蓝盾移动办公安全解决之道
2014-06-24 11:00:07   来源：   评论：0 点击：

  1.背景概述 
   随着移动设备产品智能技术的飞速发展，当今移动设备的功能越来越强大，重量和体积却体现为越来越便携，Apple iphone/ipad及Android、WP7等众多智能移动终端在消费市场迅速成为主流，移动终端网民数量已超越PC终端网民数量。近日，中国互联网协会发布的《中国互联网发展报告(2014)》指出，截至2013年底，我国网民规模达6.18亿，其中手机网民大幅增长，达到5亿人。与此同时，2013年我国网络经济整体规模达到6004.1亿元，移动互联网经济增长迅速，2013年超过千亿元，成为网络经济发展的重要助推力。
   同时，3G、4G与办公WLAN的飞速发展与全球无线网络运营商的推广开启了移动互联网时代。移动办公、移动医疗、移动支付、位置服务、可穿戴终端、移动搜索、多屏互动等全新的移动应用正逐渐走进我们的工作和生活。府和企业员工使用智能手机、平板电脑、移动PC和掌上电脑等多种移动互联网设备，通过基于WLAN/WiMAX/3G/GPRS等网络访问单位内部资源和应用，新型业务应用需求逐步浮出水面，推动移动办公模式的新发展，BYOD时代已经到来。

    2.移动办公的安全问题分析
    2.1设备接入和访问安全
    移动智能终端的多样性、应用场景的不确定性、无线网络的开放性，使得企业内部的重要信息资源处于一种高风险的状态。不严谨的设备管理和认证方式，无法确定用户的真实身份，使得移动设备伪装身份后能够随意接入企业单位内网访问任意资源，没有授权的客户非法访问应用服务器造成信息外泄。
    2.2恶意软件及病毒侵扰
    移动设备智能化，集成PC的特性和功能更容易遭受恶意程序的攻击。今天，移动恶意软件的数量以万计，主要为远程控制木马，以窃取个人隐私、敏感数据、恶意扣费、远程控制为目的。移动终端任意下载和安装这些消费类应用，在后台静默下载安装软件，对用户的手机威胁性更大更强，引入了恶意软件或病毒风险，造成企业数据丢失或设备功能失效等危害，导致安全风险呈指数级上升。
    2.3数据自身的加密问题
    移动设备本地上和外置卡存储的数据一般都是明文存放的，未作加密存储，一旦绕过开机程序（如将TF卡/SD卡接入其它设备），即可轻易拷贝其中的数据，后果不堪设想。
    2.4设备连接的安全问题
    移动用户通过无线网络对总部信息网络进行业务访问时，数据包以明文的方式在网络中传递，无加密的传输通道使得数据在传输过程中易被窃听或篡改。同时无线网络的开放性和恶意接入点的存在，增加了移动终端接入的安全风险。
    2.5设备丢失后造成涉密
    移动终端设备体积较小，在便捷使用的同时带来了使用场景不固定，极易丢失或被盗窃。如被偷盗或被使用者遗失，获取者可以轻易冒充使用者身份登录内部应用系统，窃取企业单位内部机密资料，且会造成终端存储的保密数据泄露。

    3.解决之道
    3.1解决方案概述
    针对移动办公带来的安全问题，蓝盾提供行之有效的解决方案，推出蓝盾移动安全管理系统，采用中间件技术、虚拟化发布应用技术，集移动终端设备管理、移动应用管理、终端安全管理于一体，从用户、设备、应用、传输、数据加密等多个维度实现对移动终端安全和数据安全的高效统一管理，帮助政府或企业用户增强对移动安全状况的监控，有效保护移动设备安全和敏感数据安全。通过该安全平台，能方便快捷地为客户提供各种虚拟化应用，用户可以在任何时间、任何地点、用任意授权的智能终端，通过任何网络进行公司的数据访问和业务处理（4Ａ理念），实现了“安全”、“效率”和“体验”的完美融合。

    3.2方案特色
    3.2.1全生命周期的移动设备管理（MDM）
    蓝盾移动办公安全解决方案提供了全生命周期的移动设备管理方案。接入前，支持移动设备资产发现和注册，包括设备注册管理（账号、密码、设备mac等）、认证授权（身份识别、第三方鉴权）、接入控制（基于设备、角色、场所、时间和接入方式的细粒度访问控制策略），实现硬件资产管理（唯一识别号、设备名称、设备类别、设备型号、系统版本、存储容量等）和设备中的软件资产管理（软件名称、软件ID、软件版本和占用空间大小等）。
    初始接入时，还进行设备破解/越狱识别、密码复杂度检查，加强了设备自身的安全检测和弱势密码的控制。
    接入后，支持对移动设备进行安全配置和策略下发，对WiFi、APN/VPN、Email的接入和应用进行控制，禁用设备的一些原生功能 (禁用摄像、蓝牙、外储等功能)、并对移动设备上的数据进行备份管理，支持企业安全策略的强制实施。同时，对企业移动App进行安全的远程分发、安装、配置；除此之外，企业可以根据用户角色定义App黑白名单策略，保证正确的人访问正确的应用和数据，并可以通过远程升级、打补丁的方式来增强应用的安全性。
    最后，为了应对移动设备容易丢失或由于某些原因需回收移动设备等情况，本方案还提供对企业关键数据加密功能，支持远程定位、远程锁定、数据擦除、取消访问权限等功能。
    3.2.2移动应用的灵活管理（MAM）
    移动应用的管理方案提供了黑白名单管理功能，允许或禁止用户自己安装某些应用程序，过滤黑名单中所有恶意程序，阻断恶意应用程序来源，保证应用程序的合法、可控。同时提供自有的定制化企业应用商店，为用户提供一个简单的集成开发环境，可帮助政府或企业对App进行有效的购买、分发、管理以及回收。
    3.2.3移动内容管理（MCM）
MCM实现日常办公资料（如Word、Excel、PowerPoint、PDF等）的上传、分发、管理和保护，设置文档资料的访问权限，授权用户可以通过移动设备访问文档服务器，并对文档进行下载、查看，实现对移动设备的各种内容属性进行自主管控。同时，支持企业消息通知的批量推送。
    3.2.4完整的安全机制，保障设备和数据安全
    本方案在网络接入安全方面提供可信加密移动网络专有连接通道，同时系统具备完善的数据加密、传输加密、接入管理等安全保密机制。
    数据加密
    通过动态加密技术，为本地数据（设备内存、外部存储卡）和活动中的数据（如电子邮件/MIME加密和认证）进行强加密，当存储被拔出后，在其他设备上无法被识别，防止设备维修、丢失、存储卡迁移时，数据被他人明文读取。
    加密传输通道
    系统为移动通信设计专有的SSL VPN安全连接通道，为用户提供灵活便捷、安全可控的端到端链路加密，帮助用户通过安全连接到企业网络，提供了可信加密移动网络专有通道连接，从而证敏感数据隐密性安全和交互，防止数据的恶意嗅探和篡改，确保移动终端的远程传输与访问安全。
    无线接入安全
    通过无线接入点管理，控制移动设备按配置策略接入指定的wifi。
    通过电子围栏技术，通过GPS功能指定移动设备的活动范围，超过指定地理范围时，产生告警日志，并以短信或邮件的方式告知管理人员。
    数据擦除
    管理系统实现对应用的数据进行远程擦除。当设备丢失、被盗、售出或者送到第三方修理时，执行远程的系统重置或数据擦除动作，支持可选择性的、全部的应用和数据擦除管理，彻底杜绝安全隐患，防止重要信息泄密。
若设备脱管，立即向管理员报警。若威胁安全，可通过短信炸弹等方式擦除设备数据。
    3.2.5移动安全操作系统，创建一个安全的隔离地带
    独特的移动安全操作系统，在同一台移动设备上创建了一个个人与企业分离的安全地带，轻松解决了个人和企业应用、数据混合带来的数据泄密和病毒感染等风险。当移动用户通过移动终端登录访问公司业务系统时，所有的企业业务处理将在一个封闭的安全环境中，与个人应用隔离，在数据创建之初就确保存储在一个安全的隔离地带，并且加密保护。本系统还能实时监控企业应用的行为，个人应用不能访问企业应用，且阻断个人和企业应用之间的数据拷贝、剪切、粘贴等行为，并可根据策略阻止或使能应用的上传、下载等操作；在应用注销时还能实现临时文件和数据的无痕化擦除，进一步减少数据泄密的风险。

    3.2.6虚拟化发布应用，显著降低二次开发成本
    随着科技发展以及手机终端承载能力提高，移动化应用在现实生活中得到了越来越广泛的应用，但传统的实现方式对于客户自己开发的原有IT系统无法复用，需要重新开发数据接口、WAP系统逻辑和页面展示，这样的做法往往造成实施周期长，实施成本高，效果不理想。
    本产品基于中间件适配技术和虚拟化发布技术，将客户应用办公系统有效、快速、精准、安全地虚拟发布至客户智能手机终端，通过授权的用户能任意使用服务器上开放的资源和业务应用，如ERP、OA办系统，不改变原有系统，不改变用户的操作习惯，一次开发，跨平台多次发布，可显著降低开发复杂度，为企业节约成本。