MDM系统技术解决方案目录一、背景说明(一)项目背景随着移动互联网技术的发展，IT消费化时代已经成为现今的主流，越来越多的单位员工使用个人平板电脑和智能手机进行日常公务处理，越来越多的单位为了提升业务的反应速度也为单位人员统一购买PDA或者平板电脑用于办公使用。

由于其移动的便捷性，使得我们很难区分哪里是办公室，哪里是家，在给我们带来便利的同时，威胁也随之而来。

“”也可称为“3A办公”，也叫移动, 即办公人员可在任何时间（Anytime）、任何地点（Anywhere）处理与业务相关的任何事情（Anything）。

这种全新的办公模式，可以让办公人员摆脱时间和空间的束缚。

单位信息可以随时随地通畅地进行交互流动，工作将更加轻松有效，整体运作更加协调，利用手机的移动信息化软件，建立手机与电脑互联互通的企业软件应用系统，摆脱时间和场所局限，随时进行随身化的业务管理和沟通，帮助工作人员有效提高工作效率。

(二)应用现状业务性质决定了员工需要使用移动智能终端设备进行正常办公。

这种最新潮的办公模式，通过在手机、平板上安装信息化软件，使得手机也具备了和电脑一样的办公功能，而且它还摆脱了必须在固定场所固定设备上进行办公的限制，为管理者和商务人士提供了极大便利。

它不仅使得办公变得随心、轻松，而且借助手机通信的便利性，使得使用者无论身处何种紧急情况下，都能高效迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极为重要的意义。

新型的移动办公方式也为单位的信息安全现状防护提出了更为严格的防护要求和挑战。

1、移动设备具有易失性，从而具有泄露业务数据的隐患移动设备由于其便携性，经常会出现丢失的情况。

而移动设备中所保存的敏感数据也因此面临泄密风险。

2、员工主动泄密，业务数据被泄漏移动设备的便携性使得其更加难以统一管理。

难以保证个别离职人员不会将设备中的商密信息泄露给竞争对手。

3、移动操作系统的碎片化问题严重，统一管理不便Android设备就有2万多款不同型号，员工自带的设备多种多样，如何保证策略执行的一致性、如何在统一的平台上管理各种设备是另一个挑战。

4、应用质量参差不齐，应用市场安全性堪忧据360的数据统计， 78%的知名应用被盗版，第三方应用市场及论坛仍然是恶意程序传播的主要途径(占61%)，最不安全的某小型应用市场的恶意程序占比竟高达%，应用市场的安全性堪忧。

5、手机病毒数量和类型的高速增长，使移动设备成为渗透网络的跳板在移动互联网越来越深入人心的今天，攻击者已经开始将视线由PC转向了移动设备。

同时，由于Root权限滥用和新的黑客攻击技术，移动设备成为滋生安全风险的新温床，容易成为黑客入侵渗透内网的跳板。

6、公私数据混用，个人隐私难以得到保障同一移动终端设备上既有个人应用，又有业务数据和应用，个人应用可以随意访问、存取业务数据，业务应用同样也会触及到个人数据。

如何明确区分并隔离移动终端上的业务数据/私人数据与应用，禁止业务数据被个人应用非法上传、共享和外泄，同时禁止业务应用访问个人数据，尊重移动终端上的私人数据是一个难以避免的问题。

集团公司的移动信息安全现状急切的需要得到解决。

二、需求分析移动智能终端设备防护的对象分散、品牌复杂，对于功能性和非功能性要求上都有着近乎苛刻的要求。

(一)功能性需求分析移动互联网技术的高速发展，给我们的日常生活带来了便利，同时也提升了办公效率，随之而来的问题是，员工用移动设备办公的时候，由于其分散性，得不到集中管理，为单位内部文档资料的泄露埋下了不可忽视的隐患，同时又很难进行事后的追责。

隐患一：海量恶意软件防不胜防。

大量恶意软件混杂在软件市场内，一旦用户下载、安装带有木马、后门的软件，用户的个人信息、隐私、公司内部的来往信息、客户的资料信息等数据将受到严重威胁。

隐患二：“云备份”可能造成信息泄露。

“云备份”既节省存储空间，又便于多平台信息共享和恢复。

然而，没有人能保证数据在云服务器上不被非法浏览、篡改或删除。

倘若有敏感信息泄露，后果将不堪设想。

隐患三：免费WIFI不安全。

免费WIFI上网时数据存在被监听、截获和篡改的风险，联网的手机甚至还会遭到漏洞攻击，从而造成损失、影响安全。

隐患四：GPS定位控制。

移动设备的高便携性特点，使得存有重要数据的移动设备难以进行有效统一的管理，极大的增加了数据通过移动智能终端设备带出造成数据泄露的风险。

隐患五：拍照信息泄露。

对于内部资料、客户的隐私信息进行拍照。

通过网络渠道快速传播，而其中有可能包含了内部的机密资料，或客户的隐私资料，造成不必要的客户纠纷。

隐患六：缺少有效的接入防护。

由于业务的特殊性，内部支撑网络接入位置分散，在这种环境下随意接入网络内部网络，存在违规接入风险。

存在以移动设备为载体，内部网络被入侵的风险。

隐患七：移动设备难以进行统一有效的管理。

设备中数据存在被无意或恶意倒卖的可能性。

移动设备的安全隐患并不只存在于上述的列举中，实际环境中存在的更多的安全隐患是我们无法完全列举的，甚至是我们还没有发现的。

由于移动设备使用的普遍性，单纯通过制度来管理是无法进行有效控制的，如何结合一套针对移动智能终端安全管理的软件来解决以上问题就显得尤为重要。

(二)非功能性需求分析好的产品在满足功能需求的同时，同样要做到非功能性的一些设计要求。

非功能性的产品可以概括为兼容性、可靠性、易用性、高效率等几个方面。

广泛的兼容性产品应兼容IOS系统设备（手机、ipad等）和Android系统设备（手机、Pad）等常见的移动设备系统。

产品能兼容市面上常见的移动设备品牌，包括但不仅限于Apple、华为、三星、OPPO、Vivo、小米、努比亚、LG、魅族、中兴、金立、1+、TCL、乐视等。

对于市面上没有由内部自行开发或改进的手机型号，应能够提供兼容性方案设计或二次开发以满足企业对于手机兼容性的要求。

高可靠性产品应能够与常见的移动设备软件具备良好的兼容性。

在与生僻的软件产生不兼容情况后，产品应能够在短时间内重建其性能水平并恢复直接受影响数据。

高易用性产品应具备友好的用户交互界面。

产品功能操作在设计上应该便于理解、便于学习等，增加产品的可操作性。

例如产品要具备短期的数据记忆能力，便于数据的输入。

高效率产品在使用的时候应具备低资源占用的特性。

具体表现为，上线产品后，手机不能够有明显的速度下降；在一定条件下，产品占用的手机存储资源不应超过双方协商的资源占用数据。

三、解决方案MDM系统定位于解决单位在向移动办公及其使用拓展过程中面临的安全、管理以及部署等方面的各种挑战，帮助单位在享受移动办公带来成本下降、效率提升的同时加强对移动设备的管理控制以及安全防范。

MDM系统解决了公司内部手机使用过程中的安全问题，使得员工能够更安全的使用手机及其网络，不用再担心企业内部数据通过移动智能终端的非法接入、木马、病毒等方式发生泄密事件，不用再担心移动智能终端丢失或者被窃而导致的个人及企业信息数据泄露问题，不用再担心移动智能终端成为入侵单位内部网络的渠道问题。

MDM系统解决了移动设备工作人员使用移动智能终端设备办公过程中的管理问题，管理员可以更加高效的管控移动智能终端，可制定灵活可控的安全策略，提升移动智能终端的安全指数，可通过多样化的图表以及日志记录，更直观的查看全局状态以及追踪可能的问题细节。

MDM系统从移动智能终端的行为控制、通信规范、信息审计、GPS定位控制等多维度，配合以安全测评等技术，为内部移动设备的使用提供完备的解决方案。

极大程度的规避了因拍照、上网等造成的公司及个人信息泄露风险，极大程度上规避了以移动设备作为跳板，导致内部网络被入侵的风险。

(一)安全的网络接入控制基于NACP 准入控制技术，实现对移动智能终端的入网管理，阻止非法移动智能终端任意接入单位网络，同时对安装应用、设备越狱、USB 调试模式、网络通讯环境等安全隐患进行检测，仅允许检测合格的终端接入网络。

对于检测不合格的移动智能终端提供可引导式修复界面，方便用户进行自主修复，从源头出发保障了入网设备的安全性，协助网络管理人员建立一个合法合规的移动办公环境。

我们的方案秉承“不改变网络、不依赖网络设备、部署简单”的特性，兼容各种复杂的网络环境，支持分布式快速部署，为您解决移动智能终端网络准入控制的合规性要求，达到“违规不入网、入网必合规”的管理规范。

(二)手机行为规范管理MDM系统的“安全规范管理功能”可实现对移动设备的摄像头、蓝牙、屏幕截屏、网络共享、GPRS网络连接、密码管理进行限制和管理，能够对文件添加阅读水印。

一方面避免了移动设备的滥用、病毒传播等危险行为，另一方面也规范了单位人员使用移动设备的行为，防止信息的泄密，为企业人员创建了一套标准的使用规则。

(三)应用行为规范MDM系统包含了虚拟化安全办公桌面，结合沙箱技术在移动智能终端上建立独立工作区，将单位的敏感数据隔离，个人信息进行加密存储，一键灵活切换工作区和个人区。

安全办公区预置完备的移动应用程序，可实现禁止非法应用的使用，并且可对违规终端下发远程数据擦除指令，有效的解决内部敏感数据泄露问题。

应用安全功能可以实现对移动智能终端设备的移动应用以及个人信息数据建立安全办公桌面，对敏感应用进行统一平台化桌面式管理。

支持对移动设备的应用使用权限进行限制，防止移动智能终端使用非法APP 程序，协助管理人员对移动设备统一推送APP应用程序，支持一键式安装，支持对办公桌面中的常用APP进行自定义设定。

并且通过虚拟化隔离技术实现安全办公桌面下数据的公私分离，从而保障在办公桌面下仅允许运行单位内部指定的应用，从应用使用方面保证重要数据不被非法应用任意存取。

(四)通信规范管理MDM系统提供对移动设备的WIFI连接控制、通话控制、网站访问限制，防止移动设备通过违规外联发生危害移动设备的情况出现。

为了更精准的实现对移动用户连接WIFI的控制，采用多种匹配方式，IP地址、MAC地址、WIFI名称三种方式结合使用，达到更精准的管理。

WIFI连接管理功能协助管理员对移动设备的WIFI连接进行管理和控制，通过两种模式（黑名单和白名单）的控制，对移动设备可连接的WIFI进行限制。

移动通讯管理功能能够协助管理人员对使用SIM的设备进行通话限制，通过输入对应的电话号码，进行精准匹配，达到只能和允许通话的号码进行联系的目的。

网站访问限制解决方案通过自主研发的Gview浏览器，来实现对移动端访问网络的限制，管理员通过策略限制，只允许访问特定的网站。

(五)区域差异化策略控制MDM系统方案针对移动设备的高便携性，无法进行集中式管理的缺点，提供了基于GPS卫星信号的高精度地理围栏功能。

限定移动设备的可用地理范围，对私自离开指定区域的移动设备进行强制锁屏、涉密数据自动清除以及恢复出厂设置等操作，并且对于遗失的移动设备可通过卫星信号进行远程定位、数据远程擦除，防止设备遗失所造成的泄密事件发生。