華為移動終端安全管控解決方案

　　您遇到的問題是這樣的么？

　　問題1：

　　IT消費化趨勢下，員工用BYOD設(shè)備辦公的同時也可能正在做自己的私事，如訪問社交網(wǎng)絡(luò)，IM聊天等，這些都會給企業(yè)信息安全帶來隱患，因為企業(yè)敏感數(shù)據(jù)與個人隱私數(shù)據(jù)保存在一個地方，沒有隔離，移動終端本身可能成為被攻擊的跳板。

　　問題2：

　　移動智能設(shè)備體積小，位置不確定，容易丟失，也使得信息擴散尤為便利，從而導致泄密的概率大大增加。

　　華為是如何幫您解決的

　　企業(yè)數(shù)據(jù)與個人數(shù)據(jù)在終端上的隔離

　　對于企業(yè)數(shù)據(jù)在移動設(shè)備上的泄漏，以及個人隱私的保護，華為BYOD解決方案提供了一個智能移動接入客戶端軟件AnyOffice。AnyOffice運行在一個“安全沙箱”中，如圖1，企業(yè)數(shù)據(jù)和應用軟件都被隔離在“安全沙箱”中，關(guān)鍵文檔和數(shù)據(jù)被自動加密。

圖1 安全沙箱

　　用戶在AnyOffice內(nèi)閱覽和編輯的所有內(nèi)容都不能拷貝到AnyOffice外部，也不能把AnyOffice外部的數(shù)據(jù)拷貝進來，從企業(yè)角度看，這種手段既保證企業(yè)數(shù)據(jù)不被外泄，也防范個人數(shù)據(jù)中可能存在的企業(yè)違規(guī)信息（如新聞、娛樂信息）以及病毒、木馬等非法程序在企業(yè)內(nèi)部的傳播和感染。從用戶的角度看，用戶個人數(shù)據(jù)都被隔離在“安全沙箱”之外，因此，不必擔心BYOD設(shè)備中的個人數(shù)據(jù)會在移動辦公的過程中流入企業(yè)內(nèi)網(wǎng)而引起個人隱私的泄露。

　　AnyOffice缺省提供了華為自研的安全郵件（Pushmail客戶端）和安全瀏覽器產(chǎn)品。同時AnyOffice也提供安全SDK開放給OA或ISV廠商，合作伙伴可以方便的調(diào)用API開發(fā)第三方移動應用，這些移動應用同樣運行在安全沙箱中得到保護。對于企業(yè)自己開發(fā)的業(yè)務(wù)客戶端，在基于AnyOffice的安全SDK簡單適配后，也支持安全移動化，形成新的自有安全客戶端整合到AnyOffice。

　　Pushmail客戶端為用戶提供安全受控的即時郵件推送服務(wù)，通過SSL VPN加密隧道，在用戶查看企業(yè)郵箱時提供安全通信防護，附件瀏覽和下載收到控制。Pushmail支持標準郵件協(xié)議、實時收發(fā)郵件、郵件加密保存、遠程擦除郵件、郵件退出自動擦除、郵件傳輸自動加密。

　　安全瀏覽器為用戶提供安全瀏覽企業(yè)Intranet網(wǎng)站內(nèi)容的能力，底層通過SSL VPN建立加密隧道，使得企業(yè)B/S應用能夠安全的發(fā)布到移動終端上。安全瀏覽器支持：

　　1. 內(nèi)容適配/頁面重排

　　根據(jù)終端屏幕尺寸，自動對下載的Web頁面進行內(nèi)容塊重排處理，在移動終端上提供上下滑動瀏覽頁面的功能。

　　2. 數(shù)據(jù)保護/緩存清理

　　支持對下載的文件、訪問歷史、Cookies和臨時文件的在線加解密；在退出瀏覽器時，可按照策略自動清理緩存和配置。

　　3. 文檔在線瀏覽

　　支持Office、 PDF、文本、圖片、壓縮文件等辦公所需文檔格式的在線或離線安全瀏覽，實現(xiàn)公司數(shù)據(jù)與個人數(shù)據(jù)的隔離。

　　4. 訪問行為管控

　　基于URL黑白名單的管控，并根據(jù)策略限制文件上傳、下載和保存等行為。

　　移動設(shè)備管理

　　華為AnyOffice移動辦公客戶端軟件集成了自研的MDM（移動設(shè)備管理）能力，MDM支持對BYOD設(shè)備全生命周期的管理，如圖2：

圖2 BYOD設(shè)備全生命周期的管理

　　在BYOD設(shè)備從入網(wǎng)到最后被回收，

1. 獲取階段：對資產(chǎn)進行注冊、軟件預置；
2. 部署階段：配置安全策略和企業(yè)App Store中移動應用的遠程發(fā)布；
3. 運行階段：支持自助Portal、故障定位、應用升級、補丁管理，以及對設(shè)備丟失的處理；
4. 回收階段：最后，在BYOD設(shè)備回收階段支持資產(chǎn)注銷和企業(yè)數(shù)據(jù)的清除。

　　其中，關(guān)于BYOD設(shè)備資產(chǎn)的自助注冊：終端首次登錄企業(yè)網(wǎng)絡(luò)，如果設(shè)備綁定檢查失敗，會推送終端自助綁定Portal頁面，用戶在線簽署資產(chǎn)注冊協(xié)議后，自助注冊資產(chǎn)，管理員審批通過后，終端方可接入企業(yè)網(wǎng)絡(luò)。

　　BYOD設(shè)備要接入到企業(yè)內(nèi)網(wǎng)，安全檢查項包括了是否合法終端，是否越獄，是否符合企業(yè)的安全策略等，如圖3，

圖3 BYOD設(shè)備入網(wǎng)檢查

　　其中，MDM支持對丟失的移動設(shè)備進行GPS定位，遠程鎖定，SIM卡變更通知，遠程數(shù)據(jù)镲除。如圖4，

圖4 MDM對移動終端丟失的處理

　　1. 遠程鎖定

　　用于用戶不確定設(shè)備是否丟失或被盜的情況，通過OTA的方式給設(shè)備發(fā)送一條鎖屏的命令，這樣終端上企業(yè)數(shù)據(jù)就不會被其他人看到，從而保護企業(yè)數(shù)據(jù)的安全。

　　2. SIM卡變更通知

　　SIM變更時提供自動鎖定、自動定位、遠程數(shù)據(jù)擦除、短信報警和自動通知功能。

　　3. 遠程擦除

　　擦除命令用于設(shè)備丟失或不再繼續(xù)使用的情況，執(zhí)行該命令后，終端設(shè)備會執(zhí)行恢復出廠值命令，所有數(shù)據(jù)會被清除，iOS 設(shè)備需要連接iTunes進行激活。

　　4. GPS定位

　　可以通過客戶端收集定位信息，從而對終端進行位置定位，提高終端返回機率，避免企業(yè)信息泄露。

　　5. 數(shù)據(jù)備份和恢復

　　備份通訊錄、日歷、郵件等關(guān)鍵數(shù)據(jù)到企業(yè)備份服務(wù)器，若終端丟失，可從備份服務(wù)器恢復到別的辦公終端。

　　給您帶來的好處

1. 有效解決了員工攜帶自有設(shè)備個人隱私與企業(yè)數(shù)據(jù)的隔離問題
2. 有效解決了員工攜帶自有設(shè)備丟失導致的信息泄漏問題