针对企业员工个人需求和企业策略遵从之间的矛盾,华为提供有效的平衡方案,使得员工在设备选择上拥有更大的个性化自由,在任何时候、任何场所,使用任何设备便捷的访问公司内网,运行内部应用,并确保安全策略不妥协。我们致力于为客户提供端到端的移动安全管理和灵活的应用发布的能力。从移动终端安全、网络传输安全、应用安全、敏感数据安全,以及安全管理五个维度对移动办公进行全方位防护,帮助企业在BYOD的高效率与信息安全之间找到最佳平衡点。同时,为应对日益复杂的移动化环境,通过一个简单的平台,支持各种应用的移动化迁移,给开发工作带来良好的扩展性,更好的控制成本,使企业在全球化业务中获得竞争力。
架构和关键组件
移动安全和管理本质上要解决的问题可以概括为三个:身份和设备可识别(Identity)、数据不泄密(Privacy)、和设备可管理(Compliance)。华为BYOD安全解决方案围绕这三个关键点,为企业用户提供业界最广泛的安全性,和最简单易用的管理方案。
AnyOffice智能移动接入客户端
方案提供一个统一的移动安全客户端AnyOffice。AnyOffice作为单一的移动客户端,是用户和网络、应用的唯一交互界面,简洁的客户端可降低管理和维护复杂度。同时,AnyOffice客户端是一个安全的移动办公工作台,以One-agent的模式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理(MDM)软件、L3VPN客户端、虚拟桌面等一系列应用,可满足移动办公的通用需求,保障企业员工安全、便捷、高效地接入和访问企业内网。
另外, AnyOffice具备环境感知特性,可通过与网络侧的接入控制网关SACG(Security Access Control Gateway)和SVN SSL VPN网关联动,实现用户在公司内、外网的智能感知,无缝切换应用安全策略,带给用户一致性体验。
一致的网络接入控制*
方案中的SACG设备是在电信级防火墙硬件平台上开发的专用的接入控制网关,可与AnyOffice客户端,以及准入控制服务器联动,实现在不同环境下(公司LAN,WLAN或远程接入),提供统一的网络接入控制手段,确保一致的策略强制。SACG通过实施安全策略遵从,基于身份认证和设备安全状态,控制设备的访问范围,确保安全、且被授权的合规用户使用合适的终端访问企业网络。
除了SACG网络接入控制,方案同时提供可选的802.1X交换机和软件防火墙两种网络准入控制手段,灵活适应各种接入场景。
安全的远程VPN访问
SVN2000/5000系列设备是基于华为高可靠硬件平台和专用的实时操作系统的SSL VPN网关。具备业界领先的系统性能、安全性和可靠性,为用户提供灵活便捷、安全可控的端到端链路加密,确保远程VPN访问安全。
电信级移动威胁防护
在企业网络边界,华为电信级高可靠USG系列防火墙可提供网络侧的威胁防护能力。USG系列防火墙通过融合Symantec先进的入侵防御和反病毒技术,以及业界领先的DPI(深度包检测)识别技术,呈现专业的内容安全防御能力,包括网络AV,IPS,DDoS和内容过滤等。
统一的安全策略管理*
华为BYOD统一策略管理能够在整个组织内实施统一的安全策略,基于不同的用户角色、设备类型、不同的场所、不同的时段、不同的区域采用不同的策略,确保对企业不同敏感级别应用作细粒度的安全访问控制。统一、直观的安全策略管理平台,可有效降低管理复杂度,节约宝贵的IT人力投入。
简单的企业移动应用发布平台
针对企业移动应用移植和发布的困难,我们提供领先的企业移动应用平台MEAP(Mobile Enterprise Application Platform),实现企业应用的平滑迁移,提供一个简单的集成开发环境,支持HTML5/Native/Hybrid各种类型应用,一次开发,跨平台多次发布,可显著降低开发复杂度,为企业节约成本。
方案亮点
Identity:统一的网络接入控制
基于环境感知的网络接入控制
基于设备(What device)、角色(Who)、场所(Where)、时间(When)和接入方式(How)的环境感知,实现细粒度访问控制策略。IT部门可通过统一策略管理平台,基于一个用户角色,一次性配置多套策略模版,统一分发到移动客户端AnyOffice,AnyOffice基于环境感知,智能启动与设备环境适应的安全模块,与SVN VPN网关、SACG安全接入控制网关或802.1X交换机联动,实现精确的网络访问控制。当用户自由的从咖啡厅、机场远程接入,到出差至办事处,用户的远程会话可从SVN设备透明的切换到SACG设备,这个过程对用户完全透明,AnyOffice可屏蔽一切复杂的网络连接,带给用户最简单、无缝的接入体验。
统一安全策略管理*
统一策略管理平台可保证单一策略来源,安全策略在全网范围保持一致性,轻松确保企业安全策略遵从。真正实现任何人、在任何地方、以任意授权设备(便携、智能手机或平板等物理设备,或虚拟设备)、通过任何网络(有线网络、无线网络、远程网络)自由、无边界的访问公司内部资源。直观的管理界面简单、易用,提升 IT部门工作效率的同时,实现对移动设备的全面可见性和控制力。
Privacy:全面的数据安全和威胁防护
E2E(End to End,端到端)的数据防泄密
数据在设备侧: AnyOffice客户端开创性的通过沙箱技术,在同一台移动设备上创建了一个个人与企业分离的安全地带,轻松解决了个人和企业应用、数据混合带来的数据泄密和病毒感染等风险,在个人需求和企业策略强制的冲突中实现平衡。当用户登录AnyOffice工作台,所有的企业业务处理将在一个封闭的安全环境中,与个人应用隔离,在数据创建之初就确保存储在一个安全的隔离地带,并且加密保护;AnyOffice进程扮演着操作系统内核的角色,可监控企业应用的行为,个人应用不能访问企业应用,且阻断个人和企业应用之间的数据拷贝、剪切、粘贴等行为,并可根据策略阻止或使能应用的上传、下载等操作;在应用注销时,AnyOffice还能实现临时文件和数据的无痕化擦除,进一步减少数据泄密的风险。
数据在传输中: 在数据传输层面,SVN SSL VPN网关可提供L3/L4 VPN高强度加密传输,保证数据隐密性安全,防止数据的恶意嗅探和篡改。
数据在服务器侧: 移动设备由于体积小,容易丢失或者被盗,每年因设备丢失和盗窃造成的数据泄密事件不胜枚举. 通过和管理后台联动, 方案提供远程锁定、远程数据擦除、数据备份和恢复等反盗窃功能,以及GPS定位、自动报警等特性,确保在设备遗失情况下数据安全的万无一失。
移动应用级安全
安全浏览器
随着企业各类应用的Web化(如会议系统、考勤系统、文档查询系统、CRM等),通过一个统一的浏览器访问企业内的各项应用的需求日益增加。安全浏览器可根据终端屏幕分辨率自动调整Web页面的排版格式,确保带给用户一个流畅、一致性的访问体验。
同时,安全浏览器提供了关键的安全防护能力。首先,安全浏览器是基于AnyOffice的沙箱安全模块,可隔离个人应用,并限制通过浏览器访问的企业B/S 应用的行为。其次,安全浏览器具备L4VPN功能,不必在终端上安装和启用其它VPN拨号软件即可顺畅地接入并访问企业网站。再次,安全浏览器支持无痕浏览功能,用户退出浏览器时可对临时文件、Cookie、浏览历史记录做无痕化清除访问痕迹;对于保存在本地的文件和数据也可提供高强度加密保护。最后,安全浏览器还支持黑名单,可有效防止防止网络钓鱼和恶意软件风险。
安全Pushmail
邮件是最早的移动办公应用。安全邮件客户端支持SMTP、POP3、IMAP4等标准协议收发邮件,并支持邮件实时推送,实现“及时经济”下的实时邮件处理。
同时,安全Pushmail提供强大的安全特性,降低移动邮件引入的数据泄密和病毒风险。支持L4 VPN实现传输自动加密,防恶意窃取和篡改。邮件在终端采用高强度加密算法加密存储,密钥动态获取,本地不保存。另外,支持丰富的邮件安全控制策略,包括是否允许邮件转发、附件下载、附件上传、附件在线浏览等,IT部门可根据员工的不同角色下发不同的控制策略。
电信级的网络侧移动威胁防护
在企业网络边界,针对以下三个场景,华为电信级高可靠USG系列防火墙可提供网络侧的深度威胁防御能力。
来自Internet的移动平台威胁防护:DDoS防攻击,非法访问控制,防黑客跳板入侵,防病毒、木马传播,恶意邮件过滤等。
LAN中的移动设备到服务器侧的威胁防护:非授权访问内网服务器控制、防内部员工恶意入侵、防病毒和木马传播等。
移动办公终端到Intertnet的信息泄密防护:非法URL访问过滤、恶意Web页面访问控制、Web页面和邮件正文/附件内容过滤等。
Compliance:基于生命周期的移动设备管理
获取
华为BYOD安全解决方案遵循ITIL资产管理标准,支持标配机和BYOD的资产发现和注册,密码的初始化,并提供移动设备使用承诺协议的自定义模板。
部署
部署移动办公方案,企业必须保证移动设备的安全合规性。华为BYOD安全解决方案支持对移动设备的主机防火墙、VPN和WiFi进行安全配置和策略下发,支持企业安全策略的强制实施。
移动办公的核心是移动App的安全分发,华为BYOD安全方案集成企业App Store,对企业移动App进行安全的远程分发、安装、配置;除此之外,企业可以根据用户角色定义App黑白名单策略,保证正确的人访问正确的应用和数据。最后,应用签名验证特性,服务常驻防卸载功能保证授权的应用不被恶意的篡改和卸载,在移动终端上维持应用环境的完整性。
运行
运行阶段重点关注数据和应用的安全性。华为BYOD安全方案支持密码策略、越狱检测与隔离、外设泄密通道(SIM卡/SD存储卡/摄像头/蓝牙/WIFI /USB/GPS/录音)的控制,保护在移动终端上使用的数据安全。移动设备容易丢失,华为方案能够实现对企业关键数据加密,远程备份/恢复/同步,远程锁定/数据擦除。此外,IT部门可以通过远程升级、打补丁的方式来增强应用的安全性。在管理后台,IT部门可以审计查询所有移动设备列表,以及相应的状态,例如设备型号,操作系统类型与版本等,并可以输出资产审计报表。
降低IT支撑压力是移动办公方案的运作成功的一个重要因素,华为BYOD安全方案支持友好易用的自助Portal,员工可以完成注册、重置密码、挂失、锁定、数据备份与恢复、数据远程擦除等频繁使用的操作,有效的降低IT支撑人员压力。集中管理控制台除了支持上述功能之外,支持更加复杂的管理功能,例如消息推送,故障定位等;另外,管理API接口支持与企业现有Helpdesk集成,提升支撑服务效率。
回收
员工离职或者设备丢失,为了防止数据泄密,IT部门可以对遗留在设备上的应用进行卸载,对数据进行擦除,最后注销此设备。对于企业标配设备,回收的设备可以重新注册绑定,并部署安全策略和应用。
灵活的应用发布
移动设备的多样性和企业应用的复杂性,使得移动应用开发困难重重,华为提供集中的MEAP平台,将移动终端和企业应用集中适配对接,提高扩展性。华为 MEAP平台,不仅支持HTML5和原生Native应用,而且支持以Native为容器、HTML5为界面的混合Hybrid应用的开发部署。MEAP 集成开发环境,内置业务逻辑辅助设计模块,减少代码量,并且支持一次开发,跨多平台发布,降低开发难度,缩短应用上线时间。在设计开发阶段,企业可以在移动应用中内置丰富的安全特性,例如SSL,SSO,MDM安全特性联动。华为MEAP支持全生命周期的开发流程:设计、开发、测试、部署、维护,保证应用开发活动的连续高效。