华为BYOD移动办公_安全解决方案

华为技术有限公司华为BYOD安全解决方案1华为BYOD安全解决方案年，约有20％的企业员工将自己的iPhone、iPad或Android设备带入工作场所，处理工作相关活动。IT消费化带来了BYOD新风尚，实现了Anydevice的真正自由。现在，BYOD已经不是一个趋势的概念，她正以不可阻挡之势改变人们的工作方式，成为办公手段的一个必要补充。我们可以利用更多的时间碎片收发电邮、跟踪销售机会点，将企业的信息化管理推向前端，使客户的界面变得更扁平化，提升决策效率和响应速度。然而，BYOD的开放性容易引入各种安全和管理风险，您的企业做好了应对BYOD挑战的准备吗？趋势和挑战BYOD使得企业办公环境边界进一步延伸，我们可以在同一台移动设备上处理工作，或在AppStore上下载喜欢的游戏，企业办公和个人业务瞬息切换，个人和企业应用的界限越来越模糊。对于大多数企业来说，简单的阻止BYOD访问企业应用是不可行的，我们年轻的员工们出生在一个科技迅速普及的年代，他们对各种移动信息技术并不陌生，迫切希望自己供职的企业能够为他们提供BYOD支持，员工的需求驱使企业必须变更和适应BYOD新技术的变化。同时，BYOD带来的问题就像“冰山一角”海面下隐藏的风险，开放、智能的移动平台使移动终端成为了新的安全缺口，易引入恶意代码植入、个人应用和企业应用混合、数据泄密风险、多平台的异构管理等问题，这些问题给企业IT管理带来极大挑战。首先，IT部门会发现公司的IT策略和配置规则与消费级的应用和设置产生冲突，基于传统PC的安全策略和管理技术很难移植到移动设备，特别是非公司所拥有和管理的员工个人设备。企业必须建立针对BYOD的战略，包括策略的定义和新的管理方法。第一步需要决定的是，你将允许什么样的移动设备接入，以及可以访问什么样的资源，这是在入口处设置好安全管控的第一道门。其次，这些BYOD设备通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处于无保护状态。移动设备智能化，集成PC的特性和功能，可使同样的应用程序，更容易遭受恶意攻击。今天，移动恶意软件的数量已超过两万，其中近三成的恶意软件为远程控制木马，以窃取个人隐私和敏感数据为重要目的。由于Root权限滥用和黑客技术的应用，移动设备成为新的孕育安全风险的温床，71％的企业都认为移动设备是引起安全事件的重要因素，尤其是Android设备。同时，将企业的应用移植到千差万别的移动设备上，是IT部门的另一个恶梦。如何简单、快捷的实现企业业务往移动环境的迁移和部署，避免复杂的自开发带来的高成本，快速实现价值，以及帮助企业IT部门应对复杂的移动环境已成为一大挑战。3华为BYOD安全解决方案另外，现在的移动应用开发和使用正处于繁盛时期，企业缺少针对应用的管理手段，员工在设备上任意下载和安装消费类应用，会降低系统的可靠性，引入安全风险，造成企业数据丢失或设备功能失效。最后，由于移动设备体积小，极易丢失或被盗窃。据统计，47％的受访企业表明有大量客户数据存储在移动设备上，包括敏感的客户信息或企业邮件中的敏感数据。设备丢失不但意味着敏感商业信息的泄漏和丢失，而且可能给企业带来法规遵从的风险。华为BYOD安全解决方案概述针对企业员工个人需求和企业策略遵从之间的矛盾，华为提供有效的平衡方案，使得员工在设备选择上拥有更大的个性化自由，在任何时候、任何场所，使用任何设备便捷的访问公司内网，运行内部应用，并确保安全策略不妥协。我们致力于为客户提供端到端的移动安全管理和灵活的应用发布的能力。从移动终端安全、网络传输安全、应用安全、敏感数据安全，以及安全管理五个维度对移动办公进行全方位防护，帮助企业在BYOD的高效率与信息安全之间找到最佳平衡点。同时，为应对日益复杂的移动化环境，通过一个简单的平台，支持各种应用的移动化迁移，给开发工作带来良好的扩展性，更好的控制成本，使企业在全球化业务中获得竞争力。架构和关键组件移动安全和管理本质上要解决的问题可以概括为三个：身份和设备可识别（Identity）、数据不泄密（Privacy）、和设备可管理（Compliance）。华为BYOD安全解决方案围绕这三个关键点，为企业用户提供业界最广泛的安全性，和最简单易用的管理方案。2G/GPRS/3GPubilicWiFiSVN•安全管理•资产管理统一策略管理平台（含MDM）USGMEAPserver终端侧接入侧DMZIntranetEmailLDAPOA等•UI设计•应用集成设备接口应用接口开发平台WorkflowBusiness对象支撑平台身份Identity隐私Privacy遵从ComplianceAnyOffice安全平台USGSACG•应用编译•应用发布•应用管理•IT服务WiFiAccessswitchOffice-basedNonOffice-based•移动强认证•移动NAC•SSL/UDP隧道加密•WebVPN•L3VPN•DDoS•网络AV•网络IDS/IPS•移动沙箱•Web/EmailDLP•反盗窃•应用监控•安全管理•应用管理•资产管理•IT服务SSL接入控制认证授权数据保护应用安全链路安全威胁防护管理安全安全BYOD方案4华为BYOD安全解决方案。AnyOffice作为单一的移动客户端，是用户和网络、应用的唯一交互界面，简洁的客户端可降低管理和维护复杂度。同时，AnyOffice客户端是一个安全的移动办公工作台，以One-agent的模式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理（MDM）软件、L3VPN客户端、虚拟桌面等一系列应用，可满足移动办公的通用需求，保障企业员工安全、便捷、高效地接入和访问企业内网。另外，AnyOffice具备环境感知特性，可通过与网络侧的接入控制网关SACG（SecurityAccessControlGateway）和SVNSSLVPN网关联动，实现用户在公司内、外网的智能感知，无缝切换应用安全策略，带给用户一致性体验。一致的网络接入控制*方案中的SACG设备是在电信级防火墙硬件平台上开发的专用的接入控制网关，可与AnyOffice客户端，以及准入控制服务器联动，实现在不同环境下（公司LAN，WLAN或远程接入），提供统一的网络接入控制手段，确保一致的策略强制。SACG通过实施安全策略遵从，基于身份认证和设备安全状态，控制设备的访问范围，确保安全、且被授权的合规用户使用合适的终端访问企业网络。除了SACG网络接入控制，方案同时提供可选的802.1X交换机和软件防火墙两种网络准入控制手段，灵活适应各种接入场景。安全的远程VPN访问SVN2000/5000系列设备是基于华为高可靠硬件平台和专用的实时操作系统的SSLVPN网关。具备业界领先的系统性能、安全性和可靠性，为用户提供灵活便捷、安全可控的端到端链路加密，确保远程VPN访问安全。电信级移动威胁防护在企业网络边界，华为电信级高可靠USG系列防火墙可提供网络侧的威胁防护能力。USG系列防火墙通过融合Symantec先进的入侵防御和反病毒技术，以及业界领先的DPI（深度包检测）识别技术，呈现专业的内容安全防御能力，包括网络AV，IPS，DDoS和内容过滤等。统一的安全策略管理*华为BYOD统一策略管理能够在整个组织内实施统一的安全策略，基于不同的用户角色、设备类型、不同的场所、不同的时段、不同的区域采用不同的策略，确保对企业不同敏感级别应用作细粒度的安全访问控制。统一、直观的安全策略管理平台，可有效降低管理复杂度，节约宝贵的IT人力投入。简单的企业移动应用发布平台针对企业移动应用移植和发布的困难，我们提供领先的企业移动应用平台MEAP（MobileEnterpriseApplicationPlatform），实现企业应用的平滑迁移，提供一个简单的集成开发环境，支持HTML5/Native/Hybrid各种类型应用，一次开发，跨平台多次发布，可显著降低开发复杂度，为企业节约成本。5华为BYOD安全解决方案：统一的网络接入控制基于环境感知的网络接入控制•基于设备（Whatdevice）、角色（Who）、场所（Where）、时间（When）和接入方式（How）的环境感知，实现细粒度访问控制策略。IT部门可通过统一策略管理平台，基于一个用户角色，一次性配置多套策略模版，统一分发到移动客户端AnyOffice，AnyOffice基于环境感知，智能启动与设备环境适应的安全模块，与SVNVPN网关、SACG安全接入控制网关或802.1X交换机联动，实现精确的网络访问控制。当用户自由的从咖啡厅、机场远程接入，到出差至办事处，用户的远程会话可从SVN设备透明的切换到SACG设备，这个过程对用户完全透明，AnyOffice可屏蔽一切复杂的网络连接，带给用户最简单、无缝的接入体验。统一安全策略管理*•统一策略管理平台可保证单一策略来源，安全策略在全网范围保持一致性，轻松确保企业安全策略遵从。真正实现任何人、在任何地方、以任意授权设备（便携、智能手机或平板等物理设备，或虚拟设备）、通过任何网络（有线网络、无线网络、远程网络）自由、无边界的访问公司内部资源。直观的管理界面简单、易用，提升IT部门工作效率的同时，实现对移动设备的全面可见性和控制力。Privacy：全面的数据安全和威胁防护E2E（EndtoEnd，端到端）的数据防泄密•数据在设备侧:AnyOffice客户端开创性的通过沙箱技术，在同一台移动设备上创建了一个个人与企业分离的安全地带，轻松解决了个人和企业应用、数据混合带来的数据泄密和病毒感染等风险，在个人需求和企业策略强制的冲突中实现平衡。当用户登录AnyOffice工作台，所有的企业业务处理将在一个封闭的安全环境中，与个人应用隔离，在数据创建之初就确保存储在一个安全的隔离地带，并且加密保护；AnyOffice进程扮演着操作系统内核的角色，可监控企业应用的行为，个人应用不能访问企业应用，且阻断个人和企业应用之间的数据拷贝、剪切、粘贴等行为，并可根据策略阻止或使能应用的上传、下载等操作；在应用注销时，AnyOffice还能实现临时文件和数据的无痕化擦除，进一步减少数据泄密的风险。IPCIdentity统一的网络接入控制Privacy全面的数据安全和威胁防护compliance全生命周期设备管理7华为BYOD安全解决方案数据在传输中:在数据传输层面，SVNSSLVPN网关可提供L3/L4VPN高强度加密传输，保证数据隐密性安全，防止数据的恶意嗅探和篡改。数据在服务器侧:移动设备由于体积小,容易丢失或者被盗，每年因设备丢失和盗窃造成的数据泄密事件不胜枚举.通过和管理后台联动,方案提供远程锁定、远程数据擦除、数据备份和恢复等反盗窃功能，以及GPS定位、自动报警等特性，确保在设备遗失情况下数据安全的万无一失。移动应用级安全•安全浏览器随着企业各类应用的Web化（如会议系统、考勤系统、文档查询系统、CRM等），通过一个统一的浏览器访问企业内的各项应用的需求日益增加。安全浏览器可根据终端屏幕分辨率自动调整Web页面的排版格式，确保带给用户一个流畅、一致性的访问体验。同时，安全浏览器提供了关键的安全防护能力。首先，安全浏览器是基于AnyOffice的沙箱安全模块，可隔离个人应用，并限制通过浏览器访问的企业B/S应用的行为。其次，安全浏览器具备L4VPN功能，不必在终端上安装和启用其它VPN拨号软件即可顺畅地接入并访问企业网站。再次，安全浏览器支持无痕浏览功能，用户退出浏览器时可对临时文件、Cookie、浏览历史记录做无痕化清除访问痕迹；对于保存在本地的文件和数据也可