《360天机移动终端安全管理组织系统白皮书.doc》由会员分享,可在线阅读,更多相关《360天机移动终端安全管理组织系统白皮书.doc(17页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、,密级:公开 2013 年 12 月2014产品白皮书360 天机企业移动安全管理系统安全高效,灵活可控,版权声明360 天机企业移动终端安全管理系统技术白皮书为北京奇虎科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京奇虎科技有限公司。未经北京奇虎科技有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京奇虎
2、科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京奇虎科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见,请反馈:信箱:北京市朝阳区酒仙桥路 6 号院 2 号楼 邮编:100015电话:010-58542764邮件:tianji-,公司简介奇虎 360 由周鸿祎创立于 2005 年 9 月,主营以 360 安全卫士、360 杀毒为代表的免费网络安全平台,同时拥有奇虎问答等独立业务,董事长是周鸿祎。公司主要依靠在线广告及互联网增值业务创收。奇虎 360 拥有 360 安全浏览器、360 保险箱、360 杀毒软件、360 软件管家、3
3、60 网页防火墙、360 手机卫士、360 极速浏览器、360 安全桌面等系列产品。360 软件管家,是网民下载软件和升级软件的平台之一。此外,奇虎 360 公司还独创了 PeopleRank 搜索引擎技术,并将此技术应用于 BBS 搜索。360 致力于通过提供高品质的免费安全服务,为中国互联网用户解决上网时遇到的各种安全问题。面对互联网时代木马、病毒、流氓软件、钓鱼欺诈网页等多元化的安全威胁,360以互联网的思路解决网络安全问题。360 是免费安全的首倡者,认为互联网安全像搜索、电子邮箱、即时通讯一样,是互联网的基础服务,应该免费。为此,360 安全卫士、360 杀毒等系列安全产品免费提供给
4、中国数亿互联网用户。同时,360 开发了全球规模和技术均领先的云安全体系,能够快速识别并清除新型木马病毒以及钓鱼、挂马恶意网页,全方位保护用户的上网安全。作为中国最大的互联网安全公司之一,360 拥有国内规模领先的高水平安全技术团队,旗下 360 安全卫士、360 杀毒、360 安全浏览器、360 安全桌面、360 手机卫士等系列产品深受用户好评,使 360 成为无可争议的网络安全领先品牌。据第三方数据统计,截止 2012 年 9 月,360 的 PC 端产品和服务的月活跃数达到 4.42 亿,用户渗透率达到 95%,是中国最大的互联网安全公司之一。使用 360 手机安全产品和服务的智能手机用
5、户总数已达约 1.49 亿,约占中国智能手机安全产品市场 70%的份额。360 浏览器的月活跃用户数量为 3.03 亿,用户渗透率超过 65%,在国产浏览器中处于领先地位。360 个性化起始页和其下属页面的日均独立访问用户为 8900 万人,日均点击量约为 4.51 亿次,是中国最大的导航起始页之一。2012 年 8 月,360 推出具有自主知识产权的搜索引擎服务,稳定拥有 10%以上的市场份额,成为中国搜索市场的重要参与者,致力于共同建立一个安全的、有效竞争的搜索市场。,目目 录录版权声明.1免责条款.1信息反馈.1公司简介.2一 前言.1二 BYOD 带来安全新挑战.2三 360 天机企业
6、移动终端安全管理系统.44.1 产品定位.44.2 产品架构.54.3 产品功能.64.4 产品特点.104.4.1 领先的核心安全技术.104.4.2 高效的企业应用集成技术.114. 4.3 流畅的办公体验.114.4.4 灵活可控的管理策略.114.4.5 简易可视化的管理.114.4 典型解决方案.12四 服务支持.13,一 前言随着智能终端的成熟与普及,以手机、平板为代表的个人智能终端设备逐渐进入企业领域。据国际权威咨询公司 Gartner 预测,到 2014 年 90%的企业将会支持员工在个人移动终端上运行企业办公应用程序,员工使用个人智能终端设备办公已经成为一种无法逆转的潮流,这
7、类现象也被成为 BYOD(Bring Your Own Device)。BYOD 趋势为企业带来了全新的机遇:降低成本和投入BYOD 允许员工自带设备办公,消除了硬件采购和维护费用,为企业节约了大量的成本。拓展企业业务BYOD 为企事业单位提供了更为丰富的办公和业务拓展渠道。例如,交警通过移动终端实时处理交通事故数据,金融企业利用平板电脑为客户展示产品方案、办理业务,制造行业通过移动终端实时获取生产流程中的各项指标等。提高员工效率和满意度员工对工作灵活性、设备个性化的需求促使员工不再将私人设备和工作设备完全区分。在很多员工看来,移动化时代的工作已不仅仅是上班时间的事情,随时随地都可以方便的接入
8、企业系统,已经成为员工的工作习惯。企业顺势而为,为员工的移动办公设置方便、安全的环境,无疑将赢得员工的信任和支持。BYOD 允许员工随时处于办公状态,而且当员工使用自己喜欢的设备工作时,操作将更顺手,获得更高的工作效率。二 BYOD 带来安全新挑战BYOD (Bring Your Own Device, 自带设备办公)为政府和企业带来了机遇,同时也为企业信息安全和管理带来了新的挑战:, BYOD 打破了传统企业网络边界企业员工的移动设备可以在任何时间、任何地点接入运营商 3G/4G 网络或公共/家庭Wi-Fi 网络, BYOD 打破了原有的企业网络边界,正是这种边界的模糊性使 BYOD 成为企
9、业信息安全体系的薄弱环节,移动终端中的企业数据也会因此暴露在来自互联网的攻击之下,因此亟需新的方法保护企业数据安全。 手机病毒高速增长,移动设备成为渗透企业网络的跳板智能手机已经成为了人们日常生活中必不可少的设备,但是由于智能终端的安全防护措施比较薄弱,各种病毒通过手机应用,短信,二维码等丰富的渠道进行传播,尤其是近两年,随着新的黑客技术不断产生以及移动 APT 这种高目标性的攻击出现,手机病毒出现了高速的增长。根据国家互联网应急中心统计,2012 年新发现的恶意程序超过16 万,较 2011 年增长 25 倍,2013 上半年安卓手机病毒暴涨 7.96 倍(来源:7 月 6 日央视新闻联播)
10、。移动设备已经成为了滋生安全风险的温床,不仅造成了资费的消耗、个人隐私的窃取,而且也成为了黑客入侵渗透企业内网的跳板。 移动设备易被窃和遗失,给企业带来数据泄密隐患移动设备由于其便携性极易丢失,每年有 7000 万部手机丢失,其中 60%的手机包含敏感信息,而移动设备中所保存的企业敏感数据也因此面临泄密风险。Varonis 在 2013 年发布的关于企业中 BYOD 的趋势调查报告显示,50%的受访企业表示曾经丢失过储存企业重要数据的设备,其中 23%的企业遭遇了数据安全事故。设备丢失不但意味着敏感商业信息的泄漏,所丢失的设备也可能会变成黑客攻击企业网络的跳板。 缺乏对 BYOD 设备的统一管
11、理近年来崛起的智能终端和传统 PC 终端存在差异,传统的 IT 管理手段很难移植到移动终端上,尤其是非企业所拥有和管理的员工个人设备。而且由于智能终端设备的平台多样性,更是给统一管理造成了困难。缺乏对 BYOD 设备的统一管理很容易给不法分子可乘之机,所以企业亟需统一的移动设备管控平台,高效地管理在企业网络中的移动设备,监测移动终端设备的安全状况。 公私数据混用,个人隐私问题难以规避,同一移动终端设备上既有个人应用,又有企业数据和应用,个人应用可以随意访问、存取企业数据,企业应用同样也会触及到个人数据。如何明确区分并隔离 BYOD 上的企业/私人数据与应用,禁止企业数据被个人应用非法上传、共享
12、和外泄,同时禁止企业应用访问个人数据,尊重 BYOD 设备上的私人数据是一个难以规避的问题。三 360 天机企业移动终端安全管理系统360 天机企业移动终端安全管理系统(以下简称“360 天机”)是奇虎 360 公司基于移动终端安全所发布的一套面向企业的移动安全解决方案,能够有效地监测和管理移动终端的使用情况,保障终端数据的安全,提高自带设备用户的使用体验和工作效率。该产品充分的利用了 360 多年来在安全领域的技术积累,以及多年来在互联网产品中摸索的成果,充分的结合了 360 手机卫士,360 云盘,360 手机桌面,360 文件管理器,360 通讯录和 360 手机助手等产品亮点,加上最新
13、研发的国内领先的公私隔离与安全技术以及国际领先的应用集成等技术,形成了一套全面且强大的企业移动终端安全管理系统。4.1 产品定位,360 天机移动终端安全管理系统定位于解决企业在向移动办公拓展过程中面临的安全、管理以及部署等的各种挑战,帮助企业在享受移动办公带来成本下降、效率提升的同时加强对移动设备的管理控制以及安全防范。360 天机解决了企业移动办公过程中的安全问题,使得企业更安全的推行 BYOD,企业不用再担心移动终端受到木马病毒的威胁从而泄露企业数据的问题,不用再担心移动终端丢失或者被窃而导致的企业数据泄露问题,不用再担心移动终端成为入侵企业网络的渠道问题。360 天机解决了企业移动办公
14、过程中的管理问题,企业管理员可以更加高效的管控移动终端,可制定灵活可控的安全策略,提升移动终端的安全指数,可通过多样化的图表以及日志记录,更直观的查看全局状态以及追踪可能的问题细节。360 天机使得企业员工在享受 BYOD 给自己的工作带来的灵活性和个性化的同时,解决了员工个人隐私的安全性以及工作和个人生活的平衡性问题。天机采用工作区数据和个人区数据完全隔离的方式,个人区不能访问工作区数据,同时工作区也不能访问个人区的数据和应用,保证了个人数据的隐私,真正的实现了“一机两用”。在非工作时间员工可仅使用个人区,也很好的保证了个人生活和工作的平衡。4.2 产品架构360 天机企业移动终端安全管理系
15、统由两部分组成:基于 web 的管理中心移动客户端企业管理中心360 天机管理中心是基于 web 的管理系统,通过管理中心企业管理人员可以查看管辖范围内的移动终端使用情况,实施各项操作。管理中心部署在企业内网服务器,为便于中小规模企业使用,奇虎 360 提供公网服务器管理中心服务。对于部署在内网服务器的管理中心,首次部署时将指定一个管理员账号,登录成功后可以在管理中心指定其他管理员。对于使用公网服务器的管理中心,管理员需要向天机工作人员提交申请,经认证通过后开通其所提交账号为管理员账号。,管理中心可以通过浏览器直接访问,为确保管理中心正常运行,您的浏览器需要满足以下条件:浏览器内核为 IE6.
16、0 或更高版本,或者 Chrome 内核 客户端360 天机客户端部署在企业需要管理的移动终端上,企业可通过客户端实施管理中心下发的安全策略,员工可通过客户端安全地访问企业内网和办公。为确保客户端正常运行,您的移动终端系统需要满足以下条件:Android 2.2 及更高版本,或 iOS6 及更高版本天机的系统架构图如下所示:4.3 产品功能360 天机移动安全管理系统主要包括设备管理,应用管理,内容管理以及集中管控的四大功能,有效的解决了企业在移动办公过程中遇到的安全以及设备管理的问题。, 设备设备管理(管理(MDM) )360 天机的设备管理(MDM)拥有强大的设备指令下发、地理定位管理以及
17、安全策略管理的功能。管理员能通过管理中心看到每个移动终端的详细信息,并可对指定或者所有的终端进行清除工作数据、下发锁屏密码、锁定设备、锁定工作区、启动关闭鸣响、推送消息链接等强制指令的下发。为了对移动终端进行基于地理位置的管理,管理员可查看移动终端的当前地理定位,一周内的移动轨迹,并且可以设置地理栅栏,对处于栅栏内的设备进行摄像头禁用、截屏禁用等操作。管理员可灵活的自定义移动终端的安全策略,可根据需要设置离线设备的处理方式、工作区密码复杂度、特定情况下的功能禁用等。, 应应用管理(用管理(MAM) )天机企业管理中心建立了一个专用的空间,用于生成企业私有的应用市场,该市场不仅很好的规范了企业移
18、动设备应用的下载和使用,而且提高了管理员统一管理企业移动应用的效率。为了保证企业移动应用的安全性,天机采用了应用加固技术,对应用上传到企业应用市场之前进行快速病毒木马扫描,判定安全之后再对应用进行加固,可以预防企业应用被逆向的威胁,保证工作区内使用的移动应用安全可靠,零风险。管理员对终端应用有绝对的管理权限,可强制安装、强制卸载终端应用,并可设置应用黑白名单,黑名单中的应用不能安装,白名单中的应用必须安装并且不能卸载。, 内容管理(内容管理(MCM) )天机在移动终端建立了一个安全独立的工作区,采用的公私隔离技术很好的将企业数据和个人数据完全隔离,所有的企业应用和数据存储在受保护的安全工作区内
19、,避免非法存取企业数据,使 IT 部门能更好地保护企业的应用和数据,也为员工提供了无差别的个人应用体验,达到“一机两用” 的效果。360 天机采用 SM 系列国密算法处理数据,对移动终端上的工作区内的企业数据进行高强度加密,同时提供安全可靠的密钥管理,确保企业数据在多终端复杂环境下的安全。在保证了数据内容绝对安全和保密的基础上,360 天机还提供了 VPN 权限管理,内置了 SSL VPN 模块,可根据用户的身份自动匹配访问权限,禁止非法用户接入企业网络,从而保护企业内部网络和资料的安全。同时还提供了企业私有云盘,文件管理器等资料云存储和管理的解决方案,便于企业查看、存储和管理企业资料数据,提
20、高工作效率,提高企业生产力。, 集中管理集中管理为了更好的对移动终端的安全进行管理,天机提供了各种集中管理控制的功能,使得管理员对终端设备从注册,使用,到删除的整个设备全生命周期都能完全掌控。360 天机提供了分组管理功能,可将新注册的设备规划到相应的分组,管理员还可根据不同分组下发相应的安全策略,满足了不同分组用户的需求。360 天机可对移动终端设备进行多项安全违规检测,包括设备是否 root/越狱,离线是否超过指定时间,是否未安装安全软件,是否已卸载天机客户端,当月流量是否超过指定值等。对于违规设备,管理员可进行清除工作数据、锁定设备、锁定工作区等强制性操作。为了记录管理员以及企业员工所进
21、行的操作,天机提供了日志报表功能,控制端可记录并展示管理员的操作、时间和结果,设备的违规事件,执行策略、拦截事件和日常事件等。,4.4 产品特点360 天机企业移动终端安全管理系统是基于奇虎 360 多年的安全积累基础之上,采用国内领先的公私隔离与安全技术以及国际领先的应用集成等技术,为用户提供设备管理、应用管理等专业的移动设备安全管理系统,下面就对本系统的产品特色进行详细介绍。4.4.1 领先的核心安全技术360 是国内第一大互联网安全公司,在核心安全技术上已经有了多年的积累。在多年的安全技术积累基础之上, 360 针对天机还自主研发了国内领先的公私隔离与安全技术,目前已有 6 篇申请中的专
22、利。天机的核心安全技术主要体现在以下几个方面: 数据安全360 天机采用了国内领先的沙盒技术,在移动终端上建立独立工作区,将工作数据与个人数据完全隔离,禁止任何个人应用读取、访问工作区。360 天机采用了数据加密技术,对存储和运行于客户端的数据采用 SM 系列国密算法处理。同时,管理中心还提供远程擦除工作数据的功能,严防数据泄漏事故发生。 通信安全360 天机内置 SSL VPN 认证加密系统,可以根据用户身份自动分配访问权限,过滤未经授权的终端接入企业内网。同时,在移动终端上实现网络接入分离,仅允许工作区内应用通过 VPN 访问企业内网,防止恶意程序通过 VPN 通道渗透企业内网。, 应用安
23、全360 天机采用应用检测以及加固技术,对管理员上传到企业应用市场中的应用先进行病毒木马检测,再进行应用加固,有效预防企业应用遭受病毒侵扰,预防企业应用被逆向的威胁,同时,客户端可对运行于工作区的应用数据进行加密处理,保证工作区内使用的移动应用安全可靠,零风险。4.4.2 高效的企业应用集成技术360 天机采用了国际领先的企业应用集成技术,高效稳定的集成了 360 云安全基础服务,360 病毒查杀、恶意插件扫描、恶意网址拦截、数据防泄密、应用漏洞扫描以及隐私行为监控等技术,而且集成的技术大部分都是经过 360 自主研发并经过多年的市场验证,处于国际领先技术水平。4. 4.3 流畅的办公体验对终
24、端用户而言,360 天机工作区界面与 android/ios 原生界面相似,用户只需要安装一个应用,即可使用其主要的办公功能,包括邮件、日历、联系人、浏览器、企业云盘等;而且,工作区界面和个人区界面可以一键平滑切换,便于用户理解和使用。相比于将多个功能拆分为几个独立 app 的方式,360 天机的展现方式有着非常好的用户体验。4.4.4 灵活可控的管理策略360 天机给予了管理员高度灵活可控的管理策略,对于不同级别和工作性质的员工可进行不同的安全策略管理,比如普通员工可设置相对小的办公权限,相对宽松的安全策略环境,重要员工可设置相对大的办公权限,相对严格的安全策略环境。保证了各个员工的工作需求
25、得到充分满足的同时保证了终端的安全性。4.4.5 简易可视化的管理 360 天机提供了图形化的控制管理平台以及个性化的移动终端工作区界面,管理员可方便的查看设备使用情况以及策略的制定和实施情况,个人员工可自由选择下载和使用的企业应用。,4.4 典型解决方案360 天机管理中心部署在企业内网服务器中,是基于 web 的管理系统,可通过浏览器直接访问。天机移动终端可根据控制中心下发的安全策略,进行相应的锁屏、锁定工作区等操作,并可从控制中心服务器下载企业私有应用市场中的应用。控制中心获得移动终端定位等信息时,需要从天机公有云安全服务器中获取相应数据。部署结构如下图所示:四 服务支持方式方式服服务务
26、内容内容时间时间,电话电话支持支持4008 136 3607X24 小小时时响响应应邮邮件支持件支持tianji-24 小小时时内回复内回复QQ 支持支持122969787/224533511/251755502/18386827624 小小时时内回复内回复求助中心求助中心http:/ 小小时时内回复内回复论坛论坛支持支持http:/ 小小时时内回复内回复微博支持微博支持http:/ 小小时时内回复内回复微信支持微信支持164960934924 小小时时内回复内回复飞飞信支持信支持1892339132224 小小时时内回复内回复远远程桌面程桌面通通过远过远程程协协助解决助解决24 小小时时内回复内回复如需更多专属服务或本地化服务请联系 010-5854 2764
黑公网安备:91230400333293403D