网络安全 频道

华为BYOD解决方案:移动终端安全管控

  问题1:IT消费化趋势下,员工用BYOD设备办公的同时也可能正在做自己的私事,如访问社交网络,IM聊天等,这些都会给企业信息安全带来隐患,因为企业敏感数据与个人隐私数据保存在一个地方,没有隔离,移动终端本身可能成为被攻击的跳板。问题2:移动智能设备体积小,位置不确定,容易丢失,也使得信息扩散尤为便利,从而导致泄密的概率大大增加。

  华为是如何帮您解决的

  企业数据与个人数据在终端上的隔离对于企业数据在移动设备上的泄漏,以及个人隐私的保护,华为BYOD解决方案提供了一个智能移动接入客户端软件AnyOffice。AnyOffice运行在一个“安全沙箱”中,如图1,企业数据和应用软件都被隔离在“安全沙箱”中,关键文档和数据被自动加密。

byod info 3 p1 华为BYOD解决方案:移动终端安全管控 移动设备管理 移动安全 移动办公 华为MDM 华为BYOD BYOD

  图1 安全沙箱

  用户在AnyOffice内阅览和编辑的所有内容都不能拷贝到AnyOffice外部,也不能把AnyOffice外部的数据拷贝进来,从企业角度看,这种手段既保证企业数据不被外泄,也防范个人数据中可能存在的企业违规信息(如新闻、娱乐信息)以及病毒、木马等非法程序在企业内部的传播和感染。从用户的角度看,用户个人数据都被隔离在“安全沙箱”之外,因此,不必担心BYOD设备中的个人数据会在移动办公的过程中流入企业内网而引起个人隐私的泄露。

  AnyOffice缺省提供了华为自研的安全邮件(Pushmail客户端)和安全浏览器产品。同时AnyOffice也提供安全SDK开放给OA或ISV厂商,合作伙伴可以方便的调用API开发第三方移动应用,这些移动应用同样运行在安全沙箱中得到保护。对于企业自己开发的业务客户端,在基于AnyOffice的安全SDK简单适配后,也支持安全移动化,形成新的自有安全客户端整合到AnyOffice。

  Pushmail客户端为用户提供安全受控的即时邮件推送服务,通过SSL VPN加密隧道,在用户查看企业邮箱时提供安全通信防护,附件浏览和下载收到控制。Pushmail支持标准邮件协议、实时收发邮件、邮件加密保存、远程擦除邮件、邮件退出自动擦除、邮件传输自动加密。

  安全浏览器为用户提供安全浏览企业Intranet网站内容的能力,底层通过SSL VPN建立加密隧道,使得企业B/S应用能够安全的发布到移动终端上。安全浏览器支持:

  1. 内容适配/页面重排

  根据终端屏幕尺寸,自动对下载的Web页面进行内容块重排处理,在移动终端上提供上下滑动浏览页面的功能。

  2. 数据保护/缓存清理

  支持对下载的文件、访问历史、Cookies和临时文件的在线加解密;在退出浏览器时,可按照策略自动清理缓存和配置。

  3. 文档在线浏览

  支持Office、 PDF、文本、图片、压缩文件等办公所需文档格式的在线或离线安全浏览,实现公司数据与个人数据的隔离。

  4. 访问行为管控

  基于URL黑白名单的管控,并根据策略限制文件上传、下载和保存等行为。

  移动设备管理华为AnyOffice移动办公客户端软件集成了自研的MDM(移动设备管理)能力,MDM支持对BYOD设备全生命周期的管理,如图2:

byod info 3 p2 华为BYOD解决方案:移动终端安全管控 移动设备管理 移动安全 移动办公 华为MDM 华为BYOD BYOD

  图2 BYOD设备全生命周期的管理

  在BYOD设备从入网到最后被回收,

  1. 获取阶段:对资产进行注册、软件预置;

  2. 部署阶段:配置安全策略和企业App Store中移动应用的远程发布;

  3. 运行阶段:支持自助Portal、故障定位、应用升级、补丁管理,以及对设备丢失的处理;

  4. 回收阶段:最后,在BYOD设备回收阶段支持资产注销和企业数据的清除。

  其中,关于BYOD设备资产的自助注册:终端首次登录企业网络,如果设备绑定检查失败,会推送终端自助绑定Portal页面,用户在线签署资产注册协议后,自助注册资产,管理员审批通过后,终端方可接入企业网络。

  BYOD设备要接入到企业内网,安全检查项包括了是否合法终端,是否越狱,是否符合企业的安全策略等,如图3,

byod info 3 p3 华为BYOD解决方案:移动终端安全管控 移动设备管理 移动安全 移动办公 华为MDM 华为BYOD BYOD

  图3 BYOD设备入网检查

  其中,MDM支持对丢失的移动设备进行GPS定位,远程锁定,SIM卡变更通知,远程数据镲除。如图4,

byod info 3 p4 华为BYOD解决方案:移动终端安全管控 移动设备管理 移动安全 移动办公 华为MDM 华为BYOD BYOD

  图4 MDM对移动终端丢失的处理

  1. 远程锁定

  用于用户不确定设备是否丢失或被盗的情况,通过OTA的方式给设备发送一条锁屏的命令,这样终端上企业数据就不会被其他人看到,从而保护企业数据的安全。

  2. SIM卡变更通知

  SIM变更时提供自动锁定、自动定位、远程数据擦除、短信报警和自动通知功能。

  3. 远程擦除

  擦除命令用于设备丢失或不再继续使用的情况,执行该命令后,终端设备会执行恢复出厂值命令,所有数据会被清除,iOS 设备需要连接iTunes进行激活。

  4. GPS定位

  可以通过客户端收集定位信息,从而对终端进行位置定位,提高终端返回机率,避免企业信息泄露。

  5. 数据备份和恢复

  备份通讯录、日历、邮件等关键数据到企业备份服务器,若终端丢失,可从备份服务器恢复到别的办公终端。

  给您带来的好处

  1. 有效解决了员工携带自有设备个人隐私与企业数据的隔离问题

  2. 有效解决了员工携带自有设备丢失导致的信息泄漏问题

1
相关文章