在推動(dòng)移動(dòng)辦公的過(guò)程中，如何對(duì)移動(dòng)辦公設(shè)備進(jìn)行全面的安全管控，一直是企業(yè)機(jī)構(gòu)關(guān)注的焦點(diǎn)，尤其是對(duì)蘋(píng)果iOS移動(dòng)設(shè)備的安全管控，更是其IT管理員感到棘手的問(wèn)題。因?yàn)樘O(píng)果系統(tǒng)的權(quán)限控制，當(dāng)前很多企業(yè)機(jī)構(gòu)對(duì)蘋(píng)果系統(tǒng)的移動(dòng)設(shè)備還處于無(wú)法管控的狀態(tài)。

根據(jù)此項(xiàng)用戶需求，盈高科技制定了一套針對(duì)性的解決方案，研發(fā)了針對(duì)iOS移動(dòng)設(shè)備進(jìn)行管控的IMC移動(dòng)管理平臺(tái)，能夠?qū)OS移動(dòng)設(shè)備實(shí)現(xiàn)全面的安全管控。

那這套方案具體是怎么實(shí)現(xiàn)的呢?我們先來(lái)了解一下其系統(tǒng)架構(gòu)：

 

IMC系統(tǒng)是以硬件網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，基于C/S架構(gòu)的一套管理功能組件。其系統(tǒng)服務(wù)端由硬件網(wǎng)絡(luò)設(shè)備和其自帶的內(nèi)置操作系統(tǒng)組成，系統(tǒng)客戶端由終端所安裝的軟件組成。整個(gè)平臺(tái)分三部分組成，基于iOS管控的云服務(wù)器模塊，系統(tǒng)統(tǒng)一的管控平臺(tái)和移動(dòng)設(shè)備上的IMC客戶端。

具體功能實(shí)現(xiàn)

WIFI連接控制

對(duì)iOS設(shè)備連接非白名單的WIFI進(jìn)行違規(guī)處理動(dòng)作，包括上報(bào)違規(guī)日志，客戶端告警提示和鎖屏處理。管理員可以通過(guò)管理平臺(tái)查看相關(guān)違規(guī)記錄，掌握違規(guī)使用移動(dòng)設(shè)備的情況。

 

WiFi連接控制策略配置示意圖↓↓↓

 

違規(guī)記錄信息列表示意圖↓↓↓

 

地理圍欄策略

為了提高辦公效率，企業(yè)機(jī)構(gòu)會(huì)給公司人員配發(fā)相關(guān)的iOS移動(dòng)設(shè)備進(jìn)行移動(dòng)辦公，但由于iOS設(shè)備小巧，容易被公司人員隨意帶出辦公區(qū)域，極易造成數(shù)據(jù)泄露風(fēng)險(xiǎn)。IMC系統(tǒng)的地理圍欄策略，能夠強(qiáng)制移動(dòng)設(shè)備只能在規(guī)定的位置范圍內(nèi)使用，設(shè)備一旦帶出，則根據(jù)管理規(guī)范配置的相關(guān)策略進(jìn)行違規(guī)處理，給設(shè)備提示帶出安全風(fēng)險(xiǎn)告警和強(qiáng)制鎖屏操作，使被帶出設(shè)備在指定區(qū)域范圍外無(wú)法正常使用，杜絕了設(shè)備數(shù)據(jù)泄露風(fēng)險(xiǎn)。

 

應(yīng)用管控(專(zhuān)機(jī)專(zhuān)用)

如何確保所有派發(fā)的專(zhuān)用設(shè)備不被使用者隨意安裝與工作無(wú)關(guān)的應(yīng)用，一直是企業(yè)移動(dòng)安全管理的一個(gè)難題。由于iOS系統(tǒng)給出的操作權(quán)限的局限性，無(wú)法對(duì)iOS設(shè)備進(jìn)行統(tǒng)一規(guī)范使用。通過(guò)對(duì)大量客戶需求進(jìn)行調(diào)研，盈高科技采用自主研發(fā)的IMC內(nèi)網(wǎng)管控客戶端與iOS策略控制服務(wù)中心相結(jié)合的方式，在iOS設(shè)備派發(fā)前對(duì)其進(jìn)行安全配置策略，來(lái)禁止設(shè)備上的相機(jī)、App Store和Safari等應(yīng)用，在iOS設(shè)備上只安裝與工作相關(guān)的應(yīng)用，然后派發(fā)下去。用戶拿到設(shè)備后，未經(jīng)授權(quán)無(wú)法安裝其他應(yīng)用，保證移動(dòng)設(shè)備的使用規(guī)范，實(shí)現(xiàn)專(zhuān)機(jī)專(zhuān)用。

 

輕應(yīng)用功能

在派發(fā)的設(shè)備采用了專(zhuān)機(jī)專(zhuān)用的配置規(guī)范后，管理員會(huì)禁用派發(fā)的設(shè)備使用Safari應(yīng)用，以防止員工通過(guò)瀏覽器訪問(wèn)與工作不相關(guān)的網(wǎng)頁(yè)，杜絕違規(guī)外聯(lián)，這樣也導(dǎo)致員工無(wú)法訪問(wèn)任何網(wǎng)頁(yè)信息，但是單位存在業(yè)務(wù)相關(guān)的網(wǎng)頁(yè)訪問(wèn)需求。為了保障派發(fā)的設(shè)備能夠訪問(wèn)與工作相關(guān)的網(wǎng)頁(yè)，盈高IMC提供輕應(yīng)用管控功能，管理員在管理平臺(tái)配置好允許訪問(wèn)的網(wǎng)頁(yè)頁(yè)面鏈接地址，推送給相關(guān)移動(dòng)設(shè)備，員工通過(guò)IMC客戶端的輕應(yīng)用菜單訪問(wèn)和使用相關(guān)的網(wǎng)頁(yè)應(yīng)用信息。

 

安全準(zhǔn)入聯(lián)動(dòng)

要實(shí)現(xiàn)安全的移動(dòng)接入，就需要在互聯(lián)網(wǎng)邊界與安全防護(hù)區(qū)之間，通過(guò)必要的安全防護(hù)手段，為移動(dòng)應(yīng)用提供高安全性、高可靠性的設(shè)備端數(shù)據(jù)加密、通信鏈路加密及集成身份認(rèn)證。盈高IMC移動(dòng)設(shè)備管理系統(tǒng)結(jié)合了自主研發(fā)的網(wǎng)絡(luò)準(zhǔn)入管控技術(shù)，提供多重身份認(rèn)證，實(shí)現(xiàn)人、手機(jī)號(hào)、IP的一對(duì)一綁定，確保專(zhuān)網(wǎng)專(zhuān)用;提供加密安全隧道服務(wù)，保證應(yīng)用數(shù)據(jù)及管理數(shù)據(jù)的安全傳輸，從接入層保障了辦公內(nèi)網(wǎng)的安全。

資產(chǎn)采集

移動(dòng)設(shè)備上安裝了IMC APP后，在后臺(tái)服務(wù)器端即可獲取移動(dòng)設(shè)備的基本信息，如電話號(hào)碼、IMEI號(hào)、 設(shè)備ID、設(shè)備序列號(hào)、設(shè)備型號(hào)、系統(tǒng)版本、存儲(chǔ)空間、電池用量、已經(jīng)安裝的APP及版本等信息，管理員可一目了然地了解網(wǎng)絡(luò)中各個(gè)移動(dòng)設(shè)備的狀態(tài)。

方案優(yōu)勢(shì)與價(jià)值

自主研發(fā)的內(nèi)網(wǎng)APP下載技術(shù)，擺脫了iOS系統(tǒng)下載客戶端必須依托于App Store平臺(tái)進(jìn)行下載的瓶頸，保障了內(nèi)網(wǎng)用戶也能安裝IMC客戶端進(jìn)行管控的需求。

設(shè)備客戶端通過(guò)TCP長(zhǎng)連接服務(wù)端獲取數(shù)據(jù)、信息，發(fā)送客戶端狀態(tài)。服務(wù)器端由MDM連接服務(wù)接受客戶端的TCP請(qǐng)求，通過(guò)指令引擎解析指令，發(fā)送到MDM管理模塊。在整個(gè)信息傳輸過(guò)程中采集加密處理，有效的保障了數(shù)據(jù)傳輸安全，同時(shí)自主研發(fā)的后臺(tái)保活機(jī)制，保障了客戶端對(duì)設(shè)備的實(shí)時(shí)監(jiān)控。

盈高科技構(gòu)建了國(guó)內(nèi)最完善的移動(dòng)辦公生態(tài)鏈，集成自主研發(fā)的網(wǎng)絡(luò)準(zhǔn)入技術(shù)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)所有接入終端的安全管控，確保接入內(nèi)網(wǎng)的設(shè)備必須安裝IMC客戶端，有效的保障了IMC客戶端的安裝率，從而保障了對(duì)iOS設(shè)備的管控。