SVN3000逐点答夊集

Similar documents

Secoway SVN3000技术建议书V1

版權 2014 贊雲科技股份有限公司版權保護聲明未經贊雲科技股份有限公司書面許可, 本檔任何部分的內容不得被複製或抄襲用於任何目的本檔的內容在未經通知的情形下可

湖北省政府采购中心

温州市政府分散采购

声明本公司及全体董事监事高级管理人员承诺不存在任何虚假记载误导性陈述或重大遗漏, 并对其真实性准确性完整性承担个别和连带的法律责任本公司负责人和主管会计工

NetST 2300系列防火墙产品白皮书

Cisco WebEx Meetings Server 2.6 版常见问题解答

2Office 365 Microsoft Office 365 Microsoft Office Microsoft Office Microsoft Office 365 Office (Office Web Apps) Office WindowsMAC OS Office 365 Offic

1 产品简介特性包装产品外观电脑系统要求硬件安装软件安装软件操作 IP

KillTest 质量更高服务更好学习资料半年免费更新服务

目录前言... 4 校园网络篇... 5 第一章交大校园网... 6 第二章有线网络... 7 第三章无线网络 (WiFi) 第四章网络计费系统第五章虚拟专用网 (VPN) 第六

杭州顺网科技股份有限公司拟实施股权收购涉及江苏国瑞信安科技有限公司股权评估项目资产评估报告目录杭州顺网科技股份有限公司拟实施股权收购涉及的江苏国瑞信安

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDP

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

Adobe AIR 安全性

My Net N900 Central Router User Manual

目录简介.3 ` 体系结构...4 数据层...5 数据连接器...6 Tableau Server 组件...7 网关 / 负载平衡器...8 客户端 :Web 浏览器和移动应用程序...8 客户端 :Tableau Desktop..

turbomail方案

<4D F736F F D20312D3120D5D0B9C9CBB5C3F7CAE9A3A8C9CFBBE1B8E5A3A92E646F63>

目录目录平台概述技术架构技术特点基于统一平台的多产品线支撑先进性安全性开放性高性能和

经华名家讲堂

pcdashboard.book

翻墙问答享受互联网所带来的便利, 以及私隐保障, 本来就如其他许多天赋权利, 这已是一个人应该享有, 无分国界和种族很不幸, 在中国引入互联网不久, 中国就滥用很多本来

目录第五部分第六部分第七部分第八部分投标邀请投标人须知附表评标方法和评分细则项目需求和技术方案要求 1

<B1B1BEA9B9E2BBB7D0C2CDF8BFC6BCBCB9C9B7DDD3D0CFDEB9ABCBBEB4B43F3F12FB6CB293>

11N 无线宽带路由器

Microsoft Word - 134招标文件.doc

SiteView技术白皮书

网康科技•互联网控制网关

C ONTENTS 目录热点舆情消息海外来风 56 Win10 周年更新再出 BUG: 竟没有关机按钮 57 谷歌为 MacOS 开发的恶意软件嗅探器即将完成 58 数据安全公司 Imperva 财报不佳? 被

A API Application Programming Interface 见应用程序编程接口 ARP Address Resolution Protocol 地址解析协议为 IP 地址到对应的硬件地址之间提供动态映射阿里云内

飞鱼星多WAN防火墙路由器用户手册

中文朗科AirTrackTM T600 迷你无线路由器用户手册.doc

(UTM???U_935_938_955_958_959 V )

PPP Intranet Chapter 3 Chapter IaaS PaaS SaaS

/ - - ESET / GREYCORTEX MENDEL / ESET 10 ESET / 11 ESET ESET ESET ENDPOINT SECURITY ESET ENDPOINT A

2005 Sun Microsystems, Inc Network Circle, Santa Clara, CA U.S.A. Sun Sun Berkeley BSD UNIX X/Open Company, Ltd. / Sun Sun Microsystems Su

<4D F736F F D20312D3120B9ABBFAAD7AAC8C3CBB5C3F7CAE9A3A8C9EAB1A8B8E5A3A92E646F63>

05_06_浙江省发展和改革委员会网上并联审批系统实施案例.PDF

<4D F736F F D D352DBED6D3F2CDF8D7E9BDA8D3EBB9DCC0EDCFEEC4BFBDCCB3CCD5FDCEC42E646F63>

BlackBerry Classic Smartphone-用户指南

1. 二進制數值 ( ) 2 轉換為十六進制時, 其值為何? (A) ( 69 ) 16 (B) ( 39 ) 16 (C) ( 7 A ) 16 (D) ( 8 A ) 在電腦術語中常用的 UPS, 其主要功能

学院人才培养分项自评报告结果汇总表主要评估指标关键评估要素自评等级 1.1 学校事业发展规划合格 1. 领导作用 1.2 办学目标与定位合格 1.3 对人才培养重视程度合格 1

Microsoft Word - YDB Vehicle Telematics Service Requirement and General Framework

D-link用户手册.doc

目录 1. 概述总体方案方案概述软件部署架构技术原理访问场景典型设备 ipad 配置使用示例详细

测试员第十期.doc

ARIS Design Platform

中南大学第二届软件创新大赛

IP505SM_manual_cn.doc

<4D F736F F D B9E3B6ABCAA1CBAEC0FBB9A4B3CCCAD3C6B5BCE0BFD8CFB5CDB3BCBCCAF5B9E6B7B6A3A8CAD4D0D0A3A9C7A9B7A22E646F63>

定位平台操作详细说明该平台适用于我公司的系列定位器产品 CCTR-8XX, 访问网址即可登陆使用设备出厂后, 通电上传当前位置后自动激活开通服务, 平台登陆的用户名和密

信息安全保障参考文件

The New Office Office 365 Office 2013 Project 2013 Visio 2013 Office 2013

清华得实WebST网络安全行业解决方案

Wireless Plus.book

校友会系统白皮书feb_08

工程师培训

<4D F736F F F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA A1A24950D0ADD2E9BACD4950B5D8D6B72E707074>

Marketing_WhitePaper.PDF

¾Ç°T199´Á103

SAPIDO GR-1733 無線寬頻分享器

CA Nimsoft Monitor Snap 快速入门指南

第四章-個案分析.doc

中科曙光云盘系统

Epson Connect NPD TC

联想天工800R路由器用户手册 V2.0

ext-web-auth-wlc.pdf

CD (OpenSourceGuide OpenSourceGuide.pdf) : IR LED

目录刊首语读者朋友大家好! 金秋十月, 秋风送爽第 40 期卓望杂志带着墨香到达了您的手中, 在这里我先为您做一个导读卓望杂志季刊这期的高端访谈栏目刊登了四篇专访, 嘉

声明本公司及全体董事监事高级管理人员承诺不存在虚假记载误导性陈述或重大遗漏, 并对其真实性准确性完整性承担个别和连带的法律责任本公司负责人和主管会计工作的

2 第章绪论 Internet 2.0 使得消费型电子产品用户可以通过多种不同的数据网络访问互联网内容用户可以使用便携式消费型电子设备, 如智能手机触屏平板电脑电子书, 甚至

SL2511 SR Plus 操作手冊_單面.doc

APP 103 學年度嶺東科技大學資訊網路系專題研究報告嶺東中華民國一四年五月 1

刊首语读者朋友大家好! 移动互联网正在全球爆发出强大的生命力, 这个季度行业有很多重大事件发生, 并购, 上市, 业务产品创新不断, 展会论坛沙龙高潮迭起, 竞争日趋白热化

Transcription:

资料编码华为 BYOD 移动办公解决方案 FAQ( 参考 ) Issue V1.0 Date 2013-11-20 华为技术有限公司

版权所有华为技术有限公司 2013 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保华为技术有限公司地址 : 深圳市龙岗区坂田华为总部办公楼邮编 :518129 网址 : 客户服务邮箱 : 客户服务电话 : http://www.huawei.com support@huawei.com 4008302118 2013-11-20 华为机密, 未经许可不得扩散第 2 页, 共 31 页

2013-11-20 华为机密, 未经许可不得扩散第 3 页, 共 31 页

目录 1 BYOD 解决方案特性概述... 7 1.1 关键特性 - 安全空间... 7 1.2 关键特性 - 安全 SDK... 7 1.3 关键特性 - 国密... 8 1.4 关键特性 - 应用虚拟化... 错误! 未定义书签 1.5 关键特性 - 多媒体网络支持... 8 1.6 关键特性 - 应用加速... 8 2 常见问题答复... 8 2.1 解决方案... 8 2.2 MDM... 10 2.3 ANYOFFICE... 13 2.4 APP 开发... 17 2.5 移动应用... 20 2.6 安全认证... 26 2.7 产品特性... 29 2013-11-20 华为机密, 未经许可不得扩散第 4 页, 共 31 页

修订记录 /Change History 日期修订版本描述作者 2013-11-20 华为机密, 未经许可不得扩散第 5 页, 共 31 页

缩略语清单 List of abbreviations: 缩略语表缩略语英文全称中文全称 AAA Authentication, Authorization and Auditing 认证授权和审计 ACL Access Control Logic 访问控制逻辑 AD Active Directory 活动目录 ASG Application Security Gateway 应用安全网关 DDOS Distributed Denial of Service 分布式拒绝服务 IDP ios Development Program ios 系统开发工具 IMEI International Mobile Equipment Identity 国际移动设备标识 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 MDM Mobile Device Management 移动设备管理 MEAP Mobile Enterprise Application Platform 企业移动应用平台 NAS Net Access Server 网络接入服务器 RDP Remote Desktop Protocol 远程桌面协议 POP Post Office Protocol 邮局协议 Radius Remote Authentication Dial In User Service 远程认证用户拨入服务 SACG Security Access Control Gateway 安全接入控制网关 SDK Software Development Kit 软件开发工具包 SIM Subscriber Identity Module 用户识别模块 SMTP Simple Mail Transfer Protocol 简单邮件传输协议 SNMP Simple Network Management Protocol 简单网管协议 SSH Secure Shell 安全外壳 SSID Service Set Identifier 服务集标识 SSL Secure Socket Layer 安全套接层协议 TSM Terminal Security Management 终端安全管理 VDI Virtual Desktop Infrastructure 虚拟桌面设备 VNC Virtual Network Computing 虚拟网络计算 VPN Virtual Private Network 虚拟专用网 2013-11-20 华为机密, 未经许可不得扩散第 6 页, 共 31 页

1 BYOD 解决方案特性概述随着宽带无线通信技术和智能终端的飞速发展, 各种各样的智能终端将我们的工作和生活连接在一起, 办公设备不再局限于办公室的传统电脑,BYOD 自带设备已经成为了一种潮流和趋势, 它使得办公和生活的界限变得模糊, 让办公有了更好的体验全球知名调研机构 I D C 的数据显示自带设备 (BYOD) 办公的比例从 2012 年的 17% 将提升到 2013 年的 30%, 预计 2014 年将超越传统的移动办公模式, 成为办公的主要方式 BYOD(Bring Your Own Device) 指我们可以使用我们自己的设备进行办公, 这些设备包括个人电脑手机平板等智能终端, 通过这些智能终端, 员工可以在任何时间, 任何地点通过网络进行公司邮件的处理公司资源的访问以及对公司的业务进行及时的处理, 实现移动化办公这种办公模式摆脱了时间和空间的局限, 它不仅使得员工办公变得随心轻松, 而且借助无处不在的通信网络, 都能高效迅捷地开展工作, 对于突发性事件的处理应急性事件的部署有极为重要的意义图 1 BYOD 移动办公解决方案网络拓扑图 BYOD 移动解决方案可以提供一个无处不在的高效网络 ( 含固网 WLAN 和蜂窝通信网 ), 支持不同种类的自带设备安全访问企业的内部网络, 并保持自带设备的良好用户体验, 实现协同办公一致体验, 提升用户满意度和工作效率, 同时该解决方案基于统一的安全策略, 终端和企业的安全防护有保障, 可一网通行解决方案的关键特性及卖点如下 1.1 关键特性 - 安全空间优势 / 卖点 : 提供企业应用集中承载, 隔离的文件系统 ; 通过用户认证和合规检查, 实现安全准入 ; 禁止外部文件调用, 自带文件 reader; 防拷贝粘贴 ; 实现应用的本地加密 1.2 关键特性 - 安全 SDK 优势 / 卖点 : 安全 SDK 是 AnyOffice 的一个关键部件,SDK 通过华为公司的 dopra 抽象层 2013-11-20 华为机密, 未经许可不得扩散第 7 页, 共 31 页

和各个具体的操作系统适配对接 ( 目前, 支持的操作系统包拪 ios Android Windows Phone), 屏蔽底层操作系统的差异, 向上提供统一的本地加觋密接口兼容标准 SOCKET 的安全通信接口缓存清理接口以及数据隑离接口, 方便各类自研及第三方的应用集成, 使之具备数据加密传输本地数据加密缓存清理及数据隔离的能力 1.3 关键特性 - 国密优势 / 卖点 : 在 BYOD 解决方案中, 我司是支持国密的 ( 我司方案本地加密和传输加密均可采用国密算法 ) 1.4 关键特性 - 多媒体网络支持优势 / 卖点 : 解决 WLAN 空口资源有限,QoS 优先级调度无法解决媒体业务带宽资源的冲突, 解决 WLAN 缺乏对应用的识别 : WLAN 识别基于 SIP 协议的媒体流应用 ; WLAN 实现动态呼叫准入控制, 确保上线用户的应用体验 ; esight 对识别应用的可视化呈现, 实现基于用户和应用的精细化 QoS 策略配置 1.5 关键特性 - 应用加速优势 / 卖点 : 自带设备在接入广域网时经常出现网络时延大网络不稳定等现象, 用户体验差, 影响办公效率华为应用加速方案应通过协议优化压缩去重缓存等技术, 帮助移动用户实现快速的网络访问和最佳体验, 提高工作效率进行网络加速, 保障业务 QoS, 提升 QoE, 支持视频协作和富媒体应用 2 常见问题答复 2.1 解决方案 2.1.1 什么是 BYOD? 答 :BYOD(Bring Your Own Device) 指我们可以使用我们自己的设备进行办公, 这些设备包括个人电脑手机平板等智能终端, 通过这些智能终端, 员工可以在任何时间, 任何地点通过网络进行公司邮件的处理公司资源的访问以及对公司的业务进行及时的处理, 实现移动化办公这种办公模式摆脱了时间和空间的局限, 它不仅使得员工办公变得随心轻松, 而且借助无处不在的通信网络, 都能高效迅捷地开展工作, 对于突发性事件的处理应急性事件的部署有极为重要的意义 2013-11-20 华为机密, 未经许可不得扩散第 8 页, 共 31 页

2.1.2 华为 BYOD 的项目周期一般有多长? 答 :BYOD 的项目周期与需要的移动应用强相关, 如果移动应用开发比较复杂, 还需要与公司的现有系统进行集成, 而且有些移动应用的部署可能会改变现有的业务流程, 项目还涉及到相关员工的培训试用和逐步切换的过程, 项目周期要根据具体的项目来评估如果 BYOD 项目涉及的是标准应用 ( 比如 espace Pushmail 安全浏览器 VDI 等 ), 不涉及与现有系统集成 & 对接的情况, 项目周期大概 2 个月 2.1.3 实现华为 BYOD 的大概投资有多大? 答 :BYOD 的项目投资主要涉及 3 个方面, 终端网络 & 安全及移动应用, 终端网络 & 安全 UC 等设备都是根据用户数的多少来确定, 移动应用需要根据应用的复杂性来确认费用, 具体投资需要根据项目的实际情况评估 2.1.4 华为 BYOD 是否需要改变企业原有的网络系统? 答 : 正常情况下, 华为 BYOD 不需要改变原来的网络系统的结构, 只需要在公司原网络系统中增加 WLAN 安全 MDM 策略管理等设备, 以及部分移动应用服务器不排除有少数公司的特殊的网络可能需要做局部的优化 2.1.5 华为移动办公可以用在企业内部吗? 答 : 可以在企业内部使用只需要在企业内部增加 WLAN 覆盖, 然后终端安装客户端代理软件, 并在安全策略服务器中配置相关策略和网络访问权限等基本流程 : 1 终端代理软件首先通过内网 NAS(Net Access Server) 访问安全策略服务器, 发起认证请求 ; 2 安全策略服务器收到用户认证请求, 验证用户身份通过后, 服务器向 NAS 请求打开用户网络权限 ; 3 NAS 将用户权限成功打开后, 向安全策略服务器确认打开成功信息 ; 4 安全策略服务器通知终端用户认证成功, 可以正常使用内部网络 2013-11-20 华为机密, 未经许可不得扩散第 9 页, 共 31 页

2.1.6 部署华为移动办公方案需要哪些涉及的软件和设备列表? 1) 硬件部分 : 必选 : 移动安全接入网关 SVN MDM 数据服务器可选 : 防火墙终端 WLAN AP/AC 平板 / 智能手机 / 背夹等终端外设 2) 软件部分 : AnyOffice SDK espace VDI 软客户端安全浏览器安全 Pushmail 等基础办公标准软件, 行业应用由合作伙伴提供 2.1.7 华为端到端的安全指的是什么? 答 : 终端网络和应用的整体安全包括 : 终端的数据安全 / 接入认证授权 & 控制, 数据链路的安全 / 威胁防护 / 数据保护, 以及对整个网络 & 终端的安全策略的管控 ; 2.2 MDM 2.2.1 华为 BYOD 架构中最不可或缺的产品是什么? 答 :BYOD 解决方案架构中涉及终端网络 & 安全应用等设备, 其中最不可或缺的产品是 AnyOffice 客户端 SVN 和 MDM 数据库服务器及其配套软件 2.2.2 MDM 数据服务器对系统要什么要求答 : 当前仅支持 MS Windows Server 2008 R2 64bit 2013-11-20 华为机密, 未经许可不得扩散第 10 页, 共 31 页

2.2.3 实现华为 BYOD 必须引入 SVN, 新的网关吗? 答 : 只要 BYOD 移动办公涉及用户权限和信息安全, 移动办公时需要访问内部网络时,SVN 是不可或缺的 2.2.4 华为 MDM 是什么? 主要什么功能? 是软件还是产品? 产品形态是什么样的? 答 : 移动设备管理 (MDM) 是用来保护, 监测, 管理和支持部署移动设备的软件主要功能有 : 应用管理 ( 企业应用商店安装应用查询应用黑白名单等 ) 设备管理 ( 越狱检查 SIM 卡管理漫游策略密码策略控制设备禁用策略违规处理策略 ) 资产管理 ( 资产注册注销查询状态消息推送违规信息查询 ) 安全管控 ( 准入检查接入认证远程锁定 GPS 定位远程卸载管理应用 ) 数据管理 ( 选择性擦除恢复出厂设置数据加密离线数据保护资产注销擦除数据 ) 和后台管理服务 ( 安全策略管理统计报表用户管理应用发布用户自助服务 ) 等 MDM 是软件, 并集成在 SVN 设备中 2.2.5 华为 MDM 必须捆绑在 SVN 里面进行销售吗? 答 : 是, 华为 MDM 已经集成到 SVN 中,MDM 能够与对移动终端进行安全管控, 提供终端准入策略检查数据检查和设备检查等 2.2.6 MDM 能做到哪些合规性检测? 支持操作系统补丁升级吗? 答 :MDM 的合规检测项目很多, 主要有 : 设备绑定检查, 安全策略导入, 越狱检查, 密码安全, 系统安全应用, 危险项目检查等操作系统补丁升级由厂商升级 2.2.7 在 MDM 管理界面中, 有的设备有电话号码显示有的设备则没有, 电话号码是怎么提取的? 答 : 操作系统提供接口供提取, 有的是 WI-FI 版的 Pad, 所以没有电话号码可供显示 2.2.8 方案中 MDM 平台和安全网关是否可以不同厂商供应? 答 : 不能, 华为移动安全接入网关 SVN 除提供 MDM 功能外, 还能为安全 Pushmail, 安全浏览器及 2013-11-20 华为机密, 未经许可不得扩散第 11 页, 共 31 页

集成安全 SDK 的企业应用, 提供应用级加密传输隧道 (L4VPN), 本地文件在线加解密安全沙箱等能力 ;MDM 能够与这些安全应用进行联动, 提供终端准入策略检查, 只有通过检查的终端才允许访问安全应用, 这些通过第三方安全网关无法实现 2.2.9 第三方软件可以调用已被 MDM 禁用的蓝牙摄像头等接口吗? 答 :MDM 客户端 (AnyOffice) 安装以后, 具备该管理功能的类似 Root 权限, 第三方将无法使用, 在操作系统上表现为图标消失 2.2.10 如何实现资产注册和资产注销 ( 如果是员工自己 PAD)? 答 :AnyOffice 客户端获取 : 管理员通过短信或邮件方式发布一个 URL, 员工可以通过认证账号登陆下载安装 AnyOffice 客户端程序 ; 或直接通过访问官方应用商店 ( 如 APP Store Google Play) 下载 AnyOffice 客户端程序进行安装移动终端资产注册 ( 支持两种方式 ): 1) 使用 AnyOffice 登陆时, 可以进行自助注册, 管理员审批后, 即可进行移动办公 ; 2) 管理员对移动终端进行批量资产注册, 注册后用户即可使用移动终端通过 AnyOffice 客户端直接登录访问移动终端资产注销 ( 支持两种方式 ): 1) 管理员通过 MDM 服务器控制台, 解除终端资产绑定 ; 被解除绑定移动终端, 配置文件 AnyOffice 客户端及企业应用程序被卸载, 应用数据被清除 ; 2) 通过自助网站, 员工可以解绑定自己的设备, 员工设备绑定解除后, 被解除绑定移动终端, 配置文件 AnyOffice 客户端及企业应用程序被卸载, 应用数据被清除 2.2.11 运维部门能从设备获得哪些日志答 : 如移除配置文件越狱等 MDM 违规日志, 以及登陆访问等普通日志 2.2.12 MDM 产品形态是什么? 答 : 分企业 BG MDM 产品和消费者 BG MDM 产品分别介绍 1) 企业 BG MDM 由 anyoffice 客户端 SVN 接入网关 MDM 数据库服务器软件 X86 服务器构成缺一不可 2013-11-20 华为机密, 未经许可不得扩散第 12 页, 共 31 页

2) 消费者 BG MDM 由 MDM 客户端软件 MDM 服务器软件构成, 客户数据中心需要由 X86 通用服务器安装 MDM 服务端软件终端 MDM 主要针对华为移动终端, 目前与华为 Pad 进行了对接, 但还未与华为手机对接, 主要面向有终端配机需求的企业客户, 支持 Android 操作系统而企业网络开发的 MDM 面向任何有 MDM 需求的企业客户, 对接过的终端类型较多, 支持 Android 和 ios 操作系统 2.2.13 MDM 的关键组件有哪些? 答 : 移动终端的资产管理 ( 包括资产注册注销等 ) 安全性检查 ( 目前支持越狱检查 root 权限是否符合安全策略等 ) 策略控制 ( 硬件控制远程锁定数据擦除等 ) 应用商店自助 Portal 等 2.3 AnyOffice 2.3.1 什么是 Anyoffice 平台? 产品形态是什么? 答 :AnyOffice 是一个安全的移动办公工作台, 以 One-Agent 的模式集成了安全浏览器安全邮件客户端 MDM 客户端等一系列华为自研应用, 可满足移动办公的通用需求, 保障企业员工安全便捷高效地接入和访问企业内网同时,AnyOffice 也是一个开放的平台, 它支持当前流行的 Android ios 智能终端操作系统, 允许根据企业的实际需求增减第三方应用, 也允许其他应用的开发厂商和 SVN 的 SDK 安全组件集成, 从而成为具备加密传输本地数据加密数据隔离等能力的安全应用 2.3.2 Anyoffice 平台提供的 SDK 有什么用? 答 :SDK 安全组件不是一个可独立工作的组件, 而是一个软件开发包, 它不对外公开源代码, 但对外提供 API 供集成它的上层应用使用 SDK 安全组件通过华为公司的虚拟操作系统抽象层和各个具体的操作系统适配对接目前, 支持的操作系统包括 ios Android), 屏蔽底层操作系统的差异, 向上提供统一的本地加解密接口兼容标准 Socket 的安全通信接口, 方便各类自研及第三方的应用集成, 使之具备数据加密传输本地文件加解密等安全能力目前,AnyOffice 中的安全浏览器安全邮件客户端以及华为的 espace 软件均集成了 SDK 安全组件 2013-11-20 华为机密, 未经许可不得扩散第 13 页, 共 31 页

2.3.3 AnyOffice 平台提供的 SDK 实现了哪个层面的安全? 安全的机制和所用的安全协议是什么? 答 :Anyoffice 平台提供终端安全管理终端数据安全终端应用安全链路安全三个层面的安全链路安全采用的是 SSL VPN 加密技术, 终端应用安全是基于虚拟协议栈的 L4 VPN, 实现应用到网关加密, 应用层数据直接封装进入加密隧道终端数据安全是通过沙箱数据隔离技术, 隔离个人和企业数据终端安全管理是通过 AnyOffice 集成的 MDM 管理客户端来实现对终端的注册注销越狱检查应用管理数据加密数据擦除等管理, 确保终端设备的安全 2.3.4 AnyOffice Agent 平台与安全 PushMail 安全浏览器之间相互关系是怎样的? 答 :AnyOffice Agent 是移动办公重要安全组件, 提供移动终端办公业务入口 AnyOffice 软件包预装安全浏览器安全 PushMail, 并为安全浏览器安全 PushMail 及其他企业应用, 提供 L4VPN 隧道及本地数据加解密 2.3.5 AnyOffice 平台除预置应用外还有哪些功能? 答 :AnyOffice 办公平台除预置应用外, 还支持从企业应用商店下载软件包, 添加本地应用 ; 支持用户自行添加或通过 SVN 网关下发以桌面图标方式添加内网 URL 链接到办公平台桌面 ; 与 SVN 网关建立 L4VPN 隧道, 并提供接口供上层应用调用 2.3.6 AnyOffice 平台支持哪几种工作模式? 不同模式下加密密钥是否相同? 答 :AnyOffice 平台有两种工作模式, 在线模式和离线模式在线模式,AnyOffice 需要输入用户名密码通过集成的 L4VPN 登录到 SVN 网关, 并从网关获取动态密钥, 通过密钥对本地应用数据加密离线模式, 当用户配置了离线权限时,AnyOffice 工作中不与网关进行交互, 加解密文件时使用本地密钥, 本地密钥通过用户登录口令进行保护 2.3.7 现在 Anyoffice 联合 UC 一起有版本吗, 企业应用商店里可以发布 espace 吗? 答 :espace 与 SDK 已经有过集成, 但目前没有融合在一起企业商店里可以发布 espace 2013-11-20 华为机密, 未经许可不得扩散第 14 页, 共 31 页

2.3.8 移动终端办公业务有哪些关键组件, 支持在哪些平台上运行? 答 : 移动办公业务关键组件有 AnyOffice 移动办公平台安全 PushMail 安全浏览器及企业发布应用支持移动平台有 Android4.0 Android4.1 ios 5.0 及以上 2.3.9 华为对于终端设备的识别是怎样实现的? 从终端设备上获得什么作为标识? 是 SIM 卡号吗? 答 : 不同类型的终端识别方式不一样苹果终端通过 MDM 服务器推动配置文件给 APNs(Apple Push Notification Servie),APNs 下发配置文件给终端, 终端安装配置文件,iOS 内置 MDM 模块会连接 MDM 服务器,MDM 模块获取要执行的命令, 执行后将结果返回给 MDM 服务器 MDM 通过上述方式可获取苹果终端的 IMEI,ICCID, 序列号,SIM 卡信息电话号码软件版本等信息 Andriod 设备安装 AnyOffice 工作台后, 启动常驻服务, 建立长连接,MDM 服务器控制命令直接下发给移动终端 MDM 服务进程, 服务进程执行命令后返回终端的 IMEI 序列号 SIM 卡信息电话号码软件版本等信息 2.3.10 在取消激活部分, 禁止移动终端通过 Wi-Fi 接入企业网络是如何实现的? 答 :Wi-Fi 配置文件下发到 AnyOffice 客户端, 客户端记录已下发的企业 Wi-Fi SSID, 实现了 Wi-Fi 的自动配置 ; 违规行为触发该策略后, 客户端被禁止接入企业 Wi-Fi 2.3.11 使移动用户在发生漫游之后, 仍然保持与原有网络的链接, 并且不影响移动用户上层协议的运行, 包括 Email www 浏览 FTP VOD 等网络业务答 : 主要用于实现移动用户对企业内网的访问, 即使在发生漫游时, 仍然能保持连接, 不影响业务的运行支持广泛的网络业务, 包括 WEB 网页浏览 MS RDP SSH VNC Lotus Notes Email FTP Oracle 等各种应用 2.3.12 Anyoffice 客户端登录之后,anyoffice 集成的所有应用是否可以直接登录, 不需要二次登录? 答 : 目前 anyoffice 客户端自带的应用 ( 如 pushmail 安全浏览器 ) 可以实现单点登录, 但 anyoffice 若要集成第三方移动客户端, 目前还不支持单点登录功能, 需要第三方应用集成单点登录 ; 2013-11-20 华为机密, 未经许可不得扩散第 15 页, 共 31 页

2.3.13 为什么要检查终端是否越狱? 如何探测员工 Pad Jail Break( 越狱或 Root), 技术如何实现? 答 : 在不越狱的移动智能终端上系统权限低, 不能删掉系统自带应用不能对系统文件和设置进行修改不能安装第三方输入法以及其它未经苹果 App Store 认可的应用程序等等 ; 越狱后将获得更高的用户权限后, 可以修改系统文件可以安装更多拥有高系统权限的应用程序, 从而实现更多高级功能同样, 未经审核安装的程序中隐藏的病毒木马也将获取到更多的用户隐私信息和更高的权限移动安全接入网关 SVN 通过向移动智能终端下发指令, 使其执行系统权限命令访问系统文件来进行检测, 判断越狱情况越狱的基础是获取了超级权限, 从而对系统拥有了超级权限, 检测也是从这个方面入手 2.3.14 华为方案在 ios 和 Android 分别实现的 MDM 安全特性上有何差异? 答 :ios 系统封闭, 成熟, 所有 MDM 厂商在 ios 上能力基本一致, 苹果公司提供了丰富的接口, 但是不能完全满足客户的定制化的需求 ;Android 系统开放,MDM 功能都是需要新开发, 对硬件的控制范围可以更大 2.3.15 移动用户权限管理特性, 技术如何实现? 答 : 用户权限体现在各个方面 : 1) 用户通过 AnyOffice 客户端登陆移动安全接入网关 SVN 时,SVN 会根据用户所属角色下发各种终端策略, 包括限制 ( 密码限制, 设备控制 ) 和能力 (Wi-Fi,Email 等 ); 移动终端 MDM 组件通过执行策略, 实现设备权限控制 2) 用户登录 AnyOffice 后, 通过安全浏览器或其他移动应用访问内网时,SVN 会根据其所属角色对应的访问策略, 允许或拒绝其网络访问行为用户通过 AnyOffice 访问企业应用商店时, 会根据管理员为角色制定的应用权限策略, 授权其访问到对应的应用, 进行下载和安装 2.3.16 Anyoffice 客户端软件对移动终端操作系统的支持情况? 答 : 截至到 2013 年 Q2,Anyoffice 客户端软件支持 android 和 ios 两个操作系统, 对于 android 2013-11-20 华为机密, 未经许可不得扩散第 16 页, 共 31 页

客户端, 要求操作系统在 4.0 及以上, 对于 ios 操作系统, 要求操作系统在 5.0 及以上 2.4 App 开发 2.4.1 MEAP 是做什么用的? 答 :MEAP(Mobile Enterprise Application Platform) 及企业移动应用开发平台, 该开发平台屏蔽各种移动终端软硬件平台底层细节提供统一调用 API 集成丰富的 UI( 用户界面 ) 模板集成丰富的移动应用样例等, 极大简化了移动应用开发过程, 降低开发成本,MEAP 系统由集成开发环境服务器端客户端管理控制台四大组件构成, 具备一次开发多终端部署企业应用统一发布统一控制的能力 2.4.2 我开发的移动 APP 如果采用苹果终端, 需要每个月向苹果缴费吗? 答 : 企业移动 APP 如果采用苹果终端, 可以采用三种方式, 即免费 App 需要向苹果申请企业版 IDP(iOS Development Enterprise Program), 需要向苹果缴费 299 美元 / 年, 个人版只需要 99 美元 / 年使用企业版 IDP 的最大好处是可以发布 In House 应用, 这种应用使用一种叫做 In House Distribution Provisioning Profile 的文件进行发布, 不能发布到苹果的 App Store 进行销售, 也不需要苹果审核可以将该应用发布给企业员工用户及其他你认可的任何人, 尤其适用于企业应用的开发但是在申请企业版 IDP 之前, 需要申请美国企业的邓白氏编码 (DUNS), 标准版的费用约 8000 人民币 /2 年邓氏编码是美国联邦政府推荐使用的企业机构编码可以看成是美国版的组织机构代码, 只不过已经得到了联合国澳大利亚政府欧盟及美国政府的承认, 成为了全球企业标准苹果公司需要邓氏编码才能申请 IDP 企业版, 是出于的美国商业习惯在美国所有的采购合同和商业合同中, 都会要求供应商提供一个 DUNS( 邓氏编码 ), 否则对方可能不会跟你签合同因为所有的美国企业都使用 D&B 公司的数据库, 这样才能保证所有企业编码不会重复有一个问题 : 每年必须升级一次证书 2.4.3 App 一般价格是多少? 答 : 与 App 开发 & 维护周期人力投入相关 ; 2013-11-20 华为机密, 未经许可不得扩散第 17 页, 共 31 页

2.4.4 APP 的更新是如何做的? 答 : 苹果 ios4.0 之后版本的系统可直接通过 Wi-Fi 或 3G 链接到企业 AppStore 网站, 直接下载应安装即可 ios4.0 之前的版本需要使用电脑下载安装包, 然后将包的扩展名修改为.ipa, 然后使用 itunes 同步到苹果终端 Andriod 系统直接到企业 AppStore 下载并安装或者将程序包拷贝到终端的存储器中运行安装包即可除此以外, 还可以通过 MDM 强制终端升级应用 2.4.5 华为进行软件集成, 充当集成方案提供商吗? 答 : 华为不做软件集成方案提供商, 只提供部分通用功能的软件, 比如 :AnyOffice/eSpace 等, 行业相关的软件由华为的合作伙伴完成 2.4.6 华为的策略控制是在哪里实现? 产品形态是啥? 答 : 控制策略主要有 2 种情况, 即内网访问公司的内外网和外网访问公司内网内网访问公司的内外网时, 用户权限分配访问权限, 比如上外网权限, 访问内部文件服务器应用服务器的权限等通过访问控制网关 SACG ASG 和 TSM 服务器实现其主要认证过程如下 : 1 用户接入网络 : 用户只能访问前域资源 ( 病毒服务器等 ), 无法访问被 SACG 保护的资源无法上网 1 2- 用户进行 TSM 认证 :1) 用户通过 TSM 认证 ;2)SACG 给用户开放访问公司内网的权限 ;3) TSM 通知 ASG 该用户认证通过 ;4)ASG 更新状态为该用户认证通过 2 用户上网 :1)ASG 根据策略开放用户访问权限 ;2) 用户可以访问授权互联网资源 3 主动下线 : 账号到期或用户不符合 TSM 的合规性策略时 1)TSM 服务器给 ASG 下发下线信息 ; 2)ASG 自动将客户踢下线, 此时用户无法访问互联网资源外网访问公司内网时, 用户使用移动终端通过网络连接到移动安全接入网关设备 SVN,SVN 通过本地数据库账号本地口令 X.509 和第三方认证 (Radius/LDAP/AD) 等认证方式实现对移动客户端权限的确认,SVN 根据预先配置的用户权限和组策略, 开放企业内网访问权限在接入 SVN 开放权限之前, 终端 MDM 客户端 (AnyOffice 集成 ) 会对移动终端进行安全检查 / 越狱检查 / 访问策略 / 系统版本等进行检查, 以确保终端的安全可控其中 : TSM 的主要功能 : 实现对网络准入控制 / 终端安全管理 / 桌面管理等功能产品形态是 : 软 2013-11-20 华为机密, 未经许可不得扩散第 18 页, 共 31 页

件 + 服务器, 目前只支持 Windows Server2003/Windows XP/Windows7 操作系统 SACG 的主要功能 : ASG 的主要功能 :ASG(Application Security Gateway) 是华为推出的上网行为管理产品, 主要解决内部员工上网带来的工作效率低下带宽滥用恶意软件感染内部信息泄漏以及法律合规等问题 ASG 由一体化机箱和扩展接口卡组成, 提供内置风扇电源, 并支持多种扩展接口卡 SVN 的主要功能 :SVN 具有强大的 SSL VPN 功能完备的整体安全防护丰富的用户权限管理方式强大的定制开发能力灵活的组网适应能力卓越的性能电信级的可靠性设计和增强的易用功能 SVN 由一体化机箱和扩展插槽组成, 提供风扇电源其中 SVN5000 系列产品的扩展插槽支持插入加密卡 MDM 管理后台的主要功能 : 实现对终端设备的全生命周期的管理功能, 可以实现终端设备的资产注册 / 远程锁定 / 数据备份 / 数据擦除 / 数据恢复 /GPS 定位 / 软件黑白名单管控等 MDM 管理后台与 SVN2000/5000 设备集成在一起 2.4.7 华为的每一个 APP 要想进行管理, 是否需要单独开发? 即策略到应用级别? 答 : 华为的 W3 应用是华为的一个移动办公平台, 内部集成了办公内部咨询和社区 / 博客企业黄页等四类功能, 一共 19 种应用, 其中的很多类似的应用开发, 只需要重新开发配置配置文件即可支持, 开发的工作量很小行业特定的应用需要单独开发, 开发的策略需要根据应用的重要程度, 是否适合移动, 是否聚焦一线等方面进行需求识别, 并按照收益成本业务成熟度等对应用进行排序 2.4.8 安卓系统是否可以用 Office 插件? 答 : 安卓系统有多款 Office 软件, 比如 :WPS Office Quick Office 等, 支持 Word Excel Power Point 和 PDF 文档目前华为的 AnyOffice 客户端的安全邮箱已经支持 office 的 PPT xls Word 等格式的文档 2.4.9 企业应用商店发布 App 的业务流程? 答 : 如果是 ios 系统, 需要发布到苹果的 App Store, 可以采用苹果账号签名后发布到苹果 App Store 应用商店, 经过苹果审核后即可, 用户登录到苹果 App Store 即可下载安装如果只需要发布到企业内部的 App Store, 只需要使用苹果企业账户将应用签名并打包, 直接在企业 App Store 下增加应用下载链接和相关说明即可发布, 下载页面可直接点击下载相关签名打包流程可参考苹果开发者网站相关内容 2013-11-20 华为机密, 未经许可不得扩散第 19 页, 共 31 页

如果是 Andriod 系统, 需要发布到 Google Play Store, 基本流程与苹果类似, 也需要经过签名 - 打包 - 上传 - 审核的过程, 可参考 Google 开发者网站如果发布企业应用, 只需要创建一个手机的 Web 网站, 然后创建下载该应用的链接即可, 手机访问链接下载安装包后, 会自动安装该应用 2.4.10 如果使用 ios 时, 需要使用北美 APNs 服务, 是否涉及信息泄露 ( 如政府 ) 的问题? 答 : 不止华为, 所有 MDM 友商, 只要需要管理 ios 设备, 就必须通过苹果公司的 APN,APN 只是发通知消息到终端, 而不是实际的内容, 终端根据配置文件的 MDM 服务器地址去取内容消息 ( 注 :APNs Apple Push Notification Service, 要求 ios 3.0 以上版本 ) 2.4.11 目前支持 Pad 和 Phone,PC 如何支持答 : 当前是两个版本, 在智能终端上使用 AnyOffice, 在 PC 上使用安全桌面, 预计 2013 年的年底合一 2.5 移动应用 2.5.1 支持虚拟桌面功能答 : 移动安全接入网关 SVN 支持虚拟桌面, 用户可以从接入移动终端上登录 SVN 设备, 进行用户认证授权后, 即可在接入终端上经 SVN 设备访问位于内网的固定 PC 接入终端通过远程桌面协议可以远程访问固定 PC, 用户通过这种方式远程控制固定 PC, 可以运行固定 PC 上的各种软件, 进行远程办公 SVN 产品为用户远程访问固定 PC 的数据流量在互联网范围内提供加密保护虚拟桌面功能特别适用于智能终端上的移动办公应用通过使用远程桌面协议, 不需要智能终端上安装各种办公软件, 可以降低智能终端和内网服务器之间的数据流量, 减少对智能终端上运算能力的需求 2.5.2 华为移动 VDI 方案能和 VDI 融合吗? 如何做? 需要采购什么新的设备吗? 答 : 华为移动 VDI 是基于华为云平台的一种虚拟桌面应用, 实际上是 VDI 软件客户端, 通过任何与网络相连的终端, 用户使用移动 VDI 来访问跨平台的应用程序, 以及整个客户桌面, 快速实 2013-11-20 华为机密, 未经许可不得扩散第 20 页, 共 31 页

现移动化移动 VDI 只需要购买 VDI 的软客户端即可 2.5.3 移动 VDI 有什么优缺点? 答 : 移动 VDI 使用虚拟化和远程桌面投送技术, 将虚拟机桌面显示投送到用户终端上, 远程连接占用带宽小, 服务器维护内网, 访问内网数据速度快主要优点如下高安全性安全接入, 分权分域, 集中管控桌面云提供一体化的安全准入控制, 集成现有的安全规程, 依据相应的权限策略实现对不同安全域不同接入类型用户的集中管控, 保障核心数据, 以及对不同业务资源的灵活分配分权管理与审计高效体验桌面云系统提供最佳的访问体验用户不再受 PC Windows 系统频繁故障的影响实现不同网络环境的一致访问体验, 提升桌面的可用性与连续性桌面云系统简单易用, 提供友好用户界面与自助维护界面高可靠性采用先进虚拟化技术, 资源池化, 所有设备均应经过大规模组网运行验证系统的业务管理存储功能应该由独立的平面承载, 所有设备模块节点具备冗余部署能力, 确保系统及业务的可靠运行, 并且系统具有平滑扩容的能力高可服务性降低运维成本, 提高工作效率, 减轻管理维护人员的工作强度与不必要的的重复劳动桌面云系统将应用桌面的升级变更维护等工作交由后台统一管理与运行 ; 具备良好的综合定位分析及故障恢复能力, 从而降低对业务的影响主要缺点 : 1 实时在线连接虚拟桌面, 网络情况不佳是无法访问 2 需要投入额外的虚拟机的软硬件成本 3 使用手机 /Pad 上的 VDI 客户端访问虚机时, 由于屏幕较小, 以及 Windows 系统和软件对触摸屏操作支持不好, 导致操作不方便 2.5.4 华为 Pushmail 和微软 outlook 啥区别? 我还要购买微软邮件系统吗? 答 :Pushmail 指利用推送技术, 将电子邮件直接传送到移动终端的系统系统直接将电子邮箱中收到的邮件即时推送到用户的手机中, 不像传统移动邮件系统那样必须依赖移动终端定期接 / 收邮件或用户主动检查邮箱, 终端上时刻都能够与所指定的信箱维持同步的资料 2013-11-20 华为机密, 未经许可不得扩散第 21 页, 共 31 页

Outlook 是运行于 PC/ 智能终端上的邮箱客户端软件, 该软件通过定期查询邮件服务器或手动刷新客户端收件箱的方式来保持与邮件系统的同步使用华为 Pushmail 主要实现的功能是 : 链接到用户的邮件服务器, 定期查询用户邮件服务器的状态, 并将邮箱的相关状态 / 邮件等同步到用户的手机上并将用户对邮件的操作同步到邮件服务器中来实现互操作在此过程中对所有的信息进行加密传输, 确保邮件安全所以邮件系统是需要购买的, 比如 :lotus Notes/Exchage 等邮件系统 2.5.5 安全 PushMail 邮件与普通邮件软件如 Outlook Foxmail 等有什么区别? 答 :PushMail 客户端是支持 DirectPush 技术的邮件客户端 PushMail 的主要用途是为用户提供安全受控的即时邮件推送服务邮件加密, 传输加密方式支持全系列的 SSL/TLS 协议, 支持客户端 /SVN 间传输加密 ; 支持客户端 / 邮件服务器间传输加密邮件在线浏览, 支持 Office 和文本文件浏览 ; 支持压缩文件浏览 ; 支持图片文件浏览 ; 邮件控制策略, 支持邮件附件的访问转发策略控制 ; 支持邮件内容转发策略控制 ; 支持离线登录邮箱的权限策略控制本地数据加密 : 支持对 PushMail 本地数据库加密本地配置文件加密本地目录以及文件名加密本地邮件正文加密本地邮件附件加密本地数据隔离 : 通过 PushMail 添加和下载附件时, 策略控制是否允许可以从非工作目录获得或存放 2013-11-20 华为机密, 未经许可不得扩散第 22 页, 共 31 页

2.5.6 Anyoffice 客户端带的 Pushmail 邮箱, 是否能够对接企业自建邮箱和 sina 等公用邮箱两种情况? 答 :Anyoffice 集成了 pushmail 客户端,pushmail 功能就是企业自建的邮件服务器软件的一个功能组件目前 Anyoffice 自带的 pushmail 支持 IMAP ActiveSync 两种邮件协议, 支持与 Microsoft exchange IBM notes 邮件服务器的对接如果企业邮件服务器支持的协议不在支持的协议范围内, 就不能支持 Anyoffice pushmail 客户端对接 sina 等公共邮箱的场景感觉不太可能存在因为邮件服务器一般都部署企业内网 2.5.7 通过安全 PushMail 从邮件服务器获取的邮件 ( 正文附件 ) 在移动终端本地加密是如何实现的? 答 :PushMail 客户端会调用 AnyOffice 平台提供的低层数据加密接口, 对本地数据进行透明加解密也就是说 PushMail 客户端能够在在线模式和离线模式下查看安全邮件, 移动终端上其他应用无法访问和打开 PushMail 客户端下载的邮件 2.5.8 安全 PushMail 有哪些邮件控制策略? 答 :PushMail 能够对邮件发送权限进行控制, 能够对邮件附件进行控制, 包括附件上传下载转发在线浏览控制策略, 第三方浏览控制策略及邮件本地保存时间 2.5.9 通过安全 PushMail 与移动办公 AnyOffice 平台能否实现单点登录? 答 : 当 PushMail 邮件登录用户密码与移动办公 AnyOffice 平台一致时, 可以实现单点登录, 即登录 AnyOffice 平台后, 无需再次输入密码, 直接登录 PushMail 邮件系统 2.5.10 PushMail 在线浏览功能如何实现, 如果集成文档 Viewer 升级 ( 比如 Office 文档由 2003 版本升级到 2007 版本 ), 如何解决? 答 : AnyOffice 自带工具浏览时, 会判断文件类型, 调用相应的方法打开 ; 集成文档 Viewer 升级可通过升级 AnyOffice 客户端实现目前 AnyOffice 支持 Office 文本图片压缩文件等办公所需文档格式的在线或离线安全浏览, 实现公司数据与个人数据的隔离 2013-11-20 华为机密, 未经许可不得扩散第 23 页, 共 31 页

2.5.11 华为安全 Pushmail 是否可实现微软的 Exchange 和 IBM 的 Lotus Notes, 如何实现? 答 : 安全 Pushmail 兼容微软的 Exchange 2007 2010 服务器, 支持 IBM Lotus Notes 8.0 8.5 邮件服务器通过 IMAP 协议实现接收邮件,SMTP 协议实现发送邮件, 其中 Exchang 邮件系统的日历联系人同步通过 EWS 协议实现,Notes 邮件系统的日历联系人同步通过 EAS 协议实现 2.5.12 华为移动办公 Push Mail 邮件功能需实现日历联络人功能, 是否需要每次登录更新? 答 : 目前 Pushmail 每次登录时会同步一次日历和联络人 ( 只同步个人联络人 ), 之后日历会实时更新日历功能允许用户通过电子邮件的方式发送会议请求收信人使用支持日历功能的邮件客户端时, 可以将会议请求同步到日程安排中, 并可按照日历设置进行会议或任务提醒 2.5.13 安全浏览器与常见浏览器如 UC Firefox Chrome Safari 有何区别? 答 : 安全浏览器是的华为自研浏览器, 支持 Android 4.0 以上 ios 5.0 移动平台提供安全沙箱, 支持 Office 文本图片压缩文件等办公所需文档格式的在线或离线安全浏览, 实现公司数据与个人数据的隔离 ; 提供数据加解密保护, 支持离线资源密码下载的文件访问历史 Cookies 和临时文件的在线加解密能力 ; 在退出浏览器时, 可按照策略自动清理缓存和配置支持访问行为管控, 基于 URL 黑白名单的管控, 并根据策略限制文件上传下载和保存等行为 ; 安全浏览器用来从外网访问企业内网 (Intranet), 数据报文采用密文, 而普通浏览器一般用来访问互联网 (Internet), 数据报文采用明文 2.5.14 安全浏览器的安全沙箱技术是否安全, 能否真正实现数据隔离? 答 : 安全浏览器是基于浏览器内核的华为自研浏览器安全浏览器的主要用途是为用户提供安全浏览企业 Intranet 网站内容的能力安全浏览器底层通过 VPN 或内置应用层隧道与企业移动接入网络建立加密隧道, 在用户浏览企业 Intranet 网站时提供安全通信防护针对于智能终端和 Pad 设备的屏幕尺寸和操作特点, 安全浏览器提供以下功能, 为用户提 2013-11-20 华为机密, 未经许可不得扩散第 24 页, 共 31 页

供优质体验流量精简 : 可根据策略设置, 禁止网页加载图片, 节省流量 ; 数据保护 : 支持离线资源密码下载的文件访问历史 Cookies 和临时文件的在线加解密能力 ; 在退出浏览器时, 可按照策略自动清理缓存和 Cookies; 文档沙箱浏览 : 支持 Office 文本图片压缩文件等办公所需文档格式的在线或离线安全浏览, 实现公司数据与个人数据的隔离访问行为管控 : 基于 URL 黑白名单的管控, 限制企业内网 Web 站点资源的访问 2.5.15 安全浏览器支持哪些页面类型及通讯协议? 答 : 安全浏览器支持 HTML/SHTML/XHTML/DHTML 页面访问, 支持 HTTP(1.0,1.1) HTTPS (TLS1.0,SSL2.0,SSL3.0) 协议 2.5.16 安全 Pushmail 邮件支持哪些邮件协议? 答 : 支持 SMTP IMAP4 EWS ActiveSync 邮件协议 ; 支持通过 SSL/TLS 协议对客户端 / 网关, 客户端 / 邮件服务器间邮件传输进行加密 2.5.17 SDK 有哪些成功应用集成案例? 1) AnyOffice AnyOffice 就是一个集成了安全 SDK 的典型应用,AnyOffice 内置的安全浏览器和安全邮件两大功能模块共用了安全 SDK 提供的数据加密传输接口进行 VPN 隧道的建立 WEB 业务数据和邮件数据的加密传输, 共用安全 SDK 提供的文件加解密接口进行了邮件正文邮件附件浏览器下载文件等的本地加密存储 2) UC UC 是华为推出的一款 IM 软件, 它具有即时消息文件传输音频及多方会议语音通话等丰富的功能, 目前, 它已推出了移动客户端, 支持 ios4.0 及以上版本 (iphone 3GS/iPhone 4G),Android 2.1 及以上版本 ( 如 HTC G12/Huawei U8800 等 ) 目前,eSpace 的移动客户端也已集成了安全 SDK, 具备了加密数据传输能力 2.5.18 SDK 安全组件是否能和具体应用集成, 具有良好的终端平台兼容性? 答 : 通过华为公司的 Dopra 抽象层和各个具体的操作系统适配对接 ( 目前, 支持的操作系统包 2013-11-20 华为机密, 未经许可不得扩散第 25 页, 共 31 页

括 ios Android Windows), 屏蔽底层操作系统的差异, 向上提供统一的本地加解密接口数据加密传输接口, 方便各类自研及第三方的应用集成, 使之具备数据加密传输本地数据加密等能力 2.5.19 安全 SDK 是否必须依靠 anyoffice 客户端才能工作? 答 : 不是, 安全 SDK 是 SVN 为移动应用提供安全沙箱能力的软件开发包,SVN 是保障安全 SDK 运行的服务端设备任何移动应用客户端都可以通过集成安全 SDK 提供 VPN 加密传输本地数据 / 文件加解密功能安全 SDK 与 SVN 是强绑定, 安全 SDK 不依赖 anyoffice 客户端 2.5.20 安全 SDK 提供哪些 API 调用接口? 口? 答 : 发布的安全 SDK 版本支持 SOCKET HTTP 开发接口, 即将发布的版本支持 Java C 接 2.5.21 第三方移动应用开发商如何获取安全 SDK? 是否有开发手册? 答 : 参见 SVN 多媒体隧道客户端组件集成开发手册介绍, 有关于集成步骤与 API 详细介绍 2.6 安全认证 2.6.1 动态隧道功能和数据加解密功能, 必须实现周期性的密钥更新答 : 移动安全接入网关通过动态地建立 SSL 隧道来实现与客户端之间的通信, 同时支持多种密码算法, 包括加密算法 :3DES/DES RC4 AES,Hash 算法 :MD5 SHA-1, 非对称密码算法 : RSA, 保障了数据传输的安全性完整性默认采用 AES-256 加密算法进行加密, 默认密钥更新周期 5 分钟, 可设置范围 1-1440 分钟 2.6.2 华为安全认证采用的是哪种模式? 答 : 本地接入认证系统由安全接入网关设备 SVN anyoffice 客户端后台 X86 数据库服务器构成支持与客户已有的认证系统 LDAP/AD /Radius/SecurID /CFCA 联动构成统一接入认证系统, 即 : 1) RADIUS(Remote Authentication Dial in User Service ) 远端用户拨入鉴权服务, 原 2013-11-20 华为机密, 未经许可不得扩散第 26 页, 共 31 页

先设计的目的是为拨号用户进行认证和计费后来经过多次改进, 形成了一项通用的认证计费协议, 主要完成在网络接入设备和认证服务器之间承载认证授权计费和配置信息 RADIUS 协议应用范围很广, 包括普通电话上网业务计费, 对 VPN 的支持可以使不同的拨入服务器的用户具有不同权限 ; 2) LDAP(Lightweight Directory Access Protocol ) 轻量级目录访问协议, 是目录访问协议的一种,LDAP 基于 TCP/IP 的跨平台的标准协议, 主要特点 : 采用树型层次式结构表示在系统中的单点集中 ( 不指物理位置 ) 管理资源, 可实现单一登入点, 读多于写, Client/Server 逻辑结构, 信息可分布存储, 可动态添加和修改信, 安全访问和信息传输安全等 ; 3) AD(Active Directory ) 即活动目录, 目录服务是在分布式计算机环境中, 定位和标识用户以及可用的各网络元素和网络资源, 并提供搜索功能和权限管理功能的服务机制微软的活动目录 (AD) 是一种完善的适应性强的目录服务, 它允许用户进行很高程度上的修改以便满足特殊的商业和机构需求, 活动目录可以让企业有效的共享和管理网络资源和用户信息 AD 局限于 Windows 应用, 没有严格符合 LDAP 标准, 主要用于 Windows 系统一级, 如文件共享打印服务, 不能作为大型应用的核心 LDAP 服务器 4) 动态口令 ( 硬件 / 软件令牌, 令牌上的显示动态变化的伪随机码, 其密钥种子与后台密码服务器保持同步, 动态口令一分钟一变 ) 以上四种认证方式都需要部署第三方认证系统, 用户的账号密码信息配置在外部认证服务器上 ; 用户登录时, 输入账号密码, 通过 SSL 加密隧道发到 SVN 网关上, 由 SVN 解密后转发给认证服务器 ; 认证服务器将验证结果返回给 SVN,SVN 根据认证结果允许或拒绝用户登录 VPN 本地口令 : 用户账号密码信息存储在移动安全接入网关 SVN 本地 X.509*: 用户登录时, 首先通过该用户证书颁发者 CA 验证证书是否合法, 然后判断该证书是否过期失效或者被其颁发者撤销, 通过验证的用户才允许登录 ;( 华为 AnyOffice 本 2013Q4 版本支持 ) 2.6.3 华为认证为什么采用证书模式? 答 :SVN 本地认证支持的证书类型如下, 同时 SVN 支持与第三方 CA 服务器联动, 未来版本可支持的 CA 证书类型 2013-11-20 华为机密, 未经许可不得扩散第 27 页, 共 31 页

2.6.4 认证过程需要哪些认证信息? 答 : 不同认证方式需要的认证信息不同, 具体如下 : 本地认证 : 用户名密码终端硬件特征绑定 :MAC 地址设备 ID 数字证书 :CA 证书密钥 ( 如 USB-Key) SecurID: 动态口令短信认证 : 2.6.5 请介绍下认证过程? 答 : 以 802.1X 认证为例, 解释接入设备与 Radius 认证服务器的联动过程,SVN 作为接入网关, 与 radius 认证服务器的联动过程与此类似, 认证过程如下 : (1) 客户端向接入设备发送一个 EAPoL-Start 报文, 开始 802.1x 认证接入 ; (2) 接入设备向客户端发送 EAP-Request/Identity 报文, 要求客户端将用户名送上来 (3) 客户端回应一个 EAP-Response/Identity 给接入设备的请求, 其中包括用户名 (4) 接入设备将 EAP-Response/Identity 报文封装到 RADIUS Access-Request 报文中, 发送给认证服务器 (5) 认证服务器产生一个 Challenge, 通过接入设备将 RADIUS Access-Challenge 报文发送给客户端, 其中包含有 EAP-Request/MD5-Challenge (6) 接入设备通过 EAP-Request/MD5-Challenge 发送给客户端, 要求客户端进行认证 (7) 客户端收到 EAP-Request/MD5-Challenge 报文后, 将密码和 Challenge 做 MD5 算法后的 Challenged-Pass-word, 在 EAP-Response/MD5-Challenge 回应给接入设备 (8) 接入设备将 Challenge,Challenged Password 和用户名一起送到 RADIUS 服务器, 由 RADIUS 服务器进行认证 (9) RADIUS 服务器根据用户信息, 做 MD5 算法, 判断用户是否合法, 然后回应认证成功 / 失败报文到接入设备如果成功, 携带协商参数, 以及用户的相关业务属性给用户授权如果认证失败, 则流程到此结束 (10) 如果认证通过, 用户通过标准的 DHCP 协议 ( 可以是 DHCP Relay), 通过接入设备获取规划的 IP 地址 (11) 如果认证通过, 接入设备发起计费开始请求给 RADIUS 用户认证服务器 (12) RADIUS 用户认证服务器回应计费开始请求报文用户上线完毕 2013-11-20 华为机密, 未经许可不得扩散第 28 页, 共 31 页

2.6.6 CA 认证和华为的 SDK 方案有啥区别? 答 :CA 认证是标准的第三方认证, 通过证书保证终端用户不是非法用户, 华为安全 SDK 是确保终端上的企业数据安全, 以及在访问企业内网过程中数据传输的安全 2.6.7 在访问接入控制点上华为的安全机制是什么? 答 : 在企业内部 WLAN 继而控制上使用下面几种认证方式, 一般来说 : 哑终端通过 MAC 认证接入, 办公区域通过 802.1X 或 Portal 认证接入, 访客区域通过 Portal 认证接入, 多种认证技术保证 Wi-Fi 终端安全接入, 从源头上消除安全威胁 Portal 认证 : 也称为 Web 认证通过 Web 认证页面, 输入用户帐号信息, 实现对用户身份的认证无需客户端, 安全性稍低, 广泛应用于园区网中 802.1X 认证 : 使用 EAP(Extensible Authentication Protocol) 认证协议, 实现客户端设备端和认证服务器之间认证信息的交换需客户端支持, 安全性高, 园区网主推方案 MAC 认证 :MAC 地址作为身份凭据到认证服务器进行认证主要用于 IP 电话打印机等哑终端设备 PPPoE 认证 :PPPoE 实现广播链路上点对点通讯的协商, 通过拨号软件输入用户信息到远端服务器进行认证需客户端支持, 一般用于运营商网络, 企业网不推荐使用 2.6.8 移动设备内外网接入有什么差别? 答 : 内网接入移动设备可以直接访问内网业务系统或服务器, 不需要建 VPN 隧道用户通过接入认证之后, 直接通过应用客户端与应用服务器交互, 不需要 VPN 中转当然内网场景也可以通过策略配置, 要求通过 VPN 方式访问内网外网接入时, 所有应用系统的访问必须通过 SVN(VPN), 客户端的数据先加密, 通过 VPN 隧道到达 SVN 设备, 再解密后由 SVN 再传递到应用服务器 2.7 产品特性 2.7.1 支持 SSL 加速和 HTTP 压缩答 : 满足通过使用专用的 SSL 高速硬件加密芯片, 使数据加密对系统运行速度的影响降至最低支持 HTTP 压缩 2013-11-20 华为机密, 未经许可不得扩散第 29 页, 共 31 页

2.7.2 支持 SSL 通信协议 SSL3.0 和 TLS1.0 答 : 满足 SSL 加密传输支持的 SSL 协议版本有 SSL2.0 SSL3.0 和 TLS1.0 2.7.3 支持 SSL 加速答 : 移动安全接入网关 SVN 提供 SSL 加速功能, 可以在 Web 服务器前部署 SVN 网关, 用户通过 HTTPS 协议访问 Web 服务器时,HTTPS 协议涉及的 SSL 加解密操作可以在 SVN 网关上完成, 然后 SVN 网关通过 HTTP 协议与 Web 服务器交互通过将 SSL 加解密操作从原本 Web 上执行转移至 SVN 网关上执行, 降低了对 Web 服务器上运算能力的要求, 使得 Web 服务器可以更加关注 Web 业务, 能够提供更高的用户访问能力 2.7.4 支持 Anti-DDOS 功能答 : 满足移动办公安全解决方案通过 USG 支持丰富的 Anti-DDOS 功能, 包括以下内容防范多种 DoS 和 DDoS 攻击 :SYN Flood ICMP Flood UDP Flood Get Flood WinNuke ICMP 重定向和不可达报文 Land Smurf Fraggle IP Spoofing 等 ; 防范扫描窥探 : 包括地址扫描端口扫描 IP 源站选路选项 IP 路由记录选项时间戳刺探路由 ; 畸形报文攻击 : 畸形 IP 分片报文畸形 TCP 报文超大 ICMP 报文 TearDrop Ping Of Death; 2.7.5 华为 L4VPN 指的是什么安全机制? 答 :L4VPN 是基于虚拟协议栈, 实现基于应用的安全通道协议, 应用程序调用安全 SDK 可实现应用层数据直接封装进入加密隧道 2.7.6 L3VPN 与 L4VPN 在移动终端数据传输模式有何差异?L4VPN 相对 L3VPN 有何优势? 答 :L3VPN 基于网络层的隧道,L4VPN 基于应用专属 VPN, 如安全邮件, 只有邮件应用被开启隧道去收发邮件, 终端上其他应用无法使用该隧道 2013-11-20 华为机密, 未经许可不得扩散第 30 页, 共 31 页

采用 L3VPN 登录模式时, 移动终端上所有软件 ( 包括病毒木马 ) 都可以通过 L3VPN 隧道访问企业内网 ; 采用 L4VPN 登录模式时, 只有集成 SDK 的安全应用才可以通过 L4VPN 隧道访问企业内网 L4VPN 只对集成 SDK 的安全应用, 向内网传输业务数据, 同时数据到达网络层之前就已经经过加密, 能够有效防止病毒木马进行侦听和嗅探 2013-11-20 华为机密, 未经许可不得扩散第 31 页, 共 31 页