华为移动办公安全解决方案概述HUAWEI.docx

1、华为移动办公安全解决方案概述HUAWEI华为移动办公安全解决方案彩页下载技术白皮书tabRegion_start背景/挑战解决方案功能及优势典型应用成功案例背景2012年，约有20的企业员工将自己的iPhone、iPad或Android设备带入工作场所，处理工作相关活动。IT消费化带来了BYOD（Bring-Your-Own-Device）新风尚，实现了Anydevice的真正自由。现在，BYOD已经不是一个趋势的概念，她正以不可阻挡之势改变人们的工作方式，成为办公手段的一个必要补充。我们可以利用更多的时间碎片收发电邮、跟踪销售机会点，将企业的信息化管理推向前端，使客户的界面变得更扁平化，提升

2、决策效率和响应速度。然而，BYOD的开放性容易引入各种安全和管理风险，您的企业做好了应对BYOD挑战的准备吗？BYOD的趋势和挑战BYOD使得企业办公环境边界进一步延伸，我们可以在同一台移动设备上处理工作，或在App Store上下载喜欢的游戏，企业办公和个人业务瞬息切换，个人和企业应用的界限越来越模糊。对于大多数企业来说，简单的阻止BYOD访问企业应用是不可行的，我们年轻的员工们出生在一个科技迅速普及的年代，他们对各种移动信息技术并不陌生，迫切希望自己供职的企业能够为他们提供BYOD支持，员工的需求驱使企业必须变更和适应BYOD新技术的变化。同时，BYOD带来的问题就像“冰山一角”海面下隐藏

3、的风险，开放、智能的移动平台使移动终端成为了新的安全缺口，易引入恶意代码植入、个人应用和企业应用混合、数据泄密风险、多平台的异构管理等问题，这些问题给企业IT管理带来极大挑战。首先，IT部门会发现公司的IT策略和配置规则与消费级的应用和设置产生冲突，基于传统PC的安全策略和管理技术很难移植到移动设备，特别是非公司所拥有和管理的员工个人设备。企业必须建立针对BYOD的战略，包括策略的定义和新的管理方法。第一步需要决定的是，你将允许什么样的移动设备接入，以及可以访问什么样的资源，这是在入口处设置好安全管控的第一道门。其次，这些BYOD设备通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处

4、于无保护状态。移动设备智能化，集成PC的特性和功能，可使同样的应用程序，更容易遭受恶意攻击。 今天，移动恶意软件的数量已超过两万，其中近三成的恶意软件为远程控制木马，以窃取个人隐私和敏感数据为重要目的。由于Root权限滥用和黑客技术的应用，移动设备成为新的孕育安全风险的温床，71的企业都认为移动设备是引起安全事件的重要因素，尤其是Android设备。同时，将企业的应用移植到千差万别的移动设备上，是IT部门的另一个恶梦。如何简单、快捷的实现企业业务往移动环境的迁移和部署，避免复杂的自开发带来的高成本，快速实现价值，以及帮助企业IT 部门应对复杂的移动环境已成为一大挑战。另外，现在的移动应用开发和

5、使用正处于繁盛时期，企业缺少针对应用的管理手段，员工在设备上任意下载和安装消费类应用，会降低系统的可靠性，引入安全风险，造成企业数据丢失或设备功能失效。最后，由于移动设备体积小，极易丢失或被盗窃。据统计，47的受访企业表明有大量客户数据存储在移动设备上，包括敏感的客户信息或企业邮件中的敏感数据。设备丢失不但意味着敏感商业信息的泄漏和丢失，而且可能给企业带来法规遵从的风险。 华为移动办公安全解决方案概述针对企业员工个人需求和企业策略遵从之间的矛盾，华为提供有效的平衡方案，使得员工在设备选择上拥有更大的个性化自由，在任何时候、任何场所，使用任何设备便捷的访问公司内网，运行内部应用，并确保安全策略不

6、妥协。我们致力于为客户提供端到端的移动安全管理和灵活的应用发布的能力。从移动终端安全、网络传输安全、应用安全、敏感数据安全，以及安全管理五个维度对移动办公进行全方位防护，帮助企业在BYOD的高效率与信息安全之间找到最佳平衡点。同时，为应对日益复杂的移动化环境，通过一个简单的平台，支持各种应用的移动化迁移，给开发工作带来良好的扩展性，更好的控制成本，使企业在全球化业务中获得竞争力。架构和关键组件移动安全和管理本质上要解决的问题可以概括为三个：身份和设备可识别（Ident i t y）、数据不泄密（Privacy）、和设备可管理（Compliance）。华为移动办公安全解决方案围绕这三个关键点，为

7、企业用户提供业界最广泛的安全性，和最简单易用的管理方案。AnyOffice智能移动接入客户端方案提供一个统一的移动安全客户端AnyOffice。AnyOffice作为单一的移动客户端，是用户和网络、应用的唯一交互界面，简洁的客户端可降低管理和维护复杂度。同时，AnyOffice客户端是一个安全的移动办公工作台，以One-agent的模式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理（MDM）软件、L3VPN客户端、虚拟桌面等一系列应用，可满足移动办公的通用需求，保障企业员工安全、便捷、高效地接入和访问企业内网。另外， AnyOffice具备环境感知特性，可通过与网络侧的接入控制网关S

8、ACG（Security Access ControlGateway）和SVN SSL VPN网关联动，实现用户在公司内、外网的智能感知，无缝切换应用安全策略，带给用户一致性体验。一致的网络接入控制方案中的SACG设备是在电信级防火墙硬件平台上开发的专用的接入控制网关，可与AnyOffice客户端，以及准入控制服务器联动，实现在不同环境下（公司LAN，WLAN或远程接入），提供统一的网络接入控制手段，确保一致的策略强制。SACG通过实施安全策略遵从，基于身份认证和设备安全状态，控制设备的访问范围，确保安全、且被授权的合规用户使用合适的终端访问企业网络。除了SACG网络接入控制，方案同时提供可选

9、的802.1X交换机和软件防火墙两种网络准入控制手段，灵活适应各种接入场景。安全的远程VPN访问SVN2000/5000系列设备是基于华为高可靠硬件平台和专用的实时操作系统的SSL VPN网关。具备业界领先的系统性能、安全性和可靠性，为用户提供灵活便捷、安全可控的端到端链路加密，确保远程VPN访问安全。电信级移动威胁防护在企业网络边界，华为电信级高可靠USG系列防火墙可提供网络侧的威胁防护能力。USG系列防火墙通过融合Symantec先进的入侵防御和反病毒技术，以及业界领先的DPI（深度包检测）识别技术，呈现专业的内容安全防御能力，包括网络AV，IPS，DDoS和内容过滤等。统一的安全策略管理

10、华为BYOD统一策略管理能够在整个组织内实施统一的安全策略，基于不同的用户角色、设备类型、不同的场所、不同的时段、不同的区域采用不同的策略，确保对企业不同敏感级别应用作细粒度的安全访问控制。统一、直观的安全策略管理平台，可有效降低管理复杂度，节约宝贵的IT人力投入。简单的企业移动应用发布平台针对企业移动应用移植和发布的困难，我们提供领先的企业移动应用平台MEAP（Mobile Enterprise ApplicationPlatform），实现企业应用的平滑迁移，提供一个简单的集成开发环境，支持HTML5/Native/Hybrid各种类型应用，一次开发，跨平台多次发布，可显著降低开发复杂度，

11、为企业节约成本。方案涉及产品 Table项目说明AnyOffice客户端AnyOffice客户端支持主流的Android,iOS系统, 是移动办公工作平台，以One-Agent的方式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理（MDM）软件、L3VPN客户端、虚拟桌面等一系列应用。SVN VPN网关SVN2000/5000系列SSL VPN网关支持高强度加密算法，支持L3/L4的VPN远程接入，支持本地认证、LDAP/AD /Radius/SecurID认证、数字证书认证、短信认证、终端硬件特征绑定及多种认证方式的组合认证。SACGSACG是在电信级硬件平台上开发的专用高可靠的安全

12、接入控制网关，支持双机热备，支持与AnyOffice客户端联动，感知用户所处的接入环境，根据统一安全策略实施不同的安全准入控制，保证授权的员工在不同环境下访问授权的IT资源。USG安全网关USG2000/5000系列电信级高可靠安全网关集成丰富的网络安全特性，提供DDoS防护，Anti-Virus，IPS/IDS入侵防护，URL过滤，邮件过滤等安全特性，保证移动办公系统和企业IT资源的安全。统一策略管理平台*统一策略管理平台能根据不同的用户角色、不同的设备类型、不同的场所、不同的时段、不同的区域采用不同的策略，同时实现了与移动设备管理（MDM）的策略集成，提供涵盖整个组织的单一策略来源，对移动

13、设备有着最完善、最准确的管理，为用户和管理员提供了优良的体验、又不影响安全性、可见性和控制力。MEAP企业移动应用平台提供集中的移动应用开发、测试、发布、运行的平台，支持HTML5/Native/Hybrid移动应用，一次开发，跨平台多次发布，显著减低技术难度，降低成本，快速将企业应用迁移到移动设备上。Table 华为专注终端安全方案近8年，对客户终端安全和合规管控需求有深刻的理解，结合自身强大的技术平台，推出了端到端的BYOD安全解决方案。下面就华为移动办公安全解决方案如何解决企业常遇到的安全痛点进行说明。应用场景1：Office Base接入应用场景说明：随着企业商务模式的发展和企业规模的

14、扩大、越来越多的访客或者合作伙伴需要接入企业内网，企业内部各业务子网也越来越多；随着WLAN技术和智能终端的发展，企业员工使用自带智能终端办公的需求越来越强烈。如何实现企业内网数据隔离、敏感资源的访问授权、智能终端的管控，构建安全的企业网络，已成为企业IT管理者面临的巨大挑战。客户安全痛点： 内部员工、访客、合作伙伴使用各种类型设备接入企业内网，如何保障接入和接入后的访问安全问题，IT管理者碰到如下问题：外来人员随意接入企业内部网络，窃取企业敏感信息，传播病毒等；企业员工随意访问企业内网机密资源，访问权限设置困难；企业员工或者外来人员随意使用自带移动终端访问企业内网，移动设备接入失控；企业员工

15、随意使用各种移动存储设备、网络文件共享，泄密通道管控无绪；内部员工访问与工作无关的站点，使用与工作无关的应用，造成工作效率低下，增加感染病毒的几率等。华为安全解决方案：华为内网安全解决方案Office Base WLAN接入华为安全解决方案 Office Base LAN接入华为安全解决方案客户价值： 采用华为内网安全解决方案后，访问人员需要经过严格的身份校验和终端安全状态检查，才能接入企业内网，有效禁止外来人员随意的接入企业内网，减少内部敏感信息被随意访问的安全风险、降低企业内网感染病毒的几率。同时，通过划分不同级别的访问区域，企业内部员工只能访问被授权的企业资源，避免企业机密信息被肆意的访问，导致机密信息泄漏。 对于WLAN接入，该方案支持网络环境的智能感知和网络性能的智能选