Chinasec(安元)移动办公安全管理解决方案

Chinasec(安元)移动办公安全管理解决方案
背景介绍和现状
随着移动互联技术的进步和通信基础设施建设的日益成熟与普及，越来越多员工已经不仅仅在办公室处理单位的日常事务，各企事业单位和移动办公人员用智能手机、PAD和笔记本等移动终端通过公共通信网络（如：3G/Wifi/Vpdn等）访问单位内部的资源和应用，但是，这种通过公共网络接入也给单位网络引入了新的安全威胁，而传统的终端VPN已经满足不了现有的智能手机/平板电脑等移动终端的安全接入需求。

需求分析
这对以上移动办公背景描述，保护移动办公数据安全使用，提出如下需求：
♦如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及网络边界完整性等安全接入要求；
♦由于移动终端容易丢失，保证移动终端内存储数据的安全性；
♦移动版使用的终端多采用智能手机和平板电脑，针对这些新型终端加强管理，从而保证设备的可控管理。

Chinasec 移动办公安全解决方案
Chinasec移动办公安全解决方案从网络的移动用户身份安全、移动终端接入安全、网络通信安全、应用访问控制和移动终端信息存储安全等环节进行综合安全防护，构成多层次、全方位的移动安全管理体系。

为智能手机用户、掌上电脑以及移动PC用户提供安全的移动信息安全服务，为用户提供了强有力的数据信息安全支撑。

Chinasec移动办公安全解决方案由四部分组成，分别是：安全接入网关（主要由高性能工控主板和加密设备2大部分组成的硬件）、客户端加密设备（如：数字证书、TF卡等）、客户端软件以及 SDK接口开发包组成。

主要功能有：
♦移动接入终端身份安全，通过TF卡/Usbkey/证书/口令用户/动态口令密码等方式来保证接入终端用户身份安全；
♦网络通信安全，通过高安全算法（SM1/SM2/SM4）对传输通道加密，确保移动接入终端和内网通讯的链路安全；
♦应用安全访问，基于移动安全接入网关的安全访问控制实现不同的接入终端可访问不同的应用；
♦移动办公应用数据存储安全，对接入终端要求安全高或应用数据极为重要的客户建议应用数据不落地（如：公安、政府客户），Chinasec能保证移动终端和内网应用能实时连接且安全访问互访；移动终端从移动应用上下载的文件落地加密存储在终端上，实现移动应用数据的安全存储和交换。

♦移动终端管理，方案基于和移动设备厂商联动可实现对移动智能终端的网络、外设进行更深层次的安全管控，如：移动终端在移动办公的同时保证在链路层上可有效阻断终端与外网的连接，且还可以实现安全接入之后自动关闭红外、蓝牙等外设设备的数据传输，只保留移动安全接入链路的数据通讯，从网络边界方面规范了数据的通讯安全。

另：在移动终端接入内网方面还可针对性做移动终端环境检测，如：移动终端是否安装杀毒软件/是否存在某些风险因素等，以此来达到接入终端的安全接入管控。

♦与应用的结合移动办公中，关于应用场景有2类：一类是移动办公以应用录入、查询和审批为主，此类应用场景的安全方案可完全由上述移动安全接入系统实现，而不用关注具
体的应用形态（因为数据不落地）；另一类是移动办公不仅考虑录入、查询和审批，还需要将相关数据/文档下载至移动终端进行使用，此类应用场景的安全方案需重点关注和考虑下载数据的安全性。

在移动办公方案的建设和应用中，基于移动办公需要，各移动应用系统的搭建有WEB/WAP、APP和虚拟化三种情形；基于安全考虑，一旦应用数据需要落地，则必须对此下载数据进行加密控制，从而防止数据泄密。

因此在确保移动办公数据使用安全的前提下，方案亦根据三种思路分别论述：
♦WAP/WEB应用，在WAP/WEB应用中，移动智能终端本身具备多种浏览器（UC、Safari 等）访问，而此类浏览器亦无较好相关安全措施满足移动办公数据加密和安全防护，因此方案关于此部分的建设思路为:基于移动安全管理平台（客户端）SDK组件包开发/设计出单独的安全浏览器（加密浏览器），通过此浏览器访问WAP/WEB应用时可实现数据下载加密；而其他浏览器通过移动安全管理平台阻止其访问相关应用。

♦APP应用，APP应用旨在移动终端安装Client程序，通过Cilent来访问相关应用系统，安全建设方案在完成移动终端接入内网后，移动安全管理平台（客户端程序）可提供标准的API接口和SDK安全加密程序，实现应用系统Cilent程序下载数据时调用安全加密接口进行数据加密（如移动办公数据本身不可下载，在保证移动终端安全接入的前提下本身相对安全，则无需进行数据加密处理），此类方案形态如移动终端的邮件收发安全加密等。

♦与虚拟化应用的结合，随着内网应用的不断扩展和延伸，应用自身亦无法确保对移动终端的可适配性，因此Chinasec根据大型综合应用和复杂环境特性，基于和终端虚拟化结合的思路，采用Citrix解决方案与应用集成的技术实现方式进行无缝匹配。

Citrix应用虚拟化技术采用较小的成本,在不改动原有应用的基础下,利用远程桌面,应用发布,应用虚拟化等技术,实现用户对应用的远程访问.采用这种方案能够有效的保护已有信息化投资,降低移植技术风险。

（Chinasec和Citrix结合效果图如下）
适用终端
手机、PAD终端（Android、IOS、Win 8、 Win Mobile 、Symbian、Win CE等）；
笔记本终端（Win2000、 Win XP、 Win 2003、Win7、Win 8）。

部署方式
方案优势
♦算法安全，平台采用国密的SM系列硬件和软件加密算法作为核心引擎（SM1/SM4/SM2），
♦硬件网关，均已通过公安部和国家密码管理局检测和权威认证；
♦政策安全，硬件/算法均采用目前国内移动安全领域最高的安全技术标准，符合国家相关安全规定；
♦安全TF卡+证书，采用公安部专用的安全TF卡作为移动终端核心认证设备，结合数字证书进行高安全的移动接入身份认证；
♦移动办公安全，不仅能实现移动安全接入安全（身份安全+通道安全），还能实现移动办公应用的数据落地加密和移动终端管理；
♦标准SDK接口，可提供标准CMS SDK接口，可与应用紧密集合，基于系统平台框架可构建安全、有效的移动办公应用解决方案；
♦兼容性强，平台支持IOS、Andriod、Win 8、Windows phone等主流系统；
♦成功案例多，已在政府、公安系统、央企等单位成功部署100万多台移动终端。