移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

XX公司

移動(dòng)應(yīng)用安全管理平臺(tái)

技術(shù)方案

CiTRIX

■

思杰系統(tǒng)（北京）有限公司

2013年6月

第1頁第1頁第1頁第1頁第1頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

術(shù)語/縮寫對照參考

術(shù)語/縮寫解釋

XenMobile?Citrix的移動(dòng)管理產(chǎn)品和方案

XenDesktop?Citrix的桌面交付產(chǎn)品和方案

XenApp?Citrix的虛擬應(yīng)用交付產(chǎn)品和方案

XenServer?Citrix的服務(wù)器虛擬化產(chǎn)品和方案

NetScaler?Citrix的多功能高性能網(wǎng)絡(luò)接入和應(yīng)用交付設(shè)備

MDM移動(dòng)設(shè)備管理

MAM移動(dòng)應(yīng)用管理

MIM移動(dòng)信息管理

EMM企業(yè)移動(dòng)管理

MicroVPN區(qū)別于設(shè)備的VPN,僅供單個(gè)應(yīng)用使用

SaaS軟件即服務(wù)

BYOBringYourOwn,使用用戶自己的設(shè)備

AD活動(dòng)目錄，微軟的目錄服務(wù)體系

StoreFront?Citrix應(yīng)用門戶

第2頁第2頁第2頁第2頁第2頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

目錄

1.建設(shè)背景........................................................1

1.1.項(xiàng)目需求背景..................................................1

1.2.業(yè)界趨勢和應(yīng)用介紹............................................1

2.系統(tǒng)現(xiàn)狀........................................................5

2.1.現(xiàn)有移動(dòng)終端安全和管理問題及挑戰(zhàn).............................5

2.1.1.用戶視角..................................................5

2.1.2.管理視角..................................................7

2.2.移動(dòng)設(shè)備及原生應(yīng)用現(xiàn)狀........................................9

2.2.1.移動(dòng)辦公應(yīng)用..............................................9

2.2.2.移動(dòng)營業(yè)廳...............................錯(cuò)誤!未定義書簽。

2.2.3.掌上經(jīng)分.................................................10

2.2.4.移動(dòng)BOMC................................................................................................10

2.3.桌面及Windows應(yīng)用現(xiàn)狀......................................10

2.4.現(xiàn)狀小結(jié)......................................................11

3.移動(dòng)應(yīng)用場景分析和方案概述....................................12

3.1.方案設(shè)計(jì)指導(dǎo)思想.............................................12

3.2.端到端移動(dòng)安全和管理框架.....................................13

3.2.1.端到端安全和管理平臺(tái)的層次結(jié)構(gòu)..........................13

3.2.2.移動(dòng)平臺(tái)管理和安全的實(shí)現(xiàn)................................14

第3頁第3頁第3頁第3頁第3頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

3.2.3.移動(dòng)設(shè)備生命周期管理.....................................16

3.2.4.移動(dòng)應(yīng)用管理和安全的實(shí)現(xiàn)................................24

3.2.5.移動(dòng)網(wǎng)絡(luò)管理和安全的實(shí)現(xiàn)................................29

3.2.6.移動(dòng)數(shù)據(jù)管理和安全的實(shí)現(xiàn)................................31

3.2.7.其他管理和安全的實(shí)現(xiàn)....................................32

3.2.8.管理策略模型.............................................34

3.3.移動(dòng)設(shè)備原生應(yīng)用場景分析....................................34

3.3.1.移動(dòng)辦公.................................................34

3.3.2.移動(dòng)營業(yè)廳...............................................35

3.3.3.移動(dòng)經(jīng)分.................................................35

3.3.4.移動(dòng)BOMC................................................................................................35

3.4.虛擬桌面及Windows應(yīng)用分析.................................36

4.整體方案規(guī)劃設(shè)計(jì)...............................................38

4.1.整體設(shè)計(jì)......................................................38

4.1.1,整體系統(tǒng)邏輯架構(gòu).........................................38

4.1.2,各模塊介紹...............................................39

4.1.3.詳細(xì)系統(tǒng)構(gòu)架.............................................41

4.1.4.網(wǎng)絡(luò)和物理服務(wù)器架構(gòu)....................................42

4.2.項(xiàng)目對應(yīng)用的流程改善.........................................43

4.2.1.用戶視角.................................................43

4.2.2.管理視角.................................................45

4.3.賬戶管理架構(gòu).................................................49

第4頁第4頁第4頁第4頁第4頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

4.4.分級(jí)分權(quán)管理.................................................51

4.4.1.用戶分組和分級(jí)管理.......................................51

4.4.2.基于角色的管理...........................................53

4.5.單點(diǎn)登錄集成.................................................55

4.6.證書及設(shè)備關(guān)聯(lián)...............................................56

4.6.1.PKI簡介...................................................56

4.6.2.PKI集成的3個(gè)主要部分....................................57

4.6.3.MDM內(nèi)置PKI系統(tǒng)........................................58

4.6.4.MDM集成外部PKI系統(tǒng)....................................58

4.7.擴(kuò)容及擴(kuò)展...................................................61

4.7.1.擴(kuò)容方式和構(gòu)架...........................................61

4.7.2.擴(kuò)展方式和構(gòu)架...........................................62

4.8.應(yīng)用場景流程說明和策略選擇..................................64

4.8.1.通用應(yīng)用.................................................64

4.8.2.移動(dòng)辦公.................................................66

4.8.3.移動(dòng)營業(yè)廳...............................................70

4.8.4.移動(dòng)經(jīng)分.................................................70

4.8.5.移動(dòng)BOMC................................................................................................70

4.8.6.桌面及Windows應(yīng)用......................................70

4.9.系統(tǒng)維護(hù)......................................................71

4.9.1.系統(tǒng)監(jiān)控.................................................71

4.9.2.運(yùn)營報(bào)表.................................................72

第5頁第5頁第5頁第5頁第5頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

4.9.3.數(shù)據(jù)備份.................................................76

5.實(shí)施計(jì)劃......................................................77

5.1.評(píng)估階段......................................................77

5.2.設(shè)計(jì)階段.....................................................77

5.3.部署階段.....................................................78

5.4,上線階段......................................................78

5.5.整體時(shí)間計(jì)劃..................................................78

6.軟硬件需求及投資費(fèi)用估算......................................80

6.1.項(xiàng)目投資構(gòu)成..................................................80

6.2.投資估算假設(shè)及前提...........................................80

6.3.硬件需求估算.................................................81

6.3.1.設(shè)備管理服務(wù)器（MDM）及數(shù)據(jù)庫硬件需求.................81

6.3.2,應(yīng)用管理服務(wù)器...........................................82

6.3.3.Netscaler安全接入網(wǎng)關(guān)....................................82

6.4.軟件授權(quán)......................................................83

6.5.部署實(shí)施咨詢服務(wù).............................................84

6.6.整體方案費(fèi)用估算總覽.........................................84

7.附錄...........................................................85

7.1.全部圍繞移動(dòng)應(yīng)用.............................................85

7.2.MDX訪問控制.................................................86

7.3.MDX訪問控制策略.............................................87

7.4.應(yīng)用交互.....................................................87

第6頁第6頁第6頁第6頁第6頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

7.5.應(yīng)用限制.....................................................88

7.6.驗(yàn)證.........................................................89

7.7.設(shè)備安全.....................................................89

7.8.加密.........................................................90

7.9.其他訪問控制.................................................90

7.10.網(wǎng)絡(luò)訪問.....................................................91

7.11.網(wǎng)絡(luò)要求.....................................................91

7.12.MDX容器......................................................1

7.13.移動(dòng)應(yīng)用：本地安裝同時(shí)完全控制................................1

7.14.MDX進(jìn)程間移動(dòng)安全和控制.....................................3

7.15.支持的移動(dòng)設(shè)備................................................4

第7頁第7頁第7頁第7頁第7頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

1.建設(shè)背景

1.1.項(xiàng)目需求背景

為了適應(yīng)越來越嚴(yán)峻的市場競爭，在復(fù)雜多變的業(yè)務(wù)形態(tài)中掌握主動(dòng)，XX公

司希望借助新的技術(shù)，新的平臺(tái)為業(yè)務(wù)提供新的助力，能夠提高移動(dòng)工作效率，及

時(shí)有效的支持業(yè)務(wù)拓展，加速企業(yè)市場響應(yīng)速度。

隨著云計(jì)算技術(shù)和3G/4G無線數(shù)據(jù)通信服務(wù)的廣泛應(yīng)用，更加便攜和隨時(shí)在

線的移動(dòng)設(shè)備越來越普及。不少企業(yè)開始容許員工使用平板電腦和智能手機(jī)作為辦

公終端。而新型辦公終端的引入，為企業(yè)內(nèi)部的終端設(shè)備管理和信息安全帶來了新

的挑戰(zhàn)。

既要實(shí)現(xiàn)移動(dòng)設(shè)備帶來的效率和靈活性，又要在日益復(fù)雜的、邊際模糊的網(wǎng)絡(luò)

環(huán)境中保證企業(yè)最核心資產(chǎn)一一信息的安全，如何提供安全有效的管理手段這一命

題顯得尤為重要。

這就需要利用長期的應(yīng)用和服務(wù)交付經(jīng)驗(yàn)，將傳統(tǒng)平臺(tái)的管理和安全的經(jīng)驗(yàn)，

延伸到新的移動(dòng)應(yīng)用平臺(tái)。系統(tǒng)建設(shè)需要在長期的實(shí)踐基礎(chǔ)上總結(jié)出移動(dòng)設(shè)備安全

管理的最佳實(shí)踐，供企業(yè)的IT安全管理人員作為構(gòu)筑參考。

1.2.業(yè)界趨勢和應(yīng)用介紹

負(fù)責(zé)保護(hù)企業(yè)信息資產(chǎn)的IT安全專業(yè)人士都知道，移動(dòng)設(shè)備給企業(yè)帶來了新

的挑戰(zhàn)。隨著移動(dòng)設(shè)備的作用、多樣性和相關(guān)要求在企業(yè)內(nèi)變得越來越重要，企業(yè)

應(yīng)該部署必要的控制來保護(hù)這些設(shè)備訪問的數(shù)據(jù)的安全性。

安全管理人員想要確保企業(yè)數(shù)據(jù)的安全性，他們需要一個(gè)準(zhǔn)確且全面的視圖來

迅速適應(yīng)員工的工作和設(shè)備偏好。隨著BYOD、應(yīng)用為中心的內(nèi)容使用、平板電腦

普及和無線員工等趨勢的發(fā)展，這些偏好正在將傳統(tǒng)IT資產(chǎn)轉(zhuǎn)移到公共域。IT企

第1頁第1頁第1頁第1頁第1頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

業(yè)必須依賴于信息安全專業(yè)人員來確保移動(dòng)員工使用的數(shù)據(jù)的安全性，而這在很大

程度上是通過支持身份使用政策的各種技術(shù)來實(shí)現(xiàn)的。

基于軟件的移動(dòng)設(shè)備管理(MDM)是保護(hù)企業(yè)內(nèi)不斷增加的消費(fèi)類移動(dòng)設(shè)備的首

選技術(shù)。根據(jù)Nemertes研究公司調(diào)查顯示，46%的企業(yè)部署了移動(dòng)設(shè)備管理

(MDM),而84%計(jì)劃在2014年年底之前部署。另外，從移動(dòng)設(shè)備覆蓋趨勢來看，

到2014年年底，四分之一(25%)的員工將使用平板電腦作為工作的補(bǔ)充設(shè)備，少數(shù)

員工00%,但數(shù)量正在不斷增加)已經(jīng)用平板電腦取代了其筆記本電腦。

根據(jù)這些趨勢，供應(yīng)商們正在努力加強(qiáng)其產(chǎn)品中的MDM功能。很多供應(yīng)商現(xiàn)

在利用本地、基于容器或者甚至虛擬桌面基礎(chǔ)設(shè)施(VDI)設(shè)備管理，而大多數(shù)供應(yīng)

商有以下技術(shù)：

1.移動(dòng)應(yīng)用管理(MAM)或企業(yè)應(yīng)用商店

2.針對文件、應(yīng)用和個(gè)人信息管理數(shù)據(jù)的安全容器或工作區(qū)

3.設(shè)備安全文檔共享(SDS)、云服務(wù)/合作伙伴或與流行平臺(tái)整合的應(yīng)用編

程接口(API),例如微軟SharePoint、Dropbox或GoogleDrive。

4.WLAN集成或基于網(wǎng)絡(luò)的MDM(MDM)功能

5.高級(jí)功能，例如地理圍欄、應(yīng)用包裝、證書認(rèn)證整合和電子郵件數(shù)據(jù)丟

失/泄露防護(hù)

在這些MDM功能中，移動(dòng)應(yīng)用管理是目前最廣泛部署且非常重要的功能，29%

的企業(yè)在使用該功能。消費(fèi)類和應(yīng)用為中心的設(shè)備正在推動(dòng)企業(yè)部署移動(dòng)設(shè)備管理

技術(shù)，同樣地，企業(yè)不斷增加的應(yīng)用開發(fā)工作也需要通過MAM和企業(yè)應(yīng)用商店來

管理。MAM為員工提供熟悉的應(yīng)用商店界面來獲取企業(yè)應(yīng)用，許可證、分發(fā)和更

新政策則由IT通過目錄服務(wù)來控制，例如ActiveDirectory或者AppleOpen

Directory<>

安全文檔共享(SDS)是以目錄服務(wù)為導(dǎo)向的方法，與文檔共享和控制類似。針

對移動(dòng)設(shè)備的SDS與更受控制的端點(diǎn)(例如筆記本)不同的原因在于，移動(dòng)操作系統(tǒng)

并沒有太多本地、企業(yè)友好型管理選項(xiàng)。為了讓移動(dòng)設(shè)備與更傳統(tǒng)的端點(diǎn)看齊，

第2頁第2頁第2頁第2頁第2頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

MDM供應(yīng)商提供了API來與流行的企業(yè)文檔共享系統(tǒng)和電子郵件/應(yīng)用附件控制集

成。大多數(shù)MDM也結(jié)合了一些設(shè)備上的功能，例如安全文檔儲(chǔ)物柜、云SDS整合

和對文檔的VDI遠(yuǎn)程訪問。

根據(jù)Nemertes研究公司表示，MDM正越來越受歡迎，雖然現(xiàn)在只有11%的

企業(yè)在使用這項(xiàng)技術(shù)，但企業(yè)部署率正在不斷增加?；诰W(wǎng)絡(luò)的MDM吸引公司的

原因在于它能夠通過使用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)管理軟件來識(shí)別關(guān)鍵設(shè)備指標(biāo)以及部

署政策。由于大多數(shù)基于網(wǎng)絡(luò)MDM功能并不是專有，它并不需要投資于新的網(wǎng)絡(luò)

硬件或者功能，它可以與基于軟件的MDM整合或作為獨(dú)立的產(chǎn)品。這讓安全專業(yè)

人員不需要首先在端點(diǎn)上安裝，就能利用這些功能：設(shè)備指紋識(shí)別、安全態(tài)勢報(bào)告、

移動(dòng)應(yīng)用QoS和應(yīng)用級(jí)別虛擬私有網(wǎng)絡(luò)。從本質(zhì)上講，基于網(wǎng)絡(luò)MDM為安全專

業(yè)人員提供了工具來阻止、重定向或優(yōu)化設(shè)備及其應(yīng)用生成的網(wǎng)絡(luò)流量，這特別適

合BYOD環(huán)境。

MDM的演變?nèi)绾斡绊懸苿?dòng)安全策略

即使是最勤奮的H"安全從業(yè)人員，從千變?nèi)f化的MDM功能中進(jìn)行篩選都是

非常困難的事情。從上述的功能的可用性來看，企業(yè)在計(jì)劃或更新移動(dòng)安全策略時(shí),

應(yīng)該注意以下事項(xiàng)：

1.檢查企業(yè)正在支持的移動(dòng)配置政策，以及BYOD的使用程度。上面提到

的功能可能允許使用多種類的移動(dòng)應(yīng)用，或者更靈活的使用案例來提高

員工生產(chǎn)力。

2.同樣地，評(píng)估現(xiàn)有和未來的移動(dòng)設(shè)備（手機(jī)和平板電腦）使用人數(shù)以及這

些設(shè)備的默認(rèn)和安全狀態(tài)，并對未來使用情況作出預(yù)測。

3.追蹤企業(yè)內(nèi)員工擁有的移動(dòng)設(shè)備的數(shù)量，哪些是IT知道且管理的，哪

些是n"不知道的，然后：

在大量使用BYOD的地方部署基于MDM;例如，需要對電子郵件、日歷和更敏

感企業(yè)數(shù)據(jù)的不同級(jí)別訪問的設(shè)備。確保政策適應(yīng)并能合理平衡安全性和可用性。

第3頁第3頁第3頁第3頁第3頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

政策應(yīng)該要求用戶了解企業(yè)安全和合規(guī)政策，要不就不攜帶BYOD設(shè)備到工作

場所，要不確保使用MDM系統(tǒng)的聯(lián)網(wǎng)程序來配置這些設(shè)備(通常通過特定的URL

或者端口)。

最后，MDM、MAM和SDS應(yīng)該是保護(hù)移動(dòng)設(shè)備的主要工具。如果現(xiàn)在還沒有

部署這三個(gè)技術(shù)，企業(yè)應(yīng)使用信息請求(RFI)、請求建議書(RFP)和試點(diǎn)項(xiàng)目來評(píng)估產(chǎn)

品。以下是企業(yè)應(yīng)該詢問的關(guān)鍵問題：

1.企業(yè)正在部署自定義、企業(yè)內(nèi)部或外部開發(fā)的應(yīng)用嗎?如果是這樣，評(píng)

估MAM來阻止、優(yōu)先排序和提高公共應(yīng)用安全性。

2.評(píng)估已經(jīng)部署的SDS功能：它們對于移動(dòng)設(shè)備夠了嗎?它們落后于針對

桌面的SDS嗎?為了支持可應(yīng)用于所有端點(diǎn)的持續(xù)策略，評(píng)估適用的云

計(jì)算、設(shè)備、集成和企業(yè)移動(dòng)設(shè)備管理產(chǎn)品

第4頁第4頁第4頁第4頁第4頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

2.系統(tǒng)現(xiàn)狀

XX公司在移動(dòng)平臺(tái)上使用和規(guī)劃的移動(dòng)終端應(yīng)用發(fā)展較快，目前已使用的有

桌面云終端、移動(dòng)0A辦公終端應(yīng)用，XXXX應(yīng)用計(jì)劃8月份也即將上線，還有在

規(guī)劃階段的XXXX、XXXX等移動(dòng)應(yīng)用。

同時(shí)，對于基于移動(dòng)設(shè)備的傳統(tǒng)應(yīng)用形式的交付，例如基于Windows的桌面

和應(yīng)用，也在大范圍的使用。如何將其管理和安全也納入到相同統(tǒng)一的管理體系，

也是一個(gè)必要的課題。

面對諸多移動(dòng)終端應(yīng)用，如何統(tǒng)一安全管控，規(guī)劃統(tǒng)一的安全接入標(biāo)準(zhǔn)，建立

統(tǒng)一的發(fā)布管理平臺(tái)，需要進(jìn)行仔細(xì)嚴(yán)謹(jǐn)?shù)脑u(píng)估、規(guī)劃和實(shí)施。

2.1.現(xiàn)有移動(dòng)終端安全和管理問題及挑戰(zhàn)

如前文介紹的需求背景，XX公司已經(jīng)在用或者在建或者在規(guī)劃基于移動(dòng)設(shè)備

上運(yùn)行的應(yīng)用。當(dāng)前在測試或者使用過程中，也發(fā)現(xiàn)有許多移動(dòng)設(shè)備特點(diǎn)所導(dǎo)致的

問題和挑戰(zhàn)。

為了了解和分析這些問題與挑戰(zhàn)，會(huì)從兩個(gè)視角來進(jìn)行描述。

2.1.1.用戶視角

第5頁第5頁第5頁第5頁第5頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

\

安裝配置連接使用更新淘汰

?通過郵件通知，?提供pfx用戶證書?軟件更新時(shí)，仍

自行下載安裝文件，自行導(dǎo)入然需要郵件通知

?配置參數(shù)等，需?一些應(yīng)用使用前然后進(jìn)行下載安

要自行輸入需要先撥VPN連裝

?企業(yè)IOS應(yīng)用需接

要發(fā)布到公共應(yīng)?不同應(yīng)用需要記

用商店憶不同的用戶和

密碼

yy

通常會(huì)把IT服務(wù)分為三個(gè)階段，因此從用戶視角來分析一下應(yīng)用在這三個(gè)階

段的一些問題和挑戰(zhàn)。

首先是安裝配置階段。這一階段需要把應(yīng)用分發(fā)給用戶，并做好應(yīng)用的安裝配

置工作，使得用戶移動(dòng)設(shè)備上的應(yīng)用就緒，能夠隨時(shí)投入使用。

這一階段主要的問題是：

?安裝麻煩

目前應(yīng)用發(fā)布主要通過郵件通知給用戶，用戶通過郵件通知去下載安裝

應(yīng)用。這一過程中，無法保證用戶及時(shí)有效地獲取應(yīng)用發(fā)布信息，亦無

法及時(shí)有效的完成應(yīng)用的安裝。

?配置麻煩

最終用戶不是n■技術(shù)人員，對于輸入服務(wù)器地址、連接參數(shù)往往無所

適從，即使提供用戶手冊，也未必能夠保證足夠的用戶體驗(yàn)。

?發(fā)布受限

對于IOS體系來說，企業(yè)內(nèi)部開發(fā)的應(yīng)用，大多也必須通過面向公眾的

AppStore應(yīng)用商店發(fā)布，并且會(huì)有許多的限制。

第6頁第6頁第6頁第6頁第6頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

其次是連接使用階段。設(shè)備及其應(yīng)用配置好后，對于企業(yè)而言就需要安全的連

接到企業(yè)內(nèi)部的應(yīng)用系統(tǒng)后臺(tái)，讓用戶能夠方便的使用。

這一階段主要的問題是：

?證書安裝麻煩

為了驗(yàn)證連接的用戶身份，并保證移動(dòng)終端和后臺(tái)服務(wù)器之間的通信不

被泄露和破壞，需要使用客戶端證書和服務(wù)端證書進(jìn)行加密。目前在客

戶端上，主要面向用戶進(jìn)行證書的分發(fā)。分發(fā)的手段是生成包含公鑰私

鑰的pfx證書文件，由用戶安裝到設(shè)備上。

?證書無法關(guān)聯(lián)設(shè)備

證書頒發(fā)是針對用戶的，用戶獲得證書后，可以安裝到任意設(shè)備上。并

且公鑰私鑰同時(shí)發(fā)送，從安全上來說存在風(fēng)險(xiǎn)。

?面向公網(wǎng)發(fā)布存在端口映射的困難，使用VPN的話，又需要安裝VPN

客戶端，并且要首先連接VPN再打開應(yīng)用。

?用戶為了訪問應(yīng)用，需要記憶VPN、應(yīng)用等等不同的密碼甚至用戶名，

使用比較麻煩。

然后是更新淘汰階段。隨著業(yè)務(wù)變化，應(yīng)用也需要進(jìn)行修改和更新，需要提供

變化的功能。對于設(shè)備來說，也存在遺失被盜或者使用年限到期，需要淘汰的情況。

這一階段的主要問題是：

?應(yīng)用更新后，如果不是應(yīng)用商店發(fā)布的，就需要郵件或者其他方式通知

用戶，用戶再自行安裝的方式。如果通過應(yīng)用商店發(fā)布，又存在許多的

應(yīng)用發(fā)布限制。

2.1.2.管理視角

第7頁第7頁第7頁第7頁第7頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

連接使用更新淘汰

?費(fèi)時(shí)費(fèi)力，很難?為每個(gè)用戶提供?如同新分發(fā)一樣，

確保用戶都完成pfx證書文件，維費(fèi)時(shí)費(fèi)力，無法

應(yīng)用的安裝護(hù)成本過高確保安裝進(jìn)度

?無法確保用戶和設(shè)

?需要提供大量的?用戶安裝的版本

備的關(guān)聯(lián)性，存在

培訓(xùn)和幫助給用難以控制

假冒訪問風(fēng)險(xiǎn)

戶?移動(dòng)設(shè)備淘汰或

?應(yīng)用發(fā)布非常麻煩,

?把應(yīng)用發(fā)布到者失控時(shí)，無法

端口映射規(guī)則很復(fù)

AppStore比較麻雜對應(yīng)用和數(shù)據(jù)進(jìn)

煩?無法獲知用戶使用行控制

應(yīng)用和數(shù)據(jù)的情況

\/

與用戶視角一樣，對于管理方面，我們也通過安裝配置、連接使用和更新淘汰

三個(gè)階段來描述目前的問題和挑戰(zhàn)。

首先是安裝配置階段。從管理來說，這一階段要把應(yīng)用及時(shí)有效地安裝到用戶

的移動(dòng)設(shè)備上，并進(jìn)行相應(yīng)的配置。

這一階段的主要問題是：

?現(xiàn)有的應(yīng)用安裝和通知費(fèi)時(shí)費(fèi)力，需要郵件給用戶通知應(yīng)用安裝。而實(shí)

際的安裝效果很難獲取和保障

?為了用戶能夠自行安裝和配置應(yīng)用，需要為用戶提供大量的幫助和培訓(xùn)I。

?對于IOS應(yīng)用，將其發(fā)布到AppStore會(huì)有很多限制和要求，如果應(yīng)用

增多，版本更替，都會(huì)對工作有所影響

其次是連接使用階段。用戶在其移動(dòng)設(shè)備上安裝并配置好應(yīng)用之后，就可以使

用應(yīng)用了。為了應(yīng)用能夠正常的使用，就需要保證用戶能夠安全方便的連接到企業(yè)

應(yīng)用后臺(tái)，或者連接到內(nèi)部網(wǎng)絡(luò)，或者連接到發(fā)布的服務(wù)器上。

這一階段的主要問題是:

第8頁第8頁第8頁第8頁第8頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

?保證通訊安全。目前使用了證書對通信進(jìn)行加密，證書主要通過PFX

文件形式分發(fā)給用戶，然后進(jìn)行安裝。由于PFX證書包含公鑰和私鑰,

將其同時(shí)發(fā)送存在非常大的安全隱患

?由于證書由用戶自行安裝，公私鑰都在文件提供，所以用戶可以在不同

的設(shè)備上進(jìn)行安裝。其他人拿到這個(gè)文件，也可以在設(shè)備上進(jìn)行安裝。

這就存在假冒訪問的風(fēng)險(xiǎn)

?對于非VPN訪問的應(yīng)用，將內(nèi)部的服務(wù)器發(fā)布到公網(wǎng)，規(guī)則制訂和維

護(hù)都非常的繁瑣。傳統(tǒng)VPN在連接的時(shí)候會(huì)將設(shè)備整個(gè)聯(lián)入網(wǎng)絡(luò)，如

果設(shè)備上有惡意程序，也容易找到突破口危害企業(yè)內(nèi)部網(wǎng)絡(luò)

?在日常應(yīng)用的運(yùn)營中，無法獲知應(yīng)用和數(shù)據(jù)在移動(dòng)設(shè)備上的情況

然后是更新淘汰階段。從管理角度來說，對應(yīng)用和設(shè)備進(jìn)行更新淘汰是必不可

少的環(huán)節(jié)。這一環(huán)節(jié)的安全和管理的問題與挑戰(zhàn)同樣不可忽視。

這一階段的主要問題是：

?對于管理來說，每一次應(yīng)用更新升級(jí)，都如同新發(fā)布一樣，通知用戶安

裝，費(fèi)時(shí)費(fèi)力，無法保證升級(jí)進(jìn)度。

?用戶安裝的版本難以控制，一旦應(yīng)用某個(gè)版本存在Bug,無法通過集中

升級(jí)，快速的修補(bǔ)系統(tǒng)的漏洞

?與用戶視角不同，管理更關(guān)注在設(shè)備淘汰或者應(yīng)用不在使用的時(shí)候，企

業(yè)如何去控制移動(dòng)設(shè)備上應(yīng)用和數(shù)據(jù)的清理。避免設(shè)備在淘汰時(shí)或者因

為遺失被盜時(shí).，應(yīng)用甚至數(shù)據(jù)被泄露的風(fēng)險(xiǎn)

2.2.移動(dòng)設(shè)備及原生應(yīng)用現(xiàn)狀

2.2.1.移動(dòng)辦公應(yīng)用

主要提供對現(xiàn)有0A系統(tǒng)的移動(dòng)工作方式，主要包括公文系統(tǒng)、內(nèi)網(wǎng)郵件和通

訊錄的訪問。目前有基于iOS和安卓的原生應(yīng)用。

第9頁第9頁第9頁第9頁第9頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

網(wǎng)絡(luò)：外網(wǎng)使用公網(wǎng)IP地址，用戶訪問時(shí).，先從公網(wǎng)連到DMZ的反向代理，

再連接到內(nèi)部的應(yīng)用服務(wù)器。

協(xié)議：使用的HTTP。因?yàn)橹暗陌踩枨?，正在申請買Array設(shè)備。在網(wǎng)絡(luò)

實(shí)施層面目前有發(fā)布的困難，其中郵件就有50多臺(tái)服務(wù)器（現(xiàn)有35臺(tái)左右）。

公文準(zhǔn)備下半年從小機(jī)遷到虛擬化?，F(xiàn)在使用NAT有大量的端口映射規(guī)則。

用戶驗(yàn)證使用OA的LDAP體系。

移動(dòng)應(yīng)用程序通過郵件方式通知用戶，自行進(jìn)行安裝升級(jí)。

除了安卓和iOS,也需要為非智能設(shè)備用戶提供使用途徑，因此有安卓、蘋果

和Web三種應(yīng)用訪問方式。

公文系統(tǒng)的附件，例如Word文件等，可以在應(yīng)用內(nèi)以只讀方式訪問。

2.2.2.掌上經(jīng)分

主要利用移動(dòng)應(yīng)用，為用戶提供快捷方便的經(jīng)營風(fēng)險(xiǎn)系統(tǒng)訪問。

本地會(huì)緩存一部分經(jīng)分?jǐn)?shù)據(jù)，以提高網(wǎng)絡(luò)體驗(yàn)。緩存數(shù)據(jù)在線驗(yàn)證后方可使用。

應(yīng)用會(huì)在后臺(tái)記錄設(shè)備的唯一標(biāo)識(shí)碼。

用戶賬號(hào)使用經(jīng)分自有的用戶賬號(hào)系統(tǒng)。

其他的基本要求，與0A系統(tǒng)類似。

2.2.3.移動(dòng)BOMC

XXXXXXXXX

2.3.桌面及Windows應(yīng)用現(xiàn)狀

目前XX公司已經(jīng)在營業(yè)廳、呼叫中心、0A、運(yùn)維等多個(gè)場景使用了虛擬桌面

技術(shù)，從而可以利用多種移動(dòng)終端設(shè)備訪問現(xiàn)有的Windows桌面和應(yīng)用；

第10頁第10頁第10頁第10頁第10頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

在幫助最終用戶獲得很好的移動(dòng)工作方式的同時(shí)，XX公司也希望簡化有關(guān)應(yīng)

用程序在移動(dòng)設(shè)備上配置和更新，并且將各種不同類型的應(yīng)用統(tǒng)一集中的交付給最

終用戶使用。

2.4.現(xiàn)狀小結(jié)

綜上所述，目前針對移動(dòng)設(shè)備上使用各種應(yīng)用，有著以下現(xiàn)狀：

?應(yīng)用缺乏統(tǒng)一的管理，難以實(shí)現(xiàn)一致的安全

?應(yīng)用開發(fā)時(shí)，只能自行考慮賬戶、接入和數(shù)據(jù)的安全

?應(yīng)用的分發(fā)和部署難以控制，用戶體驗(yàn)不好

?現(xiàn)有的安全手段難以維護(hù)，存在風(fēng)險(xiǎn)

?應(yīng)用后臺(tái)的發(fā)布配置復(fù)雜，安全性需要保障

針對這些現(xiàn)狀，急需能有一個(gè)統(tǒng)一的、管理性好的、安全性高的移動(dòng)應(yīng)用安全管

理平臺(tái)，來實(shí)現(xiàn)對各種應(yīng)用的統(tǒng)一管理，既能保障整體系統(tǒng)的安全性，又能提高管

理效率，減少不必要的管理成本。

第11頁第11頁第11頁第11頁第11頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

3.移動(dòng)應(yīng)用場景分析和方案概述

現(xiàn)階段XX公司主要有四種移動(dòng)應(yīng)用在用或者即將投入使用。整體來說，各種

應(yīng)用都需要一個(gè)完整的、統(tǒng)一的管理平臺(tái)，來實(shí)現(xiàn)對承載終端設(shè)備、應(yīng)用生命周期

的完整管理和保護(hù)。

但是，根據(jù)各應(yīng)用的不同使用場景，又有著各自不同的安全和管理需求，因此,

將對這幾種不同的應(yīng)用場景，進(jìn)行有關(guān)需求的特征化描述。

為了便于在統(tǒng)一的結(jié)構(gòu)內(nèi)針對不同場景進(jìn)行分析，我們可以使用一個(gè)一致的安

全框架進(jìn)行組織。

3.1.方案設(shè)計(jì)指導(dǎo)思想

基于移動(dòng)應(yīng)用安全管理系統(tǒng)的整體規(guī)劃以及建設(shè)要求，系統(tǒng)應(yīng)按照以下原則進(jìn)

行建設(shè)：

?統(tǒng)一規(guī)劃、逐步建設(shè)實(shí)施原則

在系統(tǒng)在統(tǒng)一規(guī)劃的前提下，根據(jù)系統(tǒng)的實(shí)際需求，進(jìn)行逐步實(shí)施，充分考慮

現(xiàn)狀以及項(xiàng)目進(jìn)程。

?集成性原則

通過統(tǒng)一集成的規(guī)劃，實(shí)現(xiàn)基于應(yīng)用的，統(tǒng)一的針對系統(tǒng)接入的規(guī)范，從而逐

步實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)移動(dòng)應(yīng)用的全面統(tǒng)一集成。

?安全性原則

根據(jù)應(yīng)用的不同安全等級(jí)要求，和網(wǎng)絡(luò)的安全規(guī)范，制定系統(tǒng)的安全性規(guī)范，

完善信息安全策略和信息安全標(biāo)準(zhǔn)，滿足數(shù)據(jù)安全和訪問安全的要求，提供可靠的

系統(tǒng)安全管理模式。

?可擴(kuò)展性原則

第12頁第12頁第12頁第12頁第12頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

系統(tǒng)的設(shè)計(jì)要考慮到業(yè)務(wù)未來發(fā)展的需要，架構(gòu)應(yīng)滿足橫向和縱向擴(kuò)展的需求,

在架構(gòu)簡明的基礎(chǔ)上，降低各功能模塊和組件的耦合度，并充分考慮到兼容性，實(shí)

現(xiàn)快速高效的擴(kuò)展方案。

?適應(yīng)性原則

系統(tǒng)需充分考慮到已有的IT資源投入，適應(yīng)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用架構(gòu)，避免在

構(gòu)建過程中的大范圍系統(tǒng)改造，降低系統(tǒng)復(fù)雜度和建設(shè)成本。

為了避免以偏概全，并且在整體平臺(tái)層面上對應(yīng)用場景進(jìn)行分析，對系統(tǒng)實(shí)施

進(jìn)行規(guī)劃，非常有必要引入一個(gè)整體的框架，從具體的應(yīng)用特點(diǎn)抽象出來，又不脫

離應(yīng)用的實(shí)際情況，來幫助企業(yè)分析移動(dòng)應(yīng)用的各個(gè)層面。

3.2.端到端移動(dòng)安全和管理框架

移動(dòng)設(shè)備越來越多的使用，以及逐步接近甚至超越傳統(tǒng)PC應(yīng)用的趨勢，促使

企業(yè)急需一個(gè)企業(yè)移動(dòng)管理(EMM)解決方案。這個(gè)方案應(yīng)該是一個(gè)不僅僅限于

最基本移動(dòng)設(shè)備管理解決方案所提供的基本鎖定和擦除功能的安全框架。今天的企

業(yè)需要一種先進(jìn)的解決方案，并提供適當(dāng)?shù)墓ぞ?，以跨越設(shè)備、應(yīng)用、數(shù)據(jù)和網(wǎng)

絡(luò)這種端到端的方式，主動(dòng)地監(jiān)視、控制并保護(hù)企業(yè)。

因此，借助一個(gè)統(tǒng)一的、標(biāo)準(zhǔn)的框架，來對整個(gè)安全和管理需求進(jìn)行分析，完

成評(píng)估，是非常重要的。

3.2.1.端到端安全和管理平臺(tái)的層次結(jié)構(gòu)

從體系構(gòu)架來說，整個(gè)安全管理平臺(tái)，可以分為以下4個(gè)層次：

?設(shè)備

?應(yīng)用

?網(wǎng)絡(luò)

?數(shù)據(jù)

每個(gè)層次，都通過一些技術(shù)手段，進(jìn)行了統(tǒng)一的監(jiān)視(Monitor)、控制

(Control)和保護(hù)(Protect)。

第13頁第13頁第13頁第13頁第13頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

下面章節(jié)，將對各個(gè)層次如何應(yīng)對各種挑戰(zhàn)，如何實(shí)現(xiàn)“監(jiān)視、控制和保護(hù)”

這幾個(gè)基本功能進(jìn)行分別闡述。

3.2.2.移動(dòng)平臺(tái)管理和安全的實(shí)現(xiàn)

針對移動(dòng)平臺(tái)（設(shè)備）的管理和安全，可以通過MDM來實(shí)現(xiàn)。

MDM和其他終端管理解決方案類似，后臺(tái)部署有集中的管理服務(wù)器，其通過

移動(dòng)設(shè)備上的管理API,或者部署特殊的管理客戶端，對前端移動(dòng)客戶端實(shí)現(xiàn)各種

管理功能。

第14頁第14頁第14頁第14頁第14頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

各種管理策略

（密碼策略、wifi、證書....）

各種原生應(yīng)用

XenMobile

Device

可Management

MDM

XMDeviceManager

客戶端軟硬件資產(chǎn)信息

移動(dòng)設(shè)備

設(shè)備本身的設(shè)備狀態(tài)

管理API安全有關(guān)審計(jì)記錄管理服務(wù)器

各種移動(dòng)設(shè)備

iOS、Android

WindowsPhone

Figure1通過MDM設(shè)備管理器進(jìn)行設(shè)備管理

不同的設(shè)備，由于其管理API的不同，其可以實(shí)現(xiàn)的管理功能也會(huì)不盡相同，

但其總體實(shí)現(xiàn)方式基本類似，都是通過管理服務(wù)器下發(fā)一定的管理策略，比如密碼

策略、wifi策略、加密策略等，對設(shè)備進(jìn)行管理。同時(shí)，通過API和管理客戶端，

MDM服務(wù)器也可以及時(shí)獲取設(shè)備的狀態(tài)、安全信息等等管理需要的數(shù)據(jù)，并在后

臺(tái)進(jìn)行整合，在管理控制臺(tái)和報(bào)表中進(jìn)行展現(xiàn)。

通過MDM平臺(tái)，可以實(shí)現(xiàn)以下設(shè)備管理的功能：

⑴設(shè)備安全性的集中管理

許多企業(yè)需要集中配置設(shè)備安全要素（如密碼和加密）并強(qiáng)制相關(guān)策略。隨著

移動(dòng)辦公逐步成為主流，越來越多的設(shè)備和用戶通過多種設(shè)備接入網(wǎng)絡(luò)，因此企業(yè)

迫切需要集中管理這些設(shè)備并實(shí)施基于角色的安全策略。設(shè)備丟失、被盜或用戶離

職時(shí)，這些設(shè)備需要集中鎖定，或擦除其中的企業(yè)數(shù)據(jù)，以確保安全性和合規(guī)性。

⑵統(tǒng)一的平臺(tái)，支持各種移動(dòng)設(shè)備

員工需要選擇設(shè)備的自由，而對許多企業(yè)來說，這也是一種極具吸引力的戰(zhàn)

略。它可以幫助吸引并留住優(yōu)秀人才或節(jié)約設(shè)備成本。但與標(biāo)準(zhǔn)的可鎖定式PC或

第15頁第15頁第15頁第15頁第15頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

受到嚴(yán)格控制的BlackBerry?手持設(shè)備不同，當(dāng)前企業(yè)中的移動(dòng)設(shè)備可謂五花八門,

存在的安全漏洞也不一而同，使IT部門無法一致地管理哪怕最基本的安全策略。

主流的移動(dòng)平臺(tái)包括iOS、Android?,Windows?和BlackBerry。從IT部門的角度講,

五花八門的移動(dòng)設(shè)備帶來了嚴(yán)峻的安全挑戰(zhàn)，企業(yè)必須能夠通過管理架構(gòu)，實(shí)現(xiàn)包

括如何在不同平臺(tái)上監(jiān)控、置備、支持和保護(hù)多種應(yīng)用，或確保員工安裝了正確的

操作系統(tǒng)安全補(bǔ)丁和更新。

⑶同時(shí)管理BYO設(shè)備與企業(yè)配發(fā)設(shè)備

除了公司配發(fā)的設(shè)備外，企業(yè)還管理著越來越多的BYO設(shè)備。他們需要以一

種準(zhǔn)確而符合規(guī)定的方式標(biāo)志設(shè)備所有權(quán)，并且針對不同所有權(quán)類型的設(shè)備采取適

當(dāng)?shù)牟呗院土鞒坦芾砻糠N設(shè)備。

對于這一設(shè)備層面的管理，可以參考以下的安全策略：

(a)收集移動(dòng)設(shè)備的軟硬件資產(chǎn)信息：如電話號(hào)碼、品牌型號(hào)、設(shè)備ID號(hào)、手

機(jī)的IM日號(hào)碼、PIN號(hào)碼等。

(b)啟用PIN或者安全鎖密碼，鎖住移動(dòng)設(shè)備

?采取一定技術(shù)手段，一旦設(shè)備丟失或被盜，可以遠(yuǎn)程擦除丟失設(shè)備上的應(yīng)

用、配置和數(shù)據(jù)。

(d)采取一定技術(shù)手段，一旦移動(dòng)設(shè)備丟失或被盜，可以順利地定位丟失設(shè)備

的位置。公司可以在權(quán)威部門的配合下追蹤并收回丟失設(shè)備。

3.2.3.移動(dòng)設(shè)備生命周期管理

為了實(shí)現(xiàn)移動(dòng)平臺(tái)的管理需求，需要合理地組織移動(dòng)安全管理系統(tǒng)的關(guān)鍵功能,

一種有效的方法是充分考慮移動(dòng)設(shè)備生命周期的各個(gè)階段，包括：配置->應(yīng)用置

備->安全保護(hù)->支持*監(jiān)控和報(bào)告->淘汰

第16頁第16頁第16頁第16頁第16頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

配置

使管理員可以輕松配置企業(yè)設(shè)備和自帶設(shè)備(BYO)設(shè)

置，并以一種集中、基于角色的方式將IT資源與

MicrosoftActiveDirectory等企業(yè)目錄相集成。

應(yīng)用置備

使用戶可以自助完成注冊，從應(yīng)用目錄中選擇應(yīng)用，執(zhí)行

一些自助服務(wù)功能，使管理員可以通過無線方式自動(dòng)為用

戶置備策略和應(yīng)用。

安全保護(hù)

在設(shè)備丟失或被盜，或員工離職的情況下，使管理員可

以采取適當(dāng)?shù)陌踩胧Ｔ摻鉀Q方案可以記錄管理員執(zhí)

行的操作以進(jìn)行審核，而且可以與企業(yè)安全系統(tǒng)相集

成，支持威脅關(guān)聯(lián)和分析。

支持

使管理員可以為移動(dòng)用戶提供幫助臺(tái)功能、遠(yuǎn)程支持和故

障排除。

監(jiān)控和報(bào)告

使管理員可監(jiān)控并報(bào)告設(shè)備和應(yīng)用明細(xì)、設(shè)備狀態(tài)、安全

性和合規(guī)性狀態(tài)。

停用

在設(shè)備丟失、被盜、被替換或用戶離職時(shí)，使管理員能夠

以安全、適合當(dāng)時(shí)情況而且有記錄可查的方式停用這些設(shè)

備。

第17頁第17頁第17頁第17頁第17頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

3.2.3.1.配置

移動(dòng)安全管理系統(tǒng)使管理員可以輕松配置企業(yè)設(shè)備和員工自帶（BYO）設(shè)備設(shè)

置，并以一種集中、基于角色的方式與IT資源如MicrosoftActiveDirectory等企業(yè)

目錄相集成。這包括：

?通過一個(gè)直觀、基于向?qū)У慕缑媾渲盟性O(shè)備

?規(guī)定哪些操作系統(tǒng)和補(bǔ)丁級(jí)別可注冊并接收策略配置文件

?指定設(shè)備所有權(quán)（用戶或企業(yè)），從設(shè)備或配置管理數(shù)據(jù)庫中導(dǎo)入時(shí)加

上標(biāo)簽

?配置平臺(tái)或操作系統(tǒng)專用配置，如在iOS或。TA更新過程中禁用

iTunes或iCloud,保存后臺(tái)數(shù)據(jù)，關(guān)閉SamsungSAFE設(shè)備等

?配置企業(yè)集成和接入，如Wi-Fi、VPN、公共密鑰基礎(chǔ)架構(gòu)和企業(yè)電子

郵件，包括部署證書來支持身份驗(yàn)證和用戶單點(diǎn)登錄

?設(shè)置設(shè)備安全措施，如密碼和加密

?創(chuàng)建應(yīng)用黑名單/白名單、推送和刪除應(yīng)用、限制應(yīng)用和設(shè)備資源（如

YouTube、攝像頭和藍(lán)牙）、防止應(yīng)用啟動(dòng)

?鎖定并防止用戶刪除設(shè)備配置文件

優(yōu)勢：這些功能使管理員能夠以符合企業(yè)策略的方式快速配置大量設(shè)備。

第18頁第18頁第18頁第18頁第18頁

移動(dòng)應(yīng)用管理平臺(tái)-技術(shù)方案

(2XenMobtleDeviceManagerX「

nXenMobikfDe>?elZx\)gcr嚙.administratorOdtrix.labAilft?逆倩CITRJX

?⑤的及」LJH茄，"1a二His二i。通|￡國3」丘￥?

心級(jí)作>1J-2-2421:16:40DemoCenterGeo-

D11H..13-6-141:55:11

DemoCenter13-3-26:14:1713-3-26:14:17DemoCenterPass

c