精选信息安全深信服EMM解决方案.docx
《精选信息安全深信服EMM解决方案.docx》由会员分享,可在线阅读,更多相关《精选信息安全深信服EMM解决方案.docx(27页珍藏版)》请在冰豆网上搜索。
精选信息安全深信服EMM解决方案
1.概述
1.1.企业员工的移动化
智能手机和移动互联网经过十年多的发展,企业员工已经完全移动化。
主要体
现在三个习惯:
一是习惯使用智能手机,二是习惯使用移动App,三是习惯高体验
的App。
1.1.1.企业员工习惯使用智能手机
从2007年iPhone发布以来,智能手机的发货量在之后的十年间经过了迅猛
的增长。
据统计,从2008年到2013年,全球智能手机发货量年复合增长率为
46.6%。
2013年NBC新闻发布了一则新闻,2005年的宗教集会中,与会的人们只是单单的站着;而在2015年的宗教集会中,每个人都拿着手机和Pad拍照,
图1NBC关于手机普及的图片新闻
国际知名咨询机构Gartner预测数据显示,全球的智能手机渗透率已经趋于饱
图2Garnter全球智能设备发货预测
1.12企业员工习惯使用移动App
企业员工使用微信、QQ等进行线上社交,用淘宝、京东等进行线上购物,使用微信钱包、支付宝进行线下移动支付,等等。
员工的生活已经完全移动化,从Gartner全球移动App的下载量统计和预测数据就可以看到这个事实。
全球移动应用下甄担血位:
百万)
Sourer
300000
250000
2DOOOO
150CW
1QQ0D0
50000-l-——
C
2W9」
图3Gartner全球移动App下载统计预测
工信部的数据显示,企业员工不仅仅下载更多的应用,而且在更多的使用移动
应用,并消耗更多的手机流量,用户的月平均流量消耗从2009年的26.7M,增长
到2015年的389M,中国移动用户再2016年12月,流量消耗达到了1.1G。
图4中国用户月平均手机流量统计
1.1.3.企业员工习惯高体验的App
经过十多年的发展,移动智能设备的性能得到了极大的提升,能够给用户带来
体验上的有效提升。
根据ARM的数据,至V2016年,CPU的处理器性能相比2009
年提升了22倍,而iPhone6相比第一代,性能提升了50倍。
图5Android/iPhone手机性能
手机性能的提升,为应用的UI设计提供了基础,各种应用都在应用的易用性和体验上进行竞争,最终使得用户习惯了使用高体验的移动App。
1.2.企业移动化趋势
1999年黑莓推出了PushMail移动邮件办公,受到了企业的极大欢迎,因为邮件的移动化,能够有效的提升企业的效率。
2007年之后智能手机的普及,移动
化更进一步,移动化从邮件延伸到了0A、营销、统一通信等基础协作类应用。
随
着移动互联网和智能手机的发展进步,移动办公进入了优化阶段,从最开始的基础办公协作、基础业务协作,到核心业务创新。
皐础办公册,駅锄业等I艸,核住业务创新
图6企业移动化阶段与趋势
据咨询机构IDC统计,企业在2017-2018年的规划向核心业务的移动化延伸,例如CRM、ERP、自动销售系统、BI系统等;另外,部分企业还处在基础业务协作阶段,投资建设IM、会议、协同、企业社交等应用。
在此同时,移动安全的建设投入最大,可见企业认为安全问题是企业移动化的前提。
图7企业移动化建设规划统计
1.3.项目概述
XXX客户背景介绍……(XX客户介绍,需要移动化的业务系统介绍,移动化哪
些业务)
2.项目需求分析
XXX客户需求背景概述……(XX客户需要移动化的业务需要考虑的安全风险和实施问题概述;下面文字是参考,可根据需要进行增删改)
2.1.数据安全风险
企业业务移动化时,要考虑诸多泄密风险,如设备丢失,USB拷贝,微信QQ
分享,明文传输被监听,中间人攻击,入侵窃取服务器机密文件等等,防不胜防。
可以说,数据泄密问题是移动办公建设的拦路虎
2.1.1.移动终端安全风险
移动化之后,企业核心数据存储在员工手机上,难管控。
据调查,60%的员工会在离职时有意识的收集并带走公司资料;另外,手机容易丢失,也会导致设备上的敏感信息泄露。
保护移动数据,挑战巨大。
2.1.2.移动数据传输泄密
企业的移动业务数据在不安全的Internet上传输,如果网络数据没有进行高安全级别的加密保护,那么数据很容易被黑客监听,甚至是被篡改,最终会导致无法估计的损失。
2.1.3.服务器暴露威胁
移动App的应用服务器部署在公网,应用服务器的IP信息暴露,将使得恶意黑客通过扫描手段探测服务器,发现可用的操作系统、中间件、数据库、应用服务的脆弱点,进而采用攻击和入侵手段,窃取敏感数据。
2.2.实施推广挑战移动办公设备型号多,版本高低不齐,实施安全管控时,兼容性问题突显,导致部署和运营效率低下;另外,安全管控会降低移动应用体验,致使员工使用率低。
兼容性和易用性差,是业务移动化实施和推行的绊脚石。
2.2.1.移动App安全封装实施困难
移动办公的特点是设备多版本杂,采用传统的安全封装方式,如ROOT提权保
护,技术复杂,难实施;如集成安全SDK需要额外的适配开发测试,影响业务迭代上线更新。
如果没有一个兼容性好的方案,安全封装实施挑战巨大。
2.2.2.移动应用管理与分发不通畅通过自建下载页面来管理企业应用,应用下载权限无控制,发布上线慢,手工链接下载费时费力;无应用更新实时推送,在线应用版本多,导致维护工作量大,投诉增多。
如果应用分发不畅,会严重影响移动业务全员推广覆盖。
2.2.3.安全封装后应用体验差
很多增加了安全管控的应用,额外的认证操作多、应用响应速度变慢,与个人应用体验差异巨大;员工满意度低,导致移动应用使用率低,移动业务推行缓慢。
3.项目建设目标
xxx客户项目建设目标概述,根据客户的实际情况撰写。
(下面是样例参考,可以增删改)
3.1.保障移动数据安全数据安全是本次项目建设的首要目标,保证移动化业务数据在终端、网络和服务器侧的安全,实现移动化业务的封闭工作空间,防止企业数据被恶意泄露,使得企业移动化得以顺利的推行,真正的为提升企业业务效率提供有效的保护。
3.1.1.智能手机上的企业数据安全智能手机上的业务数据必须与个人应用隔离,采用存储加密的方式,防止数据
被恶意破解;不能通过任何一种方式泄露,例如通过复制粘贴、分享、USB拷贝、
截屏等恶意手段,将信息外发给第三方。
3.1.2.网络接入认证与加密保护智能手机接入企业时,必须保证是合法的用户和合法的终端,必须防止非授权的用户访问企业保密数据;数据在传输过程中,必须使用强加密算法进行加密,防止数据被黑客监听、篡改。
3.1.3.服务器安全防攻击入侵应用服务器存储了所有业务数据,在保证互联网接入的同时,必须保证应用服
务器的安全,防止应用服务器被攻击、入侵
3.2.便于移动化业务部署实施和推广
移动安全平台是为了保护移动化业务的安全,在加强安全管控的同时,不能对正常的移动化业务造成影响。
因此,本次项目建设另外一个重要目标是,移动安全平台必须便于移动化业务的部署、实施和推广。
3.2.1.兼容主流手机,免安全开发
EMM安全方案需要支持主流的智能手机,包括Android和iOS,安装的时候不
需要Root提权,减少IT部门人工部署成本。
支持所有移动应用的自动安全封装,无开发集成工作量,减少应用开发部门的工作量,
3.2.2.完善的移动应用管理方案移动安全平台需要提供完整的应用商店服务,保证企业的应用顺利的分发到员
工,支持更新应用的推送,保证所有员工使用基本统一的应用版本,减少移动应用的维护工作量。
3.2.3.安全应用一致性的高体验移动应用增加安全管控之后,需要保证体验的一致性,减少不必要的认证等额
外操作,不能影响应用的响应速度,确保员工使用的满意度。
3.3.支持多种移动办公模式
3.3.1.BYOD办公企业允许员工自带手机办公,有两个好处。
一是员工可以根据自己的喜好选择
移动终端,提升满意度;二是降低企业购置移动终端的成本。
因此需要EMM方案支持BYOD模式的办公,办公应用不能影响个人应用和数据,不能侵犯个人隐私;同时,需要保证企业数据在个人终端上的安全。
3.3.2.配发设备办公配发设备可以作为企业福利给员工使用,一方面用于企业移动办公,一方面满
足个人使用需求。
虽说是企业配发设备,但需要保护设备上的个人隐私;因为设备上有个人应用,所以必须保证企业数据在配发设备的数据安全。
3.3.3.专机专用办公对于企业生产环境的移动办公场景,必须采用强管控手段保证数据安全,同时必须专机专用保证工作效率。
因此需要禁止手机上安装个人应用,并对网络接入、外设等进行强制管控,便于管理,防止恶意泄密。
4.建设原则
xxx客户项目建设原则,根据客户的实际情况撰写。
(下面是样例参考,可以增删改)
4.1.实用性和先进性
采用先进成熟的技术满足企业各种移动业务的需求,兼顾其他相关的管理需求,尽可能采用先进的移动安全技术以适应更高的企业业务移动化的需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来业务系统移动化的发展的需要。
4.2.安全可靠性
为保证各种业务系统移动化的开展,EMM平台必须具有高可靠性,尽量避免单点故障。
要对结构、设备等各个方面进行高可靠性的设计和建设。
在采用硬件备份、冗余等可靠性技术的基础上,在系统设计方案中要应用网络管理手段,保证管理员和移动应用接入身份的合法性;采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保护等技术措施,提高整个EMM系统的安全可靠性。
4.3.兼容性和可扩展性
EMM系统需要支持企业员工使用的主流的手机系统,能够对各种移动应用进行安全封装,具备良好的兼容性,并最大限度的减少实施工作量,保证移动化应用快速上线,维护便捷。
EMM系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据企业不断深入发展的需要,方便灵活的扩展应用覆盖范围、扩大存储容量
和增加系统功能。
具备支持多种网络协议、多种物理接口的能力,提供技术升级、设备更新的灵活性。
4.4.易用性与高体验
移动应用安全封装、分发和使用遵循易用性好,体验高的原则。
移动业务的部署关乎应用上线效率,需要部署快捷,快速满足企业业务的上线需求。
业务上线之后,移动应用的分发通道遵循业界最佳实践,保证移动应用的覆盖率。
同时,移动应用的体验需要与个人应用一致的高体验,在保证员工使用满意度的基础上,真正的提升业务效率。
4.5.经济性与投资保护
应以较高的性能价格比构建本系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
4.6.可管理性
由于EMM系统本身具有一定复杂性,随着业务的不断发展,EMM平台的运
行和维护任务必定会日益繁重。
所以在方案设计中,必须具备全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备,同时实现先进的分布式管理。
最终能够实现监控、监测整个系统的运行情况,合理分配资源、动态配置策略、可以迅速确定故障点等。
通过先进的管理策略、管理工具提高系统的运行性能、可靠性,简化维护工作,从而为办公、管理提供最有力的保障。
5.方案建设依据(可选)
xxx客户项目建设依据,根据客户的实际情况撰写。
(下面是样例参考,可以增删改)
1.《XXXX第x号发文》
2.《xxxx公司关于移动安全平台建设的指导意见》
3.《xxxx建设规范》
4.……
6.整体方案设计
xxx客户项方案设计思路,根据客户的实际情况撰写。
(下面是样例参考,可以增删改)
6.1.设计思路
通过对XXX客户移动安全需求分析,结合企业EMM建设的目标和原则,总结
出本次项目方案的设计思路:
1.移动App通过SSLVPN接入到EMM平台,与移动应用服务器对接;应用服务器部署在EMM平台之后,避免应用服务器暴露在公网,降低应用服务器被攻击和入侵的风险;
2.移动App通过安全封装,支持App在移动终端上的安全隔离。
包括文件存储隔离、剪切板隔离、文件分享隔离、防屏幕截取等,防止企业数据泄露到个人应用中,保护企业数据再终端上的安全;同时,企业App不获取个人隐私数据;
3.移动App安全封装的时,完全自动化,不需要企业移动App开发团队进行
集成开发,不影响App开发上线进度;支持第三方应用提供商的App安全封装,不增加第三方定制开发费用;
4.所有企业App都通过统一的工作域入口进行访问,便捷访问企业移动App;
5.EMM工作域入口的安装和App安全封装不需要移动设备的Root权限,便于实施部署;
6.EMM工作域集成应用商店,方便员工下载更新企业App;管理员可以发布
更新企业App到工作域应用商店,并根据员工角色权限控制App的下载权
限;
7.在不改变用户使用个人应用习惯的前提下,支持在不同企业App之间切换,
并支持企业App和个人App之间的切换,保证企业App的体验,并且不影响个人应用的使用。
6.2.方案部署
我们通过在企业App和App服务器之间部署EMM平台,实现对企业数据在
终端、网络传输和服务器上的安全保护,支持企业移动化业务的快速部署实施和使
(添加XXX客户网络部署图,下图为参考)
IOS
图8EMM部署方案
6.3.方案说明
在核心交换上以单臂方式部署一台深信服VPN-XXXX设备,以移动安全管理模块扩展的方式,用作EMM平台。
App服务器与EMM平台直连,或者保证IP可达;移动App通过EMM平台SSL接入,访问App服务器;移动App可以在EMM平台上完成安全自动封装,并通过企业应用商店发布给员工下载。
6.4.方案功能
通过上述方案部署,可实现XXX客户的移动办公多种需求。
具体的方案功能需根据项目需求分析和项目建设目标,进行逐一的说明。
下面文字供参考。
6.4.1.移动应用安全接入(EasyApp)
对于已具备APP客户端的业务系统,如客户自主开发集成VPN功能,需要非常大的工作量。
深信服可以为具备Socket开发能力的第三方应用开发商提供软件开发工具包VPNSDK包,极大地降低开发商的开发工作量。
客户可根据需要选择合适的精简集成SDK的方式,就可使得最终用户具备多种身份认证和数据SSL传
输加密的功能,从而增加业务系统的安全性。
除了SDK包,深信服EMM平台支持
应用的自动封装,免开发即可是的企业移动App集成SSLVPN能力,加快企业App安全接入上线的时间。
6.4.2.移动应用双域隔离保护(EasyWork)
对核心业务系统的App客户端,仅仅集成VPN安全接入的能力是不够的,需要保证移动App在移动设备上的安全,防止数据泄露。
深信服支持移动的数据安全保护,支持移动App与个人应用之前的全方位隔离,防止员工通过剪切板、文件拷贝、文件分享、截屏等方式泄露企业数据。
6.4.3.移动设备专机专用强管控(EasyWork+)
对于生产系统的App客户端,需要在企业配发的专用设备上运行,并进行强制的设备管控,防止设备用于个人娱乐和社交活动,降低工作效率。
深信服支持对Android专用设备的强管控能力,在保证数据安全的前提下,支持对Android系统的系统功能、网络和外设功能、应用的使用进行强制管控。
6.44移动应用安全封装
深信服EMM平台支持对客户移动App进行自动的安全封装,封装之后的应用支持双域隔离(EasyWork)数据安全保护,企业不需要开发人力成本进行人工SDK
集成,移动App可快速封装上线。
6.4.5.移动应用商店
移动应用分发关系到移动App推广覆盖效率问题,深信服EMM提供完善的移动应用商店方案,管理员可对移动应用进行统一的管理,员工在工作域内可方便的下载更新移动应用。
6.5.设备选型
根据XXX客户项目实际需要,对设备的选型进行说明。
结合XXX客户实际情况及需求,本方案推荐采用VPN-XXX1体化网关构建
EMM平台。
深信服SSLVPN一体化网关是国内第一款SSL/IPSec一体化设备,隶属于SSLVPN产品系列。
VPN-XXXX系列设备是中高端移动安全产品中的典范,凭借着丰富的功能特性和优秀的性能,VPN-XXXX系列荣膺了众多奖项连续多年领导国内SSLVPN市场。
下图为VPN-XXXX设备图片:
(根据实际项目情况添加合适的面板图)
■
UfSANGFOfl
nB
BOMLMB
t-■-1J_
MTTB-W»'T»mnn
HTTIHCT3NTITWTP
AA巴DCS
设备性能参数:
SSLVPN性能参数
SSLVPN力口密速度
SSL并发会话数目
SSLVPN转发时延
并发VPN用户数目「
每秒新建会话数
网络接口
标准接口
扩展接口
串口
电气特性
电源:
冗余电源
其它
使用环境温度
使用环境湿度:
尺寸(cm)
重量
面板指示灯
7.EMM解决方案特点
根据XXX客户方案实际情况进行裁剪。
7.1.深信服EMM概述
7.1.1.深信服EMM三大子方案
深信服EMM包含EMM-EasyApp、EMM-EasyWork、EMM-EasyWork+三个子
方案,满足不同客户不同移动化阶段的需求。
图9深信服EMM三大子方案
1.EMM-EasyApp,移动办公VPN接入
移动App通过轻量级SDK集成或自动封装,快速支持VPN接入,保护数据
传输安全;移动应用服务器部署在内网,系统信息和漏洞被隐藏,有效降低恶
意攻击和入侵的安全风险。
加固后的安全应用可以安装在员工手机上(BYOD)
和企业配发设备上(COPE),快速满足移动邮件、移动0A等基本的移动办公需求。
2.EMM-EasyWork,安全工作域数据安全
提供统一的移动工作域,内置安全邮件客户端、安全相册等基础应用,企业可通过自动封装加固,快速新增安全应用,如移动CRM、移动ERP等。
安全应
用完全与个人域隔离,防止USB拷贝、社交共享、剪切板、截屏等手段泄密,满足企业使用员工设备(BYOD)或企业配发设备(COPE)进行核心业务移动化需求。
3.EMM-EasyWork+,数据安全与设备严管
设备开机强制进入安全工作域,用户只能使用工作域中的应用,如移动展业、移动营销等应用,防止使用个人应用影响效率。
在应用安全隔离的基础上,对外设和网络连接进行严格控制,并支持多种安全合规审计,更进一步降低数据泄密风险,满足企业使用配发设备(COBO)进行强管控的核心业务移动化需求。
7.1.2.EasyWork客户端
EasyWork客户端是深信服EMM方案的重要组件,向员工提供了一个单独的移动工作域,所有企业移动应用都可以统一从移动工作域访问。
SSLVPN接入,
同时,EasyWork提供了企业数据在移动设备上的数据保护,企业应用管理,移动设备管理等功能。
1.移动数据安全:
通过全方位的安全隔离手段,包括文件系统隔离、剪切板隔离、分享隔离等,将企业数据和个人数据分开,防止员工无意的泄密,甚至
是恶意的主动泄密
图11数据安全隔离
2.SSLVPN接入:
EasyWork客户端集成SSL能力,VPN接入EMM平台之后,所有的企业App都使用SSL传输加密,保证企业应用在互联网传输的安全,防止数据被监听甚至篡改。
3.企业应用管理:
EasyWork客户端内置应用商店,员工可以从应用商店下载工作需要的移动App,如果应用有更新,EasyWork会实时推送到员工,在
WiFi网络连接时,更新应该会下载到员工手机
图12企业应用商店
4.移动设备管理:
EasyWork客户端支持基本的MDM功能,支持移动设备的
注册和报表管理
7.1.3.EasyWork+客户端
EasyWork+客户端是强制工作域入口,员工开机之后,只能从EasyWork+客户端中访问企业移动App,不能访问移动终端中的个人域。
EasyWork+适合企业配
发设备进行专机专用的场景。
图13EasyWork+客户端
EasyWork+客户端的功能包含EasyWork客户端功能,除此之外,还支持完善的移动设备管理功能,便于企业对移动设备资产进行全生命周期的管控和审计。
7.1.4.EMM平台
EMM平台是移动终端的接入点,支持对移动终端的认证、SSL安全接入、移
动设备管控,同时在EMM平台上,集成移动App自动封装服务和企业移动应用
商店,支持企业移动应用的安全封装和移动应用的便捷管理和分发
图14EMM平台
EMM平台与企业移动App后台服务器对接,完成移动设备与企业IT基础设施的对接,是深信服移动安全方案的核心组件。
7.1.5.App服务器
App服务器是移动App的的后台系统,存储着移动App的应用逻辑和数据,移动App的访问经过EMM平台之后到达App服务器。
App服务器可以部署在企业数据中心,也可以部署在公有云中,需要与EMM平台网络互通。
7.2.身份认证
深信服EMM平台支持多种身份认证方式,例如本地认证、LDAP/AD认证、CA认证、硬件特征码认证、手势认证等,满足客户不同的认证需求。
7.2.1.本地数据库认证
深信服EMM内置本地认证数据库,支持客户自助创建用户组和用户账号、密码,不同的用户组支持不同的移动应用下载权限和应用服务器访问权限。
7.2.2.Radius认证
如企业已经采用Radius进行用户的认证管理,可进行EMM平台与Radius的联动。
在EMM平台中建立相应的用户组结构,并勾选Radius认证并绑定相应的Class属性值。
用户向EMM平台提交提交用户名密码认证信息时,EMM平台将此
信息以标准的Radius协议格式向Radius服务器发起认证请求,Radius将返回认证结果。
若Radius认证通过,则将在返回给EMM平台的数据包中捎带Class分组属性,EMM平台将根据绑定该属性的用户组赋予该用户相应的认证、策略、授权等属性。
若Radius认证未通过,EMM平台则将拒绝该用户登录。
图15EMM平台Radius用户认证
723.LDAP认证
如企业已经采用LDAP进行用户的管理,EMM平台可与LDAP进行联动,只需在EMM平台中根据LDAP中的0U组结构建立用户组结构,并为用户组绑定相应的0U结构,无需再设备中一个个建立具体用户。
当用户向EMM平台提交用户
名密码进行身份认证时,EMM平台自动将此认证信息提交给LDAP进行认证,并根据反馈信息判断该用户是否为合法用户。
当用户通过了LDAP认证,EMM平台
将根据LDAP返回该用户的0U值,将该用户自动归于绑定了该0U的用户组,该用户即享用该用户组所有认证、策略
升级会员 