华为-AnyOffice移动办公解决方案-方案概述

1前言文档版本()华为专有和保密信息版权所有©华为技术有限公司11前言本文档介绍AnyOffice产品的定位和特点、典型组网方式和应用场景、功能特性。产品版本与本文档相对应的产品版本如下所示。产品名称产品版本HUAWEIAnyOfficeV200R005读者对象本文档适用于使用AnyOffice系统的企业IT人员，通过本文档可以快速了解方案全貌。符号约定在本文中可能出现下列标志，它们所代表的含义如下。符号说明用于警示紧急的危险情形，若不避免，将会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致中度或轻微的人身伤害。用于传递设备或环境安全警示信息，若不避免，可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。1前言文档版本()华为专有和保密信息版权所有©华为技术有限公司2符号说明“注意”不涉及人身伤害。用于突出重要/关键信息、最佳实践和小窍门等。“说明”不是安全警示信息，不涉及人身、设备及环境伤害信息。命令行格式约定在本文中可能出现下列命令行格式，它们所代表的含义如下。格式意义粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。[]表示用“[]”括起来的部分在命令配置时是可选的。{x|y|...}表示从两个或多个选项中选取一个。[x|y|...]表示从两个或多个选项中选取一个或者不选。{x|y|...}*表示从两个或多个选项中选取多个，最少选取一个，最多选取所有选项。[x|y|...]*表示从两个或多个选项中选取多个或者不选。&1-n表示符号“&”前面的参数可以重复1～n次。#表示由“#”开始的行为注释行。图形界面元素引用约定在本文中可能出现下列图形界面元素，它们所代表的含义如下。格式意义“”带双引号“”的格式表示各类界面控件名称和数据表，如单击“确定”。多级菜单用“”隔开。如选择“文件新建文件夹”，表示选择“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。1前言文档版本()华为专有和保密信息版权所有©华为技术有限公司3修订记录修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。文档版本01(2015-10-20)第一次正式发布。2方案介绍文档版本()华为专有和保密信息版权所有©华为技术有限公司42方案介绍关于本章华为移动办公安全解决方案是针对当前移动办公的需求、特点和挑战，在保障移动办公人员顺畅、安全访问企业内网的同时，提供高效和良好的用户体验，实现了“安全”、“效率”和“体验”的完美融合。2.1移动办公趋势介绍移动办公的趋势和面临的挑战。2.2方案简介针对当前移动办公的需求、特点和挑战，华为公司提供了AnyOffice解决方案。2.3方案组件介绍AnyOffice解决方案中采用的组件。2.1移动办公趋势介绍移动办公的趋势和面临的挑战。BYOD正以不可阻挡之势改变着人们的工作方式，成为办公手段的一个必要补充。我们可以利用更多的时间碎片收发电邮、发掘销售机会点，将企业的信息化管理推向前端，使客户的界面变得更扁平化，提升决策效率和响应速度。移动终端办公使得企业办公环境边界进一步延伸。企业用户可以在同一台移动终端上处理工作，或者下载游戏等个人应用，个人应用和企业应用的界限越来越模糊。同时，移动办公也带来了新的问题。开放、智能的移动平台使移动终端成为了新的安全缺口，容易引入恶意代码植入、个人应用和企业应用混合、数据泄密、多平台的异构管理等问题，这些问题给企业IT管理带来极大挑战。基于传统PC的安全策略和管理技术很难移植到移动设备，特别是非公司所拥有和管理的员工个人设备。企业必须建立针对个人设备的战略，包括策略的定义和新的管理方法。2方案介绍文档版本()华为专有和保密信息版权所有©华为技术有限公司5移动终端通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处于无保护状态。移动终端智能化使应用程序更容易遭受恶意攻击。由于Root权限滥用和黑客技术的应用，移动终端成为新的孕育安全风险的温床。如何简单、快捷地将企业的应用移植到千差万别的移动终端上，避免复杂的自开发带来的高成本，快速实现价值，以及帮助企业IT部门应对复杂的移动环境已成为一大挑战。由于移动终端体积小，极易丢失或被盗窃。移动终端丢失不但意味着敏感商业信息的泄漏和丢失，而且可能给企业带来法规遵从的风险。2.2方案简介针对当前移动办公的需求、特点和挑战，华为公司提供了AnyOffice解决方案。针对企业员工个人需求和企业策略遵从之间的矛盾，华为提供有效的平衡方案，使得员工在设备选择上拥有更大的个性化自由，在任何时候、任何场所，使用任何设备便捷的访问公司内网，运行企业应用，并确保安全策略不妥协。方案架构如图2-1所示，在AnyOffice解决方案中融合了AnyOffice客户端、AnyOffice管理平台（包括SM\SC\AE）、数据库以及网络连接所必须的防火墙等设备。图2-1方案架构2方案介绍文档版本()华为专有和保密信息版权所有©华为技术有限公司6方案特点Identity：统一的网络接入控制在终端认证授权方面，AnyOffice解决方案充分考虑了移动办公的特点，除传统的认证方式外，还提供了移动终端硬件特征绑定的手段，既安全又便于用户操作。同时，基于企业用户的不同角色和设备归属精细地控制用户访问企业内网资源的不同权限。Privacy：全面的数据安全和威胁防护在链路安全方面，AnyOffice可提供高强度加密传输，保证数据隐密性安全，防止数据的恶意嗅探和篡改。在数据保护方面，AnyOffice客户端开创性的通过沙箱技术，在同一台移动设备上创建了一个个人与企业分离的安全地带，轻松解决了个人和企业之间因应用和数据混合带来的数据泄密和病毒感染等风险，在个人需求和企业策略强制的冲突中实现平衡。Compliance：基于生命周期的移动设备管理支持各主流移动终端的各项通用EMM（EnterpriseMobileManagement）功能，包括应用管理、资产管理、安全管控、数据管理和设备管理等。同时，从移动终端的获取、部署、运行及回收四个生命周期环节提供了完善的策略和手段，确保每个环节都能顺畅、安全地实施和开展。2.3方案组件介绍AnyOffice解决方案中采用的组件。AnyOffice解决方案需要使用的组件如表2-1所示。表2-1方案组件组件用途说明AnyOffice客户端安装在移动终端上，是企业员工移动接入企业网络的入口。华为公司自研的AnyOffice客户端包括：安全邮件客户端安全工作台客户端–数据库主要用于存储设备注册信息、配置数据等信息。网络中只能有一个数据库。推荐使用标配的华为RH2288HV2系列。SM管理中心，提供了终端管理、用户管理、策略管理、系统配置等功能。管理员通过访问其提供的Web配置界面，完成上述各种功能的配置。网络中只能部署一个SM。OpenService提供消息中心功能，并向第三方提供接口。目前和SM服务器安装在同一台硬件服务器中。SM服务器安装完成后，OpenService会自动完成安2方案介绍文档版本()华为专有和保密信息版权所有©华为技术有限公司7组件用途说明装。网络中只能部署一个OpenService。SC业务控制中心，实现具体业务功能。MDM组件：提供移动终端管理的功能。比如配置文件下发、远程控制等。提供移动终端管理功能，例如：配置文件下发、license控制、策略下发、安全检查、终端远程控制等。APP组件（可选）：提供企业应用的管理与分发，实现企业应用的查询、下载、安装及卸载。Radius组件：能够与第三方认证服务器对接，完成终端用户的认证与授权。AE接入网关，提供HTTPS代理、应用专属隧道功能，为终端接入提供安全接入服务。分为软件AE和硬件AE。软件AE：通过在通用服务器（如RH2288HV2服务器）上安装AE服务器的应用程序实现。硬件AE：在SVN设备上加载V200R002C10L00600及以上版本后，通过配置硬件AE模式实现。BYODeSDKBYODeSDK是一个开放的软件中间件，为ISV（IndependentSoftwareVendors）业务系统提供端到端的安全防护能力。–防火墙主要提供网络级威胁防护，包括防病毒、URL过滤、IPS、RBL、应用控制和DDoS。推荐使用华为USG6000系列防火墙。终端企业员工的移动终端用于安装AnyOffice客户端软件。目前支持iOS和Android终端。企业服务器比如认证服务器、邮件服务器、业务平台等。由企业自行配置和维护。有关配套的操作系统、数据库软件等信息，请参见7技术指标。3方案特点文档版本()华为专有和保密信息版权所有©华为技术有限公司83方案特点关于本章介绍华为AnyOffice解决方案的特点。3.1基于生命周期的管理从移动设备的获取、部署、运行及回收四个生命周期环节提供了完善的MDM策略和手段，确保每个环节都能顺畅、安全地实施和开展。3.2数据防泄密介绍全面的数据保护能力。3.3分布式组网可靠性组网提供系统更多的用户接入数，更好的稳定性，更快的通信速率。3.4高安全性介绍系统安全性、数据系统安全性、操作维护安全性和接入安全性。3.1基于生命周期的管理从移动设备的获取、部署、运行及回收四个生命周期环节提供了完善的MDM策略和手段，确保每个环节都能顺畅、安全地实施和开展。获取BYOD移动办公安全解决方案遵循ITIL（InformationTechnologyInfrastructureLibrary）资产管理标准，支持标配机和BYOD的资产发现和注册，并提供移动设备使用承诺协议的自定义模板。通过自助页面，下载AnyOffice客户端软件。3方案特点文档版本()华为专有和保密信息版权所有©华为技术有限公司9部署部署移动办公方案，企业必须保证移动设备的安全合规性。BYOD移动办公安全解决方案支持对移动设备的VPN和WiFi进行安全配置和策略下发，支持企业安全策略的强制实施。BYOD移动办公安全方案集成企业应用商店，对企业应用进行安全的远程分发、安装、配置；除此之外，企业可以根据用户角色定义应用策略，保证指定的人访问正确的应用和数据。最后，应用签名验证特性，服务常驻防卸载功能保证授权的应用不被恶意的篡改和卸载，在移动终端上维持应用环境的完整性。运行运行阶段重点关注数据和应用的安全性。BYOD移动办公安全方案支持密码策略、越狱检测与隔离、外设泄密通道（SIM卡/SD存储卡/摄像头/蓝牙/WIFI等）的控制，保护在移动终端上使用的数据安全。移动设备容易丢失，华为方案能够实现对企业关键数据加密，远程锁定/数据擦除。此外，IT部门可以通过远程升级、打补丁的方式来增强应用的安全性。在管理后台，IT部门可以审计查询所有移动设备列表，以及相应的状态，例如设备型号，操作系统类型与版本等，并可以输出资产审计报表。降低IT支撑压力是移动办公方案的运作成功的一个重要因素，AnyOffice系统提供友好易用的自助页面，员工可以完成重置密码、挂失、锁定、数据远程擦除等频繁使用的操作，有效的降低IT支撑人员压力。回收员工离职或者设备丢失，为了防止数据泄密，IT部门可以对遗留在设备上的应用进行卸载，对数据进行擦除，最后注销此设备。对于企业标配设备，回收的设备可以重新注册绑定，并部署安全策略和应用。3.2数据防泄密介绍全面的数据保护能力。终端侧安全AnyOffice客户端开创性的通过沙箱技术，在同一台移动设备上创建了一个企业数据和个人数据分离的环境，轻松解决了个人和企业应用、数据混合带来的数据泄密和病毒感染等风险，在个人需求和企业策略强制的冲突中实现平衡。企业数据通过加密存储，个人应用不能访问企业应用，且阻断个人和企业应用之间的数据拷贝、剪切、粘贴等行为，并可根据策略阻止或允许应用的上传、下载等操作；在应用注销时，AnyOffice还能实现临时文件和数据的