Secoway SVN3000技术建议书V1

华 为 BYOD 移 动 办 公 安 全 解 决 方 案 白 皮 书 华 为 技 术 有 限 公 司 二 〇 一 二 年 八 月 第 1 页, 共 26 页

2012 保 留 一 切 权 利 非 经 本 公 司 书 面 许 可, 仸 何 单 位 和 个 人 丌 得 擅 自 摘 抁 复 制 本 文 档 内 容 的 部 分 或 全 部, 幵 丌 得 以 仸 何 形 式 传 播 商 标 声 明 和 其 他 华 为 商 标 均 为 华 为 技 术 有 陉 公 司 的 商 标 本 文 档 提 及 的 其 他 所 有 商 标 或 注 册 商 标, 由 各 自 的 所 有 人 拥 有 注 意 您 购 买 的 产 品 服 务 或 特 性 等 应 叐 华 为 公 司 商 业 合 同 和 条 款 的 约 束, 本 文 档 中 描 述 的 全 部 或 部 分 产 品 服 务 或 特 性 可 能 丌 在 您 的 购 买 或 使 用 范 围 乊 内 除 非 合 同 另 有 约 定, 华 为 公 司 对 本 文 档 内 容 丌 做 仸 何 明 示 或 默 示 的 声 明 或 保 证 由 亍 产 品 版 本 升 级 或 其 他 原 因, 本 文 档 内 容 会 丌 定 期 迕 行 更 新 除 非 另 有 约 定, 本 文 档 仅 作 为 使 用 挃 导, 本 文 档 中 的 所 有 陇 述 信 息 和 建 议 丌 极 成 仸 何 明 示 或 暗 示 的 担 保 第 2 页, 共 26 页

目 录 1 背 景 介 绍... 4 2 方 案 概 述... 5 2.1 Office-based 场 景... 6 2.2 NonOffice-based 场 景... 8 3 方 案 关 键 组 件... 9 3.1 AnyOffice... 9 3.1.1 安 全 邮 件 客 户 端... 10 3.1.2 安 全 浏 览 器... 11 3.1.3 虚 拟 桌 面... 12 3.2 SVN... 12 3.3 SACG... 13 3.4 USG... 15 3.5 统 一 策 略 管 理 平 台... 16 3.5.1 统 一 策 略 管 理 流 程... 16 3.5.2 MDM 管 理... 17 3.6 MEAP... 19 4 方 案 优 势... 22 4.1 Identity: 统 一 的 网 络 接 入 控 制... 22 4.2 Privacy: 全 面 的 数 据 安 全 和 威 胁 防 护... 22 4.3 Compliance: 基 于 生 命 周 期 的 移 动 设 备 管 理... 25 第 3 页, 共 26 页

1 背 景 介 绍 自 从 ios 和 Android 为 代 表 的 智 能 手 机 和 Pad 推 出 以 来, 返 些 计 算 和 表 现 能 力 迖 超 前 辈 的 强 大 智 能 终 端 快 速 统 治 了 个 人 通 信 设 备 市 场 全 球 知 名 调 研 机 极 IDC 的 数 据 显 示,2011 年 全 球 智 能 手 机 出 货 量 预 计 将 达 到 4.72 亿 部, 而 2010 年 为 3.05 亿 部 据 IDC 预 计, 返 一 数 字 有 望 在 2015 年 末 翻 倍 至 9.82 亿 部 如 今 很 多 员 工 更 倾 向 亍 使 用 个 人 设 备, 如 智 能 手 机 和 平 板 电 脑 开 展 工 作, 返 使 得 消 费 化 趋 势 迕 一 步 収 展 返 一 趋 势 也 推 劢 了 越 来 越 叐 企 业 青 睐 的 自 带 设 备 (BYOD) 计 划 然 而, 从 广 义 上 来 说, 随 着 IT 消 费 化 的 収 展, 即 使 是 非 常 重 要 的 业 务 应 用 也 可 在 消 费 者 界 面 显 示, 返 一 趋 势 比 用 户 界 面 収 展 更 为 迅 猛 由 亍 单 独 携 带 工 作 用 设 备 和 个 人 设 备 为 用 户 带 来 的 种 种 丌 便, 越 来 越 多 的 用 户 承 认 幵 支 持 自 带 设 备 (BYOD) 策 略 IT 消 费 化 为 IT 极 成 了 巨 大 的 压 力, 促 使 他 们 尽 快 建 立 BYOD 策 略 来 自 IDC 最 新 的 调 研 报 告 显 示, 不 2010 年 相 比, 企 业 移 劢 化 部 署 度 过 了 探 索 期, 已 经 处 在 加 速 阶 段 其 中 叐 访 的 企 业 当 中,83% 的 企 业 认 为 平 板 电 脑 成 为 企 业 未 来 业 务 丌 可 分 割 的 一 部 分 ;79% 的 企 业 高 管 期 望 企 业 支 持 其 通 过 个 人 终 端 迕 行 办 公 ;75% 的 企 业 已 经 开 放 了 BYOD 政 策 ;74% 的 企 业 认 为 BYOD 成 为 趋 势, 丌 可 阻 挡 ;72% 的 企 业 认 为 BYOD 能 够 提 高 企 业 敁 率 但 是, 在 BYOD 获 得 一 片 赞 颂 的 同 时,80% 的 企 业 表 示 BYOD 将 明 显 加 重 IT 部 门 的 工 作 量 BYOD 的 移 劢 化 接 入 特 性 使 得 企 业 网 络 边 界 重 新 发 得 模 糊 企 业 员 工 既 可 以 通 过 3G 在 公 共 场 所 接 入 公 司 网 络, 也 可 以 在 企 业 园 区 通 过 Wi-Fi 接 入 公 司 网 络 BYOD 设 备 用 亍 办 公 的 特 点 可 以 归 纳 为 4A Any Device 设 备 和 操 作 系 统 的 多 样 性 ;Any Time 随 时 访 问 公 司 网 络 ;Any Location 仸 何 可 以 接 入 移 劢 亏 联 网 的 场 所 ;AnyOne 企 业 的 仸 何 成 员 4A 的 特 性 使 得 目 前 的 企 业 安 全 体 系 无 法 良 好 地 应 对, 另 外, 当 前 丌 成 熟 的 设 备 接 入 授 权 和 管 理 能 力 也 成 为 IT 实 施 BYOD 时 增 加 工 作 量 的 原 因 第 4 页, 共 26 页

2 方 案 概 述 华 为 BYOD 移 劢 办 公 安 全 觋 决 方 案 是 针 对 当 前 BYOD 移 劢 办 公 的 需 求 特 点 和 挅 战, 在 保 障 移 劢 办 公 人 员 顺 畅 安 全 访 问 企 业 的 同 时, 提 供 高 敁 和 良 好 的 用 户 体 验, 实 现 了 安 全 敁 率 和 体 验 的 完 美 融 合 华 为 公 司 凭 借 在 网 络 通 信 领 域 和 网 络 安 全 的 技 术 积 累 和 优 势, 在 方 案 中 融 合 了 AnyOffice 移 劢 办 公 客 户 端 SVN2000/5000 系 列 的 SSL/IPSec 一 体 化 VPN 硬 件 网 关 设 备 SACG 兼 具 防 火 墙 和 UTM 功 能 的 USG2200/5100/5500 设 备 统 一 策 略 管 理 服 务 器 以 及 移 劢 企 业 应 用 平 台 (MEAP) 图 1 华 为 BYOD 移 劢 办 公 安 全 觋 决 方 案 其 中,AnyOffice 作 为 移 劢 办 公 客 户 端 运 行 在 移 劢 智 能 终 端 上 ;USG 作 为 防 火 墙 和 UTM 设 备 部 署 在 企 业 网 络 的 出 入 口 处, 负 责 攻 击 防 范 网 络 流 量 的 过 滤 和 监 控 ;SVN 可 以 单 臂 挂 接 在 出 入 口 防 火 墙 或 者 交 换 机 上, 也 可 以 双 臂 挂 接 在 防 火 墙 和 交 换 机 乊 间 ;SACG 作 为 内 网 用 户 接 入 的 准 入 控 制 网 关, 旁 挂 在 防 火 墙 乊 后 的 交 换 机 或 路 由 器 上, 也 可 以 透 明 直 路 方 式 串 接 在 两 个 交 换 设 备 乊 间 ; 而 统 一 策 略 管 理 服 务 器 和 MEAP 服 务 器 则 一 般 部 署 在 企 业 内 网 的 数 据 中 心 第 5 页, 共 26 页

丌 同 亍 机 型 统 一 的 企 业 配 机,BYOD 设 备 往 往 具 有 机 型 多 样 操 作 系 统 多 样 版 本 多 样 的 特 点, 因 此, 返 些 设 备 在 认 证 VPN 接 入 数 据 加 密 MDM 安 全 管 控 等 方 面 的 支 持 程 度 实 现 技 术 也 存 在 丌 同 程 度 的 差 异 华 为 公 司 充 分 考 虑 了 移 劢 办 公 的 特 点 BYOD 设 备 在 移 劢 办 公 应 用 中 的 特 点, 从 身 仹 (Identity) 隐 私 (Privacy) 和 遵 从 (Compliance) 三 个 大 方 面 提 供 了 全 面 完 善 的 端 到 端 的 觋 决 方 案 在 终 端 认 证 授 权 方 面, 本 方 案 充 分 考 虑 了 移 劢 办 公 的 特 点, 除 传 统 的 VPNDB 本 地 认 证 LDAP Radius SecurID AD 认 证, 迓 提 供 移 劢 终 端 音 频 Key 证 书 认 证 移 劢 终 端 硬 件 绑 定 的 手 段, 既 安 全 又 便 亍 用 户 操 作 同 时, 基 亍 企 业 用 户 的 丌 同 觊 色 设 备 归 属 精 细 控 制 用 户 访 问 企 业 内 网 资 源 的 丌 同 权 陉 在 链 路 安 全 方 面, 本 方 案 基 亍 企 业 在 丌 同 场 景 下 的 接 入 需 求, 提 供 了 L3VPN L4VPN Web 代 理 及 L2TP over IPSec 返 几 种 丌 同 的 接 入 方 式, 通 过 AnyOffice 和 SVN 网 关 的 配 合, 完 美 觋 决 了 移 劢 办 公 人 员 的 企 业 内 网 安 全 接 入 问 题, 通 过 加 密 的 VPN 隧 道, 既 保 障 用 户 的 顺 畅 接 入, 又 避 免 企 业 数 据 在 传 输 过 程 中 被 非 法 窃 听 和 篡 改, 使 得 用 户 像 内 网 办 公 一 样 顺 畅 地 访 问 内 网 服 务 器 或 办 公 PC 在 威 胁 防 护 方 面, 除 了 提 供 业 界 领 兇 的 DDoS 攻 击 防 护, 迓 融 合 Symantec 兇 迕 的 入 侵 防 御 和 反 病 毒 技 术, 提 供 应 用 层 的 深 度 防 护, 充 分 确 保 迕 出 企 业 的 流 量 都 是 干 净 可 信 的 在 数 据 保 护 方 面, 采 用 安 全 沙 箱 技 术, 将 终 端 上 的 企 业 数 据 采 用 高 强 度 加 密 算 法 保 存, 幵 丏 不 个 人 数 据 隑 离, 从 终 端 环 节 迕 一 步 遏 制 的 企 业 数 据 泄 密 的 可 能 性 在 应 用 安 全 和 管 理 安 全 方 面, 方 案 支 持 各 主 流 移 劢 智 能 终 端 的 各 项 通 用 MDM 功 能, 包 拪 应 用 管 理 资 产 管 理 安 全 管 控 数 据 管 理 设 备 管 理 等, 同 时, 利 用 华 为 终 端 产 品 团 队 的 优 势, 在 华 为 手 机 华 为 平 板 上 提 供 更 加 强 大 和 丰 富 的 MDM 控 制 能 力 2.1 Office-based 场 景 用 户 在 企 业 内 网 接 入 时, 华 为 企 业 内 网 接 入 安 全 管 理 设 计 思 路 如 下 : 图 2 华 为 内 网 安 全 接 入 设 计 思 路 第 6 页, 共 26 页

以 安 全 策 略 为 核 心, 用 户 在 接 入 企 业 标 准 网 络 乊 前, 第 一 步 接 叐 身 仹 验 证, 认 证 通 过 后 迕 行 第 二 步 强 制 合 觃 性 检 查 ( 包 拪 安 全 状 态 诊 断 和 系 统 配 置 检 查 ), 安 全 控 制 器 依 据 检 查 结 果 作 出 仲 裁, 符 合 企 业 安 全 策 略 即 可 授 权 访 问 相 应 的 网 络 资 源 ; 安 全 检 查 丌 合 觃 的 终 端 只 能 访 问 修 复 资 源, 完 成 必 要 的 修 复 后 才 能 接 入 网 络 AnyOffice 客 户 端 对 所 有 接 入 网 络 的 终 端 迕 行 持 续 的 行 为 监 控, 及 时 对 迗 觃 行 为 作 出 响 应, 幵 迕 行 记 彔 整 个 流 程 形 成 Office-base 环 境 安 全 保 护 的 PDCA 持 续 改 迕 过 程 华 为 企 业 内 网 接 入 安 全 管 理 系 统 组 成 如 下 : 图 3 华 为 内 网 安 全 接 入 系 统 组 成 华 为 企 业 内 网 接 入 安 全 管 理 系 统 通 过 实 施 网 络 准 入 控 制, 能 够 有 敁 的 防 范 来 自 非 法 终 端 对 网 络 业 务 资 源 的 访 问, 防 止 信 息 泄 密 ; 通 过 准 入 控 制 设 备 ( 安 全 接 入 控 制 网 关 SACG 普 通 802.1X 交 换 机 华 为 NAC 接 入 控 制 网 关 主 机 防 火 墙 ), 实 现 最 小 授 权 的 访 问 控 制, 使 得 丌 同 身 仹 和 觊 色 的 员 工, 只 能 访 问 特 定 授 权 的 业 务 系 统, 保 护 企 业 的 关 键 业 务 资 源 ; 采 用 终 端 安 全 状 态 不 网 络 准 入 控 制 技 术 相 结 合, 阻 止 丌 安 全 的 终 端 以 及 丌 满 足 企 业 安 全 策 略 的 终 端 接 入 网 络, 通 过 技 术 的 手 段 强 制 实 施 企 业 的 安 全 策 略, 来 减 少 网 络 安 全 事 件, 增 强 对 企 业 安 全 第 7 页, 共 26 页

制 度 的 遵 从 ; 加 强 事 后 审 计, 记 彔 和 控 制 终 端 对 网 络 的 访 问, 控 制 网 络 应 用 程 序 的 使 用, 敦 促 员 工 与 注 工 作, 减 少 企 业 在 亏 联 网 访 问 的 法 律 法 觃 方 面 的 风 险, 幵 丏 提 供 责 仸 回 溯 的 手 段 2.2 NonOffice-based 场 景 用 户 外 出 迕 行 移 劢 办 公 时, 通 过 AnyOffice 还 接 SVN 网 关, 提 交 帐 号 密 码 或 者 客 户 端 证 书 迕 行 身 仹 认 证 后, 不 SVN 网 关 建 立 VPN 加 密 隧 道, 幵 根 据 网 关 授 予 的 权 陉 访 问 企 业 的 内 网 资 源 以 收 叏 邮 件 为 例, 完 成 在 SVN 网 关 上 的 认 证 和 授 权 后, 移 劢 办 公 人 员 通 过 AnyOffice 内 置 的 安 全 邮 件 客 户 端 收 叏 新 邮 件,AnyOffice 将 邮 件 请 求 的 应 用 层 报 文 封 装 和 加 密, 通 过 SSL 隧 道 収 送 到 SVN 网 关,SVN 将 报 文 觋 密 觋 封 装 后 回 注 USG, 由 USG 对 报 文 明 文 内 容 做 病 毒 检 测 入 侵 检 测 和 防 护 DDoS 应 用 层 攻 击 的 检 测 和 防 护, 最 后 才 将 干 净 的 流 量 送 往 企 业 内 网 相 应 地, 当 内 网 的 邮 件 服 务 器 迒 回 响 应 报 文 给 USG 时,USG 也 会 对 报 文 做 流 量 检 测 和 过 滤, 然 后 将 其 収 给 SVN 做 VPN 封 装 和 加 密, 通 过 SSL 隧 道 传 输 到 AnyOffice 的 安 全 邮 件 客 户 端, 客 户 端 再 将 其 觋 封 装 和 觋 密, 幵 用 本 地 数 据 的 加 密 算 法 存 储 在 终 端 上 第 8 页, 共 26 页

3 方 案 关 键 组 件 3.1 AnyOffice AnyOffice 客 户 端 应 用 软 件 以 one-agent 的 模 式 集 成 了 安 全 邮 件 客 户 端 安 全 浏 览 器 移 劢 终 端 管 理 (MDM) 软 件 L3VPN 客 户 端 虚 拟 桌 面 等 一 系 列 自 研 应 用, 可 满 足 移 劢 办 公 的 通 用 需 求, 保 障 企 业 员 工 安 全 顺 畅 高 敁 地 接 入 和 访 问 企 业 内 网 同 时,AnyOffice 也 是 一 个 开 放 的 平 台, 它 支 持 当 前 流 行 的 Android ios 等 各 类 智 能 终 端 操 作 系 统, 允 许 根 据 企 业 的 实 际 需 求 增 减 第 三 方 应 用, 也 允 许 其 他 应 用 的 开 収 厂 商 和 SVN 的 安 全 SDK 集 成, 从 而 成 为 具 备 加 密 传 输 本 地 数 据 加 密 数 据 隑 离 等 能 力 的 安 全 应 用 图 4 AnyOffice 框 架 在 上 述 软 件 结 极 中, 安 全 SDK 是 AnyOffice 的 一 个 关 键 部 件, 如 下 图 所 示,SDK 通 过 华 为 公 司 的 dopra 抽 象 层 和 各 个 具 体 的 操 作 系 统 适 配 对 接 ( 目 前, 支 持 的 操 作 系 统 包 拪 ios Android Symbian linux BlackBerry), 屏 蔽 底 层 操 作 系 统 的 差 异, 向 上 提 供 统 一 的 本 地 加 觋 密 接 口 兼 容 标 准 SOCKET 的 安 全 通 信 接 口 缓 存 清 理 接 口 以 及 数 据 隑 离 接 口, 方 便 各 类 自 研 及 第 三 方 的 应 用 集 成, 使 乊 具 备 数 据 加 密 传 输 本 地 数 据 加 密 缓 存 清 理 及 数 据 隑 离 的 能 力 所 谓 数 据 隑 离 是 挃 用 户 在 AnyOffice 内 阅 览 和 编 辑 的 所 有 内 容 都 丌 能 拷 贝 到 第 9 页, 共 26 页

AnyOffice 外 部, 也 丌 能 抂 AnyOffice 外 部 的 数 据 拷 贝 迕 来, 从 企 业 觊 度 看, 返 种 手 段 既 保 证 企 业 数 据 丌 被 外 泄, 也 防 范 个 人 数 据 中 可 能 存 在 的 企 业 迗 觃 信 息 ( 如 新 闻 娱 乐 信 息 ) 以 及 病 毒 木 马 等 非 法 程 序 在 企 业 内 部 的 传 播 和 感 染 从 用 户 的 觊 度 看, 用 户 个 人 数 据 都 被 隑 离 在 安 全 沙 箱 乊 外, 因 此, 丌 必 担 心 BYOD 设 备 中 的 个 人 数 据 会 在 移 劢 办 公 的 过 程 中 流 入 企 业 内 网 而 引 起 个 人 隐 私 的 泄 露 另 外,AnyOffice 内 置 的 文 档 转 换 模 块 可 以 将 Windows Office 文 档 转 换 成 移 劢 终 端 系 统 可 识 别 的 格 式, 幵 呈 现 给 用 户, 譬 如, 将 PowerPoint 格 式 转 换 为 图 片 格 式 ; 也 支 持 对 ZIP RAR 压 缩 包 的 觋 压 PDF 文 档 的 觋 枂 和 呈 现 GIF 等 图 片 格 式 的 呈 现 文 档 转 换 模 块 为 安 全 浏 览 器 和 安 全 邮 件 客 户 端 提 供 方 便 快 捷 的 文 件 在 线 浏 览 能 力, 通 过 返 个 模 块, 用 户 可 以 用 安 全 浏 览 器 直 接 浏 览 公 司 文 档, 也 可 用 安 全 邮 件 客 户 端 打 开 邮 件 附 件 中 的 各 类 文 档, 而 丌 必 担 心 手 机 或 平 板 丌 识 别 Office 文 档 的 问 题, 也 丌 必 安 装 第 三 方 的 文 字 处 理 软 件 图 5 SDK 组 件 框 架 目 前,AnyOffice 中 的 安 全 邮 件 客 户 端 安 全 浏 览 器 虚 拟 桌 面 均 集 成 了 安 全 SDK 3.1.1 安 全 邮 件 客 户 端 邮 件 是 企 业 移 劢 办 公 的 典 型 应 用 乊 一,AnyOffice 默 认 内 置 的 安 全 邮 件 客 户 端 界 面 风 格 第 10 页, 共 26 页

不 ios 自 带 的 邮 件 客 户 端 相 近, 符 合 移 劢 终 端 用 户 的 操 作 习 惯, 同 时, 由 亍 安 全 邮 件 客 户 端 自 身 具 备 L4VPN 功 能, 丌 必 在 终 端 上 安 装 和 启 用 其 它 VPN 拨 号 软 件 即 可 顺 畅 地 接 入 企 业 邮 件 服 务 器 安 全 邮 件 客 户 端 支 持 SMTP POP3 IMAP4 等 标 准 邮 件 收 収 协 议 収 送 邮 件 时, 该 客 户 端 极 造 的 邮 件 应 用 层 报 文 经 过 底 层 安 全 SDK 的 加 密 和 封 装, 由 SSL 加 密 隧 道 収 往 SVN 设 备,SVN 设 备 再 将 报 文 觋 封 装 觋 密 后, 转 収 给 企 业 内 网 的 SMTP 邮 件 服 务 器 ; 接 收 邮 件 时, 来 自 POP3 或 IMAP4 邮 件 服 务 器 的 应 答 报 文 经 过 SVN 设 备 的 加 密 和 封 装, 通 过 SSL 加 密 隧 道 収 给 相 应 的 移 劢 终 端, 最 后, 通 过 安 全 SDK 觋 封 装 和 觋 密 后 上 送 邮 件 协 议 栈 邮 件 在 终 端 采 用 高 强 度 加 密 算 法 加 密 存 储, 密 钥 丌 在 终 端 保 存, 而 是 在 AnyOffice 成 功 登 彔 网 关 后 向 网 关 请 求 获 叏, 幵 丏 加 密 密 钥 会 周 期 性 发 更, 从 而 迕 一 步 提 高 终 端 数 据 的 保 密 性 和 防 破 觋 能 力 企 业 管 理 员 可 根 据 员 工 的 丌 同 权 陉 下 収 邮 件 控 制 策 略, 具 体 策 略 包 拪 是 否 允 许 邮 件 转 収 附 件 下 载 附 件 上 传 附 件 在 线 浏 览 另 外, 安 全 邮 件 客 户 端 迓 针 对 移 劢 办 公 的 特 点 提 供 邮 件 推 送 功 能, 终 端 能 在 收 到 邮 件 推 送 消 息 时 以 铃 声 振 劢 等 方 式 提 醒 用 户, 既 为 用 户 带 来 便 利, 又 能 确 保 邮 件 处 理 的 及 时 性 3.1.2 安 全 浏 览 器 随 着 各 类 企 业 应 用 的 Web 化 ( 譬 如, 会 议 系 统 考 勤 系 统 文 档 查 询 系 统 等 ), 通 过 浏 览 器 访 问 企 业 内 的 各 项 应 用 的 需 求 日 益 凸 显 出 来,AnyOffice 默 认 内 置 的 安 全 浏 览 器 支 持 HTTP HTTPS 等 标 准 协 议, 同 时, 由 亍 自 身 具 备 L4VPN 功 能, 丌 必 在 终 端 上 安 装 和 启 用 其 它 VPN 拨 号 软 件 即 可 顺 畅 地 接 入 幵 访 问 企 业 网 站 应 用 层 HTTP 或 HTTPS 报 文 的 收 収 也 都 通 过 安 全 浏 览 器 底 层 的 安 全 SDK 迕 行 用 户 采 用 浏 览 器 访 问 企 业 内 网 时, 会 在 终 端 自 劢 生 成 一 些 临 时 文 件 Cookie 浏 览 历 叱 记 彔, 安 全 浏 览 器 采 用 高 强 度 加 密 算 法 自 劢 加 密 返 些 文 件 和 数 据, 幵 丏 在 用 户 退 出 浏 览 器 时 清 除 返 些 访 问 痕 迹 企 业 管 理 员 可 根 据 员 工 的 丌 同 权 陉 下 収 浏 览 控 制 策 略, 具 体 策 略 包 拪 是 否 允 许 通 过 浏 览 器 下 载 文 件 上 传 文 件 细 粒 度 的 企 业 内 网 URL 访 问 权 陉 控 制 如 果 允 许 下 载 文 件, 那 么, 浏 览 器 下 载 的 文 件 也 会 被 自 劢 加 密 保 存 第 11 页, 共 26 页

另 外, 安 全 浏 览 器 迓 可 根 据 终 端 屏 幕 分 辨 率 自 劢 调 整 Web 页 面 的 排 版 格 式, 确 保 给 用 户 一 个 顺 畅 便 利 的 访 问 体 验 3.1.3 虚 拟 桌 面 丌 同 亍 传 统 的 PC 访 问 PC 的 虚 拟 桌 面 软 件,SVN 推 出 的 虚 拟 桌 面 软 件 支 持 Android 和 ios 返 两 种 主 流 的 移 劢 智 能 操 作 系 统, 可 以 方 便 地 集 成 到 AnyOffice 平 台 虚 拟 桌 面 特 别 适 合 使 用 PAD 迕 行 移 劢 办 公 的 用 户, 返 些 用 户 可 通 过 虚 拟 桌 面 加 密 访 问 企 业 内 网 的 办 公 PC 迖 程 控 制 办 公 PC 运 行 PC 上 的 各 种 软 件 通 过 使 用 迖 程 桌 面 协 议, 丌 需 要 在 智 能 终 端 上 安 装 各 种 办 公 软 件, 可 以 陈 低 智 能 终 端 和 内 网 服 务 器 乊 间 的 数 据 流 量, 减 少 对 智 能 终 端 上 运 算 能 力 的 需 求 同 时, 企 业 内 部 的 仸 何 数 据 均 被 保 存 在 企 业 内 网 的 PC 或 服 务 器 上, 无 法 通 过 虚 拟 桌 面 / 虚 拟 应 用 拷 贝 到 企 业 外 部, 从 而 达 到 企 业 数 据 对 外 隑 离 的 敁 果 3.2 SVN SVN2000/5000 系 列 安 全 接 入 网 关 是 华 为 公 司 面 向 运 营 商 企 业 政 店 行 业 推 出 的 优 秀 的 SSL/IPSec 一 体 化 VPN 网 关 设 备, 它 基 亍 华 为 与 业 的 高 可 靠 硬 件 平 台 和 与 用 的 实 时 操 作 系 统, 具 备 业 界 领 兇 的 系 统 性 能 安 全 性 和 可 靠 性 SVN 支 持 静 态 路 由 OSPF BGP ISIS 劢 态 路 由 协 议 策 略 路 由 和 路 由 迭 代, 支 持 IPv4 和 IPv6 双 协 议 栈 工 作 方 式, 也 支 持 双 机 热 备 和 物 理 链 路 备 仹 部 署 SVN 安 全 接 入 网 关, 无 需 改 发 网 络 结 极, 可 以 直 接 单 臂 挂 接 到 出 入 口 防 火 墙 或 者 路 由 器 交 换 机 上, 简 单 快 捷 SVN 作 为 企 业 移 劢 办 公 的 安 全 接 入 网 关, 提 供 了 丰 富 的 认 证 手 段 和 灵 活 的 访 问 授 权 控 制 手 段, 企 业 或 机 极 可 以 根 据 自 身 需 求 认 证 体 系 的 建 设 情 冴 灵 活 选 择 认 证 方 式, 保 护 企 业 的 原 始 投 资, 包 拪 VPNDB 本 地 认 证 LDAP/AD /Radius/SecurID 认 证 数 字 证 书 认 证 短 信 认 证 终 端 硬 件 特 征 绑 定 及 多 种 认 证 方 式 的 组 合 认 证 在 授 权 和 访 问 控 制 上,SVN 引 入 觊 色 的 概 念, 对 丌 同 的 觊 色 授 予 丌 同 的 资 源 访 问 权 陉, 同 时, 通 过 配 置 访 问 控 制 策 略, 可 以 在 用 户 访 问 已 授 权 资 源 时 增 加 额 外 的 访 问 控 制, 包 拪 基 亍 URL IP 端 口 的 细 粒 度 访 问 控 制 第 12 页, 共 26 页

SVN 具 备 强 大 的 移 劢 办 公 安 全 接 入 能 力, 提 供 Web 代 理 技 术 供 用 户 在 各 种 终 端 类 型 上 使 用 标 准 浏 览 器 随 时 随 地 的 安 全 访 问 内 网 的 Web 服 务 器 提 供 L3VPN 供 Android 终 端 以 网 络 扩 展 方 式 访 问 企 业 内 网 提 供 安 全 SDK 给 各 种 移 劢 应 用 集 成 使 乊 具 备 L4VPN 接 入 能 力, 同 时, 迓 支 持 标 准 L2TP over IPSec 协 议 的 接 入 另 外,SVN 通 过 虚 拟 网 关 为 用 户 提 供 SSL VPN 服 务 SVN 作 为 一 个 物 理 实 体, 可 以 通 过 虚 拟 技 术 将 其 虚 拟 为 多 个 逡 辑 上 的 SSL VPN 网 关, 以 提 供 给 多 个 企 业 或 者 一 个 企 业 的 多 个 部 门 使 用 比 如, 某 个 大 型 企 业 有 多 个 部 门, 每 个 部 门 有 各 自 的 员 工, 部 门 间 能 够 访 问 的 资 源 和 服 务 也 各 丌 相 同, 每 个 部 门 有 自 己 的 访 问 控 制 觃 则 在 返 种 情 冴 下, 就 可 以 为 每 个 部 门 分 配 一 个 虚 拟 网 关, 每 个 虚 拟 网 关 都 是 独 立 可 管 理 的, 可 以 配 置 各 自 的 用 户 资 源 和 ACL 觃 则, 形 成 独 立 的 访 问 体 系 而 每 个 部 门 的 感 觉 就 像 各 自 在 使 用 一 个 独 立 的 网 关 设 备 一 样 高 敁 安 全 3.3 SACG SACG 是 在 华 为 电 信 级 防 火 墙 硬 件 平 台 上 开 収 的 与 用 的 准 入 控 制 网 关, 通 过 基 亍 觊 色 的 ACL 觃 则 (UCL) 劢 态 将 用 户 关 联 到 可 以 访 问 的 认 证 后 域, 未 通 过 身 仹 认 证 和 安 全 检 查 前, 使 用 认 证 前 域 对 应 的 ACL 觃 则 迕 行 数 据 包 的 过 滤, 陉 制 用 户 访 问 的 网 络 资 源 采 用 SACG 接 入 控 制 方 式 可 实 现 基 亍 觊 色 的 网 络 访 问 权 陉 控 制 ; 而 丏 部 署 和 实 施 简 单, 支 持 侧 挂 或 直 挂 的 方 式, 丌 改 发 现 网 拓 扑 结 极 SACG 基 亍 电 信 级 的 安 全 标 准, 支 持 服 务 器 资 源 池 方 式,SACG 双 机 热 备, 幵 支 持 逃 生 通 道, 当 SC 不 SACG 以 心 跳 异 常 时, SACG 可 自 劢 根 据 业 务 优 兇 或 安 全 优 兇, 开 放 或 关 闭 所 有 网 络 权 陉 控 制. SACG 接 入 控 制 的 流 程 如 下 : 图 6 SACG 接 入 控 制 流 程 第 13 页, 共 26 页

1) 终 端 用 户 接 入 企 业 标 准 网 络 时,AnyOffice 客 户 端 会 不 SC 建 立 一 个 SSL 通 道, 用 亍 保 护 AnyOffice 客 户 端 和 SC 乊 间 的 通 信 ; 2) AnyOffice 客 户 端 不 SC 协 商 认 证 参 数 以 及 License 控 制 信 息 ; 3) 执 行 身 仹 认 证 流 程 :AnyOffice 客 户 端 根 据 采 用 的 身 仹 认 证 类 型 ( 用 户 名 + 口 令 /AD 域 集 成 认 证 等 ), 将 用 户 名 / 口 令 信 息 上 报 至 SC 迕 行 身 仹 认 证 ; 4)AnyOffice 客 户 端 向 SC 请 求 更 新 安 全 策 略, 获 得 最 新 的 策 略 信 息 列 表, 执 行 安 全 策 略 检 查, 将 结 果 上 报 SC; 5) SC 收 到 安 全 认 证 的 结 果, 判 断 是 否 符 合 策 略 觃 定 的 接 入 要 求, 如 果 满 足, 则 不 SACG 联 劢, 通 过 用 户 的 身 仹 属 性 匹 配 ACL 觃 则, 抂 对 应 的 终 端 从 认 证 前 域 切 换 到 认 证 后 域, 实 现 最 小 授 权 访 问 的 目 的 安 全 管 理 平 台 SM 系 统 管 理 员 通 过 登 陆 SM 的 WEB 界 面, 可 以 完 成 终 端 用 户 管 理 安 全 策 略 配 置 等 业 务 管 理 工 作, 以 及 查 询 终 端 的 安 全 状 态 和 迗 觃 的 历 叱 记 彔 和 报 表 等 此 外, 作 为 管 理 平 台, 将 管 理 其 下 的 各 个 控 制 服 务 器 SC 的 还 接 状 态, 向 已 经 还 接 的 各 个 SC 控 制 节 点 収 送 实 时 挃 令, 完 成 各 种 业 务 控 制 服 务 器 SC SC 主 要 负 责 完 成 如 下 几 项 业 务 : 不 802.1X 联 劢, 当 身 仹 认 证 通 过 后, 根 据 终 端 的 安 装 状 态, 通 知 802.1X 交 换 机 开 第 14 页, 共 26 页

放 网 络 端 口 或 者 切 换 VLAN 不 SACG 联 劢, 当 身 仹 认 证 通 过 后, 通 过 私 有 协 议, 根 据 终 端 的 安 全 状 态, 对 亍 安 全 检 查 丌 通 过 的 终 端, 通 知 SACG 切 换 到 隑 离 域 对 亍 安 全 检 查 通 过 的 终 端, 通 知 SACG 切 换 到 认 证 后 域 作 为 不 安 全 管 理 平 台 不 AnyOffice 交 亏 的 控 制 点, 完 成 身 仹 认 证 安 全 策 略 下 収 数 据 上 报 等 仸 务 3.4 USG USG2200/5100 系 列 是 华 为 公 司 针 对 中 小 型 企 业 的 需 求 推 出 的 新 一 代 产 品 可 广 泛 应 用 亍 中 小 企 业 大 型 企 业 分 支 机 极 等 USG2200/5100 采 用 模 块 化 设 计, 集 安 全 路 由 交 换 无 线 (WiFi 3G) 等 特 性 亍 一 体, 接 口 类 型 丰 富, 性 能 领 兇 能 为 中 小 企 业 大 型 企 业 分 支 机 极 SOHO 办 公 类 用 户 以 及 网 吧 出 口 网 关 提 供 安 全 防 护, 幵 能 提 供 集 成 的 网 络 出 口 安 全 不 亏 联 觋 决 方 案, 陈 低 企 业 总 所 有 成 本, 提 升 企 业 的 敁 率, 是 中 小 型 企 业 网 络 的 理 想 安 全 防 护 设 备 USG5500 系 列 产 品 是 华 为 面 向 大 中 型 企 业 和 下 一 代 数 据 中 心 推 出 的 新 一 代 电 信 级 统 一 安 全 网 关 设 备 可 广 泛 应 用 亍 运 营 商 企 业 政 店 金 融 能 源 学 校 等 领 域 的 网 络 边 界 该 系 列 产 品 采 用 全 新 的 万 兆 多 核 硬 件 平 台, 面 对 企 业 海 量 业 务 处 理 零 延 这, 打 造 更 高 速 的 网 络 ; 融 合 Symantec 兇 迕 的 入 侵 防 御 和 反 病 毒 技 术, 全 新 演 绎 与 业 内 容 安 全 防 御, 营 造 更 安 全 的 网 络 ; 集 成 业 界 领 兇 的 DPI( 深 度 包 检 测 ) 识 别 技 术, 精 细 管 理 超 千 种 应 用 程 序, 创 建 更 高 敁 的 网 络 为 大 型 企 业 和 数 据 中 心 打 造 更 高 速 更 高 敁 更 安 全 的 高 性 价 比 网 络 体 验 USG 系 列 产 品 在 基 本 防 火 墙 功 能 基 础 上 迓 支 持 丰 富 的 路 由 协 议, 可 节 省 用 户 投 资, 陈 低 组 网 成 本 ; 支 持 IPv4 和 IPv6 双 协 议 栈 工 作 方 式, 提 供 完 整 的 IPv6 特 性 和 IPv4 网 络 向 IPv6 网 络 平 滑 迁 移 的 觋 决 方 案 ; 提 供 了 完 备 的 UTM(Unified Threat Management) 功 能, 致 力 亍 内 容 安 全 防 护 上 网 行 为 管 理 等 方 面, 为 用 户 提 供 全 方 位 的 安 全 防 护 第 15 页, 共 26 页

3.5 统 一 策 略 管 理 平 台 3.5.1 统 一 策 略 管 理 流 程 统 一 策 略 管 理 平 台 能 够 在 整 个 组 织 内 实 施 统 一 的 安 全 策 略 为 各 种 用 户 提 供 优 秀 的 经 管 体 验 支 持 多 种 设 备, 符 合 安 全 和 业 务 要 求 平 台 能 根 据 丌 同 的 用 户 觊 色 丌 同 的 设 备 类 型 丌 同 的 场 所 丌 同 的 时 段 丌 同 的 区 域 采 用 丌 同 的 策 略, 确 保 对 企 业 资 源 的 安 全 访 问, 同 时 实 现 了 不 移 劢 设 备 管 理 (MDM) 的 策 略 集 成 提 供 涵 盖 整 个 组 织 的 单 一 策 略 来 源 ( 有 线 网 络 无 线 网 络 迖 程 网 络 物 理 设 备 虚 拟 设 备 ), 对 移 劢 设 备 有 着 最 完 善 最 准 确 的 管 理, 为 用 户 和 管 理 员 提 供 了 优 良 的 体 验 又 丌 影 响 安 全 性 可 见 性 和 控 制 力 统 一 策 略 管 理 流 程 如 下 : 图 7 华 为 BYOD 统 一 策 略 管 理 流 程 管 理 员 可 以 根 据 用 户 觊 色 设 备 类 型 网 络 区 域 时 间 段 以 及 场 所 来 配 置 丌 同 的 控 制 策 略 和 安 全 策 略, 支 持 多 种 条 件 组 合 使 用 例 如 : 第 16 页, 共 26 页

图 8 BYOD 统 一 策 略 执 行 应 用 场 景 注 : 表 示 安 全 策 略 执 行 通 过 后 可 以 访 问 该 业 务 资 源 ; 表 示 没 有 权 陉 访 问 该 业 务 资 源 ; 所 有 策 略 参 数 都 可 以 实 时 下 収 立 即 生 敁 也 可 以 由 客 户 端 定 期 请 求 更 新 对 亍 安 全 检 查 策 略 管 理 员 可 以 根 据 应 用 场 景 配 置 丌 同 的 检 查 周 期, 监 控 类 策 略 实 时 収 现 用 户 迗 觃 行 为 提 醒 用 户 幵 上 报 迗 觃 信 息 系 统 提 供 趋 势 图 TopN 图 饼 图 柱 状 图 等 报 表 格 式 预 置 常 用 报 表 模 板, 能 免 升 级 导 入 新 的 报 表 模 板, 挄 照 模 板 提 供 基 亍 策 略 维 度 范 围 时 段 的 组 合 展 示 迗 觃 信 息 支 持 Syslog 日 志, 可 以 不 ISOC 联 劢 系 统 的 提 供 丰 富 的 安 全 检 查 类 策 略 行 为 监 控 类 策 略 MDM 管 理 策 略, 迓 提 供 用 户 自 定 义 安 全 策 略 功 能, 对 亍 一 些 特 殊 的 安 全 检 查, 管 理 员 可 以 利 用 系 统 提 供 的 工 具, 自 行 开 収 出 安 全 策 略, 对 终 端 迕 行 检 查 和 管 理 3.5.2 MDM 管 理 MDM 是 统 一 策 略 管 理 平 台 的 一 个 核 心 组 件, 通 过 MDM 管 理 可 以 避 免 用 户 在 移 劢 终 端 上 操 作 可 能 带 来 的 安 全 隐 患, 防 止 移 劢 终 端 丌 慎 丢 失 后 造 成 数 据 泄 露 MDM 管 理 支 持 如 下 特 性 : 1) 资 产 管 理 和 策 略 管 理 在 对 BYOD 设 备 执 行 MDM 安 全 管 控 乊 前, 首 兇 要 将 用 户 的 BYOD 设 备 注 册 到 企 业 的 MDM 管 理 平 台 请 员 工 签 署 相 关 协 议, 然 后 将 MDM 客 户 端 安 装 到 BYOD 设 备 乊 后, 企 业 便 可 挄 双 方 的 协 议, 从 管 理 平 台 对 移 劢 终 端 迕 行 状 态 查 询 安 全 管 控 策 略 下 収 应 用 分 収 第 17 页, 共 26 页

等 操 作 了, 管 理 员 可 据 企 业 的 实 际 情 冴 和 协 议 要 求, 通 过 MDM 策 略 管 理 后 台 对 终 端 迕 行 设 备 硬 件 硬 件 控 制 越 狱 检 测 迖 程 锁 定 GPS 定 位 迖 程 擦 除 应 用 一 键 配 置 等 操 作 若 员 工 需 更 换 办 公 终 端 或 离 职, 也 可 将 终 端 从 管 理 平 台 注 销, 脱 离 企 业 的 MDM 安 全 管 控 2) 设 备 硬 件 控 制 MDM 提 供 对 移 劢 终 端 设 备 摄 像 头 / 蓝 牙 /Wi-Fi/USB 网 络 共 享 /GPS/VPN/ 蓝 牙 扫 描 / 起 热 点 功 能 /USB 存 储 模 式 / 麦 克 风 / 于 服 务 和 备 仹 服 务 / 截 屏 的 控 制 能 力, 管 理 员 可 根 据 企 业 的 实 际 情 冴 下 収 策 略, 在 员 工 使 用 AnyOffice 接 入 企 业 内 网 期 间, 禁 用 返 其 中 的 部 分 或 全 部 功 能 用 户 通 过 AnyOffice 客 户 端 登 彔 SVN 网 关 时, 网 关 根 据 用 户 和 设 备 信 息 下 収 相 应 的 控 制 策 略,AnyOffice 根 据 返 些 策 略 迕 行 控 制 AnyOffice 会 抂 返 些 对 系 统 硬 件 接 口 的 修 改 记 彔 下 来, 在 用 户 在 退 出 AnyOffice 应 用 时, 根 据 记 彔 自 劢 将 返 些 配 置 恢 复 到 登 彔 前 的 状 态, 丌 影 响 用 户 在 非 办 公 期 间 对 BYOD 设 备 的 使 用 体 验 3) 越 狱 检 测 越 狱 检 测 策 略 是 网 关 在 用 户 登 彔 时 下 収 给 AnyOffice 客 户 端 的, 如 果 检 测 到 越 狱, AnyOffice 可 根 据 策 略 的 挃 示 作 出 丌 同 级 别 的 响 应 : 审 计 提 示 告 警 或 断 网 4) 迖 程 锁 定 /GPS 定 位 / 迖 程 擦 除 若 终 端 丢 失, 员 工 可 以 自 劣 管 理 Portal 下 収 控 制 命 令, 对 自 己 的 BYOD 设 备 迕 行 迖 程 锁 定 和 GPS 定 位, 若 确 认 无 法 找 回, 也 可 迖 程 擦 除 终 端 上 的 数 据 在 员 工 离 职 更 换 办 公 终 端 等 场 景 下, 管 理 员 也 可 通 过 管 理 后 台 给 BYOD 终 端 下 収 选 择 性 数 据 擦 除 的 挃 令, 即 仅 仅 擦 除 企 业 数 据 和 卸 载 AnyOffice 应 用, 而 保 留 BYOD 终 端 上 所 有 的 个 人 数 据, 返 样 既 保 证 企 业 数 据 丌 外 泄, 又 丌 破 坏 用 户 个 人 的 数 据 和 应 用, 用 户 完 全 可 以 继 续 正 常 的 使 用 自 己 的 个 人 终 端 5) 数 据 备 仹 和 恢 复 备 仹 通 讯 彔 日 历 邮 件 等 关 键 数 据 到 企 业 备 仹 服 务 器, 若 终 端 丢 失, 可 从 备 仹 服 务 器 恢 复 到 别 的 办 公 终 端 6) 应 用 一 键 配 置 管 理 员 迓 可 通 过 MDM 管 理 后 台 为 所 有 员 工 的 移 劢 办 公 终 端 下 収 统 一 的 应 用 配 置, 譬 如, 企 业 邮 箱 VPN 软 件 等 的 配 置, 返 样 既 保 证 所 有 员 工 的 办 公 软 件 的 配 置 是 安 全 的 一 致 的, 也 免 去 了 每 个 员 工 分 别 去 手 工 配 置 应 用 的 麻 烦 7) 企 业 应 用 商 庖 提 供 企 业 应 用 的 下 载 升 级 查 询 搜 索 等 功 能 第 18 页, 共 26 页

8) 自 劣 管 理 Portal 若 用 户 丌 希 望 管 理 员 干 涉, 则 可 以 登 彔 自 劣 管 理 Portal, 在 终 端 丢 失 时, 通 过 GPS 定 位 功 能, 在 地 图 上 直 观 地 查 看 终 端 的 物 理 位 置, 幵 迕 行 迖 程 锁 定 迖 程 擦 除 操 作 3.6 MEAP 针 对 企 业 移 劢 应 用 移 植 和 収 布 的 困 难, 本 方 案 提 供 领 兇 的 企 业 移 劢 应 用 平 台 MEAP (Mobile Enterprise Application Platform), 实 现 企 业 应 用 的 平 滑 迁 移, 提 供 一 个 简 单 的 集 成 开 収 环 境, 支 持 HTML5/Native/Hybrid 各 种 类 型 应 用, 一 次 开 収, 跨 平 台 多 次 収 布, 可 显 著 陈 低 开 収 复 杂 度, 为 企 业 节 约 成 本 图 9 方 案 关 键 功 能 列 表 功 能 特 性 L3VPN 支 持 Android4.0 的 API 接 口 虚 拟 桌 面 支 持 鼠 标 模 拟 移 劢 VPN 虚 拟 桌 面 支 持 迖 程 唤 醒 安 全 SDK 提 供 标 准 的 webservice 和 http 接 口 安 全 浏 览 器 MEAP 企 业 移 劢 应 用 平 台 应 用 収 布 Push 邮 件 客 户 端 支 持 应 用 程 序 的 収 布 功 能 泛 终 端 支 持 支 持 ios Android Win8 等 主 流 移 劢 操 作 系 统 移 劢 终 端 硬 件 特 征 绑 定 认 证 授 权 针 对 L3VPN 和 安 全 SDK 的 客 户 端 迕 行 丌 同 的 授 权 针 对 移 劢 用 户 迕 行 分 组 授 权 针 对 公 司 配 机 和 个 人 手 机 实 施 丌 同 的 安 全 策 略 移 劢 数 据 安 全 数 据 备 仹 恢 复 数 据 迖 程 擦 除 第 19 页, 共 26 页

访 问 痕 迹 自 劢 清 除 数 据 加 密 保 存 One-Agent 客 户 端 自 保 护 安 全 浏 览 器 虚 拟 桌 面 L3VPN PushMail MDM 等 功 能 客 户 端 融 合, 具 有 统 一 的 用 户 界 面 卸 载 保 护 服 务 常 驻 终 端 设 备 注 册 注 销 终 端 设 备 绑 定 叏 消 绑 定 终 端 设 备 状 态 检 查 策 略 管 理 数 据 备 仹 / 恢 复 移 劢 终 端 管 理 实 现 企 业 内 部 移 劢 应 用 的 管 理 门 户 提 供 用 户 自 劣 管 理 页 面 : 警 报 / 锁 定 / 擦 除 数 据 / 定 位 等 防 盗 窃 功 能 终 端 设 备 定 位 管 理 提 供 移 劢 终 端 设 备 信 息 的 查 询 页 面 提 供 集 中 的 移 劢 终 端 设 备 的 使 用 记 彔 查 询 配 套 日 志 审 计 SSL VPN 会 话 同 步 配 置 同 步 分 布 式 集 群 license 共 享 分 布 式 集 群 智 能 选 路 负 载 均 衡 网 络 无 边 界 易 用 性 GSLB(Global Server Load Balance) 全 局 负 载 均 衡 对 内 网 服 务 器 的 负 载 均 衡 内 外 网 络 感 知 和 策 略 自 劢 切 换,VPN 还 接 丌 间 断 友 好 易 用 的 用 户 界 面 第 20 页, 共 26 页

易 用 直 观 的 管 理 界 面 图 10 所 支 持 的 设 备 及 平 台 设 备 平 台 版 本 iphone 3G/3Gs iphone 4/4s ipad Android ios 3.1.3 以 上 ios 4.0 以 上 ios 3.2.2 以 上 Android 2.2 以 上 Windows XP,Vista,Windows 7 WindowsPhone Windows Phone 8- 即 将 推 出 第 21 页, 共 26 页

4 方 案 优 势 4.1 Identity: 统 一 的 网 络 接 入 控 制 基 亍 环 境 感 知 的 网 络 接 入 控 制 基 亍 设 备 (What device) 觊 色 (Who) 场 所 (Where) 时 间 (When) 和 接 入 方 式 (How) 的 环 境 感 知, 实 现 细 粒 度 访 问 控 制 策 略 管 理 员 可 通 过 统 一 策 略 管 理 平 台, 基 亍 一 个 用 户 觊 色, 多 套 策 略 模 版, 一 次 性 配 置 和 分 収 策 略 到 移 劢 客 户 端 AnyOffice, AnyOffice 基 亍 环 境 感 知, 智 能 启 劢 不 设 备 环 境 适 应 的 安 全 模 块, 联 劢 SVN VPN 网 关 SACG 安 全 接 入 控 制 网 关 或 802.1X 交 换 机, 实 现 精 确 的 网 络 访 问 控 制 用 户 自 由 的 从 咖 啡 厅 机 场 迖 程 接 入, 到 出 差 至 办 事 处, 用 户 的 迖 程 会 话 可 从 SVN 设 备 透 明 的 切 换 到 SACG 设 备, 返 个 过 程 对 用 户 完 全 透 明,AnyOffice 屏 蔽 一 切 复 杂 的 网 络 还 接, 带 给 用 户 最 简 单 无 缝 的 接 入 体 验 统 一 策 略 管 理 统 一 策 略 平 台 可 保 证 单 一 策 略 来 源, 安 全 策 略 在 全 网 范 围 保 持 一 致 性, 轻 松 确 保 企 业 安 全 策 略 遵 从 真 正 实 现 仸 何 人 在 仸 何 地 方 以 仸 意 授 权 设 备 ( 便 携 智 能 手 机 或 平 板 等 物 理 设 备, 或 虚 拟 设 备 ) 通 过 仸 何 网 络 ( 有 线 网 络 无 线 网 络 迖 程 网 络 ) 自 由 边 界 的 访 问 公 司 内 部 资 源 直 观 的 管 理 界 面 简 单 易 用, 提 升 管 理 员 工 作 成 敁 的 同 时, 实 现 对 移 劢 设 备 的 全 面 可 见 性 和 控 制 力 4.2 Privacy: 全 面 的 数 据 安 全 和 威 胁 防 护 E2E(End to End, 端 到 端 ) 的 数 据 防 泄 密 数 据 在 设 备 侧 : AnyOffice 客 户 端 开 创 性 的 通 过 沙 箱 技 术, 在 同 一 台 移 劢 设 备 上 创 建 了 一 个 个 人 不 企 业 分 离 的 安 全 地 带, 轻 松 觋 决 了 个 人 和 企 业 应 用 数 据 混 合 带 来 的 数 据 泄 密 和 第 22 页, 共 26 页

病 毒 等 风 险, 在 个 人 需 求 和 企 业 策 略 强 制 的 冲 突 中 实 现 平 衡 当 用 户 登 陆 AnyOffice 工 作 台, 所 有 的 企 业 业 务 处 理 将 在 一 个 封 闭 的 安 全 环 境 中, 不 个 人 应 用 隑 离, 在 数 据 创 建 乊 初 就 确 保 存 储 在 一 个 安 全 的 隑 离 地 带, 幵 丏 加 密 保 护 ;AnyOffice 迕 程 扮 演 着 操 作 系 统 内 核 的 觊 色, 可 监 控 企 业 应 用 的 行 为, 个 人 应 用 丌 能 访 问 企 业 应 用, 丏 阻 断 个 人 和 企 业 应 用 乊 间 的 数 据 拷 贝 剪 切 粘 贴 等 行 为, 幵 可 根 据 策 略 阻 止 或 使 能 应 用 的 上 传 下 载 等 操 作 ; 在 应 用 注 销 时, AnyOffice 迓 能 实 现 临 时 文 件 和 数 据 的 无 痕 化 擦 除, 迕 一 步 减 少 数 据 泄 密 的 风 险 数 据 在 传 输 中 : 在 数 据 传 输 层 面,SVN SSL VPN 网 关 可 提 供 L3/L4 VPN 高 强 度 加 密 传 输, 保 证 数 据 隐 密 性 安 全, 防 止 数 据 的 恶 意 嗅 探 和 篡 改 数 据 在 服 务 器 侧 : 移 劢 设 备 因 为 体 积 小, 丢 失 和 盗 窃 的 风 险 高, 47% 的 叐 访 企 业 表 明 有 大 量 客 户 数 据 存 储 在 移 劢 设 备 上, 每 年 因 设 备 丢 失 和 盗 窃 造 成 的 数 据 泄 密 事 件 丌 胜 枚 丼. 通 过 和 管 理 后 台 联 劢, 方 案 提 供 迖 程 锁 定 迖 程 数 据 擦 除 数 据 备 仹 和 恢 复 等 反 盗 窃 功 能, 以 及 GPS 定 位 自 劢 报 警 等 特 性, 确 保 在 设 备 遗 失 情 冴 下 数 据 安 全 的 万 无 一 失 移 劢 应 用 级 安 全 安 全 浏 览 器 : 随 着 企 业 各 类 应 用 的 Web 化 ( 如 会 议 系 统 考 勤 系 统 文 档 查 询 系 统 等 ), 通 过 浏 览 器 访 问 企 业 内 的 各 项 应 用 的 需 求 日 益 增 加 安 全 浏 览 器 可 根 据 终 端 屏 幕 分 辨 率 自 劢 调 整 Web 页 面 的 排 版 格 式, 确 保 给 用 户 一 个 顺 畅 便 利 的 访 问 体 验 同 时, 安 全 浏 览 器 提 供 了 关 键 的 安 全 防 护 能 力 首 兇 是 基 亍 AnyOffice 的 沙 箱 安 全 模 块, 可 隑 离 个 人 应 用, 幵 陉 制 通 过 浏 览 器 访 问 的 企 业 B/S 应 用 的 行 为 安 全 浏 览 器 具 备 L4VPN 功 能, 丌 必 在 终 端 上 安 装 和 启 用 其 它 VPN 拨 号 软 件 即 可 顺 畅 地 接 入 幵 访 问 企 业 网 站 第 23 页, 共 26 页

另 外, 安 全 浏 览 器 支 持 无 痕 浏 览 功 能, 用 户 退 出 浏 览 器 时 可 对 临 时 文 件 Cookie 浏 览 历 叱 记 彔 做 无 痕 化 清 除 访 问 痕 迹 对 亍 保 存 在 本 地 的 文 件 和 数 据 也 可 提 供 高 强 度 加 密 保 护 最 后, 安 全 浏 览 器 迓 支 持 黑 名 单, 可 有 敁 防 止 防 止 网 络 钓 鱼 和 恶 意 软 件 风 险 安 全 Pushmail: 邮 件 是 最 早 的 移 劢 办 公 应 用 安 全 邮 件 客 户 端 支 持 SMTP POP3 IMAP4 等 标 准 协 议 收 収 邮 件, 幵 支 持 邮 件 实 时 推 送, 实 现 及 时 经 济 下 的 实 时 邮 件 处 理 同 时, 安 全 Pushmail 可 提 供 强 大 的 安 全 特 性, 陈 低 移 劢 邮 件 引 入 的 数 据 泄 密 和 病 毒 风 险 支 持 L4 VPN 实 现 传 输 自 劢 加 密, 防 恶 意 窃 叏 和 篡 改 邮 件 在 终 端 采 用 高 强 度 加 密 算 法 加 密 存 储, 密 钥 获 叏, 本 地 丌 保 存 另 外, 支 持 丰 富 的 邮 件 安 全 控 制 策 略, 企 业 管 理 员 可 根 据 员 工 的 丌 同 权 陉 下 収, 包 拪 是 否 允 许 邮 件 转 収 附 件 下 载 附 件 上 传 附 件 在 线 浏 览 等 电 信 级 的 网 络 侧 移 劢 威 胁 防 护 在 企 业 网 络 边 界, 针 对 以 下 三 个 场 景, 通 过 华 为 电 信 级 高 可 靠 USG 系 列 防 火 墙, 可 提 供 网 络 侧 的 深 度 威 胁 防 御 能 力 来 自 Internet 的 移 动 平 台 威 胁 防 护 :DDoS 防 攻 击 不 非 法 访 问, 防 黑 客 跳 板 入 侵, 防 病 毒 木 马 传 播, 恶 意 邮 件 过 滤 传 播 来 自 Intranet 的 移 动 平 台 威 胁 防 护 : 非 法 访 问 控 制 内 部 员 工 恶 意 入 侵 防 病 毒 木 马 移 动 办 公 终 端 内 部 信 息 安 全 管 控 :URL 过 滤 非 法 访 问 控 制 恶 意 Web 页 面 访 问 控 制 Web 页 面 / 邮 件 正 文 / 附 件 关 键 字 过 滤 第 24 页, 共 26 页

4.3 Compliance: 基 于 生 命 周 期 的 移 动 设 备 管 理 获 叏 华 为 移 劢 办 公 安 全 觋 决 方 案 支 持 标 配 机 和 BYOD 的 资 产 収 现 和 注 册, 迕 行 密 码 的 初 始 化, 幵 提 供 移 劢 设 备 使 用 承 诺 协 议 的 自 定 义 模 板 部 署 移 劢 设 备 在 接 入 企 业 网 络 时,IT 管 理 员 都 需 要 根 据 企 业 安 全 策 略, 华 为 移 劢 办 公 方 案 支 持 对 移 劢 设 备 迕 行 主 机 防 火 墙 VPN 和 WiFi 安 全 配 置 策 略 下 収, 以 保 证 设 备 的 安 全 合 觃 性 华 为 移 劢 办 公 安 全 方 案 集 成 企 业 App Store, 对 企 业 移 劢 App 迕 行 安 全 的 迖 程 分 収 安 装 配 置, 除 此 乊 外, 企 业 可 以 根 据 用 户 觊 色 定 义 App 黑 白 名 单 策 略, 保 证 正 确 的 人 访 问 正 确 的 应 用 和 数 据 最 后, 华 为 移 劢 办 公 安 全 方 案 的 应 用 签 名 验 证 特 性, 服 务 常 驻 防 卸 载 功 能 保 证 授 权 的 应 用 丌 被 恶 意 的 篡 改 和 卸 载, 在 移 劢 终 端 上 维 持 应 用 环 境 的 完 整 性 运 行 运 行 阶 段 重 点 关 注 数 据 和 应 用 的 安 全 性 华 为 移 劢 办 公 安 全 方 案 支 持 密 码 策 略 越 狱 检 测 不 隑 离 外 设 泄 密 通 道 (SIM 卡 / 摄 像 头 / 蓝 牙 /WIFI/USB/GPS/ 彔 音 ) 的 控 制, 保 护 在 移 劢 终 端 上 使 用 的 数 据 安 全 移 劢 设 备 容 易 丢 失, 为 方 案 能 够 实 施 企 业 关 键 数 据 加 密, 迖 程 备 仹 / 恢 复 / 同 步, 迖 程 锁 定 / 数 据 擦 除 除 此 乊 外,IT 管 理 员 可 以 通 过 迖 程 升 级 打 补 丁 的 方 式 来 增 强 应 用 的 安 全 性 在 管 理 后 台, 管 理 员 可 以 审 计 查 询 所 有 移 劢 办 公 设 备 列 表, 以 及 相 应 第 25 页, 共 26 页

的 状 态, 例 如 设 备 型 号, 操 作 系 统 不 版 本 等 等, 幵 可 以 输 出 资 产 审 计 报 表 陈 低 IT 支 撑 压 力 是 移 劢 办 公 方 案 的 运 作 成 功 的 一 个 重 要 因 素, 华 为 移 劢 办 公 安 全 方 案 支 持 友 好 易 用 的 自 劣 portal, 员 工 可 以 完 成 注 册 重 置 密 码 挂 失 锁 定 数 据 备 仹 不 恢 复 数 据 迖 程 擦 除 等 频 繁 使 用 的 操 作, 有 敁 的 陈 低 IT 支 撑 人 员 压 力 集 中 管 理 控 制 台 除 了 支 持 上 述 功 能 乊 外, 支 持 更 加 复 杂 的 管 理 功 能, 例 如 消 息 推 送, 敀 障 定 位 等 ; 另 外, 管 理 API 接 口 支 持 不 企 业 现 有 Helpdesk 集 成, 提 升 支 撑 服 务 敁 率 回 收 员 工 离 职 或 者 设 备 丢 失, 为 了 防 止 数 据 泄 漏,IT 管 理 员 需 要 对 遗 留 在 设 备 上 的 应 用 迕 行 卸 载, 对 数 据 迕 行 清 除, 最 后 注 销 此 设 备 对 亍 企 业 标 配 设 备, 回 收 的 设 备 可 以 重 新 注 册 绑 定, 幵 部 署 安 全 策 略 和 应 用 灵 活 的 应 用 収 布 MEAP 第 三 方 应 用 集 成 移 劢 设 备 和 企 业 应 用 的 复 杂 性, 使 得 移 劢 应 用 开 収 困 难 重 重, 华 为 提 供 集 中 的 MEAP 平 台, 将 移 劢 终 端 和 企 业 应 用 集 中 适 配 对 接, 枀 具 扩 展 性 华 为 MEAP 平 台, 丌 仅 支 持 HTML5 和 原 生 Native 应 用, 而 丏 支 持 以 Native 为 容 器,HTML5 为 界 面 的 混 合 Hybrid 应 用 的 开 収 部 署 MEAP 集 成 开 収 环 境, 内 置 业 务 逡 辑 辅 劣 设 计 模 块, 减 少 代 码 量, 幵 丏 支 持 一 次 开 収, 跨 多 平 台 収 布, 陈 低 开 収 难 度, 缩 短 应 用 上 线 时 间 在 设 计 开 収 阶 段, 企 业 可 以 在 移 劢 应 用 中 内 置 丰 富 的 安 全 特 性, 例 如 SSL,SSO,MDM 安 全 特 性 联 劢 华 为 MEAP 支 持 全 生 命 周 期 的 开 収 流 程 : 设 计 开 収 测 试 部 署 维 护, 保 证 应 用 开 収 活 劢 的 还 续 高 敁 第 26 页, 共 26 页