基于移动办公的安全管控平台建设
2018-11-08朱英群
朱英群
(河北汇电科技有限公司,石家庄050000)
1 引言
当前,世界各国信息化快速发展,信息技术的应用促进了全球资源的优化配置和发展模式的创新,互联网对政治、经济、社会和文化的影响更加深刻。信息化已经渗透到国民生活的各个领域,网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢。因此,围绕信息获取、利用和控制的国际竞争日趋激烈,保障信息安全成为了各国重要议题[1]。
信息安全是指对信息系统的硬件、软件、系统中的数据以及依托其开展的业务进行保护,使它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠的正常运行[2]。近年来,全球频现重大安全事件,如2013年曝光的“棱镜门”、“RSA后门”事件、2017年爆发的“蠕虫式”勒索软件等等。针对信息安全威胁,本论文讨论了关于移动终端安全管控平台建设所涉及的部署问题。
2 网络架构和环境
手机管控平台网络通过私有化部署可达到以下目标:手机可通过4G网络、APN或无线网络连接到互联网,后台管理平台可通过互联网向终端下发命令,大体网络构架如图1所示。
图1 管控平台网络构架
通过管控平台的统一化部署,可以满足多场合使用要求,且具有分域管理功能。横向能满足军队、武警、消防和公安等不同单位用户独立使用,数据互相隔离;纵向能满足同一客户不同层级单位使用,支持上下级单位的纵向管理[3]。可支持移动设备管理(MDM)、移动应用管理(MAM)及移动内容管理(MCM)。下文主要介绍此管控平台一些主要的功能要求。
3 功能介绍
3.1 总体功能
3.1.1 终端适配
管控平台能够支持对Android操作系统的终端在系统层进行管理,能够至少支持Android5.0以上的版本;支持终端多适配性,能够支持所有主流安卓手机和PAD,具有防止刷机功能,可方便对终端进行选择。
3.1.2 支持多层管理
为满足平台适合大规模部署,此管控平台支持设置管理员分级,而且支持无限层级扩展,支持进行大规模设备部署。
①超级管理员:拥有最高权限,负责平台资源分配,系统设置和划分各级管理员权限;
②普通管理员:负责管理指定用户组的设备及人员信息,应用的管理,应用商店的管理以及设备的导入、管理;
③角色管理:支持角色创建,对不同的角色赋予不同的权限,包括创建、查询、删除权限,对不同角色动态配置对应的模块权限;支持将不同的角色赋予不同的人员,则该人员具有该角色设置的相关权限;
3.1.3 支持可定制
管控平台支持针对实际需求提供定制化服务,可提高应用的安全性和可管理性:
①功能定制:支持根据实际需求对功能进行定制和开发;
②支持部署定制化:可根据部队的需求提供部署规模,并可根据需求提供扩展;
③支持UI定制化:根据部队需求提供不同的界面风格;④可定制管理功能和流程定制化。
3.2 基础功能
设备注册:移动智能终端在使用前须进行注册,注册可通过用户名、设备名称、设备平台、设备类型、IMSI、IMEI、设备序列号等标识信息。设备注册后,管理员可通过管理后台对移动终端进行安全管控策略下发、运行状态检测、设备变更、锁定、擦除等管理控制。
此外,设备还支持激活领用、状态查看、淘汰与擦除等功能。客户可以通过输入账号信息激活或自动激活;可以查看设备处于正常、已丢失、待擦除、已擦除、待删除等何种状态;在移动终端不慎丢失时,可通知管理员进行挂失,而管理员可通过移动智能终端管理平台对设备进行安全操作控制,进而保障设备上的数据安全等。
3.3 设备安全管理
设备信息:可通过管控平台进行基本信息自动获取及查看,如用户、是否已Root、SIM卡是否变更等信息;支持设备软件资产信息查看,能够自主安装程序应用列表、内部推送应用列表;能够查看设备网络信息:Wi-Fi Mac地址、设备型号、手机号码、移动数据流量等。
设备功能限制:支持Android设备限制,包括禁止使用Wi-Fi、禁止使用移动数据或访问互联网、禁止使用蓝牙、禁用设备摄像、禁止麦克风、禁用SD卡、禁用设备热点共享功能、开启/关闭GPS等。
此外,为保证安全管理,管控平台还支持设备定位/锁定、消息通知、标记丢失、远程擦除/删除设备、设备行为管控等功能。通过多方面的管理,能够保证所管控范围内的安全。
3.4 围栏设置
为方便灵活管理设备或用户,系统平台策略能够支持如下围栏联动设置。基于设备级及应用级都可灵活结合围栏设置。
支持时间围栏管控;
支持地理围栏管控;
支持电子围栏管控。
3.5 应用管理(MAM)
提供统一的内部应用发布和管理。同时通过结合应用策略,对远程端移动设备进行黑白名单以及强制安装等管理[4],具体如下。
专属应用商店:搭有内部专属应用商店,用户可自主将apk应用文件上传至后台且自动封装;支持无需代码情况下(包括第三方APP,自主开发APP)的自动加固、封装等。
应用推送/更新:支持以组为单位进行应用推送;新应用或更新自动消息提醒;内部应用可上传新版本,自动覆盖并更新至终端。
此外,还支持应用删除、应用安装分析、应用黑白名单管控等操作。
4 结语
随着不断完善的网络安全保障措施,网络安全防护水平进一步提升[5]。本文通过对移动终端管控平台架构及功能需求、防护手段的介绍,能够为各类行业用户提供基于移动安全管理的行业信息化解决方案。实践表明,此移动终端管控平台能够保障用户在业务过程中安全、高效、便捷、更低成本地使用移动信息化管理,并获取最大效益。
