智慧安全:移动安全解决方案

   行业应用方案     2019-04-17     1692    0    
核心提示:移动安全管理系统是集移动设备管理、移动应用管理、移动内容管理于一体的集中移动安全管理系统。系统从用户、设备、应用三个维度来实现对移动终端高效、安全的统一管理,是目前国内领先的移动安全管理产品。
1 产品介绍
EMM移动安全管理系统是集移动设备管理、移动应用管理、移动内容管理于一体的集中移动安全管理系统。系统从用户、设备、应用三个维度来实现对移动终端高效、安全的统一管理,是目前国内领先的移动安全管理产品。
 
系统采用模块化设计,不但可以根据用户需要和环境特点进行选择、组合,而且可以提供定制化的开发,能够方便地实现与用户应用的有机结合。
        
1.1 终端用户管理
3.1.1 生命周期凭证、监控、更新、注销
移动终端用户需要接入到企业网络时,首先需要登记加入EMM移动安全管理系统,管理系统的证书中心会给用户颁发其专属证书,该证书保证了用户和服务器之间的身份认证,并且该证书具有可设置的生命周期,可以设定用户的权限期限。从登记完成开始,该移动设备即开始接受EMM系统的全面管理,EMM对用户设备接入企业环境的整个生命周期中所有的状态信息、操作行为进行严密的监控和统一的配置管理。
 
3.1.2  用户的身份认证
EMM支持用户身份的强制认证,支持基于口令、证书、T-KEY、动态口令等多种形式的软、硬认证模块。支持将系统身份认证与企业应用认证相结合(详见后面的MAM模块)。
 
3.1.3  批量快速管理用户
EMM采用基于角色的用户管理机制,可对用户进行职位、部门、群组多层次分组,多角度对用户进行管理。多种灵活快速的管理方式,确保IT部门高效工作。
 
3.1.4   企业账号配置管理
EMM支持用户账号配置信息的远程管理与OTA推送。针对企业用户常用的各类配置,如:WiFi、VPN、LDAP、Exchange、POP3、IMAP、APN等账户信息,EMM可支持IT管理人员通过后台操作并直接推送到指定用户终端,免除用户自行输入的问题。另外对于WiFi、VPN等账户类型,系统自动推送并配置账户,企业用户可以在不知道密码的情况下连接到无线网和虚拟专用网,即实现了安全接入,又能够避免用户将账号信息泄露出去。
 
EMM支持对用户的配置的双通道管理,可对所有的移动设备进行统一配置管理,同时,本系统也支持配置单个用户区别于全局配置的自定义移动设备权限。
所有配置信息均采用无线推送方式实时下发,企业无需回收用户移动终端;配置信息自动安装,用户无需确认。
 
3.1.5  用户与多重设备绑定
面对当前移动设备多样性(如智能手机、平板电脑)、移动操作系统平台多样性(如iOS、Android)、操作平台版本多样性(如iOS 5/6/7、Android 2.x/3.x/4.x),单体用户可与多个平台/版本/操作系统的设备进行绑定,可在统一用户管理界面进行管理,实现了用户多重设备的统一、集中管理。
 
1.2  设备安全与管理
1.2.1  设备权限管理
EMM可对指定用户设备的功能权限、应用程序权限、安全性和隐私权限进行配置和管理,主要功能包括:
♦  限制摄像头、录音等设备功能性权限限制
♦  限制网络接入类型和接入SSID
♦  限制使用应用商店,限制安装应用
♦  限制使用浏览器,限制使用Javascript等
通过对指定用户或群组设备进行功能和安全限制,可以实现在特定工作区域和用户角色的行为管控,保障企业利益。
 
1.2.2  设备快速登记管理
EMM支持用户快速登记机制,用户只需两步,即可轻松实现移动设备接入EMM管理系统。
典型的登记流程:
1)  用户使用移动设备扫描EMM登记地址的二维码图片(该图片由IT部门使用邮件群发给企业员工),点击安装EMM客户端。
2)  用户在客户端中输入账户名称和密码(后台可与企业邮箱账号关联),点击登记按钮并确认接受管理的提示信息。完毕!
设备登记完成后,移动设备用户本人无需再对设备进行任何有关企业账号信息、企业应用、企业数据、安全策略等方面的配置,一切都由IT管理人员在后台根据用户角色批量处理,并自动推送到移动终端中部署安装。
 
1.2.3 智能防盗技术
EMM对移动设备进行严密的防护,阻止未经授权、未受保护以及存在安全隐患的设备渗入系统。采用公钥基础设施以及双重身份验证,阻止恶意程序的破坏。规范设备行为,保护企业信息系统安全。
 
当移动设备被盗、意外丢失,可对设备存储数据远程擦除,彻底杜绝安全隐患。EMM可实现远程报警、锁定、企业应用程序卸载、企业数据清除等安全管理,保护企业的敏感信息不被泄露。
 
1.2.4  终端系统安全防护
EMM支持企业级移动防病毒系统,部署全球技术领先的移动防毒引擎和专业病毒库,能够有效查杀各种病毒、木马和恶意代码。同时EMM可对移动操作系统进行漏洞扫描和补丁修复,从系统底层保证企业应用环境的安全。
 
1.3 移动应用的管理
1.3.1  第三方应用安全监控
EMM可对用户设备中所安装的应用程序进行严密监控,支持黑/白名单策略,过滤黑名单中所有恶意程序。支持对系统自带的应用商店进行权限的设置,允许或禁止从应用商店安装应用程序,阻断恶意程序的来源,保证应用程序的合法与可控。
 
智能病毒双引擎查杀技术保障移动设备的安全,对移动设备上的应用进行全面的安全检查和控制,防止因用户安装安全性差的应用程序,从而影响企业信息系统的安全性。智能应用危险感知技术及时上报客户端可疑程序,专业的分析团队及时分析并上报病毒样本对病毒库进行更新。
 
1.3.2  远程安装、移除、更新应用
EMM支持对应用程序的远程安装、远程移除、远程更新,只需在管理系统自带的应用商店内简单操作,便可对所有管理的设备进行以上操作,系统支持批量安装、升级、卸载,避免复杂繁琐的安装过程,大大地提升了企业的工作效率。
 
1.3.3  系统应用运行权限的管理
EMM可实现对部分系统应用程序的权限进行管理,如:Camera、FaceTime、Safari、iTunes等。
 
1.3.4  功能完备的独立应用商店
EMM支持应用程序的上传、下载、更新,程序的上架、下架机制,实现了应用程序的灵活管理。建立企业自己的应用商店,完全脱离苹果App Store、谷歌Google Play等第三方应用商店进行应用的分发与管理。

1.4 企业应用与数据安全
EMM包含全新的MAM( Mobile Application Management)模块,基于App wrapping(应用封装)技术,可以让企业针对某一个或一批已开发完成的应用部署添加特殊的安全管理策略,确保运行在企业APP移动应用或基于浏览器应用中的核心数据的安全,防止移动设备丢失、被盗、损坏以及因用户使用不当造成企业核心数据的泄露。企业部署MAM应用安全封装技术时,无需修改现有客户端应用的代码,只需要将已经开发完成的APK安装包进行代码注入与封装,大幅节约企业的开发与维护成本。

MAM应用安全管理系统支持如下功能:
l  企业应用统一身份认证
通过用户名、密码和证书对企业应用的用户身份进行统一方式强制认证
l  统一单点登录
强制企业所有移动应用基于时间和应用等级的单点登录安全访问
l  权限授权
允许或禁止使用应用程序、离线使用应用或将数据存储到设备中
 
l  自动配置
自动配置个人设置信息,例如用户名、Server地址和自定义数据, 无需经过用户交互操作
l  自动加密
确保各企业应用存储到设备的所有数据都经过加密
l  DLP数据防泄露
禁止/允许企业应用内文本复制/粘贴等功能
 
l  动态策略
动态更新应用策略
l  统计报告
统计各企业应用使用频次、时间、时长等信息并统一展示
l  可选擦除
远程选择性擦除部分应用数据,而不影响用户个人数据。

1.5  企业信息推送通知
1.5.1  企业消息云端推送
EMM支持企业消息推送,系统内置消息推送云端服务器于企业中,企业无需花费租用短信网关高额的费用支出,并且所有企业信息内容完全由企业内部接管。管理员可对推送用户进行按群组、用户等多维度的选取,推送消息到企业员工的移动终端。
 
1.5.2  多媒体消息推送
企业消息推送模块不仅可以推送纯文本信息,也可对图片、视频、音频、文档附件(Word、PPT等)、链接等多媒体信息进行推送,相比短信网关,本系统能够更加符合企业用户的不同需求。
 
1.5.3  企业消息防篡改安全机制
本系统为企业消息推送中心建立安全保护机制,通过各种技术和管理措施确保网络数据的可用性、完整性和保密性。所有数据的交互均需要通过SSL通道,并且对所有的内容数据进行高强度的加密算法进行加密,通过数字签名的方式保证数据的完整性,即数据的发送方在发送数据的同时利用单向的不可逆加密算法函数获取所传输数据的消息文摘,并把该消息文摘作为数字签名随数据进行整合一同进行发送。

2  EMM技术架构
2.1 系统技术架构
图EMM系统技术架构

EMM系统由全面的技术核心模块组成,为上层EMM应用系统提供全方位的功能支持,这些模块包括:
♦  系统安全模块
为EMM服务器提供系统级安全监控、扫描、修复和加固,确保EMM系统本身安全
♦  接入安全模块
针对VPN、WiFi、APN、LDAP、Email等接入系统提供安全的接入配置和管理功能

♦  身份认证模块
针对所有网络应用系统以及EMM系统本身提供统一的身份认证功能,支持外部AD认证接口
♦  权限控制模块
对用户设备的各项权限如硬件功能、应用类型、网络功能、资源权限等进行统一管理

♦  文件安全模块
系统关键文件数据采用高强度加密算法保护,并进行访问控制管理,避免非授权应用访问
♦  证书安全模块
对用户证书、设备证书和EMM系统根证书进行全面管理,包括密钥生成、证书签发、证书推送、证书注销更新等

♦  应用管理模块
全面管理应用的上架、信息管理、更新、推送安装、卸载、设备应用监控、黑白名单控制等
♦  应用行为监控模块
针对用户设备中部署的应用行为建立监控和报警机制,防止未授权应用和恶意应用对系统安全造成影响和破坏

♦  用户行为监控模块
针对用户和设备的登记、连接、数据访问等行为建立监控和报警机制
♦  病毒查杀模块
对用户移动终端系统提供实时、全面和有效的恶意代码扫描和查杀功能,保护终端系统安全

♦  防盗安全模块
确保移动终端不因丢失、损坏等原因造成身份冒用、数据泄露、权限失控,并对失窃设备进行跟踪和找回
♦  统一配置模块
EMM移动安全管理系统对以上所有技术模块进行统一的配置与管理,同时提供对指定用户和设备进行精细化配置

♦  策略管理模块
为整套EMM移动安全管理系统提供灵活的管理策略和工具
通过建设以上的技术架构,实现EMM移动安全管理系统的全面解决方案:
总结以上内容,EMM解决方案实现了六大关键功能,满足了企业对移动应用系统的安全管控需求:
♦  移动设备的管理
♦  终端用户的管理
♦  终端应用的管理
♦  终端数据安全
♦  终端系统安全
♦  终端接入安全

2.3  系统部署实施
EMM移动安全管理系统在企业网络系统中的建议部署位置处于内网与外网之间的DMZ区,或者是企业内网。如下图所示:
EMM系统部署位置示意图

EMM移动安全管理系统在企业网络信息系统中的建议部署如下图所示:
企业移动业务系统集成EMM网络拓扑示意图
♢  移动设备
移动设备为企业为员工配发或者使员工带入公司使用的设备,移动设备为企业应用程序、企业数据、企业相关信息的载体。均安装有智能移动终端系统,例如:Android、iOS等。为企业员工的移动办公提供高效的工作环境。
♢  外网防火墙
外网防火墙处于移动终端设备与移动网关中间,起到防患企业服务器遭受攻击的作用。其主要作用是过滤从外网进入的数据包,起到一种IP封包过滤器的作用,运行于底层的TCP/IP协议堆栈上。

♢  网络认证接入及控制
网络认证接入及控制主要作用为控制网络接入行为,阻止非法用户的网络接入,对网络接入的设备进行身份认证以及权限分配。是建立在移动设备终端与企业服务器的一道屏障。
♢  移动接入网关
移动接入网关针对企业上下游资源共享与业务流的整合时存在的边界不清、访问控制管理不严、互访混乱等问题进行解决。为移动终端接入企业服务器的安全性提供最优的保障服务。

♢  移动设备终端管理
移动设备终端管理系统是集用户管理、设备管理、应用管理、其他管理于一身的管理系统,可对企业内的移动设备进行安全有效的管理,对企业员工的移动设备的操作行为进行操作审计,对企业应用程序进行批量推送下发,从而在多层次、多角度对企业内的移动设备进行全方位的管理。

2.4  分布式部署方案
EMM支持大企业分布式多级部署。如下图所示:
对于拥有多级行政机构的大企业,分支机构对管辖范围内的移动终端进行实际控制与管理,总部需要实时掌握各分支机构的移动终端、用户、业务的使用情况。EMM支持多级分布式部署,移动终端用户接受其直属EMM服务器的监控与管理,总部EMM服务器则与各分支EMM服务器保持连接,获取相关日志审计信息,以及重要的报警和推送信息。当移动用户从一个分支机构转移到另一个分支机构时(如出差),则新接入的EMM服务器会自动为该移动终端下发专属的安全策略与管理配置文件,实现无缝迁移接入。

3  客户收益
通过集成部署EMM移动终端安全管控系统,企业可以快速完成对自身移动业务系统的安全加固和全面综合管理,实现:
√  集用户、设备、应用全方位统一安全管理
√  为企业数据提供安全保障,防止数据外泄
√  与企业现有信息系统无缝连接,降低成本
√  内置企业应用商店,企业应用轻松管控
√  客户端本地防护系统,对移动设备实时防护
√  日志审计功能,快速定位出错节点
√  身份认证与接入认证,防止恶意用户入侵
√  高效自动化统一管理,提高IT部门效率

4   服务器环境配置需求
4.1   信息推送服务器
*可供200万台终端推送服务,采用集群的方式部署。
具体参数详见下表:
硬件配置
推荐参数
最低参数
产品型号
IBM system x3650 M4 
IBM  system x3250 M4
产品类型
机架式
机架式
产品结构
2U
1U
CPU型号
Xeon E5-2650
Xeon E3-1270
CPU核心
六核
四核
内存
8G
4G
硬盘
1TB
500G
网卡
千兆网卡
千兆网卡

4.2 IP地址获取软件更新服务器
具体参数详见下表:
硬件配置
推荐参数
产品型号
IBM system x3250 M4
产品类型
机架式
产品结构
1U
CPU型号
Xeon E3-1270
CPU核心
四核
内存
4G
硬盘
500G
网卡
千兆网卡
 
 

--结束END--

有问题投稿请发送至: 邮箱/3107232748@qq.com    QQ/3107232748

本文标题: 智慧安全:移动安全解决方案

本文链接: https://www.fangan100.com/fangan/85.html (转载时请保留)

阅读更多
 
觉得有帮助,鼓励TA抓紧创作!
赞赏

 
 
加入方案圈子
扫管理员微信号
点击排行