Pushmail客戶端）和安全瀏覽器產品。同時AnyOffice也提供安全SDK開放給OA或ISV廠商，合作伙伴可以方便的調用API開發(fā)第三方移動應用，這些移動應用同樣運行在安全沙箱中得到保護。對于企業(yè)自己開發(fā)的業(yè)務客戶端，在基于AnyOffice的安全SDK簡單適配后，也支持安全移動化，形成新的自有安全客戶端整合到AnyOffice。

　　Pushmail客戶端為用戶提供安全受控的即時郵件推送服務，通過SSL VPN加密隧道，在用戶查看企業(yè)郵箱時提供安全通信防護，附件瀏覽和下載收到控制。Pushmail支持標準郵件協(xié)議、實時收發(fā)郵件、郵件加密保存、遠程擦除郵件、郵件退出自動擦除、郵件傳輸自動加密。

　　安全瀏覽器為用戶提供安全瀏覽企業(yè)Intranet網站內容的能力，底層通過SSL VPN建立加密隧道，使得企業(yè)B/S應用能夠安全的發(fā)布到移動終端上。安全瀏覽器支持：

　　1. 內容適配/頁面重排

　　根據終端屏幕尺寸，自動對下載的Web頁面進行內容塊重排處理，在移動終端上提供上下滑動瀏覽頁面的功能。

　　2. 數據保護/緩存清理

　　支持對下載的文件、訪問歷史、Cookies和臨時文件的在線加解密；在退出瀏覽器時，可按照策略自動清理緩存和配置。

　　3. 文檔在線瀏覽

　　支持Office、 PDF、文本、圖片、壓縮文件等辦公所需文檔格式的在線或離線安全瀏覽，實現(xiàn)公司數據與個人數據的隔離。

　　4. 訪問行為管控

　　基于URL黑白名單的管控，并根據策略限制文件上傳、下載和保存等行為。

　　移動設備管理

　　華為AnyOffice移動辦公客戶端軟件集成了自研的MDM（移動設備管理）能力，MDM支持對BYOD設備全生命周期的管理，如圖2：

圖2 BYOD設備全生命周期的管理

　　在BYOD設備從入網到最后被回收，

1. 獲取階段：對資產進行注冊、軟件預置；
2. 部署階段：配置安全策略和企業(yè)App Store中移動應用的遠程發(fā)布；
3. 運行階段：支持自助Portal、故障定位、應用升級、補丁管理，以及對設備丟失的處理；
4. 回收階段：最后，在BYOD設備回收階段支持資產注銷和企業(yè)數據的清除。

　　其中，關于BYOD設備資產的自助注冊：終端首次登錄企業(yè)網絡，如果設備綁定檢查失敗，會推送終端自助綁定Portal頁面，用戶在線簽署資產注冊協(xié)議后，自助注冊資產，管理員審批通過后，終端方可接入企業(yè)網絡。

　　BYOD設備要接入到企業(yè)內網，安全檢查項包括了是否合法終端，是否越獄，是否符合企業(yè)的安全策略等，如圖3，

圖3 BYOD設備入網檢查

　　其中，MDM支持對丟失的移動設備進行GPS定位，遠程鎖定，SIM卡變更通知，遠程數據镲除。如圖4，

圖4 MDM對移動終端丟失的處理

　　1. 遠程鎖定

　　用于用戶不確定設備是否丟失或被盜的情況，通過OTA的方式給設備發(fā)送一條鎖屏的命令，這樣終端上企業(yè)數據就不會被其他人看到，從而保護企業(yè)數據的安全。

　　2. SIM卡變更通知

　　SIM變更時提供自動鎖定、自動定位、遠程數據擦除、短信報警和自動通知功能。

　　3. 遠程擦除

　　擦除命令用于設備丟失或不再繼續(xù)使用的情況，執(zhí)行該命令后，終端設備會執(zhí)行恢復出廠值命令，所有數據會被清除，iOS 設備需要連接iTunes進行激活。

　　4. GPS定位

　　可以通過客戶端收集定位信息，從而對終端進行位置定位，提高終端返回機率，避免企業(yè)信息泄露。

　　5. 數據備份和恢復

　　備份通訊錄、日歷、郵件等關鍵數據到企業(yè)備份服務器，若終端丟失，可從備份服務器恢復到別的辦公終端。

　　給您帶來的好處

1. 有效解決了員工攜帶自有設備個人隱私與企業(yè)數據的隔離問題
2. 有效解決了員工攜帶自有設備丟失導致的信息泄漏問題