移动终端后台管理软件

移动终端后台管理软件
1、背景
随着IT技术和通讯技术的进一步融合,随之带来的是智能手机及平板电脑市场的空前繁荣,尤其是基于iOS和Android等操作系统的智能终端设备功能日益强大,移动互联网产业得到了迅猛发展,正逐渐渗透到人们生活、工作的各个领域。

越来越多的企业员工已经或即将摆脱办公室的约束，通过智能手机等移动终端设备来处理日常事务。

原本为个人消费者设计的智能手机和平板电脑正在不断被企业用于承载关键业务及核心应用，同时，BYOD（指携带自己的设备办公）的策略也被大量引入企业，传统的IT管理在针对不断涌现的新兴移动设备管理方面受到巨大的挑战。

这就要求能够应用企业IT策略及规范管理这些设备。

移动设备管理（MDM）由此应运而生。

移动终端后台管理产品一经推出就在建设银行总行得到了广泛的运用，管理设备总数多达40万台，管理设备类型包含：手机、Pad、PC。

横跨android、ios、win8三种操作系统。

得到了客户的一致好评。

2、系统主要功能简介
1）设备管理
✧硬件资产管理
管理设备的硬件资产信息，包括：设备唯一识别号、设备名称、
设备存储容量、可用空间、WiFi Mac地址、蓝牙Mac地址等。

✧软件资产管理
管理设备的软件资产信息，包括：系统版本信息，所安装的软
件名称、大小、版本等信息
✧配置管理
远程为移动设备系统进行功能配置：
-WiFi：接入点名称、加密方式、帐号、密码等
-APN/VPN: 接入点名称、加密方式、帐号、密码等
-Email:邮件协议，接入点名称、加密方式、帐号、密码等
-Web Clip：把企业网站或推荐的网页以快捷图标的方式推送到移动设备的桌面上
-通讯录：同步服务器地址，同步帐号、密码等
-日历：同步服务器地址，同步帐号、密码等
-密码策略：密码长度、复杂度、有效期等
✧设备功能管理
管理设备功能，可以禁止/允许设备用户使用对应功能。

-外接存储
-蓝牙
-摄像头
-麦克风
-WiFi
-APN
-截屏
-指定的应用软件
✧设备注册
能够通过统一注册的方式把设备加入到系统。

没有注册的设备不能使用。

支持单个设备注册、批量设备注册和最终用户自助注册等多种设备注册模式。

✧设备注销
管理员可以通过后台管理界面对设备进行注销操作，注销后，设备脱离后台管理。

设备被注销后，其信息也会从系统中删除。

✧安装应用
系统能根据应用的安装指令来安装应用商店的应用。

可支持静默安装、非静默安装。

当应用需要静默安装时，客户端在收到安装命令后，自动进行下载安装，在下载安装时不会影响设备的正常使用。

当应用是非静默安装时，需要设备用户点击同意才能安装，安装过程可能影响设备的正常使用。

✧删除应用
系统能够提供删除指令来删除通过应用商店安装的应用。

删除应用支持静默删除、非静默删除。

静默删除是指：在不需要设备用户介入的情况下，自动的删除设备上的应用。

非静默删除是指：删除应用时需要设备用户的介入才能完成。

2）应用管理
✧黑名单管理：设备不被允许使用的应用。

✧白名单管理：设备被允许使用的应用。

✧应用安装：通过系统安装移动应用。

✧应用升级：通过系统升级移动应用。

✧应用删除：通过系统删除移动应用。

✧应用回退：设备上的应用版本回退到指定的版本。

3）安全管理
✧密码策略：为设备指定锁屏的密码规则
✧远程锁机：通过系统可以远程锁定设备屏幕
✧数据加密：系统可以设置规则为设备中的数据进行加密
✧存储加密：系统可以设置规则为设备存储进行加密，当存储被
拔出后，在其他设备上无法被识别
✧设备擦除：通过系统可以远程擦除设备
4）管理后台
✧管理后台采用HTML5规范开发的网页管理方式，适应在不同的
设备上运行管理页面，同时采用HTTPS/SSL的加密方式，保障
了设备管理消息传递的安全性和可靠性
✧设备管理后台采用集中部署分级管理的模式，可以满足总行集
中管理，分级权限设置等多种需求
5）相关接口
设备管理对外提供三类接口：
✧管理类API：提供设备管理流程管理的接口，主要用于设备管
理流程的定制
✧功能类API：提供设备管理功能的接口，主要用于在其他系统
/应用中添加/整合设备管理的功能
✧统计类API：提供设备管理行为的统计数据接口，主要用于其
他系统对设备管理统计数据的复用
设备管理需要外部提供的接口：
✧组织架构接口:用于实现人员、设备与组织结构的映射关系，
以及获取人员相关的设备注册信息
✧单点登录接口:用于人员鉴权，保障人员/设备的合法性
6）自助服务
系统提供自助访问服务，来满足用户对自己的设备进行注册和管
理。

用户在使用自助服务时必须提供统一认证平台的用户名和密码，进行认证后才能使用。

具体包括：自助注册、自助注销、自助管理。

✧自助注册
用户通过系统的客户端进行自助注册到系统中。

自助注册和管理员注册所达到的效果是相同的。

✧自助注销
用户通过系统提供的客户端对自己的设备进行注销操作，执行设备注销，设备就进入退出阶段(详见设备的全生命周期管理)。

✧自助管理
用户通过系统提供的客户端对自己的设备进行管理。

运行用户对设备进行锁屏、清除密码、注销操作。

自助管理的权限需要管理员开放才能使用。

默认是不允许使用自助服务。

支持设备的全生命周期管理。

移动终端后台管理对从设备开始使用到设备退出使用的整个生命周期过程中进行管理。

✧启用阶段
通过统一注册（包括批量注册和单设备注册）或自助注册的方式把设备加入到系统。

在注册时或注册后根据银行组织架构将移动设备分配给不同的部门或指定的员工。

根据银行技术规范，在设备进行注册时，下发银行的IT管理策略：开机密码规则，无线网络配置，VPN的配置，禁用系统自带的浏览器；在应用商店的配合下安装办公软件和应用软件（P2大堂经理移动应用、OA等）。

系统采用自带加密算法对设备数据进行加密。

在
设备进行注册时收集设备的硬件资产信息进行存档。

使用阶段
能够对设备硬件状态是否正常（监测设备有没有被置换）、哪个用户正在使用设备、设备是否越狱、数据是否加密、是否有非法安装的应用进行检测，发现异常能够报警提示。

报警方式为：系统内异常资产报表中显示。

对已经指定的IT管理策略进行维护（包括：新增、更新、撤销）并及时更新到设备上。

通过应用商店实现应用在设备上进行安装、升级、修改、卸载。

可通过发送指令来对指定的设备进行锁屏、清除密码、擦除数据等操作。

对不合规的设备禁止相关操作。

越狱的设备将禁止安装银行的软件、接入银行的网络。

移动终端管理系统的配置文件或客户端被删除后，将删除已安装的银行软件及数据或禁止使用银行的软件。

安装未经许可的应用后，一经发现，禁止用户使用银行应用。

根据不同的场景需要用户仅仅使用被允许的功能。

用户在使用OA或P2应用时，需要禁止使用设备上的数据接口（蓝牙、数据线、USB等外接存储）。

用户在为客户演示网上银行时，仅允许用户访问ccb的网站。

能够为OA和P2应用提供接口，在用户使用OA和P2应用时。

对设备环境进行检查，如果发现设备没有被系统管理或已越狱或相关文件被私自修改，OA和P2应用退出。

禁止使用设备的数据接口（蓝牙、数据线、USB等外接存储）。

提供对应用管理的黑/白名单方案，即哪些程序允许使用，哪些程序不允许使用。

能够记录设备的使用日志（软件安装、下载次数、下载、安装成功情况等）。

能够记录系统管理员的操作日志。

退出阶段
当设备丢失或被盗，将擦除设备上的数据，对设备进行恢复到出厂设置。

当设备使用者离职，将擦除设备上的数据，对设备进行恢复到出厂设置，供其他员工继续使用。

当设备寿命到期，将擦除设备上的数据，对设备进行恢复到出厂设置后，交由相关部门处理。

设备从本系统退出后，将无法使用应用商店的功能。