MDM移动安全防护系统技术解决方案金盾

系统MDM技术解决方案高易用性产品应具有和谐的用户交互界面产品功能操作在设计上应当便于理解、便于学习等，增长产品的可操作性例如产品要具有短期的数据记忆能力，便于数据的输入高效率

三、产品在使用的时候应具有低资源占用的特性具体表现为，上线产品后，手机不可以有明显的速度下降；在一定条件下，产品占用的手机存储资源不应超过双方协商的资源占用数据MDM系统定位于解决单位在向移动办公及其使用拓展过程中面临的安全、管理以及部署等方面的各种挑战，帮助单位在享受移动办公带来成本下降、效率提高的同时加强对移动设备的管理控制以及安全防范MDM系统解决了公司内部手机使用过程中的安全问题，使得员工可以更安全的使用手机及其网络，不用再紧张公司内部数据通过移动智能终端的非法接入、木马、病毒等方式发生泄密事件，不用再紧张移动智能终端丢失或者被窃而导致的个人及公司信息数据泄露问题，不用再紧张移动智能终端成为入侵单位内部网络的渠道问题

1.MDM系统解决了移动设备工作人员使用移动智能终端设备办公过程中的管理问题，管理员可以更加高效的管控移动智能终端，可制定灵活可控的安全策略，提高移动智能终端的安全指数，可通过多样化的图表以及日记记录，更直观的查看全局状态以及追踪也许的问题细节

2.MDM系统从移动智能终端的行为控制、通信规范、信息审计、GPS定位控制等多维度，配合以安全测评等技术，为内部移动设备的使用提供完备的解决方案极大限度的规避了因拍照、上网等导致的公司及个人信息泄露风险，极大限度上规避了以移动设备作为跳板，导致内部网络被入侵的风险安全的网络接入控制

（二）基于NACP准入控制技术，实现对移动智能终端的入网管理,阻止非法移动智能终端任意接入单位网络，同时对安装应用、设备越狱、USB调试模式、网络通讯环境等安全隐患进行检测，仅允许检测合格的终端接入网络对于检测不合格的移动智能终端提供可引导式修复界面，方便用户进行自主修复，从源头出发保障了入网设备的安全性，协助网络管理人员建立一个合法合规的移动办公环境

（三）我们的方案秉承“不改变网络、不依赖网络设备、部署简朴”的特性，兼容各种复杂的网络环境，支持分布式快速部署,为您解决移动智能终端网络准入控制的合规性规定，达成“违规不入网、入网必合规”的管理规范

（四）手机行为规范管理

（五）MDM系统的“安全规范管理功能”可实现对移动设备的摄像头、蓝牙、屏幕截屏、网络共享、GPRS网络连接、密码管理进行限制和管理，可以对文献添加阅读水印一方面避免了移动设备的滥用、病毒传播等危险行为，另一方面也规范了单位人员使用移动设备的行为,防止信息的泄密,为公司人员创建了一套标准的使用规则

（六）应用行为规范MDM系统包含了虚拟化安全办公桌面，结合沙箱技术在移动智能终端上建立独立工作区，将单位的敏感数据隔离，个人信息进行加密存储，一键灵活切换工作区和个人区安全办公区预置完备的移动应用程序，可实现严禁非法应用的使用，并且可对违规终端下发远程数据擦除指令，有效的解决内部敏感数据泄露问题应用安全功能可以实现对移动智能终端设备的移动应用以及个人信息数据建立安全办公桌面，对敏感应用进行统一平台化桌面式管理支持对移动设备的应用使用权限进行限制，防止移动智能终端使用非法APP程序，协助管理人员对移动设备统一推送APP应用程序，支持一键式安装,支持对办公桌面中的常用APP进行自定义设定并且通过虚拟化隔离技术实现安全办公桌面下数据的公私分离，从而保障在办公桌面下仅允许运营单位内部指定的应用，从应用使用方面保证重要数据不被非法应用任意存取

（七）通信规范管理MDM系统提供对移动设备的WIFI连接控制、通话控制、网站访问限制，防止移动设备通过违规外联发生危害移动设备的情况出现为了更精确的实现对移动用户连接WIFI的控制，采用多种匹配方式，IP地址、MAC地址、WIFI名称三种方式结合使用，达成更精确的管理WIFI连接管理功能协助管理员对移动设备的WIFI连接进行管理和控制，通过两种模式（黑名单和白名单）的控制，对移动设备可连接的WIFI进行限制通话限制，通过输入相应的电话号石进行精确匹配，达

（八）移动通讯管理功能可以协助管理人员对使用SIM的设备进行成只能和允许通话的号码进行联系的目的

（九）网站访问限制解决方案通过自主研发的Gview浏览器，来实现对移动端访问网络的限制，管理员通过策略限制，只允许访问特定的网站

（十）区域差异化策略控制MDM系统方案针对移动设备的高便携性，无法进行集中式管理的缺陷，提供了基于GPS卫星信号的高精度地理围栏功能限定移动设备的可用地理范围，对私自离开指定区域的（十-）移动设备进行强制锁屏、涉密数据自动清除以及恢复出厂设立等操作，并且对于遗失的移动设备可通过卫星信号进行远程定位、数据远程擦除，防止设备遗失所导致的泄密事件发生MDM系统的区域策略可以实现对移动智能终端的策略配

（十二）置进行灵活管理和下发，考虑到移动设备的流动性，可通过WIFI、地理位置和扫描二维码的方式实现对移动智能终端的策略下发，让策略和以上三种方式做绑定以WIFI为例,当用户连接到指定的WIFI时，策略会自动进行更新,从而实现策略的灵活下发MDM系统方案针对特殊的时间策略需求，提供

（十三）时间围栏策略

（十四）了基于时间围栏的策略方案为了可以使策略的实行更加人性化,引入了时间围栏的

（十五）管理概念，可以通过设定周期内特定期间段执行指定的限制策略，来灵活管控设备使用当用户选择了工作日，早八点到晚五点执行禁用摄像头策略的时候，被管控单元在上班时间是无法打开相关摄像头应用的，涉及微信，qq拍照发送图片功能等，当超过限制时间，禁用摄像头策略自动关闭，被管控者又可继续使用相关应用的摄像头功能

（十六）手机安全测评评测MDM系统方案通过对移动智能终端设备信息实时分析安全评测，

（十七）帮助单位对存在安全隐患的移动智能终端用户设备提供智能一键修复机制,快速修复移动智能终端设备存在的各类安全隐患避免出现用户因修复安全隐患的复杂性和专业性，面对漏洞无从下手，导致不能及时接入网络进行业务操作的问题MDM系统支持对终端存在的安全隐患项目进行自定义修复配置，

（十八）对特定安全项目的问题自主配置修复方式

（十九）丰富的设备运维

（二十）MDM系统集成了丰富的设备运维和管理功能，可实现对移动设备的消息推送、文献下发以及设备监视功能，通过消息推送功能可实时对全网移动设备下发消息，帮助管理员更好的下发告知文献下发功能结合系统内置的安全云盘,可实现文献的统一下发和管理,并在移动端内置文献安全浏览器，通过云盘下发的文献只能在安全浏览器中查看,不需要第三方应用的支持即可直接浏览，为了更好的保障文献浏览安全，支持文献水印并且文献无法外发,只能查看，并且MDM系统还可以和其他产品进行无缝对接，通过加密系统加密的文献可以在安全浏览器直接查看设备监视功能可以帮助单位管理人员更好的对设备进行监视,实现移动设备屏幕快照以及调取移动设备前置摄像头和后置摄像头拍取设备当前画面,实现灵活管理

（二十一）强大的审计追责能力MDM系统所提供的高时效、高灵敏的行为审计解决功能，可以帮助客户实现限定终端通信的目的，对上网记录、短信、QQ、微信等常见的通讯方式，进行高敏度审计，避免单位敏感信息通过此类方式传送出去，导致机密信息的泄露同时所提供的网站黑白名单以及网站审计功能实现了对移动智能终端网络通讯的整体监控管理，极大的提高了移动设备的可管理性MDM系统提供的信息审计功能实现对移动智能终端的行为审

（二十二）计，秉承“掌控网络终端，规范终端行为”的核心理念，实时洞察移动端的一举一动，帮助单位全面解决移动智能终端所带来的安全隐患，通过实行有效的行为监控功能为客户实行网络防御策略和事后网络安全评估工作提供了有力的数据保证我们所提供的MDM审计功能可实现对移动端的短信、网站浏

（二十三）览、APP运营的行为审计，同时基于高敏感度、高时效性的信息审计系统，对用户的网页标题关键字、网页内容关键字、URL关键字、网站类型等信息进行具体的记录，生成内部的浏览网站日记系统，管理人员可以通过审计日记具体的了解当前终端的所有网络操作行为，并且及时的调整相关策略，提高客户内部的整体网络安全性

（二十四）实时执行命令策略MDM系统结合公司研发的消息中间件平台，引入了远程锁定

（二十五）设备、远程解锁设备、远程擦除数据，远程定位功能，管理员一键操作，立即执行大大提高了管理员的工作效率,同时严格的掌控被管理的设备,在出现突发情况下，及时响应

（二十六）和谐的管理设计产品不仅要有易用的功能，还要有和谐的用户交互界面、产品管理界面MDM系统在研发设计之初便将产品的“和谐交互”确立为产品是否成功的重要指标之一我们力求产品在解决客户问题的时候，让客户在使用产品过程中得到“享受”而不是“承受”生动的视图分析MDM系统通过视图的方式对网内用户进行详情展现，如网内用户的报警信息、评测详情、上线状态等，管理人员通过图形化界面就可第一时间了解全网用户的动态系统中各部门图标都是灵活变动的，通过对部门图标的放大缩小可进入部门查看用户详情，多样化的操作让用户管理不再枯燥，大大提高管理效率视图分析功能可以对全网的移动智能终端用户进行分析，然后通过视图界面的方式进行精细化的展现当网内用户出现违规行为时可以第一时间在视图界面中展现出来，方便管理员的查看和分析并且此系统还可以通过图标区分，实现对接入用户系统的判断，让对用户的管理通过界面展现的方式来实现，大大提高了管理人员的工作便利性图表管理图表管理功能实现对移动智能终端的日记信息进行汇总展现，功能包含在线状态分析、测评状态分析、入网风险分析、上网行为分析、设备类型分析、运营状态分析、行为安全审计，管理人员通过图表分析结果可对存在异常的移动智能终端进行提前预警，方便管理人员对违规人员进行及时有效的解决，并且改变相应安全策略个性化的权限控制MDM系统所提供的细颗粒度权限管理功能，充足考虑了网络管理人员在实际运维过程中所碰到的各类问题，实现对单位移动设备的摄像头、蓝牙、网络共享、截屏、密码管理等策略的控制还可对账户进行基于区域策略的权限管理，通过账户连接指定的WIFI、GPS定位以及扫描二维码的方式进行策略的灵活控制,对不同工种、不同部门、不同区域的用户提供不同的安全策略，真正意义上实现个性化权限管理多种日记呈现方式MDM系统的图表功能是通过对移动设备使用过程中的行为进行采集和分析,进而实现数据的可视化管理，通过度布图、趋势图的方式把这些日记信息形成可视化的图表用户不仅可以查看今日、昨日、近7日的数据，还可以通过日期插件任意选择某个时间段的数据，通过图表所有展示出来，大大方便了管理人员进行查看和分析层级集约式管理

五、系统采用分布式部署、集中管理设计理念，提MDM供独立的级联管理系统级联管理系统下可接入多个次级联管理系统，进行分布式部署，实现各个子网自主管理各次级联管理系统数据定期向自身上级级联系统汇总数据，数据最终汇总至核心级联管理系目录

六、方案价值及优势移动终端普及是一把“双刃剑”，既是“安全隐患”，带来了新的信息数据保密问题、管理问题，又是新的机遇，为员工和客户保持联系提供了及其重要的信息载体要全面地看待移动终端在公司办公中的快速普及及其使用，扬长避短,通过建立健全规章制度，科学、人性的管控方式，使得移动智能终端真正成为安全、便捷的办公新载体仅有行政制度，无法保证规范规定得到完全的贯彻技术手段配合行政命令才是解决内部移动终端泄密风险最佳的方案结合移动终端的功能特性及移动办公的特殊性质，MDM系统从移动设备的拍照、截屏、上网、软件安装、GPS定位、数据擦除等多方面全方位的解决了移动智能终端对于信息数据保密性的风险规定灵活控制摄像头使用MDM系统可依据管理员策略，灵活的控制移动智能终端摄像头的使用与否有效的防范因手机拍照导致的公司及客户隐私等信息的泄露有效管控WIFI使用通过对IP地址、MAC地址、WIFI名称等多种参数的匹配来控制移动端所连接的WIFI,做到连接的WIFI肯定是安全的，非指定安全的WIFI严禁连接在网络连接上，规避掉手机被入侵的风险基于GPS的地理围栏管理员依据规章制度强行控制各移动智能终端GPS功能的启用及关闭借助MDM系统独有的GPS高精度地址围栏功能，依据GPS定位对移动智能终端执行强行锁屏、数据擦除等操作，防止泄密事件的发生设备异常数据远程擦除MDM系统可远程对移动智能终端设备的数据及存储于安全云盘的数据强行进行擦除操作，最大限度杜绝因手机丢失、被盗导致的数据泄密事件的发生敏感数据隔离安全桌面技术使得数据在手机上有了公私分离的概念员工在使用手机阅读单位下发文献或解决办公事务的时候可在安全桌面内进行，杜绝了公私数据的混杂，保证文献的安全手机安全修复对于手机设立不符合制度规定的手机，MDM系统提供了“一键修复”的功能可以最快限度的对手机进行强行设立，保证接入手机的安全MDM解决方案紧扣当前对移动设备的管控需求，在技术上最大的配合行政制度，对移动智能终端进行统一的符合管理制度的强制管控，最大限度上杜绝手机泄密事件的发生我们的系统中，同样具有屏幕水印、应用推送、蓝牙控制、文献共享管控、手机密码复杂度限制、USB管控等多种辅助功能，可认为您的信息安全的建设保驾护航！

一、背景说明

（一）项目背景随着移动互联网技术的发展，IT消费化时代已经成为现今

（二）、.上”.、「X2-*.I—t-1/I-i-r-tAIv/LL-t.ft-Ti/ertZvt»—机进行平常公务解决，越来越多的单位为了提高业务的反映速度也为单位人员统一购买PDA或者平板电脑用于办公使用由于其移动的便捷性，使得我们很难区分哪里是办公室,哪里是家，在给我们带来便利的同时，威胁也随之而来

（三）“移动办公”也可称为“3A办公”，也叫移动0A,即办公人员可在任何时间（Anytime）、任何地点（Anywhere）解决与业务相关的任何事情（Anything）这种全新的办公模式，可以让办公人员摆脱时间和空间的束缚单位信息可以随时随地通畅地进行交互流动，工作将更加轻松有效，整体运作更加协调，运用手机的移动信息化软件，建立手机与电脑互联互通的公司软件应用系统，摆脱时间和场合局限，随时进行随身化的业务管理和沟通，帮助工作人员有效提高工作效率

（四）应用现状业务性质决定了员工需要使用移动智能终端设备进行正常办公这种最新潮的办公模式，通过在手机、平板上安装信息化软件，使得手机也具有了和电脑同样的办公功能，并且它还摆脱了必须在固定场合固定设备上进行办公的限制，为管理者和商务人士提供了极大便利它不仅使得办公变得随心、轻松，并且借助手机通信的便利性，使得使用者无论身处何种紧急情况下，都能高效迅捷地开展工作，对于突发性事件的解决、应急性事件的部署有极为重要的意义新型的移动办公方式也为单位的信息安全现状防护提出了更为严格的防护规定和挑战

1.移动设备具有易失性，从而具有泄露业务数据的隐患移动设备由于其便携性，经常会出现丢失的情况而移动设备中所保存的敏感数据也因此面临泄密风险

2、员工积极泄密，业务数据被泄漏移动设备的便携性使得其更加难以统一管理难以保证个别离职人员不会将设备中的商密信息泄露给竞争对手

3.移动操作系统的碎片化问题严重，统一管理不便Android设备就有2万多款不同型号，员工自带的设备多种多样，如何保证策略执行的一致性、如何在统一的平台上管理各种设备是另一个挑战

4.应用质量参差不齐，应用市场安全性堪忧据360的数据记录，78%的知名应用被盗版，第三方应用市场及论坛仍然是恶意程序传播的重要途径（占61%）,最不安全的某小型应用市场的恶意程序占比竟高达

20.2%,应用市场的安全性堪忧

5.手机病毒数量和类型的高速增长，使移动设备成为渗透网络的跳板在移动互联网越来越进一步人心的今天，袭击者已经开始将视线由PC转向了移动设备同时，由于Root权限滥用和新的黑客袭击技术，移动设备成为滋生安全风险的新温床，容易成为黑客入侵渗透内网的跳板

6.公私数据混用，个人隐私难以得到保障同一移动终端设备上既有个人应用，又有业务数据和应用，个人应用可以随意访问、存取业务数据，业务应用同样也会触及到个人数据如何明确区分并隔离移动终端上的业务数据/私人数据与应用，严禁业务数据被个人应用非法上传、共享和外泄，同时严禁业务应用访问个人数据，尊重移动终端上的私人数据是一个难以避免的问题集团公司的移动信息安全现状急切的需要得到解决

二、需求分析2移动智能终端设备防护的对象分散、品牌复杂，对于功能性和非功能性规定上都有着近乎苛刻的规定功能性需求分析移动互联网技术的高速发展，给我们的平常生活带来了便利，同时也提高了办公效率，随之而来的问题是，员工用移动设备办公的时候，由于其分散性,得不到集中管理，为单位内部文档资料的泄露埋下了不可忽视的隐患，同时又很难进行事后的追责隐患一海量恶意软件防不胜防大量恶意软件混杂在软件市场内，一旦用户下载、安装带有木马、后门的软件，用户的个人信息、隐私、公司内部的来往信息、客户的资料信息等数据将受到严重威胁隐患二“云备份”也许导致信息泄露“云备份”既节省存储空间，又便于多平台信息共享和恢复然而，没有人能保证数据在云服务器上不被非法浏览、篡改或删除倘若有敏感信息泄露，后果将不堪设想隐患三免费WIFI不安全免费WIFI上网时数据存在被监听、截获和篡改的风险，联网的手机甚至还会遭到漏洞袭击，从而导致损失、影响安全隐患四GPS定位控制移动设备的高便携性特点，使得存有重要数据的移动设备难以进行有效统一的管理，极大的增长了数据通过移动智能终端设备带出导致数据泄露的风险隐患五拍照信息泄露对于内部资料、客户的隐私信息进行拍照通过网络渠道快速传播，而其中有也许包含了内部的机密资料，或客户的隐私资料,导致不必要的客户纠纷隐患六缺少有效的接入防护由于业务的特殊性，内部支撑网络接入位置分散，在这种环境下随意接入网络内部网络，存在违规接入风险存在以移动设备为载体，内部网络被入侵的风险隐患七移动设备难以进行统一有效的管理设备中数据存在被无意或恶意倒卖的也许性

（二）移动设备的安全隐患并不只存在于上述的列举中,实际环境中存在的更多的安全隐患是我们无法完全列举的，甚至是我们还没有发现的

（三）由于移动设备使用的普遍性，单纯通过制度来管理是无法进行有效控制的，如何结合一套针对移动智能终端安全管理的软件来解决以上问题就显得尤为重要

（四）非功能性需求分析好的产品在满足功能需求的同时，同样要做到非功能性的一些设计规定非功能性的产品可以概括为兼容性、可靠性、易用性、高效率等几个方面广泛的兼容性产品应兼容IOS系统设备（手机、ipad等）和Android系统设备（手机、Pad）等常见的移动设备系统产品能兼容市面上常见的移动设备品牌，涉及但不仅限于Apple、华为、三星、OPPO、Vivo、小米、努比亚、LG、魅族、中兴、金立、1+、TCL、乐视等对于市面上没有由内部自行开发或改善的手机型号，应可以提供兼容性方案设计或二次开发以满足公司对于手机兼容性的规定高可靠性产品应可以与常见的移动设备软件具有良好的兼容性在与生僻的软件产生不兼容情况后，产品应可以在短时间内重建其性能水平并恢复直接受影响数据。