天融信BYOD技术解决方案图文.docx
《天融信BYOD技术解决方案图文.docx》由会员分享,可在线阅读,更多相关《天融信BYOD技术解决方案图文.docx(14页珍藏版)》请在冰豆网上搜索。
天融信BYOD技术解决方案图文
安全畅享移动云、可信可靠BYOD
天融信BYOD技术解决方案
2014年5月
一、概述3
1.1移动云和BYOD相伴而来3
1.2架构升级,面临诸多问题4
二、需求分析5
2.1安全保障的需求5
2.2高效畅通的需求6
2.3卓越体验的需求6
2.4可靠的移动云需求6
2.5可持续性运营的需求6
三、解决方案7
3.1方案原则7
3.2总体构架8
3.3方案介绍9
3.2.1解决5个现实问题9
3.2.2提供9个维度的安全保障10
3.2.3实现4A管理,整体管控14
3.2.5达到3赢局面15
3.2.4保障整生命周期可控16
四、配套服务17
4.1定向咨询17
4.2解决方案定制17
4.3协助管理体系构建17
五、特点与优势18
5.1解决实际问题,成就最优价值18
5.2可信可靠“移动云”,安全提升竞争力18
5.3全面审计、管控,规避权责纠纷18
5.4成本集约,交付快速18
5.5安全体系完整,保障持续运行19
六、成功案例介绍20
6.1成功案例:
广东联通20
6.2成功案例:
某电网公司20
八、缩略术语解释22
一、概述
1.1移动云和BYOD相伴而来
随着企业信息化水平和管理效能的不断提升,基于传统PC的办公自动化系统已经明显的不能满足高效率、快节奏的移动互联时代的办公需求。
一方面,企业各种业务扩展和移动办公人数、地点的增多,迫切需要员工能够在分支机构、出差旅途中、酒店,甚至家里、咖啡室等任何地方接入办公系统进行工作,从而提升企业竞争力;另一方面,员工手中的移动设备早已不只是打电话、发短信这样简单的功能,并希望自己的手机、平板电脑,不但能够实现个人应用,还能够进行移动办公,提升自己的工作效率和业绩。
越来越多的平板电脑和智能手机进入企业移动办公过程中,BYOD(BringYourOwnDevice的办公模式也已不再只是一个热议的话题;各种移动终端的加入,配合企业原有OA、ERP、CRM、Email等信息系统进行协同工作,企业私有的支撑业务高效运转的“移动云”在不断的成型,每个人、每个移动终端和每个业务系统都成为了这个“云”的组成部分;许多大企业“私有云”依托互联网、移动网、物联网等,连接手机、平板电脑、PC、智能终端等,配备便捷、易用、轻量的“端”应用,使云应用逐步融入Web3.0,信息触手可及,已经成为企业发展和效率提升的重要手段。
其带来的好处越来越明显,如下图所示:
1.2架构升级,面临诸多问题
BYOD和移动云的相伴而来,在给企业带来巨大效益的同时,也给企业的信息系统架构带来了诸多的问题。
企业的IT部门不仅仅要解决员工私人设备接入企业网的问题,还要保护企业的数据安全,保障系统的高效畅通和卓越的用户体验,保证“云”中的终端可信、可靠,提供连续的可持续的服务能力,并且尽量以最低的成本实现。
面临的5个现实问题:
◆安全性问题:
更多类型和更多数量的移动终端涌入业务网络,更多企业数据资源散落到移动终端上,更多的企业信息系统面对公共网络,这些都将带来巨大的安全隐患,稍有不慎会给企业带来巨大损失。
◆性能与效率问题:
大量的移动终端涌入业务网络,对业务网络、信息系统、通信链路、边界网关等性能要求更高。
◆用户体验问题:
要求能够提供一致的用户体验,但由于各类移动设备的屏幕规格、分辨率、操作系统等不同,实现起来具有一定的难度;网络连接体验也要求在移动网络和企业办公网络之间的切换实现平滑过渡,减少用户体验损失。
◆可信可靠的问题:
诸多的不同类型移动设备接入业务网络,需要强有力的身份辨识与访问控制措施,保障移动终端的可信性;并且,能够对移动设备上的应用资产、数据资产提供可靠的保护能力。
◆持续性与连续性问题:
企业端的业务系统,以及移动设备管理系统(MDM)、网络通信设备等,必须保障其连续性服务能力,减少服务中断带来损失;并且,需配套必要的运维制度、安全管理制度、安全管理与运维团队,保障系统的长期可持续的运营。
总之,企业应该从一个整体来计划,使得BYOD更加安全以及产生更高的效率,避免因为信息系统的盲目开放和粗放连接等带来损失。
二、需求分析
2.1安全保障的需求
业务应用和数据分散在终端、链路、企业端三个部分,需要从移动终端、通信链路、访问控制、资产、行为、企业应用、数据、容灾、审计等多个方面进行安全需求分析,并分别采取措施满足这些需求。
1移动终端安全:
需要对移动终端设备进行细粒度管理,解决终端上敏感信息的泄漏的问题,非法软件的安装和运行的问题,蓝牙、相机、抓屏等可能泄密功能的管理问题,账号、口令、PIN码等鉴别措施的缺失的问题,终端遗失、被盗后的安全问题等。
2通信链路安全:
需要采取通信链路加密措施,解决通信的机密和链路的可靠问题。
3访问控制安全:
需要建立统一访问控制策略,实现对身份、设备、资产验证,严格实施访问控制策略,防止非法用户的接入。
4资产管理:
需要通过MDM等组件,解决移动终端资产的统一管理,保障资产的可控性。
5行为安全:
需要采取措施,检测移动终端上发起的恶意攻击行,网络入侵行为,尝试非法接入和越权操作行为,机密数据窃取行为等,并具备一定的管控、阻止策略。
6企业应用的安全:
在企业自身具备的鉴别、权限管理等功能之外,还需要建立事前防护、事中发现与阻断、事后的审计取证的技术体系,并配套安全管理制度等构成的完整安全体系。
7数据安全:
需要采取措施保障数据在生产、传输、使用和存储等各个环节的机密性、完整性和可靠性。
8容灾需求:
需要采取必要的网络冗余、设备冗余、数据冗余措施,保障在大量移动终端设备涌入后的容灾能力。
9审计需求:
需要建立完整的审计系统,对网络行为、操作行为、安全事件等,形成统一的可审计、可取证的能力。
2.2高效畅通的需求
由于大量的移动设备涌入业务网络,不仅对业务系统的承载能力是一个很大的考验,对网络负载也带来了很大的压力;尤其当所有外部接入设备需要通过VPN进行加密通讯的时候,对VPN网关的性能要求很高,必须具备可集群、高效能的特征,同时需要配合一定的流量控制、接入控制策略,保障整个系统的高效畅通,使得业务系统不间断运行。
2.3卓越体验的需求
卓越的体验包括需要支持各种主流移动终端设备,无论是android、iOS还是WindowsPhone,都需要提供一致性的使用体验;除了能够提供日常办公需求,还需要能够提供用户自助的设备、资产管理,以及密码清除、远程锁定、远程擦除等实用功能,保障用户的自有控制能力。
2.4可靠的移动云需求
在BYOD模式成型的过程中,实际上诸多移动设备终端和企业的业务系统(ERP、CRM、OA、EHR等)也在慢慢的形成一个飘在公网上的,企业私有的为业务提供高效支撑能力的“移动云”。
这个云的不仅要解决安全问题,移动终端可信的问题,更重要的是要解决其业务连续性、服务可靠性、数据可靠性的问题,必须采取必要的措施保障整体的的健壮性和应急恢复能力,才能使得整个“云”发挥其最大价值。
2.5可持续性运营的需求
所有的信息系统的可持续性运营,都不只是单独的技术和设备的堆砌,更需要完善的安全、运维、管理制度体系,以及强有力的团队支撑;在BYOD这种新型办公模式的建立过程中,必须重视配套的管理制度和团队支撑能力的建设。
三、解决方案
3.1方案原则
1适度安全原则
任何信息系统都不能做到绝对的安全,在进行安全规划时,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性;更详细的针对某客户单位的解决方案,将根据其自身现有情况进行定制设计,提供最适度的安全体系,尽量减少构建成本。
2技术管理并重原则
信息安全问题从来就不是单纯的技术问题,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性;
3动态调整原则
信息安全问题不是静态的,它总是随着相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;
4成熟性原则
本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的。
3.2总体构架
构架示意图如下:
由公共网络接入的所有移动终端,如公共基站、公共WiFi接入,统一采用VPN链路进行通讯,保障链路的机密性;
在网络边界部署统一威胁管理网关,保障边界安全;同时部署VONE网关集群,保障VPN通讯的高负载能力,并配合4A服务器和CA中心进行认证、授权;
部署的TopMDM实现对移动终端设备、移动应用、移动终端上的操作和数据等进行细粒度管理,并具备软件分发部署、设备安全管控、资产管理、设备管理、安全策略执行、设备配置、多平台统一管理、企业软件超市等业务模块,可以保障从设备接入准备、接入使用、报废或重用等整个生命周期的各个环节的管理和安全保护,保障移动终端的可靠、可控;
安全设备与策略管理平台TopPolicy,针对安全设备进行统一的策略管理,可以帮着允许安全管理员简便高效地从一个中央控制台实现诸多设备策略统一管理,减轻IT部门的工作复杂度和工作负荷;
针对核心数据提供一定的备份和容灾能力,针对核心交换和链路建议采取一定的冗余和容灾策略,以保障系统的连续性。
天融信BYOD方案,提供可选组件包如下图所示:
3.3方案介绍
3.2.1解决5个现实问题
1安全问题:
通过帮助企业进行安全体系规划,提供多重安全措施,解决企业BYOD方案实施和私有的移动云成型过程中的终端、链路、数据、访问控制等各个环节存在的安全隐患,减少大量移动设备维护管理难度,以及管理众多应用软件和维护的复杂度,提供可靠的安全体系构架;
2高效畅通:
通过选型和部署高性能VONE集群和必要网络设备,保障整体业务信息系统的高效运行,实现随时、随地、任何通过授权的移动设备,进行权限内的业务资源调用和业务协作,提升企业的整体竞争力;
3卓越体验:
通过先进的TopMDM系统和相应的移动终端管理软件,支持多种主流平台的一致性体验,并提供直观的后台管理界面,可以实现简易操作、统一策略配置、统一管理的需求,为用户使用提供一个卓越的体验过程;
4可靠性:
通过相应的冗余、容灾措施,帮助企业应对大量移动终端设备和数据涌入后的网络可靠性、数据可靠性的问题;
5可持续性:
通过帮助企业建立配套的管理制度,并持续提供强有力的技术支持,为企业的私有移动云和BYOD的实施提供有效技术支撑。
3.2.2提供9个维度的安全保障
终端安全:
提供高效的TopMDM管理平台,为企业及个人用户拥有的各种类智能手机,平板电脑,手持终端等、各平台(Android/iOS/WindowsPhone等)的移动数据和应用程序提供集中管理、安全保护和细粒度的统一配置;可通过预先设定移动设备、应用程序的使用策略,规范管理、控制使用过程;提供一套完整的安全保障机制,保护企业移动设备、设备上的移动数据;限制非法应用程序的安装和运行,提供安全SDK进行数据加密保护;可以对所有接入管理的设备按照分组进行多种安全策略的统一执行,包括了开机密码策略,蓝牙、相机、抓屏等设备功能限制策略等;终端遗失或被盗情况下远程锁屏、擦除设备,重设终端恢复出厂设置,销毁所有数据、应用及配置信息等,完成整个生命周期的终端安全管控。
链路安全:
VONE集群设备向用户提供成熟、完善的高性能VPN集群接入方案,支持用户分级分组管理,带来管理的便利;对于iOS、Android智能终端支持SSLVPN虚拟化方式接入,其中iOS还支持IPSEC“零安装”接入;对于Android、WindowsMobile系统的智能终端,还支持使用全网接入模式接入;全面支持SM2算法及其数字证书规范,能降低用户PKI建设成本;支持证书废弃,保障系统安全;支持生成证书请求,确保私钥不外泄,从而保障链路的安全、机密性;丰富多样的外部认证支持,能与用户原有认证系统无缝结合,保障业务延续性;内置短信认证模块,杜绝口令泄露。
访问控制:
不仅可以对接入的主机系统进行全面安全检测,拒绝不合格用户接入,而且还可实现对用户系统的安全等级评估,根据不同的安全等级,授予不同的访问权限;对于要求访问敏感信息服务器的用户,如果没有达到较高安全等级,可只授予与其安全等级匹配的普通权限;这样既可以防止不安全的用户主机感染内部关键服务器,又可以保留其浏览公司普通Web服务器的权限,实现桌面的安全等级与访问资源的安全级别相匹配和访问权限的分级;支持硬件特征码认证,保障使用身份;具备完善的PKI体系,提高用户网络的安全等级;支持第三方CA,与用户系统无缝结合;支持CA在线认证,保证身份有效的时效性;并且还可以配合TopMDM管理平台实现更加精细化的移动终端访问控制策略。
资产管理:
TopMDM提供统一的资产管理控制,可以控制和跟踪移动设备连接到企业的应用程序和数据,企业可以部署、追踪和管理他们所有的移动资产;自动检测终端上资产变更,自动通知管理后台;确认终端上应用为最新版本,并且不存在兼容问题;提供终端信息采集功能,包括电话号码,IMEI号,设备ID,设备序列号,设备型号,系统版本,存储空间,电池用量,软件名称、版本及大小等;使得企业管理人员实时全盘掌握现有资产情况,随时可控。
行为安全:
在移动终端上,具备流量监控管理、资产变更监控的功能,发现异常流量和异常资产变更会及时通知后台,一定程度上防止恶意软件的不法行为;在企业端,部署了入侵检测系统(TopSentry),能够实时检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500种网络攻击行为,并具有应用协议智能识别、P2P流量控制、网络病毒检测、恶意网站监测和内网监控等功能,为用户提供了完整的立体式网络安全检测监控;并且还可以通过相关审计系统(TopACM等),实现网络操作行为的细粒度审计,为提高工作效率、威慑违规行为、取证定责提供有效手段。
企业应用的安全保障:
通过统一威胁管理系统(UTM)和VONE网关集群,为企业应用提供事前的安全防护和准入控制;通过TopSentry入侵检测系统,起到事中检测报警;通过TopACM、4A审计模块等起到事后的可审计可取证;配合数据备份、网络冗余等容灾策略,保障快速恢复能力;并通过统一的策略管理和安全管理平台,可以快速实施安全策略,进行快速安全管理,保障快速的安全事件处理和响应能力。
数据安全:
提供加密SDK,可使得在终端设备上的数据产生时采取加密措施,保障数据在终端上的使用、存储的机密性;通讯环节,通过VONEVPN设备保障链路加密,有效防止泄密事件发生;在企业端的数据,采取了备份策略,保障数据的可靠性;同时提供细粒度的日志审计和访问控制策略,防止非法接入,并可实时取证;同时TopMDM还提供了设备备份的功能,可以通过将关键数据进行备份,保障在终端遗失、被窃或损坏后的数据可获得;同时,为了防止在终端遗失或被窃后的可能造成的机密数据泄露,TopMDM提供远程锁定、远程数据擦除、数据隐藏、禁用网络和应用访问等数据泄露防护策略和功能。
容灾:
主要包括两个部分的容灾策略,一是数据的容灾备份,通过备份软件平台、存储/备份一体机等,满足对数据存储、备份、敏感信息的集中管控需求,通过综合技术手段全面保证数据的完整性、可用性和机密性;二是核心网络设备的容灾策略,尤其是VPN网关,是整个网络通讯的“咽喉”,一旦出现故障则将造成整个网络通讯的瘫痪;本方案建议采取基于TOS系统的智能VPN集群来保障其可靠性,多台VPN网关之间相互备份,对外提供统一接入IP,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不间断;支持多达256台设备的集群和多种集群负载均衡策略;支持通过心跳口进行状态和Session同步,网关切换时无需用户二次认证,不损害用户体验。
审计:
安全审计是安全体系中重要的一环,是不可缺失的一环,良好的审计体系,不仅能够威慑不法份子,更重要的是能够提供事后可追踪、可取证能力;本方案可通过TopACM提供网络行为的审计,支持多维细粒度网络行为和流量审计分析,基于多核平台,支持多点多级和集中管理,是规范网络行为、合规审计的最佳实践,提供网络行为审计、流量监控与统计、实名制审计策略、报表与统计、报警响应、审计产品规则库等诸多功能,并具备完善的自身安全防护能力;4A系统还将提供单点登录、集中账号管理、身份认证、资源授权、访问控制和操作审计等诸多功能,有效提升内部网络的整体安全性和易用性。
3.2.3实现4A管理,整体管控
为了加强对各应用系统使用者身份的管理,加强系统管理员对应用系统访问人员的审计和管控,实现对各应用系统访问者的识别和行为的抗抵赖,本方案提供的设备可实现4A管理,可实现更细粒度的身份授权、访问控制、以及事后审计跟踪措施;从事前、事中、事后全方位构建管理体系,其目标是将业务支撑系统中的帐号(Account)管理、认证(Authentication)管理、授权(Authorization管理和安全审计(Audit整合成集中、统一的安全服务系统,简称4A管理平台或4A平台。
在本方案中,实现了完整的4A级管控,实现对内部用户的身份、访问行为等进行一体化管理,提升权限管理能力和细化管理粒度。
4A平台各功能组件(或各子系统)及业务访问关系如下图所示:
3.2.5达到3赢局面
1本方案的实施,可以帮助企业快速构建私有的“移动云”服务、实现BYOD落地,提高内部工作效率、提升服务能力、减少终端设备的一次性投入、降低管理复杂度和成本;并可以促进虚拟团队的实现、促进内部文化建设,形成高效与协作的工作氛围,提高员工工作积极性,形成主动服务的工作态度。
2帮助员工实现更加宽松的工作环境,更多的工作模式选择;为员工捕获更多的机会提供有效工具,实现远程快速获取单位内部信息,及时跟进市场动态,避免错失时机造成不必要的损失,提高工作效率和业绩。
3通过统一安全设备与策略管理系统(TopPolicy),以及完善的审计体系和4A管理体系,为企业的IT部门提供了更加简单、高效、整体可控的解决方案,减少因为信息系统升级和大量BYOD设备涌入带来的复杂性。
3.2.4保障整生命周期可控
本方案提供的TopMDM管理平台,可实现移动终端设备的管理和资产管理,实现对移动终端设备和资产的准备、生产、报废与重用等整个生命周期的管控措施,保障每个环节的安全可控。
四、配套服务
4.1定向咨询
我单位具备专业的安全咨询团队,可为BYOD和企业“私有移动云”建设提供专业、定向的安全咨询,帮助企业进行安全规划,提供技术指导和技术支撑。
4.2解决方案定制
针对具体的客户信息系统状况,可提供具体的量身定制性BYOD解决方案,达到集约成本、快速交付的目的。
4.3协助管理体系构建
帮助企业建立安全管理体系,以期帮助客户快速形成切实可行、专业可靠的权责协议、运维管理制度,提升方案可行性和可落地指数。
五、特点与优势
5.1解决实际问题,成就最优价值
本方案通过对5个现实问题的解决,以及9个维度的安全保障措施,可以帮助企业构建一套安全、高效的,任何通过授权的人可随时随地,使用任何移动终端设备,访问任何合法资源的BYOD信息系统;可以实现企业、员工、IT部门三赢局面,为企业提升自身竞争力提供强有力的保障措施。
并且,本方案的实施还将为企业私有移动云的形成,以及长期运营提供保障措施;可提供针对具体客户具体情况的量身定制解决方案,提供安全、运维、管理体系建设的指导,以及长期的技术支撑,帮助企业实现最优价值。
5.2可信可靠“移动云”,安全提升竞争力
9个维度的安全需求满足,对事前防护、事中检测与阻断、事后审计分别采取措施,配合统一安全设备与策略管理系统TopPolicy等,保障企业私有“移动云”的可信可靠和BYOD的安全实现,保障企业安全的提升竞争力。
5.3全面审计、管控,规避权责纠纷
TopMDM提供了对移动终端设备的全面管控能力,配合4A统一审计功能形成全面审计体系,保障权责明晰,减少安全事件的发生,并保障操作不可抵赖,最大限度的避免权责纠纷和扯皮抵赖。
5.4成本集约,交付快速
本方案所提供的安全设备,均为成熟可靠设备,具备高性能、高稳定性和友好的集成性,可以较好的与原有信息系统和网络设备进行集成实施,可以最大限度的避免设备采购不合适、不可靠带来的成本浪费,并可以快速实施和交付使用,使企业尽早得到BYOD带来的竞争力提升。
5.5安全体系完整,保障持续运行
在具体构建时,还将提供完备的相关管理体系建设和管理制度建设指导,并提供一定的建设案例和基础模板,帮助企业建立完整的技术体系和管理体系,保障持续运营能力。
六、成功案例介绍
6.1成功案例:
广东联通
6.2成功案例:
某电网公司
八、缩略术语解释
BYOD:
BYOD(BringYourOwnDevice)指携带自己的设备办公,这些设备包括个人电脑、手机、平板等。
而更多的情况指手机或平板这样的移动智能终端设备。
许多企业开始考虑允许员工自带智能设备使用企业内部应用。
企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率,降低企业在移动终端上的成本和投等。
移动云:
是随着移动通信市场和移动互联日益普及的产物,指在具有开放式操作系统的智能手机正、移动终端设备上,用移动3G网络使用企业应用系统资源,它是云计算中非常重要的一部分,简称移动云。
VONE集群:
天融公司基于TOS(TopsecOperatingSystem)安全操作系统,设计、开发的VPN设备,支持最多256台设备的集群和多种集群负载均衡策略,多台VPN网关并行工作、相互备份,一旦某台设备故障时,其他的设备能够立即接替其工作,保证用户业务数据的不间断。
TopMDM(MobileDeviceManagement:
天融信公司提供的移动设备管理平台,提供完整的移动设备生命周期管理。
从设备注册、激活、使用、淘汰各个环节进行全面管理。
具体能实现用户及设备管理,配置管理,安全管理,资产管理等功能。
Web3.0:
包含多层含义,用来概括互联网发展过程中某一阶段可能出现的各种不同的方向和特征,包括将互联网本身转化为一个泛型数据库;跨浏览器、超浏览器的内容投递和请求机制;人工智能技术的运用;定义延伸至当前各大技术潮流迈向新的成熟阶段的具体体现,包括:
无处不联网,宽带网普及和发展,移动通信设备的互联网介入;网络计算,“软件就是服务”的商业模型,Web服务互用性,分布式计算,网格计算和效用计算(又“云雾计算”);开放技术,开放API和协议,开放数据格式,开源软件平台和开放数据(如创作共享,开放数据许可)等等。
升级会员 