华为AnyOffice移动办公解决方案技术白皮书

华为AnyOffice移动办公安全解决方案白皮书目录1背景........................................................................................12方案概述.................................................................................22.1Office-based场景............................................................................42.2Non-Officebased场景....................................................................53方案关键组件和可选组件.........................................................63.1安全SDK.........................................................................................63.2AnyOffice.......................................................................................73.2.1安全邮件客户端......................................................................83.2.2安全浏览器.............................................................................93.2.3虚拟桌面................................................................................93.3SVN.............................................................................................103.4USG.............................................................................................113.5MDM...........................................................................................113.6智能手机和Pad.............................................................................134方案优势...............................................................................144.1Identity：统一的网络接入控制......................................................144.2Privacy：全面的数据安全和威胁防护.............................................144.3Compliance：基于生命周期的移动设备管理..................................1611背景自从iOS和Android为代表的智能手机和Pad推出以来，这些计算和表现能力远超前辈的强大智能终端快速统治了个人通信设备市场。全球知名调研机构IDC的数据显示，2010年全球智能手机出货量预计为为3.05亿部，这一数字有望在2015年末翻倍至9.82亿部。如今很多员工更倾向于使用个人设备，如智能手机和平板电脑开展工作，这使得消费化趋势进一步发展。这一趋势也推动了越来越受企业青睐的“自带设备(BYOD)”计划。然而，从广义上来说，随着IT消费化的发展，即使是非常重要的业务应用也可在消费者界面显示，这一趋势比用户界面发展更为迅猛。由于单独携带工作用设备和个人设备为用户带来的种种不便，越来越多的用户承认并支持“自带设备(BYOD)”策略。IT消费化为IT构成了巨大的压力，促使他们尽快建立BYOD策略。来自IDC最新的调研报告显示，与2010年相比，企业移动化部署度过了探索期，已经处在加速阶段。其中受访的企业当中，83%的企业认为平板电脑成为企业未来业务不可分割的一部分；79%的企业高管期望企业支持其通过个人终端进行办公；75%的企业已经开放了BYOD政策；74%的企业认为BYOD成为趋势，不可阻挡；72%的企业认为BYOD能够提高企业效率。但是，在BYOD获得一片赞颂的同时，80%的企业表示BYOD将明显加重IT部门的工作量。BYOD的移动化接入特性使得企业网络边界重新变得模糊。企业员工既可以通过3G在公共场所接入公司网络，也可以在企业园区通过Wi-Fi接入公司网络。BYOD设备用于办公的特点可以归纳为4A。AnyDevice——设备和操作系统的多样性；AnyTime——随时访问公司网络；AnyLocation——任何可以接入移动互联网的场所；AnyOne——企业的任何成员。4A的特性使得目前的企业安全体系无法良好地应对，另外，当前不成熟的设备接入授权和管理能力也成为IT实施BYOD时增加工作量的原因。22方案概述华为BYOD移动办公安全解决方案是针对当前BYOD移动办公的需求、特点和挑战，在保障移动办公人员顺畅、安全访问企业的同时，提供高效和良好的用户体验，实现了“安全”、“效率”和“体验”的完美融合。华为公司凭借在网络通信领域和网络安全的技术积累和优势，在方案中融合了AnyOffice移动办公客户端、SVN2000-M/SVN5000-M系列的SSL/IPSec一体化VPN硬件网关设备、兼具防火墙和UTM功能的USG2200/5100/5500设备、统一策略平台AnyOfficeManager*以及移动企业应用平台（MEAP）。图1华为BYOD移动办公安全解决方案其中，AnyOffice作为移动办公客户端运行在移动智能终端上；USG作为防火墙和UTM设备部署在企业网络的出入口处，负责攻击防范、网络流量的过滤和监控；SVN可以单臂挂接在出入口防火墙或者交换机上，也可以双臂挂接在防火墙和交换机之间；统一策略平台AnyOfficeManager*和MEAP服务器则一般部署在企业内网的数据中心。ᒫ࣡ݾNon-Officebasedጤࣅڔཝఱઓ࣡AnyOfficeOfficebasedጤࣅڔཝఱઓ࣡AnyOfficeFirewall/UTMAnyOfficeڔཝຳგ࿽॑Identity፜ႉPrivacyᔥ࠭ComplianceFirewall/UTMMEAP࿸۸୻ా።፿୻ాఎखຳგᑽ߁ຳგWorkflowBusiness࣪ሷጤࣅڔཝ୻ྜྷᆀਈAnyOfficeSVNAnyOfficeManagerᄻጙݽ൒਌ಯຳგ*EnterpriseWiFi3G/4GSSLLDAPEmailOAࢀPubilicWiFi୻ྜྷݾIntranet਌ಯڔཝ።፿ڔཝၫ௣ۣઐᆆቔऴઐ೔വڔཝ୻ྜྷ఼ᒜཱྀᑺ၈ཚDMZUI࿸ଐ።፿ૹ߅።፿ॊखITॲᇗڔཝ਌ಯᓾޘ਌ಯ።፿ܠፉ።፿खݚਜ਼ᆒઐጤࣅ༓ཱྀᑺጤࣅNAC*SSL/UDPႹࡸଝමL3/L4VPNڔཝ਌ಯ።፿਌ಯᓾޘ਌ಯITॲᇗAnti-DDoSᆀ൥AVᆀ൥IDS/IPSጤࣅ࿃ረWeb/Emai;DLP*नࡹ༨።፿఼ᒜ*ખᆐAnyOfficeጤࣅێ৛ڔཝஊ௼ऱښઁኚۈ۾ᑽߒă3不同于机型统一的企业配机，BYOD设备往往具有机型多样、操作系统多样、版本多样的特点，因此，这些设备在认证、VPN接入、数据加密、MDM安全管控等方面的支持程度、实现技术也存在不同程度的差异。华为公司充分考虑了移动办公的特点、BYOD设备在移动办公应用中的特点，从身份（Identity)、隐私(Privacy)和遵从（Compliance）三个大方面提供了全面完善的端到端的解决方案。在终端认证授权方面，本方案充分考虑了移动办公的特点，除传统的VPNDB本地认证、LDAP、Radius、SecurID、AD认证，还提供移动终端硬件特征绑定的手段，既安全又便于用户操作。同时，基于企业用户的不同角色、设备归属精细控制用户访问企业内网资源的不同权限。在链路安全方面，本方案基于企业在不同场景下的接入需求，提供了L3VPN、L4VPN、Web代理及L2TPoverIPSec这几种不同的接入方式，通过AnyOffice和移动安全接入网关SVN的配合，完美解决了移动办公人员的企业内网安全接入问题，通过加密的VPN隧道，既保障用户的顺畅接入，又避免企业数据在传输过程中被非法窃听和篡改，使得用户像内网办公一样顺畅地访问内网服务器或办公PC。在威胁防护方面，除了提供业界领先的DDoS攻击防护，还融合Symantec先进的入侵防御和反病毒技术，提供应用层的深度防护，充分确保进出企业的流量都是干净可信的。在数据保护方面，采用“安全沙箱”技术，将终端上的企业数据采用高强度加密算法保存，密钥不在终端保存，而是在AnyOffice成功登录网关后向网关请求获取，并且加密密钥会周期性变更。另外，企业数据与个人数据是隔离的，从终端环节进一步遏制的企业数据泄密的可能性。在应用安全和管理安全方面，方案支持各主流移动智能终端的各项通用MDM功能，包括应用管理、资产管理、安全管控、数据管理、设备管理等，同时，利用华为终端产品团队的优势，在华为手机、华为平板上提供更加强大和丰富的MDM控制能力。42.1Office-based场景Office-based场景的组网图如图2所示：图2Office-based场景组网图接入内网之后，AnyOffice客户端访问内网的业务服务器的方式有两种：AnyOffice直接和内网的业务服务器直接通信，如上图中蓝色虚线所•示；AnyOffice和SVN网关之间走L4VPN加密隧道，业务数据先通过L4VPN•隧道传输到SVN网关，SVN网关对报文做解密解封装后，再把明文的业务数据发送给内网的业务服务器，如上图紫色虚线所示。AnyOffice采取哪种方式访问业务服务器取决于SVN网关下发的策略开关。如果终端在接入内网之前没有启动过AnyOffice，那么，用户首先要登录AnyOffice，完成到SVN网关的认证后才能使用AnyOffice中的安全浏览器、安全邮件等功能；如果终端在接入内网之前AnyOffice已经运行且已认证通过，那么，通过AnyOffice正在使用的业务能够平滑的切换到内网环境中来，可保证业务不中断。另外，终端接入内网期间，终端仍受到MDM管控，AnyOffice使用HTTPS短连接完成和MDM服务•器（SVN）之间的MDM指令交互；AnyOffice在使用安全浏览器、安全邮件时，需要和SVN网关建HTTPS•短连接，以获取在线加解密密钥。ᎆୈ።፿Web።፿ERP።፿CRM።፿໚Ⴧ።፿Ꮰᓴෂኋผછ።፿ᏊཌWi-FiॊᑽWi-Fiᒝถ၄૦/ຳۇMDMၫ௣ॲᇗ໭MEAPॲᇗ໭AnyOfficeఱઓ࣡ጓᇗഗ఼ᒜഗጤࣅڔཝ୻ྜྷᆀਈSVNጓᇗഗ(L4VPN)Ꮛ৔Ꮚཌ0ॊᑽ໩ጓᔐݝ52.2Non-Officebased场景用户外出进行移动办公时，通过AnyOffice连接SVN网关，提交帐号、密码或者客户端证书进行身份认证后，与SVN网关建立VPN加密隧道，并根据网关授予的权限访问企业的内网资源。以收取邮件为例，完成在SVN网关上的认证和授权后，移动办公人员通过AnyOffice内置的安全邮件客户端收取新邮件，