在推動移動辦公的過程中，如何對移動辦公設(shè)備進行全面的安全管控，一直是企業(yè)機構(gòu)關(guān)注的焦點，尤其是對蘋果iOS移動設(shè)備的安全管控，更是其IT管理員感到棘手的問題。因為蘋果系統(tǒng)的權(quán)限控制，當(dāng)前很多企業(yè)機構(gòu)對蘋果系統(tǒng)的移動設(shè)備還處于無法管控的狀態(tài)。

根據(jù)此項用戶需求，盈高科技制定了一套針對性的解決方案，研發(fā)了針對iOS移動設(shè)備進行管控的IMC移動管理平臺，能夠?qū)OS移動設(shè)備實現(xiàn)全面的安全管控。

那這套方案具體是怎么實現(xiàn)的呢?我們先來了解一下其系統(tǒng)架構(gòu)：

 

IMC系統(tǒng)是以硬件網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，基于C/S架構(gòu)的一套管理功能組件。其系統(tǒng)服務(wù)端由硬件網(wǎng)絡(luò)設(shè)備和其自帶的內(nèi)置操作系統(tǒng)組成，系統(tǒng)客戶端由終端所安裝的軟件組成。整個平臺分三部分組成，基于iOS管控的云服務(wù)器模塊，系統(tǒng)統(tǒng)一的管控平臺和移動設(shè)備上的IMC客戶端。

具體功能實現(xiàn)

WIFI連接控制

對iOS設(shè)備連接非白名單的WIFI進行違規(guī)處理動作，包括上報違規(guī)日志，客戶端告警提示和鎖屏處理。管理員可以通過管理平臺查看相關(guān)違規(guī)記錄，掌握違規(guī)使用移動設(shè)備的情況。

 

WiFi連接控制策略配置示意圖↓↓↓

 

違規(guī)記錄信息列表示意圖↓↓↓

 

地理圍欄策略

為了提高辦公效率，企業(yè)機構(gòu)會給公司人員配發(fā)相關(guān)的iOS移動設(shè)備進行移動辦公，但由于iOS設(shè)備小巧，容易被公司人員隨意帶出辦公區(qū)域，極易造成數(shù)據(jù)泄露風(fēng)險。IMC系統(tǒng)的地理圍欄策略，能夠強制移動設(shè)備只能在規(guī)定的位置范圍內(nèi)使用，設(shè)備一旦帶出，則根據(jù)管理規(guī)范配置的相關(guān)策略進行違規(guī)處理，給設(shè)備提示帶出安全風(fēng)險告警和強制鎖屏操作，使被帶出設(shè)備在指定區(qū)域范圍外無法正常使用，杜絕了設(shè)備數(shù)據(jù)泄露風(fēng)險。

 

應(yīng)用管控(專機專用)

如何確保所有派發(fā)的專用設(shè)備不被使用者隨意安裝與工作無關(guān)的應(yīng)用，一直是企業(yè)移動安全管理的一個難題。由于iOS系統(tǒng)給出的操作權(quán)限的局限性，無法對iOS設(shè)備進行統(tǒng)一規(guī)范使用。通過對大量客戶需求進行調(diào)研，盈高科技采用自主研發(fā)的IMC內(nèi)網(wǎng)管控客戶端與iOS策略控制服務(wù)中心相結(jié)合的方式，在iOS設(shè)備派發(fā)前對其進行安全配置策略，來禁止設(shè)備上的相機、App Store和Safari等應(yīng)用，在iOS設(shè)備上只安裝與工作相關(guān)的應(yīng)用，然后派發(fā)下去。用戶拿到設(shè)備后，未經(jīng)授權(quán)無法安裝其他應(yīng)用，保證移動設(shè)備的使用規(guī)范，實現(xiàn)專機專用。

 

輕應(yīng)用功能

在派發(fā)的設(shè)備采用了專機專用的配置規(guī)范后，管理員會禁用派發(fā)的設(shè)備使用Safari應(yīng)用，以防止員工通過瀏覽器訪問與工作不相關(guān)的網(wǎng)頁，杜絕違規(guī)外聯(lián)，這樣也導(dǎo)致員工無法訪問任何網(wǎng)頁信息，但是單位存在業(yè)務(wù)相關(guān)的網(wǎng)頁訪問需求。為了保障派發(fā)的設(shè)備能夠訪問與工作相關(guān)的網(wǎng)頁，盈高IMC提供輕應(yīng)用管控功能，管理員在管理平臺配置好允許訪問的網(wǎng)頁頁面鏈接地址，推送給相關(guān)移動設(shè)備，員工通過IMC客戶端的輕應(yīng)用菜單訪問和使用相關(guān)的網(wǎng)頁應(yīng)用信息。

 

安全準(zhǔn)入聯(lián)動

要實現(xiàn)安全的移動接入，就需要在互聯(lián)網(wǎng)邊界與安全防護區(qū)之間，通過必要的安全防護手段，為移動應(yīng)用提供高安全性、高可靠性的設(shè)備端數(shù)據(jù)加密、通信鏈路加密及集成身份認證。盈高IMC移動設(shè)備管理系統(tǒng)結(jié)合了自主研發(fā)的網(wǎng)絡(luò)準(zhǔn)入管控技術(shù)，提供多重身份認證，實現(xiàn)人、手機號、IP的一對一綁定，確保專網(wǎng)專用;提供加密安全隧道服務(wù)，保證應(yīng)用數(shù)據(jù)及管理數(shù)據(jù)的安全傳輸，從接入層保障了辦公內(nèi)網(wǎng)的安全。

資產(chǎn)采集

移動設(shè)備上安裝了IMC APP后，在后臺服務(wù)器端即可獲取移動設(shè)備的基本信息，如電話號碼、IMEI號、 設(shè)備ID、設(shè)備序列號、設(shè)備型號、系統(tǒng)版本、存儲空間、電池用量、已經(jīng)安裝的APP及版本等信息，管理員可一目了然地了解網(wǎng)絡(luò)中各個移動設(shè)備的狀態(tài)。

方案優(yōu)勢與價值

自主研發(fā)的內(nèi)網(wǎng)APP下載技術(shù)，擺脫了iOS系統(tǒng)下載客戶端必須依托于App Store平臺進行下載的瓶頸，保障了內(nèi)網(wǎng)用戶也能安裝IMC客戶端進行管控的需求。

設(shè)備客戶端通過TCP長連接服務(wù)端獲取數(shù)據(jù)、信息，發(fā)送客戶端狀態(tài)。服務(wù)器端由MDM連接服務(wù)接受客戶端的TCP請求，通過指令引擎解析指令，發(fā)送到MDM管理模塊。在整個信息傳輸過程中采集加密處理，有效的保障了數(shù)據(jù)傳輸安全，同時自主研發(fā)的后臺保活機制，保障了客戶端對設(shè)備的實時監(jiān)控。

盈高科技構(gòu)建了國內(nèi)最完善的移動辦公生態(tài)鏈，集成自主研發(fā)的網(wǎng)絡(luò)準(zhǔn)入技術(shù)，實現(xiàn)對內(nèi)網(wǎng)所有接入終端的安全管控，確保接入內(nèi)網(wǎng)的設(shè)備必須安裝IMC客戶端，有效的保障了IMC客戶端的安裝率，從而保障了對iOS設(shè)備的管控。