随着移动设备的高度普及，移动办公早已不是什么新鲜事，移动办公在开启方便之门的同时也带了一些安全风险，企业如何保障移动设备安全？如何确保移动办公中企业数据不被泄露？......如何安全移动办公成了企业亟需解决的问题。

 

什么是企业移动安全支撑平台？

 

联软企业移动安全支撑平台提供了一整套移动安全应用框架：

它采用先进的“零信任”安全架构设计，为企业应用提供安全快捷的部署环境，创新性的提供了企业移动业务从开发，上线，运营全套流程，对比传统流程，缩短了移动业务的开发和上线周期；

同时解决企业数据在传输、存储、使用、设备遗失等各种场景下的安全问题；

通过接入EMM统一门户与安全隧道，防止黑客入侵后端系统，比传统VPN更加安全；

通过统一安全策略，解决员工隐私保护问题，防止第三方移动应用开发商窃取员工隐私信息。

 

1、移动设备安全接入管理

●网络接入：支持配发设备直接通过内网的WLAN认证接入；配发设备离开企业时支持通过接入VPDN专线访问内网；对于企业内员工自带的移动设备则可以通过部署的BYOD安全网关统一认证接入内网，保障了所有移动终端安全接入访问内网移动办公业务。

●应用接入：终端上的移动办公业务启动时，APP会立即调用EMM产品的应用层SDK，自动和EMM产品的安全网关建立SSL加密传输连接，安全网关通过URL的不同，识别出APP需要访问的应用服务器，然后将数据进行转发，完成APP到应用服务器的数据交互。实现了业务服务器隐藏在安全网关后面，无需暴露业务服务器任何IP端口信息（包括内网IP），以下为中国银行移动安全门户示意图：

 

 

●接入安全：通过EMM网络接入管理和应用接入管理，可提供统一的网络安全认证服务，无论处于什么接入环境、通过什么接入方式、通过任意的移动设备均可实现身份的认证、权限的管理、终端安全检查、应用隧道加密、实现隔离、流控、扩展等非功能机制，确保只有合法的用户、合规的终端才能访问权限范围内的企业应用。

通过应用层APN管道技术，每个应用都独享一个安全隧道，可以确保数据传输的安全性。在应用层APN中，有终端和网关两个核心控制点，这两个控制点相互关联，双向认证，高度安全，即使通过黑客类手段获取终端权限，利用伪造或中间人攻击等手段也无法突破网关的防护

2、移动应用管理

●应用分发管理：支持与企业CDN系统集成，实现通过CDN分发企业移动应用；支持企业移动应用灰度发布；支持发布流量管控，避免新业务上线大量终端批量安装时造成的网络拥塞；支持断点续传，避免重复下载，提高用户体验；可以对应用的安装进行统计，实时把握新业务的推广进度。

 

●应用权限管理：对移动设备和移动应用的访问权限进行管理，可按照用户、部门、设备、设备组、等设置移动应用的下载、访问等权限。同时支持批量导入用户EHR号进行应用与用户权限关系的设定；

●移动门户管理：支持BYOD设备、各类配发设备采用不同的EMMAPP门户，并通过EMM门户集成企业移动应用；支持通过移动门户进行统一单点登录，用户只需要登录门户，后续门户内集成的移动应用都无需再次输入域帐号、密码登录。

 

3、移动设备管理

支持对所有移动设备进行全生命周期的管理：包含设备激活、设备策略配置、设备信息的采集与绑定、设备使用、设备失联、设备淘汰等。

 

 

4、资产管理

 

EMM具备强大完善的资产管理能力，可以将设备标识为企业所属或个人所属，并根据此属性关联不同的策略，执行不同的管理措施：

 

●EMM客户端可获取设备详细信息，包括设备名称、型号、序列号、MAC地址、IMEI、厂商、运营商、系统版本、资产归属、当前登陆账号等信息，帮助企业全面、准确的掌握企业内部移动设备的资产情况，提高移动设备资产的管理能力。

●设备安全管理策略，EMM支持对iOS、Android 设备配置安全管理策略：支持系统配置类策略（如WiFi配置，SSID名称、安全类型、代理设置等）；支持系统限制类策略（如密码限制、设备功能性限制、自带应用程序限制、iCloud限制、安全与隐私限制、单应用模式限制、存储加密限制等）。

●设备合规管理，支持对移动设备进行合规检查（如越狱或root、SIM卡变更、安装违规应用等），对于违规的设备，支持在设备详情中体现，可通过系统消息、邮件、短信等方式通知管理员，并支持管理员通过预先设置安全事件的方式自动化处理违规设备。

●远程管理和时间地址围栏管理。

 

5、数据安全管理

 

●安全沙箱：EMM提供安全沙箱能力，通过安全沙箱实现个人和企业数据的隔离，对企业数据采用高强度加密手段防护，能做到即使数据被非法获取也无法获取明文信息。

 

●安全水印: EMM支持动态加载数字水印，大大降低企业数据被拍照截屏分享泄露的概率。

 

价值提供-为业务创新提速和保驾护航

 

1、缩短开发周期

企业移动管理平台以SDK方式为企业移动业务提供完整的安全能力以及公共业务能力，如水印、消息推送、数据流处理等。这样开发者可以专注在业务创新侧，新的移动业务只需要考虑业务逻辑和处理流程，减少以往移动业务开发需要涉及的模块，缩短开发周期，助力企业移动应用轻量化，加速业务创新。

 

2、安全的移动业务

将移动业务服务器安全的隐藏在安全网关后面的内网里，即使前端的应用APP也无需知道移动业务服务器的内网IP和端口；对企业移动业务的数据进行全生命周期（数据安全传输，数据安全存储，数据安全阅读）的安全保障，大大提升了企业移动业务的安全性。

 

3、创新的上线流程

从移动业务上线无需进行开放防火墙端口等安全改造，只需集成企业移动管理平台的SDK进行发布，即可安全快速上线，大大缩短移动业务上线周期和成本。

 

4、高效的推广机制

对于新的移动业务推广，只需要在发布应用时选择默认安装，终端用户打开企业移动门户时就会静默安装新的移动业务，同时该机制大大降低了终端用户的学习和使用成本，提升了移动应用的使用体验，减少了企业移动应用的推广阻力，从而提高了移动应用的推广速度。

 

5、便捷的运维管理

企业移动管理平台提供了便捷的运维管理能力：对于移动应用的静默安装升级，支持灰度发布以及限流限载；对于移动设备提供了可逐层升级的应急事件处理预案；同时提供强大的数据分析统计报表，帮助运维管理员全方位了解移动应用和移动设备的管理情况，大大降低了运维管理难度和成本。

 

6、极致的终端体验

企业移动管理平台对应的终端APP集成了每个用户权限内所有企业移动应用，只需要一次安装，即可畅快使用所有移动办公应用；集成了单点登录模块，终端用户无需记录多个移动办公业务的账号密码，只要成功登录了企业移动管理平台，即可免密使用所有移动办公应用，既便捷又提高了安全性；终端用户使用移动办公业务的任何问题都可以在相应应用进行反馈，帮助业务快速迭代。