移動安全解決方案

1、 一、移動辦公與BYOD概述 二、安全BYOD需求分析 三、天融信安全BYOD解決方案 四、安全移動辦公應(yīng)用分析 目錄目錄 移動辦公應(yīng)用的發(fā)展現(xiàn)狀移動辦公應(yīng)用的發(fā)展現(xiàn)狀 經(jīng)濟全球化，人們對信息的需求和通信的移動化要求劇增； iOS、Android等系統(tǒng)的智能移動終端迅速普及，解決了移動辦公自 有設(shè)備的應(yīng)用的基礎(chǔ)； 我國3G、4G與辦公WLAN的飛速發(fā)展與全球無線網(wǎng)絡(luò)運營商的推廣， 為移動辦公提供非常廣闊的應(yīng)用空間； 隨著移動辦公應(yīng)用服務(wù)的逐步落地，新型業(yè)務(wù)應(yīng)用需求逐步浮出水面，推 動移動辦公模式的新發(fā)展。 移動應(yīng)用面臨移動應(yīng)用面臨的核心問題的核心問題 適應(yīng)性問題 很多C/S模式的應(yīng)用程序沒有針

2、對智能終端的客戶端，無法在智能 終端上應(yīng)用； 針對不同的業(yè)務(wù)需求，需要訂制專業(yè)的移動應(yīng)用服務(wù)； 移動辦公并非只解決辦公區(qū)域內(nèi)的移動適用，BYOD需要實現(xiàn)全網(wǎng) 的移動應(yīng)用。 安全性問題 企業(yè)業(yè)務(wù)數(shù)據(jù)與移動應(yīng)用平臺間的數(shù)據(jù)交換安全； 移動應(yīng)用平臺到移動設(shè)備間的傳輸安全； 移動設(shè)備安全與移動設(shè)備數(shù)據(jù)處理安全。 移動辦公 安全BYOD MDM & MAM企業(yè)APP store Internet VPN網(wǎng)關(guān) 業(yè)務(wù)應(yīng)用系統(tǒng) 移動辦公平臺 TUNNEL TUNNEL TUNNEL 3G/WiFi BYODBYOD應(yīng)用描述應(yīng)用描述 Anydeice Anywhere Anytime Anynetwork 我急

3、需解決： 用戶自持設(shè)備的安全、穩(wěn)定、便捷、高效 網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩⒎€(wěn)定、便捷、高效 移動辦公系統(tǒng)的安全、穩(wěn)定、便捷、高效 用戶業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定、便捷、高效 一、移動辦公與BYOD概述 二、安全BYOD需求分析 三、天融信安全BYOD解決方案 四、安全移動辦公應(yīng)用分析 目錄目錄 移動辦公平臺服務(wù)器 VPN網(wǎng)關(guān) 客戶端應(yīng)用與安全 企業(yè)APP store MDM & MAM p實現(xiàn)業(yè)務(wù)平臺的移動化 p保證業(yè)務(wù)平臺與移動平臺間的數(shù)據(jù)安全 p保證移動平臺與移動設(shè)備間的數(shù)據(jù)傳輸安全 p實現(xiàn)移動自持設(shè)備和應(yīng)用服務(wù)的安全管理 p支持國密SM1、SM2、SM3加密算法（Android&IOS) 安全安全B

4、YODBYOD需求分析需求分析 安全傳輸安全 移動平臺數(shù)據(jù)安全 防火墻 核心業(yè)務(wù) 系統(tǒng) 防火墻 一、移動辦公與BYOD概述 二、安全BYOD需求分析 三、天融信安全BYOD解決方案 四、安全移動辦公應(yīng)用分析 目錄目錄 安全安全BYODBYOD系統(tǒng)架構(gòu)系統(tǒng)架構(gòu) 安全應(yīng)用服務(wù)層安全應(yīng)用服務(wù)層 安全應(yīng)用服務(wù)層是用戶的業(yè)務(wù)應(yīng)用系統(tǒng)的安全運行環(huán)境。 前置安全管理層前置安全管理層 前置安全管理是BYOD項目核心應(yīng)用層，主要包括：移動應(yīng)用平臺， 管理移動設(shè)備認(rèn)證、用戶認(rèn)證和應(yīng)用系統(tǒng)的應(yīng)用準(zhǔn)入控制。 專網(wǎng)安全應(yīng)用層專網(wǎng)安全應(yīng)用層 VPN設(shè)備需要部署用戶的可信專網(wǎng)環(huán)境內(nèi)，部署安全策略管理，保 持外網(wǎng)與內(nèi)網(wǎng)應(yīng)用系

5、統(tǒng)的安全通訊。 加密安全傳輸層加密安全傳輸層 移動用戶通過啟用手持設(shè)備啟動VPN服務(wù)和天融信移動辦公系統(tǒng)， 通過天融信VPN系統(tǒng)可實現(xiàn)高可信數(shù)據(jù)傳輸應(yīng)用。全面支持國密 RSA，SM1，SM2，SM3等加密算法。實現(xiàn)硬件設(shè)備的對稱加解密， 保證傳輸數(shù)據(jù)的絕對安全。 用戶網(wǎng)絡(luò)應(yīng)用層用戶網(wǎng)絡(luò)應(yīng)用層 終端用戶可通過在自有移動終端設(shè)備上安裝移動APP應(yīng)用軟件，直 接應(yīng)用任意的開放WLAN網(wǎng)絡(luò)接入移動辦公系統(tǒng) 安全安全BYODBYOD應(yīng)用示意圖應(yīng)用示意圖 p保證客戶的證核心業(yè)務(wù)區(qū)數(shù) 據(jù)安全； p移動辦公平臺通過前置數(shù)據(jù) 交換獲取業(yè)務(wù)數(shù)據(jù)。 p獲取數(shù)據(jù)方式可以通過業(yè)務(wù) 系統(tǒng)推過來的數(shù)據(jù)，也可以 由移動辦公平

6、臺去安全數(shù)據(jù) 區(qū)去拉數(shù)據(jù)； p通過天融信移動辦公平臺直 接轉(zhuǎn)換核心業(yè)務(wù)系統(tǒng)功能與 數(shù)據(jù)。 p天融信移動辦公平臺可實現(xiàn) 業(yè)務(wù)系統(tǒng)全部功能的APP應(yīng)用。 安全應(yīng)用服務(wù)層安全應(yīng)用服務(wù)層 p通過天融信自主開發(fā)了應(yīng)用程序 轉(zhuǎn)換協(xié)議(Application Transfer Protocol)，可以將所有業(yè)務(wù)功能 集成到一個平臺中。 p平臺開放二次開發(fā)接口，滿足用 戶提出的個性化要求 p通過天融信移動辦公平臺后臺管 理，可進(jìn)行業(yè)務(wù)系統(tǒng)、模塊功能、 表單界面、組織機構(gòu)、人員授權(quán) 的增刪改，在不需升級客戶端的 前提下，所有修改均可即時生效。 p通過天融信認(rèn)證平臺，可以管控 移動接入設(shè)備和接入應(yīng)用系統(tǒng)的 安全管

7、理策略 前置安全管理層前置安全管理層 移動應(yīng)用平臺移動應(yīng)用平臺 控件化封裝控件化封裝: : 平臺將界面進(jìn)行控件、組件封 裝，由平臺統(tǒng)一定義，可標(biāo)準(zhǔn) 化生成與組合 豐富的控件組件豐富的控件組件 : : 文本、日期、選擇、圖片、 音視頻、二維碼、地圖、列 表、表格、BI圖形、手寫輸 入、分組容器、翻轉(zhuǎn)容器、 停靠容器、懸浮容器 可根據(jù)屏幕分辨率自適應(yīng)可根據(jù)屏幕分辨率自適應(yīng) : : 所有控件均可根據(jù)屏幕自適 應(yīng)，無需根據(jù)不同分辨率單 獨配置或開發(fā)頁面 控件化控件化 豐富多樣豐富多樣 屏幕自屏幕自 適應(yīng)適應(yīng) 移動應(yīng)用平臺移動應(yīng)用平臺 設(shè)計器及調(diào)試器-android 可視化設(shè)計器 調(diào)試器實際效果 移動應(yīng)

8、用平臺移動應(yīng)用平臺 設(shè)計器及調(diào)試器-IOS 設(shè)備管理設(shè)備管理 可強認(rèn)證用 戶手動設(shè)備 和用戶信息 應(yīng)用管理應(yīng)用管理 可根據(jù)用戶需求 設(shè)置時間或區(qū)域 進(jìn)行控制應(yīng)用系 統(tǒng)生效或失效 安全安全管理管理 數(shù)據(jù)安全：所有業(yè)務(wù)均為在線請 求，服務(wù)器、客戶端均不保存任 何緩存數(shù)據(jù) 設(shè)備安全：通過私有數(shù)字證書進(jìn)行 終端管理，只有授權(quán)終端才可訪問 系統(tǒng) 傳輸安全：傳輸數(shù)據(jù)基于私有證書 的256位RSA非對稱加密，保證傳輸 的安全 行為安全：系統(tǒng)將記錄用戶的所有操 作，基于日志可進(jìn)行行為審計 數(shù)據(jù)安全設(shè)備安全傳輸安全行為安全 p天融信采用自主知識產(chǎn)權(quán)的安全 操作系統(tǒng) TOS（Topsec Operating Sy

9、stem），是國內(nèi)主 流的安全VPN廠商。 p天融信VPN支持 IPSEC/SSL/PPTP/L2TP等多種VPN 技術(shù)，天融信是國內(nèi)唯一家支持 IPSec/SSL VPN國密SM2算法的廠 商。 p通過天融信VPN平臺實現(xiàn)總分模式 的移動設(shè)備數(shù)據(jù)接入，保證應(yīng)用 數(shù)據(jù)傳輸?shù)陌踩浴?p通過天融信VPN策略管理平臺，全 面管理分支機構(gòu)VPN設(shè)備的應(yīng)用策 略。 專網(wǎng)安全應(yīng)用層專網(wǎng)安全應(yīng)用層 p部署天融信IPSec/SSL VPN國密 SM2算法的VPN設(shè)備。 p移動設(shè)備需要加載安全加密KEY。 pVPN的SM2加解密卡與移動設(shè)備上 的加解密KEY保證數(shù)據(jù)傳輸?shù)慕^對 安全。 p移動設(shè)備的加密KEY可

10、以選擇可插 拔式的Android 安全TF卡及iOS Dock Key。 p可以選擇非接觸式的藍(lán)牙盾，藍(lán) 牙盾同時支持Android 設(shè)備和iOS 設(shè)備。 加密安全傳輸層加密安全傳輸層 政策依據(jù)：國密局字201150號文件。所有已建設(shè)的和將要建設(shè)的以PKI為基礎(chǔ)的 系統(tǒng)，都要采用SM2替代RSA。同時，政府、金融行業(yè)、能源行業(yè)、教育行業(yè)逐步 推廣開來。 適應(yīng)場景：移動辦公、VPN網(wǎng)關(guān)、客戶端互聯(lián)、安全數(shù)據(jù)傳輸 客戶群體：政府、軍工、金融、國（央）企業(yè) 方案優(yōu)勢：目前在符合國密局要求規(guī)范的VPN產(chǎn)品中，天融信處于絕對的領(lǐng)先地位。 應(yīng)用模式：天融信國密安全BYOD整體解決方案，天融信SM2安全產(chǎn)品

11、。 實施目標(biāo)：一個方案解決客戶移動辦公中所有問題 國密國密SM2SM2產(chǎn)品現(xiàn)狀產(chǎn)品現(xiàn)狀 p移動用戶在設(shè)備認(rèn)證和系統(tǒng)認(rèn)證 許可的情況下，可以持任何操作 系統(tǒng)的智能終端，在任何網(wǎng)絡(luò)環(huán) 境中，隨時訪問企業(yè)移動VPN門戶。 p通過二次開發(fā)，移動平臺可與GIS 平臺、業(yè)務(wù)管理平臺進(jìn)行集成， 可實現(xiàn)在指定的時間、指定的空 間內(nèi)訪問指定的應(yīng)用系統(tǒng)。 p系統(tǒng)用戶可以與AD域進(jìn)行同步， 可以集成LDAP庫進(jìn)行同步，可以 基于數(shù)據(jù)庫的用戶同步二次開發(fā)。 p用戶、設(shè)備及系統(tǒng)準(zhǔn)入安全策略 可供選擇。 p任何應(yīng)用系統(tǒng)的準(zhǔn)備都可按角色 進(jìn)行批量管控。 用戶網(wǎng)絡(luò)應(yīng)用層用戶網(wǎng)絡(luò)應(yīng)用層 應(yīng)用統(tǒng)計管理應(yīng)用統(tǒng)計管理 p按通常三套企

12、業(yè)核心業(yè)務(wù)系統(tǒng)預(yù) 估，在沒有大規(guī)模軟件集成情況 下，整體項目實施工期約85個工 作日。 p項目實施人員主要為移動平臺二 次開發(fā)工作量，國密VPN和國密 KEY均為成熟產(chǎn)品，直接部署調(diào)試 即可。 項目實施規(guī)劃項目實施規(guī)劃 開發(fā)人員角色開發(fā)人員角色項目實施人數(shù)項目實施人數(shù) 硬件設(shè)備調(diào)試人員1 移動平臺系統(tǒng)架構(gòu)師1 移動平臺核心數(shù)據(jù)庫開發(fā)人員1 移動平臺核心程序開發(fā)人員2 移動平臺軟件開發(fā)人員4 移動平臺美工人員1 整體系統(tǒng)測試人員1 天融信實施天融信實施BYODBYOD項目優(yōu)勢項目優(yōu)勢 天融信是國內(nèi)唯一有實施經(jīng)驗并可提供天融信是國內(nèi)唯一有實施經(jīng)驗并可提供完整國密完整國密安全安全BYOD方案廠商方案

13、廠商。 本方案包括天融信自有產(chǎn)品：國密VPN設(shè)備、SM2移動設(shè)備KEY、移動辦公平臺及APP應(yīng)用開發(fā)團(tuán)隊、移 動辦公設(shè)備認(rèn)證平臺和應(yīng)用系統(tǒng)認(rèn)證平臺。 天融信是首家獲得天融信是首家獲得IPSec/SSL二合一二合一SM2資質(zhì)的廠商資質(zhì)的廠商。 天融信參與了國家信息中心主導(dǎo)的IPSec VPN安全接入技術(shù)要求與實施指南規(guī)范的制定。 天融信將國密協(xié)議標(biāo)準(zhǔn)與國際協(xié)議標(biāo)準(zhǔn)合二為一天融信將國密協(xié)議標(biāo)準(zhǔn)與國際協(xié)議標(biāo)準(zhǔn)合二為一了。了。 天融信實現(xiàn)了雙棧并行，既能符合國密局的要求，又不犧牲已購買VPN產(chǎn)品，在滿足合規(guī)性的同時，能有 效的保護(hù)用戶的投資。 天融信全面支持天融信全面支持SM2數(shù)字?jǐn)?shù)字證書。證書。 包

14、括IPSec VPN與SSL VPN，能與權(quán)威機構(gòu)國密局檢測中心的檢測平臺完全對接。 天融信是我國最早的安全產(chǎn)品廠商之一天融信是我國最早的安全產(chǎn)品廠商之一。 14年的網(wǎng)絡(luò)安全實施經(jīng)驗，有力地保證客戶業(yè)務(wù)數(shù)據(jù)、傳輸數(shù)據(jù)、移動設(shè)備數(shù)據(jù)的安全性 一、移動辦公與BYOD概述 二、安全BYOD需求分析 三、天融信安全BYOD解決方案 四、安全移動辦公應(yīng)用分析 目錄目錄 成功案例成功案例- -天安天安人壽人壽T-PADT-PAD移動保險服務(wù)平臺移動保險服務(wù)平臺 p終端業(yè)務(wù)系統(tǒng)與VPN接入無縫集成，提供數(shù)據(jù)加密、統(tǒng)一身份認(rèn)證單點登錄， 實現(xiàn)“隨身柜面”電子保單業(yè)務(wù)和移動辦公。 成功案例成功案例- -北海中北

15、海中石化移動石化移動辦公辦公 p將集團(tuán)郵件、OA、MES、合同管理等系統(tǒng)擴展至智能終端，實現(xiàn)移動辦公； piOS、Android移動終端通過TopConnect客戶端虛擬化方式接入。 成功案例成功案例- -交通運輸部科學(xué)研究交通運輸部科學(xué)研究院院遠(yuǎn)程遠(yuǎn)程辦公辦公 p實現(xiàn)分支機構(gòu)、移動用戶訪問總院OA遠(yuǎn)程辦公； p同時使用SV和IV兩種客戶端方式； p使用支持SM1/SM2的USBkey和移動設(shè)備KEY 進(jìn)行身份認(rèn)證和加解密； p使用SM2證書進(jìn)行認(rèn)證； p采用天融信TopCA頒發(fā)SM2證書。 移動辦公應(yīng)用集成移動辦公應(yīng)用集成 應(yīng)用場景預(yù)想應(yīng)用場景預(yù)想- -外賓來訪車輛管理外賓來訪車輛管理 1、BYOD可以實現(xiàn)全網(wǎng) 范圍內(nèi)移動設(shè)備與業(yè)務(wù) 門戶的安全通訊。 2、移動業(yè)務(wù)辦公系統(tǒng) 可以通過BYOD平臺進(jìn)行 范圍控制，可設(shè)定移動 設(shè)備在指定的時間段， 指定范圍內(nèi)與哪些業(yè)務(wù) 系統(tǒng)進(jìn)行互聯(lián)。 3、通過BYOD可以追溯 網(wǎng)內(nèi)移動設(shè)備行動軌跡 和操作日志。 天融信天融信BYODBYOD方案總結(jié)方案總結(jié) 可支持目前市場主流智能移動設(shè)備操作系統(tǒng) 移動設(shè)備 保障移動設(shè)備的數(shù)據(jù)安全、傳輸安全、操作行為安全、操作日志安全審計； 可以實現(xiàn)在任何時段、任何地點、應(yīng)用任何網(wǎng)絡(luò)進(jìn)行移動設(shè)備登錄； 無縫集成現(xiàn)有應(yīng)用系統(tǒng)，支持全新開發(fā)移動平臺