EMM企业移动管理解决方案.ppt

移动安全解决方案,全方位的企业移动化设备与应用安全保障和管理方案,移动信息化发展现状,移动信息化面临的挑战,EMM解决方案,安全攻击案例&演示,管理者,前端业务人员,用户现场,源于需求：经常出差、现场办公等，对移动办公需求强烈。,形成理念：任何人在任何时间、任何地点处理任何工作（4A理念）。,企业移动化需求,移动办公正成为趋势,2013年全球采用移动化办公员工12亿,2017年中国智能手机/平板出货量4.6亿,2020年企业BYOD移动办公比例达85%,新技术支持组织的转型创新与差异化,移动信息化基础架构现状,数据中间件,过程中间件,消息中间件,交易中间件,对象中间件,安全中间件,核心业务,企业OA,企业邮件,企业文档,业务后端系统,业务中间件,业务前端应用,业务终端系统,可见应用系统,B2C个人客户应用,B2B企业客户应用,B2E企业员工应用,移动信息化发展现状,移动信息化面临的挑战,EMM解决方案,安全攻击案例&演示,配置终端各种参数，对员工的耐心和记忆力是很大的挑战；更关键的是，IT部门需要面对有成千上万的员工,企业账号配置管理的复杂性,配置WiFi,配置VPN,配置企业邮箱,提交审核流程复杂厂商对API权限控制严格审批周期长随时面临下架风险一旦证书过期，须重新提交审核,企业App上架审批流程复杂周期长,部分企业应用实际审批周期长达6个月,用户不知道去哪里下载无信用卡绑定账号，无法下载海量App，不知道哪些是企业应用；名字相似，容易下错用户忘记更新，新版本无法快速部署到设备中非企业用户轻易获取敏感App，带来管理和安全风险,员工移动应用水平不一,企业移动应用开发面临复杂问题,多家开发团队为企业开发App，开发能力与依据规范不统一加密算法、身份认证协议不统一移动应用证书缺乏完善统一的申请、下发、更新、注销流程多个App多个移动证书，各自管理，难以整合，造成企业资源浪费，成本增加,企业员工要求通过任何设备的快速文件和数据接入文件共享（与任何人）简单而熟悉,IT部门希望安全性管控避免数据泄漏,企业IT部门与员工之间需求矛盾,移动互联网云泛滥与企业缺乏文档管理,企业员工中人均安装云服务软件3个以上；IBM已禁止员工使用DropBox等公共云服务平台,国外政府背景公司,黑客应用服务,流氓软件公司,安全架构薄弱公司,云服务,Internet/Intranet,企业敏感数据,泄漏,云服务,云服务,云服务,员工PC办公设备,员工移动设备,邮件中的敏感文档很容易被分享,面向企业员工，用户身份数据庞大，业务水平参差不齐设备种类繁多：配发设备、BYOD设备、临时设备、补发设备应用环境复杂，接触用户繁杂网络环境复杂、多样化，到处都有免费、不可靠的WiFi热点,企业核心资源,Internet/Intranet,移动用户设备的身份认证与通信数据监听,黑客监听,大型企业的网络遭遇黑客/政府监听或入侵的几率极高！企业应用服务器仅凭借用户名、密码根本无法界定连接者身份的合法性；,移动终端系统本身面临的安全风险,在过去10年的计算机安全事故统计中发现，因黑客入侵造成的数据损失仅次于内部人为泄漏因素，因此操作系统本身的安全至关重要！,移动设备越狱/Root带来的安全风险,中国地区iOS&Android越狱/Root用户比例：超过10%；在IT领域工作的员工比例更高，占比超过20%；通过淘宝购买的Android设备中40是经过Root的；,操作系统“沙盒”安全边界被打破，企业应用数据实际在“裸奔”操作系统权限管理策略混乱，恶意App可获取设备中的任何信息（SMS/通讯录/照片/企业文档/日程/）操作系统不稳定，易死机/丢失数据设备厂商拒绝保修,黑客可远程后台控制存在安全漏洞的移动终端作为跳板，通过企业VPN通道渗透到企业网络或应用系统造成更大安全风险。,移动设备渗透网络入侵,用户的行为管控与审计,企业投资开发的App，员工是否在真正使用企业App的安装情况到底如何企业App的用户体验是否良好用户使用App遇到过什么问题,管理员有太多信息不了解。,员工是否安装了包含病毒的软件或木马程序员工是否安装了企业禁止使用的第三方云存储服务App员工是否在企业配发的移动终端中安装使用游戏和娱乐软件员工是否擅自将移动终端带出单位？员工是否擅自将设备越狱/Root？,企业移动化挑战汇总,企业移动化可借助前沿技术解决问题,MobileDeviceManagement(MDM/移动设备管理)技术,MobileApplicationManagement(MAM/移动应用管理)技术,MobileContentManagement(MCM/移动内容管理)技术,OnTheAir(OTA/空中推送)技术,苹果、谷歌、三星等厂商在iOS、Android操作系统底层实现了MDM接口协议；借助MDM协议可实现对移动设备的功能控制、安全防护、行为管控和信息监控等功能,MAM可以实现企业移动应用的全面管理，包括集中托管、远程推送安装、远程更新卸载等技术；MAM技术可以监管企业员工移动设备上的App使用行为，降低安全隐患,MCM可以为企业提供便捷、可靠的敏感内容管理功能；MCM可以实现企业文档的集中安全托管、云端推送、员工文档云端同步、安全分享等功能。,OTA可为企业提供各类信息、通知的高效分发；结合OTA技术，企业应用、文档、配置、策略等管控内容可以快速推送到移动设备中，相比传统数据传输方式，大幅降低电力消耗和数据流量。,国外MDM/MAM应用现状,财富500强企业超过90%部署MDM系统国外IT安全与管理巨头纷纷布局EMM产品,移动信息化发展现状,移动信息化面临的挑战,EMM解决方案,安全攻击案例&演示,移动攻击演示,演示目标：扫描WiFi网络中存在安全漏洞的移动终端；远程入侵并获取手机敏感数据；远程植入木马软件；通过木马程序持续对目标进行监控（实时获取地理位置/获取短信内容/获取通话事件/获取照片）,移动信息化发展现状,移动信息化面临的挑战,EMM解决方案,安全攻击案例&演示,对企业已有应用进行代码注入，植入企业安全策略，实现：,企业移动应用安全封装,身份认证：通过域用户名、密码和证书对用户身份进行认证单点登录：强制基于时间和应用等级的单点登录安全访问权限管理：允许或禁止使用应用程序、离线使用应用，或应用将数据存储到设备中强制加密：确保应用存储到设备的所有数据都经过加密DLP（Datalossprevention数据防泄露）控制：设置DLP策略，例如：复制/粘贴、打印、限制网络连接、授权打开，以实现非授权应用无法访问安全数据统计报告：提供应用使用信息统计可选擦除：远程擦除应用数据，而不影响用户个人数据。,企业App,企业App,企业App,企业App,文件系统,沙盒,安全存储区,安全存储区,API,企业数据安全隔离区,虚拟硬盘分区表,企业应用程序,企业数据安全隔离区,API,驱动层,文件目录表,保险柜（公钥加密）,加密文件（一次一密）,移动安全接入网关,SSL300100011SSL3001000111010101SSL300100101SSL3001000111010101,SSL300100011SSL3001000111010101SSL300100101SSL3001000111010101,VPN,移动文档管理,企业移动信息发布平台,企业内部消息群发推送系统,移动安全管理系统/移动终端杀毒&防盗管理,远程跟踪移动终端地理位置远程锁定移动终端远程卸载企业核心应用远程擦除企业敏