移動應用管理平臺-技術方案

XX公司

移動應用安全管理平臺

技術方案

CiTRIX

■

思杰系統(tǒng)（北京）有限公司

2013年6月

第1頁第1頁第1頁第1頁第1頁

移動應用管理平臺-技術方案

術語/縮寫對照參考

術語/縮寫解釋

XenMobile?Citrix的移動管理產(chǎn)品和方案

XenDesktop?Citrix的桌面交付產(chǎn)品和方案

XenApp?Citrix的虛擬應用交付產(chǎn)品和方案

XenServer?Citrix的服務器虛擬化產(chǎn)品和方案

NetScaler?Citrix的多功能高性能網(wǎng)絡接入和應用交付設備

MDM移動設備管理

MAM移動應用管理

MIM移動信息管理

EMM企業(yè)移動管理

MicroVPN區(qū)別于設備的VPN,僅供單個應用使用

SaaS軟件即服務

BYOBringYourOwn,使用用戶自己的設備

AD活動目錄，微軟的目錄服務體系

StoreFront?Citrix應用門戶

第2頁第2頁第2頁第2頁第2頁

移動應用管理平臺-技術方案

目錄

1.建設背景........................................................1

1.1.項目需求背景..................................................1

1.2.業(yè)界趨勢和應用介紹............................................1

2.系統(tǒng)現(xiàn)狀........................................................5

2.1.現(xiàn)有移動終端安全和管理問題及挑戰(zhàn).............................5

2.1.1.用戶視角..................................................5

2.1.2.管理視角..................................................7

2.2.移動設備及原生應用現(xiàn)狀........................................9

2.2.1.移動辦公應用..............................................9

2.2.2.移動營業(yè)廳...............................錯誤!未定義書簽。

2.2.3.掌上經(jīng)分.................................................10

2.2.4.移動BOMC................................................................................................10

2.3.桌面及Windows應用現(xiàn)狀......................................10

2.4.現(xiàn)狀小結......................................................11

3.移動應用場景分析和方案概述....................................12

3.1.方案設計指導思想.............................................12

3.2.端到端移動安全和管理框架.....................................13

3.2.1.端到端安全和管理平臺的層次結構..........................13

3.2.2.移動平臺管理和安全的實現(xiàn)................................14

第3頁第3頁第3頁第3頁第3頁

移動應用管理平臺-技術方案

3.2.3.移動設備生命周期管理.....................................16

3.2.4.移動應用管理和安全的實現(xiàn)................................24

3.2.5.移動網(wǎng)絡管理和安全的實現(xiàn)................................29

3.2.6.移動數(shù)據(jù)管理和安全的實現(xiàn)................................31

3.2.7.其他管理和安全的實現(xiàn)....................................32

3.2.8.管理策略模型.............................................34

3.3.移動設備原生應用場景分析....................................34

3.3.1.移動辦公.................................................34

3.3.2.移動營業(yè)廳...............................................35

3.3.3.移動經(jīng)分.................................................35

3.3.4.移動BOMC................................................................................................35

3.4.虛擬桌面及Windows應用分析.................................36

4.整體方案規(guī)劃設計...............................................38

4.1.整體設計......................................................38

4.1.1,整體系統(tǒng)邏輯架構.........................................38

4.1.2,各模塊介紹...............................................39

4.1.3.詳細系統(tǒng)構架.............................................41

4.1.4.網(wǎng)絡和物理服務器架構....................................42

4.2.項目對應用的流程改善.........................................43

4.2.1.用戶視角.................................................43

4.2.2.管理視角.................................................45

4.3.賬戶管理架構.................................................49

第4頁第4頁第4頁第4頁第4頁

移動應用管理平臺-技術方案

4.4.分級分權管理.................................................51

4.4.1.用戶分組和分級管理.......................................51

4.4.2.基于角色的管理...........................................53

4.5.單點登錄集成.................................................55

4.6.證書及設備關聯(lián)...............................................56

4.6.1.PKI簡介...................................................56

4.6.2.PKI集成的3個主要部分....................................57

4.6.3.MDM內置PKI系統(tǒng)........................................58

4.6.4.MDM集成外部PKI系統(tǒng)....................................58

4.7.擴容及擴展...................................................61

4.7.1.擴容方式和構架...........................................61

4.7.2.擴展方式和構架...........................................62

4.8.應用場景流程說明和策略選擇..................................64

4.8.1.通用應用.................................................64

4.8.2.移動辦公.................................................66

4.8.3.移動營業(yè)廳...............................................70

4.8.4.移動經(jīng)分.................................................70

4.8.5.移動BOMC................................................................................................70

4.8.6.桌面及Windows應用......................................70

4.9.系統(tǒng)維護......................................................71

4.9.1.系統(tǒng)監(jiān)控.................................................71

4.9.2.運營報表.................................................72

第5頁第5頁第5頁第5頁第5頁

移動應用管理平臺-技術方案

4.9.3.數(shù)據(jù)備份.................................................76

5.實施計劃......................................................77

5.1.評估階段......................................................77

5.2.設計階段.....................................................77

5.3.部署階段.....................................................78

5.4,上線階段......................................................78

5.5.整體時間計劃..................................................78

6.軟硬件需求及投資費用估算......................................80

6.1.項目投資構成..................................................80

6.2.投資估算假設及前提...........................................80

6.3.硬件需求估算.................................................81

6.3.1.設備管理服務器（MDM）及數(shù)據(jù)庫硬件需求.................81

6.3.2,應用管理服務器...........................................82

6.3.3.Netscaler安全接入網(wǎng)關....................................82

6.4.軟件授權......................................................83

6.5.部署實施咨詢服務.............................................84

6.6.整體方案費用估算總覽.........................................84

7.附錄...........................................................85

7.1.全部圍繞移動應用.............................................85

7.2.MDX訪問控制.................................................86

7.3.MDX訪問控制策略.............................................87

7.4.應用交互.....................................................87

第6頁第6頁第6頁第6頁第6頁

移動應用管理平臺-技術方案

7.5.應用限制.....................................................88

7.6.驗證.........................................................89

7.7.設備安全.....................................................89

7.8.加密.........................................................90

7.9.其他訪問控制.................................................90

7.10.網(wǎng)絡訪問.....................................................91

7.11.網(wǎng)絡要求.....................................................91

7.12.MDX容器......................................................1

7.13.移動應用：本地安裝同時完全控制................................1

7.14.MDX進程間移動安全和控制.....................................3

7.15.支持的移動設備................................................4

第7頁第7頁第7頁第7頁第7頁

移動應用管理平臺-技術方案

1.建設背景

1.1.項目需求背景

為了適應越來越嚴峻的市場競爭，在復雜多變的業(yè)務形態(tài)中掌握主動，XX公

司希望借助新的技術，新的平臺為業(yè)務提供新的助力，能夠提高移動工作效率，及

時有效的支持業(yè)務拓展，加速企業(yè)市場響應速度。

隨著云計算技術和3G/4G無線數(shù)據(jù)通信服務的廣泛應用，更加便攜和隨時在

線的移動設備越來越普及。不少企業(yè)開始容許員工使用平板電腦和智能手機作為辦

公終端。而新型辦公終端的引入，為企業(yè)內部的終端設備管理和信息安全帶來了新

的挑戰(zhàn)。

既要實現(xiàn)移動設備帶來的效率和靈活性，又要在日益復雜的、邊際模糊的網(wǎng)絡

環(huán)境中保證企業(yè)最核心資產(chǎn)一一信息的安全，如何提供安全有效的管理手段這一命

題顯得尤為重要。

這就需要利用長期的應用和服務交付經(jīng)驗，將傳統(tǒng)平臺的管理和安全的經(jīng)驗，

延伸到新的移動應用平臺。系統(tǒng)建設需要在長期的實踐基礎上總結出移動設備安全

管理的最佳實踐，供企業(yè)的IT安全管理人員作為構筑參考。

1.2.業(yè)界趨勢和應用介紹

負責保護企業(yè)信息資產(chǎn)的IT安全專業(yè)人士都知道，移動設備給企業(yè)帶來了新

的挑戰(zhàn)。隨著移動設備的作用、多樣性和相關要求在企業(yè)內變得越來越重要，企業(yè)

應該部署必要的控制來保護這些設備訪問的數(shù)據(jù)的安全性。

安全管理人員想要確保企業(yè)數(shù)據(jù)的安全性，他們需要一個準確且全面的視圖來

迅速適應員工的工作和設備偏好。隨著BYOD、應用為中心的內容使用、平板電腦

普及和無線員工等趨勢的發(fā)展，這些偏好正在將傳統(tǒng)IT資產(chǎn)轉移到公共域。IT企

第1頁第1頁第1頁第1頁第1頁

移動應用管理平臺-技術方案

業(yè)必須依賴于信息安全專業(yè)人員來確保移動員工使用的數(shù)據(jù)的安全性，而這在很大

程度上是通過支持身份使用政策的各種技術來實現(xiàn)的。

基于軟件的移動設備管理(MDM)是保護企業(yè)內不斷增加的消費類移動設備的首

選技術。根據(jù)Nemertes研究公司調查顯示，46%的企業(yè)部署了移動設備管理

(MDM),而84%計劃在2014年年底之前部署。另外，從移動設備覆蓋趨勢來看，

到2014年年底，四分之一(25%)的員工將使用平板電腦作為工作的補充設備，少數(shù)

員工00%,但數(shù)量正在不斷增加)已經(jīng)用平板電腦取代了其筆記本電腦。

根據(jù)這些趨勢，供應商們正在努力加強其產(chǎn)品中的MDM功能。很多供應商現(xiàn)

在利用本地、基于容器或者甚至虛擬桌面基礎設施(VDI)設備管理，而大多數(shù)供應

商有以下技術：

1.移動應用管理(MAM)或企業(yè)應用商店

2.針對文件、應用和個人信息管理數(shù)據(jù)的安全容器或工作區(qū)

3.設備安全文檔共享(SDS)、云服務/合作伙伴或與流行平臺整合的應用編

程接口(API),例如微軟SharePoint、Dropbox或GoogleDrive。

4.WLAN集成或基于網(wǎng)絡的MDM(MDM)功能

5.高級功能，例如地理圍欄、應用包裝、證書認證整合和電子郵件數(shù)據(jù)丟

失/泄露防護

在這些MDM功能中，移動應用管理是目前最廣泛部署且非常重要的功能，29%

的企業(yè)在使用該功能。消費類和應用為中心的設備正在推動企業(yè)部署移動設備管理

技術，同樣地，企業(yè)不斷增加的應用開發(fā)工作也需要通過MAM和企業(yè)應用商店來

管理。MAM為員工提供熟悉的應用商店界面來獲取企業(yè)應用，許可證、分發(fā)和更

新政策則由IT通過目錄服務來控制，例如ActiveDirectory或者AppleOpen

Directory<>

安全文檔共享(SDS)是以目錄服務為導向的方法，與文檔共享和控制類似。針

對移動設備的SDS與更受控制的端點(例如筆記本)不同的原因在于，移動操作系統(tǒng)

并沒有太多本地、企業(yè)友好型管理選項。為了讓移動設備與更傳統(tǒng)的端點看齊，

第2頁第2頁第2頁第2頁第2頁

移動應用管理平臺-技術方案

MDM供應商提供了API來與流行的企業(yè)文檔共享系統(tǒng)和電子郵件/應用附件控制集

成。大多數(shù)MDM也結合了一些設備上的功能，例如安全文檔儲物柜、云SDS整合

和對文檔的VDI遠程訪問。

根據(jù)Nemertes研究公司表示，MDM正越來越受歡迎，雖然現(xiàn)在只有11%的

企業(yè)在使用這項技術，但企業(yè)部署率正在不斷增加?；诰W(wǎng)絡的MDM吸引公司的

原因在于它能夠通過使用標準網(wǎng)絡協(xié)議的網(wǎng)絡管理軟件來識別關鍵設備指標以及部

署政策。由于大多數(shù)基于網(wǎng)絡MDM功能并不是專有，它并不需要投資于新的網(wǎng)絡

硬件或者功能，它可以與基于軟件的MDM整合或作為獨立的產(chǎn)品。這讓安全專業(yè)

人員不需要首先在端點上安裝，就能利用這些功能：設備指紋識別、安全態(tài)勢報告、

移動應用QoS和應用級別虛擬私有網(wǎng)絡。從本質上講，基于網(wǎng)絡MDM為安全專

業(yè)人員提供了工具來阻止、重定向或優(yōu)化設備及其應用生成的網(wǎng)絡流量，這特別適

合BYOD環(huán)境。

MDM的演變如何影響移動安全策略

即使是最勤奮的H"安全從業(yè)人員，從千變萬化的MDM功能中進行篩選都是

非常困難的事情。從上述的功能的可用性來看，企業(yè)在計劃或更新移動安全策略時,

應該注意以下事項：

1.檢查企業(yè)正在支持的移動配置政策，以及BYOD的使用程度。上面提到

的功能可能允許使用多種類的移動應用，或者更靈活的使用案例來提高

員工生產(chǎn)力。

2.同樣地，評估現(xiàn)有和未來的移動設備（手機和平板電腦）使用人數(shù)以及這

些設備的默認和安全狀態(tài)，并對未來使用情況作出預測。

3.追蹤企業(yè)內員工擁有的移動設備的數(shù)量，哪些是IT知道且管理的，哪

些是n"不知道的，然后：

在大量使用BYOD的地方部署基于MDM;例如，需要對電子郵件、日歷和更敏

感企業(yè)數(shù)據(jù)的不同級別訪問的設備。確保政策適應并能合理平衡安全性和可用性。

第3頁第3頁第3頁第3頁第3頁

移動應用管理平臺-技術方案

政策應該要求用戶了解企業(yè)安全和合規(guī)政策，要不就不攜帶BYOD設備到工作

場所，要不確保使用MDM系統(tǒng)的聯(lián)網(wǎng)程序來配置這些設備(通常通過特定的URL

或者端口)。

最后，MDM、MAM和SDS應該是保護移動設備的主要工具。如果現(xiàn)在還沒有

部署這三個技術，企業(yè)應使用信息請求(RFI)、請求建議書(RFP)和試點項目來評估產(chǎn)

品。以下是企業(yè)應該詢問的關鍵問題：

1.企業(yè)正在部署自定義、企業(yè)內部或外部開發(fā)的應用嗎?如果是這樣，評

估MAM來阻止、優(yōu)先排序和提高公共應用安全性。

2.評估已經(jīng)部署的SDS功能：它們對于移動設備夠了嗎?它們落后于針對

桌面的SDS嗎?為了支持可應用于所有端點的持續(xù)策略，評估適用的云

計算、設備、集成和企業(yè)移動設備管理產(chǎn)品

第4頁第4頁第4頁第4頁第4頁

移動應用管理平臺-技術方案

2.系統(tǒng)現(xiàn)狀

XX公司在移動平臺上使用和規(guī)劃的移動終端應用發(fā)展較快，目前已使用的有

桌面云終端、移動0A辦公終端應用，XXXX應用計劃8月份也即將上線，還有在

規(guī)劃階段的XXXX、XXXX等移動應用。

同時，對于基于移動設備的傳統(tǒng)應用形式的交付，例如基于Windows的桌面

和應用，也在大范圍的使用。如何將其管理和安全也納入到相同統(tǒng)一的管理體系，

也是一個必要的課題。

面對諸多移動終端應用，如何統(tǒng)一安全管控，規(guī)劃統(tǒng)一的安全接入標準，建立

統(tǒng)一的發(fā)布管理平臺，需要進行仔細嚴謹?shù)脑u估、規(guī)劃和實施。

2.1.現(xiàn)有移動終端安全和管理問題及挑戰(zhàn)

如前文介紹的需求背景，XX公司已經(jīng)在用或者在建或者在規(guī)劃基于移動設備

上運行的應用。當前在測試或者使用過程中，也發(fā)現(xiàn)有許多移動設備特點所導致的

問題和挑戰(zhàn)。

為了了解和分析這些問題與挑戰(zhàn)，會從兩個視角來進行描述。

2.1.1.用戶視角

第5頁第5頁第5頁第5頁第5頁

移動應用管理平臺-技術方案

\

安裝配置連接使用更新淘汰

?通過郵件通知，?提供pfx用戶證書?軟件更新時，仍

自行下載安裝文件，自行導入然需要郵件通知

?配置參數(shù)等，需?一些應用使用前然后進行下載安

要自行輸入需要先撥VPN連裝

?企業(yè)IOS應用需接

要發(fā)布到公共應?不同應用需要記

用商店憶不同的用戶和

密碼

yy

通常會把IT服務分為三個階段，因此從用戶視角來分析一下應用在這三個階

段的一些問題和挑戰(zhàn)。

首先是安裝配置階段。這一階段需要把應用分發(fā)給用戶，并做好應用的安裝配

置工作，使得用戶移動設備上的應用就緒，能夠隨時投入使用。

這一階段主要的問題是：

?安裝麻煩

目前應用發(fā)布主要通過郵件通知給用戶，用戶通過郵件通知去下載安裝

應用。這一過程中，無法保證用戶及時有效地獲取應用發(fā)布信息，亦無

法及時有效的完成應用的安裝。

?配置麻煩

最終用戶不是n■技術人員，對于輸入服務器地址、連接參數(shù)往往無所

適從，即使提供用戶手冊，也未必能夠保證足夠的用戶體驗。

?發(fā)布受限

對于IOS體系來說，企業(yè)內部開發(fā)的應用，大多也必須通過面向公眾的

AppStore應用商店發(fā)布，并且會有許多的限制。

第6頁第6頁第6頁第6頁第6頁

移動應用管理平臺-技術方案

其次是連接使用階段。設備及其應用配置好后，對于企業(yè)而言就需要安全的連

接到企業(yè)內部的應用系統(tǒng)后臺，讓用戶能夠方便的使用。

這一階段主要的問題是：

?證書安裝麻煩

為了驗證連接的用戶身份，并保證移動終端和后臺服務器之間的通信不

被泄露和破壞，需要使用客戶端證書和服務端證書進行加密。目前在客

戶端上，主要面向用戶進行證書的分發(fā)。分發(fā)的手段是生成包含公鑰私

鑰的pfx證書文件，由用戶安裝到設備上。

?證書無法關聯(lián)設備

證書頒發(fā)是針對用戶的，用戶獲得證書后，可以安裝到任意設備上。并

且公鑰私鑰同時發(fā)送，從安全上來說存在風險。

?面向公網(wǎng)發(fā)布存在端口映射的困難，使用VPN的話，又需要安裝VPN

客戶端，并且要首先連接VPN再打開應用。

?用戶為了訪問應用，需要記憶VPN、應用等等不同的密碼甚至用戶名，

使用比較麻煩。

然后是更新淘汰階段。隨著業(yè)務變化，應用也需要進行修改和更新，需要提供

變化的功能。對于設備來說，也存在遺失被盜或者使用年限到期，需要淘汰的情況。

這一階段的主要問題是：

?應用更新后，如果不是應用商店發(fā)布的，就需要郵件或者其他方式通知

用戶，用戶再自行安裝的方式。如果通過應用商店發(fā)布，又存在許多的

應用發(fā)布限制。

2.1.2.管理視角

第7頁第7頁第7頁第7頁第7頁

移動應用管理平臺-技術方案

連接使用更新淘汰

?費時費力，很難?為每個用戶提供?如同新分發(fā)一樣，

確保用戶都完成pfx證書文件，維費時費力，無法

應用的安裝護成本過高確保安裝進度

?無法確保用戶和設

?需要提供大量的?用戶安裝的版本

備的關聯(lián)性，存在

培訓和幫助給用難以控制

假冒訪問風險

戶?移動設備淘汰或

?應用發(fā)布非常麻煩,

?把應用發(fā)布到者失控時，無法

端口映射規(guī)則很復

AppStore比較麻雜對應用和數(shù)據(jù)進

煩?無法獲知用戶使用行控制

應用和數(shù)據(jù)的情況

\/

與用戶視角一樣，對于管理方面，我們也通過安裝配置、連接使用和更新淘汰

三個階段來描述目前的問題和挑戰(zhàn)。

首先是安裝配置階段。從管理來說，這一階段要把應用及時有效地安裝到用戶

的移動設備上，并進行相應的配置。

這一階段的主要問題是：

?現(xiàn)有的應用安裝和通知費時費力，需要郵件給用戶通知應用安裝。而實

際的安裝效果很難獲取和保障

?為了用戶能夠自行安裝和配置應用，需要為用戶提供大量的幫助和培訓I。

?對于IOS應用，將其發(fā)布到AppStore會有很多限制和要求，如果應用

增多，版本更替，都會對工作有所影響

其次是連接使用階段。用戶在其移動設備上安裝并配置好應用之后，就可以使

用應用了。為了應用能夠正常的使用，就需要保證用戶能夠安全方便的連接到企業(yè)

應用后臺，或者連接到內部網(wǎng)絡，或者連接到發(fā)布的服務器上。

這一階段的主要問題是:

第8頁第8頁第8頁第8頁第8頁

移動應用管理平臺-技術方案

?保證通訊安全。目前使用了證書對通信進行加密，證書主要通過PFX

文件形式分發(fā)給用戶，然后進行安裝。由于PFX證書包含公鑰和私鑰,

將其同時發(fā)送存在非常大的安全隱患

?由于證書由用戶自行安裝，公私鑰都在文件提供，所以用戶可以在不同

的設備上進行安裝。其他人拿到這個文件，也可以在設備上進行安裝。

這就存在假冒訪問的風險

?對于非VPN訪問的應用，將內部的服務器發(fā)布到公網(wǎng)，規(guī)則制訂和維

護都非常的繁瑣。傳統(tǒng)VPN在連接的時候會將設備整個聯(lián)入網(wǎng)絡，如

果設備上有惡意程序，也容易找到突破口危害企業(yè)內部網(wǎng)絡

?在日常應用的運營中，無法獲知應用和數(shù)據(jù)在移動設備上的情況

然后是更新淘汰階段。從管理角度來說，對應用和設備進行更新淘汰是必不可

少的環(huán)節(jié)。這一環(huán)節(jié)的安全和管理的問題與挑戰(zhàn)同樣不可忽視。

這一階段的主要問題是：

?對于管理來說，每一次應用更新升級，都如同新發(fā)布一樣，通知用戶安

裝，費時費力，無法保證升級進度。

?用戶安裝的版本難以控制，一旦應用某個版本存在Bug,無法通過集中

升級，快速的修補系統(tǒng)的漏洞

?與用戶視角不同，管理更關注在設備淘汰或者應用不在使用的時候，企

業(yè)如何去控制移動設備上應用和數(shù)據(jù)的清理。避免設備在淘汰時或者因

為遺失被盜時.，應用甚至數(shù)據(jù)被泄露的風險

2.2.移動設備及原生應用現(xiàn)狀

2.2.1.移動辦公應用

主要提供對現(xiàn)有0A系統(tǒng)的移動工作方式，主要包括公文系統(tǒng)、內網(wǎng)郵件和通

訊錄的訪問。目前有基于iOS和安卓的原生應用。

第9頁第9頁第9頁第9頁第9頁

移動應用管理平臺-技術方案

網(wǎng)絡：外網(wǎng)使用公網(wǎng)IP地址，用戶訪問時.，先從公網(wǎng)連到DMZ的反向代理，

再連接到內部的應用服務器。

協(xié)議：使用的HTTP。因為之前的安全需求，正在申請買Array設備。在網(wǎng)絡

實施層面目前有發(fā)布的困難，其中郵件就有50多臺服務器（現(xiàn)有35臺左右）。

公文準備下半年從小機遷到虛擬化?，F(xiàn)在使用NAT有大量的端口映射規(guī)則。

用戶驗證使用OA的LDAP體系。

移動應用程序通過郵件方式通知用戶，自行進行安裝升級。

除了安卓和iOS,也需要為非智能設備用戶提供使用途徑，因此有安卓、蘋果

和Web三種應用訪問方式。

公文系統(tǒng)的附件，例如Word文件等，可以在應用內以只讀方式訪問。

2.2.2.掌上經(jīng)分

主要利用移動應用，為用戶提供快捷方便的經(jīng)營風險系統(tǒng)訪問。

本地會緩存一部分經(jīng)分數(shù)據(jù)，以提高網(wǎng)絡體驗。緩存數(shù)據(jù)在線驗證后方可使用。

應用會在后臺記錄設備的唯一標識碼。

用戶賬號使用經(jīng)分自有的用戶賬號系統(tǒng)。

其他的基本要求，與0A系統(tǒng)類似。

2.2.3.移動BOMC

XXXXXXXXX

2.3.桌面及Windows應用現(xiàn)狀

目前XX公司已經(jīng)在營業(yè)廳、呼叫中心、0A、運維等多個場景使用了虛擬桌面

技術，從而可以利用多種移動終端設備訪問現(xiàn)有的Windows桌面和應用；

第10頁第10頁第10頁第10頁第10頁

移動應用管理平臺-技術方案

在幫助最終用戶獲得很好的移動工作方式的同時，XX公司也希望簡化有關應

用程序在移動設備上配置和更新，并且將各種不同類型的應用統(tǒng)一集中的交付給最

終用戶使用。

2.4.現(xiàn)狀小結

綜上所述，目前針對移動設備上使用各種應用，有著以下現(xiàn)狀：

?應用缺乏統(tǒng)一的管理，難以實現(xiàn)一致的安全

?應用開發(fā)時，只能自行考慮賬戶、接入和數(shù)據(jù)的安全

?應用的分發(fā)和部署難以控制，用戶體驗不好

?現(xiàn)有的安全手段難以維護，存在風險

?應用后臺的發(fā)布配置復雜，安全性需要保障

針對這些現(xiàn)狀，急需能有一個統(tǒng)一的、管理性好的、安全性高的移動應用安全管

理平臺，來實現(xiàn)對各種應用的統(tǒng)一管理，既能保障整體系統(tǒng)的安全性，又能提高管

理效率，減少不必要的管理成本。

第11頁第11頁第11頁第11頁第11頁

移動應用管理平臺-技術方案

3.移動應用場景分析和方案概述

現(xiàn)階段XX公司主要有四種移動應用在用或者即將投入使用。整體來說，各種

應用都需要一個完整的、統(tǒng)一的管理平臺，來實現(xiàn)對承載終端設備、應用生命周期

的完整管理和保護。

但是，根據(jù)各應用的不同使用場景，又有著各自不同的安全和管理需求，因此,

將對這幾種不同的應用場景，進行有關需求的特征化描述。

為了便于在統(tǒng)一的結構內針對不同場景進行分析，我們可以使用一個一致的安

全框架進行組織。

3.1.方案設計指導思想

基于移動應用安全管理系統(tǒng)的整體規(guī)劃以及建設要求，系統(tǒng)應按照以下原則進

行建設：

?統(tǒng)一規(guī)劃、逐步建設實施原則

在系統(tǒng)在統(tǒng)一規(guī)劃的前提下，根據(jù)系統(tǒng)的實際需求，進行逐步實施，充分考慮

現(xiàn)狀以及項目進程。

?集成性原則

通過統(tǒng)一集成的規(guī)劃，實現(xiàn)基于應用的，統(tǒng)一的針對系統(tǒng)接入的規(guī)范，從而逐

步實現(xiàn)對業(yè)務系統(tǒng)移動應用的全面統(tǒng)一集成。

?安全性原則

根據(jù)應用的不同安全等級要求，和網(wǎng)絡的安全規(guī)范，制定系統(tǒng)的安全性規(guī)范，

完善信息安全策略和信息安全標準，滿足數(shù)據(jù)安全和訪問安全的要求，提供可靠的

系統(tǒng)安全管理模式。

?可擴展性原則

第12頁第12頁第12頁第12頁第12頁

移動應用管理平臺-技術方案

系統(tǒng)的設計要考慮到業(yè)務未來發(fā)展的需要，架構應滿足橫向和縱向擴展的需求,

在架構簡明的基礎上，降低各功能模塊和組件的耦合度，并充分考慮到兼容性，實

現(xiàn)快速高效的擴展方案。

?適應性原則

系統(tǒng)需充分考慮到已有的IT資源投入，適應網(wǎng)絡、系統(tǒng)和應用架構，避免在

構建過程中的大范圍系統(tǒng)改造，降低系統(tǒng)復雜度和建設成本。

為了避免以偏概全，并且在整體平臺層面上對應用場景進行分析，對系統(tǒng)實施

進行規(guī)劃，非常有必要引入一個整體的框架，從具體的應用特點抽象出來，又不脫

離應用的實際情況，來幫助企業(yè)分析移動應用的各個層面。

3.2.端到端移動安全和管理框架

移動設備越來越多的使用，以及逐步接近甚至超越傳統(tǒng)PC應用的趨勢，促使

企業(yè)急需一個企業(yè)移動管理(EMM)解決方案。這個方案應該是一個不僅僅限于

最基本移動設備管理解決方案所提供的基本鎖定和擦除功能的安全框架。今天的企

業(yè)需要一種先進的解決方案，并提供適當?shù)墓ぞ?，以跨越設備、應用、數(shù)據(jù)和網(wǎng)

絡這種端到端的方式，主動地監(jiān)視、控制并保護企業(yè)。

因此，借助一個統(tǒng)一的、標準的框架，來對整個安全和管理需求進行分析，完

成評估，是非常重要的。

3.2.1.端到端安全和管理平臺的層次結構

從體系構架來說，整個安全管理平臺，可以分為以下4個層次：

?設備

?應用

?網(wǎng)絡

?數(shù)據(jù)

每個層次，都通過一些技術手段，進行了統(tǒng)一的監(jiān)視(Monitor)、控制

(Control)和保護(Protect)。

第13頁第13頁第13頁第13頁第13頁

移動應用管理平臺-技術方案

下面章節(jié)，將對各個層次如何應對各種挑戰(zhàn)，如何實現(xiàn)“監(jiān)視、控制和保護”

這幾個基本功能進行分別闡述。

3.2.2.移動平臺管理和安全的實現(xiàn)

針對移動平臺（設備）的管理和安全，可以通過MDM來實現(xiàn)。

MDM和其他終端管理解決方案類似，后臺部署有集中的管理服務器，其通過

移動設備上的管理API,或者部署特殊的管理客戶端，對前端移動客戶端實現(xiàn)各種

管理功能。

第14頁第14頁第14頁第14頁第14頁

移動應用管理平臺-技術方案

各種管理策略

（密碼策略、wifi、證書....）

各種原生應用

XenMobile

Device

可Management

MDM

XMDeviceManager

客戶端軟硬件資產(chǎn)信息

移動設備

設備本身的設備狀態(tài)

管理API安全有關審計記錄管理服務器

各種移動設備

iOS、Android

WindowsPhone

Figure1通過MDM設備管理器進行設備管理

不同的設備，由于其管理API的不同，其可以實現(xiàn)的管理功能也會不盡相同，

但其總體實現(xiàn)方式基本類似，都是通過管理服務器下發(fā)一定的管理策略，比如密碼

策略、wifi策略、加密策略等，對設備進行管理。同時，通過API和管理客戶端，

MDM服務器也可以及時獲取設備的狀態(tài)、安全信息等等管理需要的數(shù)據(jù)，并在后

臺進行整合，在管理控制臺和報表中進行展現(xiàn)。

通過MDM平臺，可以實現(xiàn)以下設備管理的功能：

⑴設備安全性的集中管理

許多企業(yè)需要集中配置設備安全要素（如密碼和加密）并強制相關策略。隨著

移動辦公逐步成為主流，越來越多的設備和用戶通過多種設備接入網(wǎng)絡，因此企業(yè)

迫切需要集中管理這些設備并實施基于角色的安全策略。設備丟失、被盜或用戶離

職時，這些設備需要集中鎖定，或擦除其中的企業(yè)數(shù)據(jù)，以確保安全性和合規(guī)性。

⑵統(tǒng)一的平臺，支持各種移動設備

員工需要選擇設備的自由，而對許多企業(yè)來說，這也是一種極具吸引力的戰(zhàn)

略。它可以幫助吸引并留住優(yōu)秀人才或節(jié)約設備成本。但與標準的可鎖定式PC或

第15頁第15頁第15頁第15頁第15頁

移動應用管理平臺-技術方案

受到嚴格控制的BlackBerry?手持設備不同，當前企業(yè)中的移動設備可謂五花八門,

存在的安全漏洞也不一而同，使IT部門無法一致地管理哪怕最基本的安全策略。

主流的移動平臺包括iOS、Android?,Windows?和BlackBerry。從IT部門的角度講,

五花八門的移動設備帶來了嚴峻的安全挑戰(zhàn)，企業(yè)必須能夠通過管理架構，實現(xiàn)包

括如何在不同平臺上監(jiān)控、置備、支持和保護多種應用，或確保員工安裝了正確的

操作系統(tǒng)安全補丁和更新。

⑶同時管理BYO設備與企業(yè)配發(fā)設備

除了公司配發(fā)的設備外，企業(yè)還管理著越來越多的BYO設備。他們需要以一

種準確而符合規(guī)定的方式標志設備所有權，并且針對不同所有權類型的設備采取適

當?shù)牟呗院土鞒坦芾砻糠N設備。

對于這一設備層面的管理，可以參考以下的安全策略：

(a)收集移動設備的軟硬件資產(chǎn)信息：如電話號碼、品牌型號、設備ID號、手

機的IM日號碼、PIN號碼等。

(b)啟用PIN或者安全鎖密碼，鎖住移動設備

?采取一定技術手段，一旦設備丟失或被盜，可以遠程擦除丟失設備上的應

用、配置和數(shù)據(jù)。

(d)采取一定技術手段，一旦移動設備丟失或被盜，可以順利地定位丟失設備

的位置。公司可以在權威部門的配合下追蹤并收回丟失設備。

3.2.3.移動設備生命周期管理

為了實現(xiàn)移動平臺的管理需求，需要合理地組織移動安全管理系統(tǒng)的關鍵功能,

一種有效的方法是充分考慮移動設備生命周期的各個階段，包括：配置->應用置

備->安全保護->支持*監(jiān)控和報告->淘汰

第16頁第16頁第16頁第16頁第16頁

移動應用管理平臺-技術方案

配置

使管理員可以輕松配置企業(yè)設備和自帶設備(BYO)設

置，并以一種集中、基于角色的方式將IT資源與

MicrosoftActiveDirectory等企業(yè)目錄相集成。

應用置備

使用戶可以自助完成注冊，從應用目錄中選擇應用，執(zhí)行

一些自助服務功能，使管理員可以通過無線方式自動為用

戶置備策略和應用。

安全保護

在設備丟失或被盜，或員工離職的情況下，使管理員可

以采取適當?shù)陌踩胧?。該解決方案可以記錄管理員執(zhí)

行的操作以進行審核，而且可以與企業(yè)安全系統(tǒng)相集

成，支持威脅關聯(lián)和分析。

支持

使管理員可以為移動用戶提供幫助臺功能、遠程支持和故

障排除。

監(jiān)控和報告

使管理員可監(jiān)控并報告設備和應用明細、設備狀態(tài)、安全

性和合規(guī)性狀態(tài)。

停用

在設備丟失、被盜、被替換或用戶離職時，使管理員能夠

以安全、適合當時情況而且有記錄可查的方式停用這些設

備。

第17頁第17頁第17頁第17頁第17頁

移動應用管理平臺-技術方案

3.2.3.1.配置

移動安全管理系統(tǒng)使管理員可以輕松配置企業(yè)設備和員工自帶（BYO）設備設

置，并以一種集中、基于角色的方式與IT資源如MicrosoftActiveDirectory等企業(yè)

目錄相集成。這包括：

?通過一個直觀、基于向導的界面配置所有設備

?規(guī)定哪些操作系統(tǒng)和補丁級別可注冊并接收策略配置文件

?指定設備所有權（用戶或企業(yè)），從設備或配置管理數(shù)據(jù)庫中導入時加

上標簽

?配置平臺或操作系統(tǒng)專用配置，如在iOS或。TA更新過程中禁用

iTunes或iCloud,保存后臺數(shù)據(jù)，關閉SamsungSAFE設備等

?配置企業(yè)集成和接入，如Wi-Fi、VPN、公共密鑰基礎架構和企業(yè)電子

郵件，包括部署證書來支持身份驗證和用戶單點登錄

?設置設備安全措施，如密碼和加密

?創(chuàng)建應用黑名單/白名單、推送和刪除應用、限制應用和設備資源（如

YouTube、攝像頭和藍牙）、防止應用啟動

?鎖定并防止用戶刪除設備配置文件

優(yōu)勢：這些功能使管理員能夠以符合企業(yè)策略的方式快速配置大量設備。

第18頁第18頁第18頁第18頁第18頁

移動應用管理平臺-技術方案

(2XenMobtleDeviceManagerX「

nXenMobikfDe>?elZx\)gcr嚙.administratorOdtrix.labAilft?逆倩CITRJX

?⑤的及」LJH茄，"1a二His二i。通|￡國3」丘￥?

心級作>1J-2-2421:16:40DemoCenterGeo-

D11H..13-6-141:55:11

DemoCenter13-3-26:14:1713-3-26:14:17DemoCenterPass

c