1、MDM系統技術解決方案目錄 TOC o 1-5 h z 一、背景說明3 HYPERLINK l bookmark2 o Current Document （一）項目背景3 HYPERLINK l bookmark4 o Current Document （二）應用現狀3 HYPERLINK l bookmark6 o Current Document 二、需求分析44 HYPERLINK l bookmark8 o Current Document （一）功能性需求分析4 HYPERLINK l bookmark10 o Current Document （二）非功能性需求分析5 HYPERL

2、INK l bookmark20 o Current Document 三、解決方案67 HYPERLINK l bookmark22 o Current Document （一）安全的網絡接入控制7 HYPERLINK l bookmark24 o Current Document （二）手機行為規范管理7 HYPERLINK l bookmark26 o Current Document （三）應用行為規范7 HYPERLINK l bookmark28 o Current Document （四）通信規范管理8 HYPERLINK l bookmark30 o Current Docum

3、ent （五）區域差異化策略控制8 HYPERLINK l bookmark32 o Current Document （六）時間圍欄策略9 HYPERLINK l bookmark34 o Current Document （七）手機安全測評評測9 HYPERLINK l bookmark36 o Current Document （八）豐富的設備運維9 HYPERLINK l bookmark38 o Current Document （九）強大的審計追責能力9 HYPERLINK l bookmark40 o Current Document （十）實時執行命令策略10 HYPERLIN

4、K l bookmark42 o Current Document （十一）友好的管理設計10 HYPERLINK l bookmark54 o Current Document 四、方案價值及優勢12背景說明（一）項目背景隨著移動互聯網技術的發展，IT消費化時代已經成為現今的主流，越來越 多的單位員工使用個人平板電腦和智能手機進行日常公務處理，越來越多的單位 為了提升業務的反應速度也為單位人員統一購買PDA或者平板電腦用于辦公使 用。由于其移動的便捷性，使得我們很難區分哪里是辦公室，哪里是家，在給我 們帶來便利的同時，威脅也隨之而來。“移動辦公”也可稱為“3A辦公”，也叫移動OA,即辦公人員

5、可在任何時 間（Anytime）、任何地點（Anywhere）處理與業務相關的任何事情（Anything） 這種全新的辦公模式，可以讓辦公人員擺脫時間和空間的束縛。單位信息可以隨 時隨地通暢地進行交互流動，工作將更加輕松有效，整體運作更加協調，利用手 機的移動信息化軟件，建立手機與電腦互聯互通的企業軟件應用系統，擺脫時間 和場所局限，隨時進行隨身化的業務管理和溝通，幫助工作人員有效提高工作效 率。（二）應用現狀業務性質決定了員工需要使用移動智能終端設備進行正常辦公。這種最新潮 的辦公模式，通過在手機、平板上安裝信息化軟件，使得手機也具備了和電腦一 樣的辦公功能，而且它還擺脫了必須在固定場所固定

6、設備上進行辦公的限制，為 管理者和商務人士提供了極大便利。它不僅使得辦公變得隨心、輕松，而且借助 手機通信的便利性，使得使用者無論身處何種緊急情況下，都能高效迅捷地開展 工作，對于突發性事件的處理、應急性事件的部署有極為重要的意義。新型的移動辦公方式也為單位的信息安全現狀防護提出了更為嚴格的防護 要求和挑戰。1、移動設備具有易失性，從而具有泄露業務數據的隱患移動設備由于其便攜性，經常會出現丟失的情況。而移動設備中所保存的敏 感數據也因此面臨泄密風險。2、員工主動泄密，業務數據被泄漏移動設備的便攜性使得其更加難以統一管理。難以保證個別離職人員不會將設備中的商密信息泄露給競爭對手。3、移動操作系統

7、的碎片化問題嚴重，統一管理不便Android設備就有2萬多款不同型號，員工自帶的設備多種多樣，如何保證 策略執行的一致性、如何在統一的平臺上管理各種設備是另一個挑戰。4、應用質量參差不齊，應用市場安全性堪憂據360的數據統計，78%的知名應用被盜版，第三方應用市場及論壇仍然是 惡意程序傳播的主要途徑（占61%），最不安全的某小型應用市場的惡意程序占比 竟高達20.2%，應用市場的安全性堪憂。5、手機病毒數量和類型的高速增長，使移動設備成為滲透網絡的跳板在移動互聯網越來越深入人心的今天，攻擊者已經開始將視線由PC轉向了 移動設備。同時，由于Root權限濫用和新的黑客攻擊技術，移動設備成為滋生 安

8、全風險的新溫床，容易成為黑客入侵滲透內網的跳板。6、公私數據混用，個人隱私難以得到保障同一移動終端設備上既有個人應用，又有業務數據和應用，個人應用可以隨 意訪問、存取業務數據，業務應用同樣也會觸及到個人數據。如何明確區分并隔 離移動終端上的業務數據/私人數據與應用，禁止業務數據被個人應用非法上傳、 共享和外泄，同時禁止業務應用訪問個人數據，尊重移動終端上的私人數據是一 個難以避免的問題。集團公司的移動信息安全現狀急切的需要得到解決。二、需求分析移動智能終端設備防護的對象分散、品牌復雜，對于功能性和非功能性要求 上都有著近乎苛刻的要求。（一）功能性需求分析移動互聯網技術的高速發展，給我們的日常生

9、活帶來了便利，同時也提升了 辦公效率，隨之而來的問題是，員工用移動設備辦公的時候，由于其分散性，得 不到集中管理，為單位內部文檔資料的泄露埋下了不可忽視的隱患，同時又很難 進行事后的追責。隱患一：海量惡意軟件防不勝防。大量惡意軟件混雜在軟件市場內，一旦用戶下載、安裝帶有木馬、后門的軟件，用戶的個人信息、隱私、公司內部的來往 信息、客戶的資料信息等數據將受到嚴重威脅。隱患二：“云備份”可能造成信息泄露。“云備份”既節省存儲空間，又便 于多平臺信息共享和恢復。然而，沒有人能保證數據在云服務器上不被非法瀏覽、 篡改或刪除。倘若有敏感信息泄露，后果將不堪設想。隱患三：免費WIFI不安全。免費WIFI上

10、網時數據存在被監聽、截獲和篡改 的風險，聯網的手機甚至還會遭到漏洞攻擊，從而造成損失、影響安全。隱患四：GPS定位控制。移動設備的高便攜性特點，使得存有重要數據的移 動設備難以進行有效統一的管理，極大的增加了數據通過移動智能終端設備帶出 造成數據泄露的風險。隱患五：拍照信息泄露。對于內部資料、客戶的隱私信息進行拍照。通過網 絡渠道快速傳播，而其中有可能包含了內部的機密資料，或客戶的隱私資料，造 成不必要的客戶糾紛。隱患六：缺少有效的接入防護。由于業務的特殊性，內部支撐網絡接入位置 分散，在這種環境下隨意接入網絡內部網絡，存在違規接入風險。存在以移動設 備為載體，內部網絡被入侵的風險。隱患七：移

11、動設備難以進行統一有效的管理。設備中數據存在被無意或惡意 倒賣的可能性。移動設備的安全隱患并不只存在于上述的列舉中，實際環境中存在的更多的 安全隱患是我們無法完全列舉的，甚至是我們還沒有發現的。由于移動設備使用的普遍性，單純通過制度來管理是無法進行有效控制的， 如何結合一套針對移動智能終端安全管理的軟件來解決以上問題就顯得尤為重 要。（二）非功能性需求分析好的產品在滿足功能需求的同時，同樣要做到非功能性的一些設計要求。非 功能性的產品可以概括為兼容性、可靠性、易用性、高效率等幾個方面。廣泛的兼容性產品應兼容IOS系統設備（手機、ipad等）和Android系統設備（手機、Pad）等常見的移動設

12、備系統。產品能兼容市面上常見的移動設備品牌，包括但不僅限于Apple、華為、三 星、OPPO、Vivo、小米、努比亞、LG、魅族、中興、金立、1+、TCL、樂視等。 對于市面上沒有由內部自行開發或改進的手機型號，應能夠提供兼容性方案設計 或二次開發以滿足企業對于手機兼容性的要求。高可靠性產品應能夠與常見的移動設備軟件具備良好的兼容性。在與生僻的軟件產生 不兼容情況后，產品應能夠在短時間內重建其性能水平并恢復直接受影響數據。高易用性產品應具備友好的用戶交互界面。產品功能操作在設計上應該便于理解、便 于學習等，增加產品的可操作性。例如產品要具備短期的數據記憶能力，便于數 據的輸入。高效率產品在使用

13、的時候應具備低資源占用的特性。具體表現為，上線產品后，手 機不能夠有明顯的速度下降；在一定條件下，產品占用的手機存儲資源不應超過 雙方協商的資源占用數據。三、解決方案MDM系統定位于解決單位在向移動辦公及其使用拓展過程中面臨的安全、管 理以及部署等方面的各種挑戰，幫助單位在享受移動辦公帶來成本下降、效率提 升的同時加強對移動設備的管理控制以及安全防范。MDM系統解決了公司內部手機使用過程中的安全問題，使得員工能夠更安全 的使用手機及其網絡，不用再擔心企業內部數據通過移動智能終端的非法接入、 木馬、病毒等方式發生泄密事件，不用再擔心移動智能終端丟失或者被竊而導致 的個人及企業信息數據泄露問題，不

14、用再擔心移動智能終端成為入侵單位內部網 絡的渠道問題。MDM系統解決了移動設備工作人員使用移動智能終端設備辦公過程中的管 理問題管理員可以更加高效的管控移動智能終端，可制定靈活可控的安全策略， 提升移動智能終端的安全指數，可通過多樣化的圖表以及日志記錄，更直觀的查看全局狀態以及追蹤可能的問題細節。MDM系統從移動智能終端的行為控制、通信規范、信息審計、GPS定位控制 等多維度，配合以安全測評等技術，為內部移動設備的使用提供完備的解決方案。 極大程度的規避了因拍照、上網等造成的公司及個人信息泄露風險，極大程度上 規避了以移動設備作為跳板，導致內部網絡被入侵的風險。（一）安全的網絡接入控制基于NA

15、CP準入控制技術，實現對移動智能終端的入網管理，阻止非法移動 智能終端任意接入單位網絡，同時對安裝應用、設備越獄、USB調試模式、網絡 通訊環境等安全隱患進行檢測，僅允許檢測合格的終端接入網絡。對于檢測不合 格的移動智能終端提供可引導式修復界面，方便用戶進行自主修復，從源頭出發 保障了入網設備的安全性，協助網絡管理人員建立一個合法合規的移動辦公環境。我們的方案秉承“不改變網絡、不依賴網絡設備、部署簡單”的特性，兼容 各種復雜的網絡環境，支持分布式快速部署，為您解決移動智能終端網絡準入控 制的合規性要求，達到“違規不入網、入網必合規”的管理規范。（二）手機行為規范管理MDM系統的“安全規范管理功

16、能”可實現對移動設備的攝像頭、藍牙、屏幕 截屏、網絡共享、GPRS網絡連接、密碼管理進行限制和管理，能夠對文件添加 閱讀水印。一方面避免了移動設備的濫用、病毒傳播等危險行為，另一方面也規 范了單位人員使用移動設備的行為，防止信息的泄密，為企業人員創建了一套標 準的使用規則。（三）應用行為規范MDM系統包含了虛擬化安全辦公桌面，結合沙箱技術在移動智能終端上建立 獨立工作區，將單位的敏感數據隔離，個人信息進行加密存儲，一鍵靈活切換工 作區和個人區。安全辦公區預置完備的移動應用程序，可實現禁止非法應用的使用，并且可 對違規終端下發遠程數據擦除指令，有效的解決內部敏感數據泄露問題。應用安全功能可以實現

17、對移動智能終端設備的移動應用以及個人信息數據 建立安全辦公桌面，對敏感應用進行統一平臺化桌面式管理。支持對移動設備的應用使用權限進行限制，防止移動智能終端使用非法APP 程序，協助管理人員對移動設備統一推送APP應用程序，支持一鍵式安裝，支持 對辦公桌面中的常用APP進行自定義設定。并且通過虛擬化隔離技術實現安全辦 公桌面下數據的公私分離，從而保障在辦公桌面下僅允許運行單位內部指定的應 用，從應用使用方面保證重要數據不被非法應用任意存取。（四）通信規范管理MDM系統提供對移動設備的WIFI連接控制、通話控制、網站訪問限制，防 止移動設備通過違規外聯發生危害移動設備的情況出現。為了更精準的實現對

18、移動用戶連接WIFI的控制，采用多種匹配方式，工地 址、MAC地址、WIFI名稱三種方式結合使用，達到更精準的管理。WIFI連接管理功能協助管理員對移動設備的WIFI連接進行管理和控制，通 過兩種模式（黑名單和白名單）的控制，對移動設備可連接的WIFI進行限制。移動通訊管理功能能夠協助管理人員對使用SIM的設備進行通話限制，通過 輸入對應的電話號碼，進行精準匹配，達到只能和允許通話的號碼進行聯系的目 的。網站訪問限制解決方案通過自主研發的Gview瀏覽器，來實現對移動端訪問 網絡的限制，管理員通過策略限制，只允許訪問特定的網站。（五）區域差異化策略控制MDM系統方案針對移動設備的高便攜性，無法

19、進行集中式管理的缺點，提供 了基于GPS衛星信號的高精度地理圍欄功能。限定移動設備的可用地理范圍，對私自離開指定區域的移動設備進行強制鎖 屏、涉密數據自動清除以及恢復出廠設置等操作，并且對于遺失的移動設備可通 過衛星信號進行遠程定位、數據遠程擦除防止設備遺失所造成的泄密事件發生。MDM系統的區域策略能夠實現對移動智能終端的策略配置進行靈活管理和 下發，考慮到移動設備的流動性，可通過WIFI、地理位置和掃描二維碼的方式 實現對移動智能終端的策略下發，讓策略和以上三種方式做綁定。以WIFI為例，當用戶連接到指定的WIFI時，策略會自動進行更新 從而實現策略的靈活下發。（六）時間圍欄策略MDM系統方

20、案針對特殊的時間策略需求，提供了基于時間圍欄的策略方案。為了能夠使策略的實施更加人性化，引入了時間圍欄的管理概念，可以通過 設定周期內特定時間段執行指定的限制策略，來靈活管控設備使用。當用戶選擇 了工作日，早八點到晚五點執行禁用攝像頭策略的時候，被管控單元在上班時間 是無法打開相關攝像頭應用的，包括微信，qq拍照發送圖片功能等，當超過限 制時間，禁用攝像頭策略自動關閉，被管控者又可繼續使用相關應用的攝像頭功 能。（七）手機安全測評評測MDM系統方案通過對移動智能終端設備信息實時分析安全評測，幫助單位對 存在安全隱患的移動智能終端用戶設備提供智能一鍵修復機制，快速修復移動智 能終端設備存在的各類

21、安全隱患。避免出現用戶因修復安全隱患的復雜性和專業 性，面對漏洞無從下手，導致不能及時接入網絡進行業務操作的問題。MDM系統支持對終端存在的安全隱患項目進行自定義修復配置，對特定安全 項目的問題自主配置修復方式。（八）豐富的設備運維MDM系統集成了豐富的設備運維和管理功能，可實現對移動設備的消息推送、 文件下發以及設備監視功能，通過消息推送功能可實時對全網移動設備下發消息， 幫助管理員更好的下發通知。文件下發功能結合系統內置的安全云盤，可實現文 件的統一下發和管理，并在移動端內置文件安全瀏覽器，通過云盤下發的文件只 能在安全瀏覽器中查看，不需要第三方應用的支持即可直接瀏覽，為了更好的保 障文件

22、瀏覽安全，支持文件水印并且文件無法外發，只能查看，而且MDM系統還 可以和其他產品進行無縫對接，通過加密系統加密的文件可以在安全瀏覽器直接 查看。設備監視功能能夠幫助單位管理人員更好的對設備進行監視，實現移動設 備屏幕快照以及調取移動設備前置攝像頭和后置攝像頭拍取設備當前畫面，實現 靈活管理。（九）強大的審計追責能力MDM系統所提供的高時效、高敏捷的行為審計處理功能，可以幫助客戶實現 限定終端通信的目的，對上網記錄、短信、QQ、微信等常見的通訊方式，進行高 敏度審計，避免單位敏感信息通過此類方式傳送出去，造成機密信息的泄露。同 時所提供的網站黑白名單以及網站審計功能實現了對移動智能終端網絡通訊

23、的 整體監控管理，極大的提高了移動設備的可管理性。MDM系統提供的信息審計功能實現對移動智能終端的行為審計，秉承“掌控 網絡終端，規范終端行為”的核心理念，實時洞察移動端的一舉一動，幫助單 位全面解決移動智能終端所帶來的安全隱患，通過實施有效的行為監控功能為客 戶實施網絡防御策略和事后網絡安全評估工作提供了有力的數據保證。我們所提供的MDM審計功能可實現對移動端的短信、網站瀏覽、APP運行的 行為審計，同時基于高敏感度、高時效性的信息審計系統，對用戶的網頁標題關 鍵字、網頁內容關鍵字、URL關鍵字、網站類型等信息進行詳細的記錄，生成內 部的瀏覽網站日志系統，管理人員可以通過審計日志詳細的了解當

24、前終端的所有 網絡操作行為，并且及時的調整相關策略，提高客戶內部的整體網絡安全性。（十）實時執行命令策略MDM系統結合公司研發的消息中間件平臺，引入了遠程鎖定設備、遠程解鎖 設備、遠程擦除數據，遠程定位功能，管理員一鍵操作，立即執行。大大提高了 管理員的工作效率，同時嚴格的掌控被管理的設備，在出現突發情況下，及時響 應。（十一）友好的管理設計產品不僅要有易用的功能，還要有友好的用戶交互界面、產品管理界面。MDM系統在研發設計之初便將產品的“友好交互”確立為產品是否成功的 重要指標之一。我們力求產品在解決客戶問題的時候，讓客戶在使用產品過程中 得到“享受”而不是“承受”。生動的視圖分析MDM系統

25、通過視圖的方式對網內用戶進行詳情展現，如：網內用戶的報警信 息、評測詳情、上線狀態等，管理人員通過圖形化界面就可第一時間了解全網用 戶的動態。系統中各部門圖標都是靈活變動的，通過對部門圖標的放大縮小可進 入部門查看用戶詳情，多樣化的操作讓用戶管理不再枯燥，大大提高管理效率。視圖分析功能可以對全網的移動智能終端用戶進行分析，然后通過視圖界面 的方式進行精細化的展現。當網內用戶出現違規行為時可以第一時間在視圖界面 中展現出來，方便管理員的查看和分析。并且此系統還可以通過圖標區分，實現 對接入用戶系統的判斷，讓對用戶的管理通過界面展現的方式來實現，大大提升 了管理人員的工作便利性。圖表管理圖表管理功

26、能實現對移動智能終端的日志信息進行匯總展現，功能包含在線 狀態分析、測評狀態分析、入網風險分析、上網行為分析、設備類型分析、運行 狀態分析、行為安全審計，管理人員通過圖表分析結果可對存在異常的移動智能 終端進行提前預警，方便管理人員對違規人員進行及時有效的處理，并且改變相 應安全策略。個性化的權限控制MDM系統所提供的細顆粒度權限管理功能，充分考慮了網絡管理人員在實際 運維過程中所遇到的各類問題，實現對單位移動設備的攝像頭、藍牙、網絡共享、 截屏、密碼管理等策略的控制。還可對賬戶進行基于區域策略的權限管理，通過 賬戶連接指定的WIFI GPS定位以及掃描二維碼的方式進行策略的靈活控制， 對不同

27、工種、不同部門、不同區域的用戶提供不同的安全策略，真正意義上實現 個性化權限管理。多種日志呈現方式MDM系統的圖表功能是通過對移動設備使用過程中的行為進行采集和分析， 進而實現數據的可視化管理，通過分布圖、趨勢圖的方式把這些日志信息形成可 視化的圖表。用戶不僅可以查看今日、昨日、近7日的數據，還可以通過日期插 件任意選擇某個時間段的數據，通過圖表全部展示出來，大大方便了管理人員進 行查看和分析。層級集約式管理MDM系統采用分布式部署、集中管理設計理念，提供獨立的級聯管理系統。 級聯管理系統下可接入多個次級聯管理系統，進行分布式部署，實現各個子網自 主管理。各次級聯管理系統數據定時向自身上級級聯系統匯總數據，數據最終匯總至核心級聯管理系統，實現整個網絡集中管理。四、方案價值及優勢移動終端普及是一把“雙刃劍”，既是“安全隱患”，帶來了新的信息數據保 密問題、管理問題，又是新的機遇，為員工和客戶保