安全移动办公解决方案(运营商).doc

趋势科技安全移动办公解决方案趋势科技（中国）有限公司2014年11月目录第1章.概述3第2章.移动安全办公分析6第3章.趋势科技安全移动办公解决方案83.1远程虚拟智能终端桌面83.2生产数据不落地103.3保障移动业务通讯及用户访问的安全性、可靠性103.4主要技术难点103.5确保在公网环境的访问安全。113.6确保大并发环境下的性能。113.7硬件设备需求11第4章.项目成果144.1 防止移动设备数据泄露144.2支持移动办公应用快速推广，提升员工生产力144.3 降低移动终端及其应用管理成本及推广成本144.4创新点14文档信息：文档属性内容项目/任务名称项目/任务编号文档名称趋势科技安全移动办公解决方案文档版本号V1文档状态制作人刘政平保密级别商密管理人刘政平制作日期2014年11月1日复审人复审日期扩散范围内部使用版本记录：版本编号版本日期创建者/修改者说明文档说明：第1章. 概述随着移动互联技术的飞速发展，网络访问速度已经不再成为移动应用发展的瓶颈。由于移动应用能够支持用户随时、随地接入网络和后端应用系统，因此在电信运营商应用的环境具备无可比拟的优势。目前已经电信运营商已经展开了移动智能化应用，如：网点现场移动服务、智能终端移动办公等。采用智能终端（Android、IOS）通过3G/4G接入后台应用系统，利用智能终端操作系统及APP的灵活性、定制化技术，可以极大提升工作的效率。所以，在运营商网络中推广智能移动业务及智能移动办公，有助于提升整体生产力及工作效率，对加快业务处理速度以及推广办公移动化的建设有着非常关键的意义。但是，智能终端移动办公业务在带来生产效率提升的同时，亦扩张了运营商环境原来搭建的网络边界。由于现在各种智能终端能够通过3G/4G网络随意访问移动互联网，且速度不亚于传统局域网，这些智能终端容易成为黑客重点关注的目标。一旦智能终端移动办公业务大规模使用，则无疑为生产及办公环境打开了一个面向移动互联网的大门，各种黑客攻击、恶意代码会随之而来，对电信运营商生产安全、企业敏感数据都带来致命的影响。因此，包括各家运营商均对移动安全风险有所担忧，安全问题影响了移动创新技术提升生产力的进度。由此可以知道，解决智能设备移动应用带来的安全风险，是运营商推广移动业务的关键。本方案的目的是旨在设计一套适合在电信运营商生产环境的移动安全办公平台。此平台会解决如下移动应用在移动运营商环境中遇到的障碍：1、 生产数据安全问题。原有移动应用的架构，生产数据会存放在智能终端的存储中。一旦发生恶意代码感染、手机丢失或内部员工故意泄露信息等情况，存放在智能终端的数据将会不受保护。而趋势科技安全移动办公方案之一，就是把所有涉及到生产的数据存放在后端服务器，智能终端将不存放任何敏感数据。这样，即使发生刚才极端的情况，也不会发生数据泄密的事件，确保运营商网络生产数据的安全。2、 访问的安全。原有的架构，只能通过用户认证及运营商保障的方式，确保访问安全。趋势科技安全移动办公方案，可以解决端到端的访问安全。包括远程智能终端虚拟桌面的用户账号安全、访问通道加密、后端应用边界安全防护等技术，确保后端数据访问全程的安全。3、 更简便快捷的应用发布及管理。原有的架构，每一个新移动应用发布时，均需要终端用户重新安装APP，推广一次就涉及到数千智能终端，成本非常高。本方案中的技术，可以统一在后端的虚拟智能终端桌面发布应用，用户只需打开该远程桌面，即可快速使用，无需安装。4、 支持BYOD。BYOD（用自己的手机办公）是目前发展的趋势，每个员工都有1-2台自有的智能终端。如果利用这些员工自有的终端进行移动应用推广，可以节省公司大量成本。但由于员工大部分不愿意把公司的应用安装在自己的手机上，导致BYOD无法推广。趋势科技安全移动办公方案，可以区分企业与员工私有的应用，员工仅需打开远程手机桌面即可使用各种移动应用。采用本方案，电信运营商可以更快捷地开展移动应用的开发及使用，各种应用的部署无需再考虑数据安全、部署成本的问题，通过此平台快速发布到全网的智能终端之上。推广移动安全办公平台对于电信运营商的价值在于：1、 可以有效解决移动应用在电信运营商中面临的各种安全问题，从而移动运营商网络业务能够真正有效地投放在生产中，提升员工的生产效率。2、 节省移动应用推广成本。通过统一发布平台，用户打开远程手机桌面即可使用新应用，节省大量的部署成本。3、 利用此平台，可以使BYOD更快实现。 第2章. 移动安全办公分析目前，业界针对移动安全办公领域的研究，主要有2个方向。其一，基于客户端防护的模式。在智能终端部署安全软件，利用安全软件提供防病毒、防泄密、防攻击等一系列的安全防护手段，类似于PC时代的防病毒软件。但由于智能终端与PC环境不一致，会涉及到用户使用习惯、终端性能、网络流量费用等情况，大部分客户都不乐意使用此方案。同时，此方案没有解决企业数据不落地的问题，因此对数据安全这部分存在缺失。其二，基于虚拟化技术的解决方案。众所周知，PC领域的虚拟桌面能够很好地解决局域网中敏感数据泄密的问题。而基于智能终端的环境，使用虚拟智能终端的技术，同样也能很好的解决企业敏感数据的问题。因此，业界有很多厂家和客户，倾向使用这种技术来解决移动安全办公的难题。经过调研，目前国内外均没有现成的技术能够实现智能终端的虚拟化。主要的难点如下：1、 智能终端APP开发是近两年新兴技术，大部分的科研机构及厂家对此还没有足够的技术储备。即使能够了解到该技术的优势，也没有办法在短时间内形成解决方案。同时，目前还有大部分的客户，信息化建设没有电信行业走得快，主营业务还停留在PC时代。2、 原有的2G/3G网络，不足以支撑移动虚拟化应用的运行。2014年，国内运营商全面铺开4G网络的应用，在此之前，国内运营商网络非常慢，对移动应用实时性要求高的电信行业，根本无法支撑。3、 智能终端操作平台多样化。2014年之前，有多种智能终端的操作系统，包括塞班、黑莓、Win Phone、Android、IOS等，各种平台之间存在巨大的差别。如果要移动应用适配各个平台，需要花费巨大的研发成本。幸运的是，至2014年，国内情况发生巨大的转变。首先4G网络的大规模部署，使智能终端网络访问不再是瓶颈。而Android和IOS，目前已经成为国内智能终端的主流平台，新型的移动应用只需覆盖这两个平台，即可覆盖95%以上的用户。同时，各种APP开发的技术储备，也达到了要求。因此，移动安全办公平台的推出正是时候。本项目的关键点如下：1、 如何规避电信运营商生产数据通过智能终端丢失，即是如何保障企业关键数据不在智能终端落地。2、 如何确保移动业务与后端应用的访问通道安全。3、 如何保障终端用户的使用感受及满意度。4、 怎样减少电信运营商智能终端的应用开发成本、综合管理成本，降低管理难度。5、 怎样解决用户的隐私问题且同样可以管理BYOD。第3章. 趋势科技安全移动办公解决方案3.1远程虚拟智能终端桌面趋势科技安全移动办公是一种为每个用户托管独立工作区的移动云服务解决方案。用户工作区基于Android 操作系统，可通过 Android 或 iOS 移动设备上安装的安全移动办公移动客户端应用程序进行访问。使用移动客户端应用程序，用户可以获取来企业定制化的移动应用程序和数据，而这些应用及数据不离开数据中心，从而确保数据的高度安全性。移动客户端应用程序通过为用户提供所有各种移动应用功能及其移动系统操作体验来保证用户高度的移动体验。Safe Mobile Workforce 解决方案能通过集中化的服务器虚拟移动操作系统，并通过高效的远程显示协议来实现网络访问和操作。由于所有工作区都托管在服务器上并由管理员进行维护，因此安全移动办公会明确区分可供用户使用的个人数据和企业数据。这一明确区分确保了数据安全并提供了更为集中而有效的工作区，易于管理和维护。安全移动办公解决方案提供以下功能：数据保护：所有企业应用程序和数据都保存在管理员控制的公司服务器上。简化的管理：用户可以从任何移动设备访问其工作区。网络管理员可以通过 Web 控制台远程管理所有工作区。原始的移动用户体验：安全移动办公支持 iOS 和 Android 移动操作系统，并提供原始的移动用户体验。安全移动办公客户端应用程序附带有高级渲染引擎，为智能手机和平板电脑提供熟悉的移动用户体验。趋势科技安全云存储服务集成：安全移动办公提供与趋势科技企业云存储的集成。这种集成为管理和同步文档提供了既方便又安全的方法。与现有企业基础架构集成：安全移动办公提供与 Microsoft Active Directory 的集成，便于进行用户管理。趋势科技安全移动办公的技术核心是Linux的“容器”技术。Linux的“容器”技术，能够支持用户把某些关键的应用打包在“容器”中。而本项目则是研究利用“容器”技术，把智能终端操作系统及其上部署的应用，打包在“容器”中。然后通过加密的通道，发布到所有的智能终端。终端用户按照分租类别，登录虚拟手机桌面后，就能访问到各自定制的手机桌面及应用。 3.2生产数据不落地在各自的虚拟手机桌面中，设置终端用户的智能终端不能访问及存储虚拟手机桌面的数据，但虚拟手机桌面可以调用终端智能手机的各种外设，如摄像头、无线网卡等。这样虚拟手机桌面既能实现终端手机各种功能，同时不用担心企业数据存放到智能终端的存储中。这样，即使发生手机丢失、感染恶意代码、甚至是内部员工泄密等极端情况，也能确保企业关键数据不会泄露。3.3保障移动业务通讯及用户访问的安全性、可靠性端到端访问的加密。从智能终端到电信运营商边界、从电信运营商边界到后端移动安全办公平台、从管理员到移动安全办公平台均为SSL加密，不存在网络窃听的风险。外网用户登录，必须通过中间安全隔离层访问，并且同时通过动态密钥、用户认证等方式来确保登录的安全性。3.4主要技术难点如何通过后端服务器建立多个并行的虚拟智能终端桌面。目前所有的技术仅支持通过后端提供多个虚拟PC桌面（如Windows），但没有技术可以支持通过后端计算资源提供多个虚拟智能终端桌面（Android、IOS）。解决思路：通过虚拟化技术实现。目前Linux具备虚拟化技术及“容器”技术，通过“容器”技术，可以在容器中封装各种不同的智能终端操作系统。通过虚拟化技术，可以实现在特定计算资源中，同时运行多个智能终端。3.5确保在公网环境的访问安全。大部分智能终端，都需要通过3G/4G网络访问电信运营商后端系统。如何确保用户身份合法性，访问通道的安全性是一个挑战。解决思路：访问身份的合法性，可以通过目前比较成熟的动态密钥方式+用户身份认证方式解决。通过动态密钥及静态密码等双重方式的保障，可以确保访问者的身份唯一性，同时无需担心密码被盗的风险。访问通道安全性。可以通过建立安全访问中继的方式解决。除了在访问通道进行加密以及边界防护外，还可以加入类似移动终端访问中继的方式，提升内部数据访问的安全性。3.6确保大并发环境下的性能。当成功推广后，全网会有数千用户进行访问，如何确保访问的效率是推广成功与否的关键。解决思路：模块化设计。对整个平台进行模块化的设计，以做到随需扩展的效果。 3.7硬件设备需求移动虚拟化服务器需求服务器硬件： - 至少 4 GB 的内存 - 至少 30 GB 的可用硬盘空间 - 支持 SSSE3 的 64 位 x86 四核 Intel 处理器 - 两个 1 GB 网卡建议平台：- Dell R510 - Dell R520 - Dell R710 - Dell R720 - Dell R810 - IBM X3550 - HP DL380G6 - VMware ESX Hypervisor 4.1 - VMware ESXi Hypervisor 4.1 - VMware ESXi Hypervisor 5.1 - VMware ESXi Hypervisor 5.5 - VMware Workstation 9 - VMware Workstation 10 - VMware Fusion 5 - VMware Fusion 6 - Windows 2012 HyperV - Citrix XenServer 6安全接入网关服务器需求硬件： - 至少 4 GB 的内存 - 至少 30 GB 的可用硬盘空间 - 64 位 x86 四核处理器 - 一个 1 GB 网卡建议平台： - Dell R510 - Dell R520 - Dell R710 - Dell R720 - Dell R810 - IBM X3550 - HP DL380G6 - VMware ESX Hypervisor 4.1 - VMware ESXi Hypervisor 4.1 - VMware ESXi Hypervisor 5.1 - VMware ESXi Hypervisor 5.5 - VMware Workstation 9 - VMware Workstation 10 - VMware Fusion 5 - VMware Fusion 6 - Windows 2012 HyperV - Citrix XenServer 6客户端iOS设备操作系统： - iOS 4.3 - iOS 5.x - iOS 6.x - iOS 7.x存储空间：最小 11 MB内存：35 MB客户端 Android 移动设备操作系统 - Android 2.3 Gingerbread - Android 3.0 Honeycomb - Android 4.0 Ice Cream Sandwich - Android 4.1 Jelly Bean - Android 4.2 Jelly Bean - Android 4.3 Jelly Bean - Android 4.4 KitKat存储空间：最小 16 MB内存：100 MB客户端Window 8 移动设备操作系统 - W