保密单位手机安全管控解决方案
2013年12月
行业背景
随着移动互联网的快速发展和智能手机与平板的更新换代与普及，军队、科研院所、监狱、政府要害部门、企业等具备保密要求的单位面临一个日益严峻的难题：如何能有效的管理员工的智能手机，严格控制员工与智能终端的行为，杜绝技术漏洞和管理漏洞造成的移动终端泄密，同时还应尽可能的利用移动终端的便捷性能支持更好地工作。

本方案将详细描述移动终端带来的管理风险并分析用户的需求，最后提供完整的移动终端保密解决方案。

保密需求
为加强保密要害部门、部位的保密管理，确保国家秘密或组织秘密的安全，根据《中华人民共和国保守国家秘密法》及其实施办法和《中共中央保密委员会办公室、国家保密局关于保密要害部门、部位保密管理的规定》等文件要求，涉密单位必须严格执行保密规章制度。

•保密要害部门、部位使用涉密计算机（含便携式计算机）、打印机、光盘刻录机、传真机、复印机、扫描仪、照相机、录像机、录音机等设备及移动硬盘、软盘、优盘、光盘、磁带、录像带、存储卡等涉密电磁介质，由保
密要害部门、部位所在处室统一管理
•保密要害部门、部位禁止使用无绳电话和无线移动电话。

禁止使用普通电话、无线移动电话谈论涉密内容。

未经批准不得带入有录音、录像、拍照、信息存储等功能的设备
•…………
现状分析
一方面从国家或组织的保密方面要求，需要严格控制和限制移动终端在保密单位的使用。

而从个人通信需求和人性化管理方面出发，又无法全面的禁止员工使用或携带手机或移动终端。

目前不少单位的做法是：规章制度非常严格，但实际执行力差；没有技术手段保障，员工跟着感觉走，直到出事后才重视；“一放就乱，一管就死”。

部分外企公司（三星、富士康等）的保密科研单位，则采用摄像头贴标、X光扫描等方式进行控制，效果也不好，泄密事件时有发生。

移动终端管控需求分析
•单位需要对员工和访客的移动终端进行有效的管控，以防止信息泄漏。

•在要害保密部门，须严格禁止携带和使用移动终端。

•在大部分的非要害保密部门，处于人性化管理和提高工作效率，应该允许员工和访客正常使用电话和普通App等功能，但应禁止使用移动终端所具备的敏感功能。

•管控流程应该简单快捷且有效，不能明显影响管理效率和制度。

•当出现异常行为时，系统应能快速发现并告警，以防严重事态发展。

内容管控需求
禁止拍照禁止摄像禁用移动电话禁用移动存储严格静音
扩展资源管理需求
访客WiFi管理工作时间禁止娱乐
移动终端系统安全需求•防病毒、木马
•防流氓软件
•修复系统漏洞
•高效运行
•不费电
移动终端防丢失安全需求•设备丢失自动锁定
•远程锁定屏幕
•远程擦除敏感数据
•换卡发送通知短信
•远程控制警报
•远程地理位置定位
•远程备份数据
移动终端数据存储安全需求•文档加密
•照片、视频加密
•SD卡加密
•通信录防泄露
•短信防泄露
•通话记录防泄露
移动终端通讯安全需求
•短信加密传输
•语音通话加密
•视频通话加密
•移动终端应用与后台服务器通信链路加密
防止内部设备被盗或流出
•内部专用的移动终端应能有效防止员工私自携带离开单位
•内部专用的移动终端应能有效防止他人偷盗带出单位
•系统应能够对整个组织的公用移动终端状态进行统一掌控与管理
保密行业手机安全管控解决方案
针对保密行业面临的以上安全问题和管理问题，我们提供专业、全面的整体解决方案，可为军队、科研院所、监狱、政府要害部门、企业等单位提供安全有效的移动终端管理。

•严格管控手机的通话、拍照、摄像、录音等行为功能，保护单位秘密不被泄露
•严格管控移动设备的USB数据传输等功能，消除虚拟移动磁盘造成的隐患
•控制访客安全使用WiFi热点并控制其有效使用期
•控制员工上班时间远离游戏、音乐等娱乐应用
•保护员工移动终端操作系统的环境安全，防范黑客木马与病毒的侵害
•防范手机丢失造成资产损失以及数据泄露造成的更大风险
•保障员工移动终端上存储的文件、照片、视频、短信、通信录、SD卡文件等数据的安全，防止入侵泄密
•提供短信加密通信模块、基于数据通道的语音加密和视频加密方案，保障通信数据的安全
•提供“内部设备防流出方案”，确保公用设备被盗或私自携带外出造成资产和数据的损失
移动终端操作系统与硬件系统
硬件功能系统 应用系统 通讯系统
文件系统 统一 云端 管理 与 离线 管理
WiFi 、蓝牙、红外 控制
终端防盗
Modem 、APN 、SIM 卡控制
通话、短信、通话记录控制
相机、Mic 、喇叭等 控制
SD 卡、 USB 、 内置存储
控制
移动终端全面控制技术架构
数据加密&PKI
信息管理系统 应用安装、卸载、运行、权限控制
屏幕控制、电源控制
技术架构
运营商
移动终端用户
单位边界
内部办公 WiFi 热点
非要害部门
终端管理系统
安全扫描检查
访客 WiFi 热点
要害部门
门禁、 安全扫描检查
设备登记
登记专用 WiFi 热点
系统拓扑结构
新用户进入单位流程
移动终端用户进
入单位接受安全检查，并要
求登记移动设备
移动设备登记到管
控平台
准入
移动设备登记到管理平台流程
三种方式登记： 1.拍摄二维码
2.接收并点击登记短信链接
3.浏览器访问登记URL
管控平台快速生成该
设备对应策略
推送App 到移动设
备安装
自动下发管控策略
，完成
将新的移动设备登记到管控平台并完成App 安装和策略下发，最快只需 30 秒
3G/WiFi 网络
与门禁系统结合
员工进入单位大门 刷门禁卡
进入单位
门禁服务器认证成功
终端管控服务器联动
启动工作区 管控策略
案例——重庆监狱狱警手机管控方案重庆市监狱为防止狱警将手机携带入监区
后私下将手机借给服刑犯人使用电话/短信功能
，或违规拍摄监区内照片、视频并携带出去造
成不良影响，选用了我公司提供的手机安全管控方案并实现了预期效果。

（该方案中监狱手机管控系统与门禁卡系统进行了接口联动；支持网络和SMS下发管控指令）
安全扫描门禁读卡器
门禁
服务器
终端管控
服务器
监区
案例——某部队研究所手机管控方案
某部队研究所为涉密单位，单位内部严禁使用U盘、移动硬盘等设备连接计算机，严禁使用相机功能；单位使用X光探测仪可以有效检测并禁止U盘和移动硬盘携带出入，但苦于无法通过技术手段禁止使用手机模拟移动磁盘进行文件复制以及手机相机拍照摄像功能。

我公司为其提供的移动终端管控方案，能够在单位允许携带个人手机进出入的情况下，有效的控制手机相机和USB移动存储功能。

进入单位的人员如需携带手机，须在门卫处接受登记管控处理。

登记完成的手机将自动禁用相机和USB数据功能，门卫同时还会将手机摄像头覆盖上不透明贴纸，双重保障措施确保。

谢谢！。