VPN、移動辦公解決方案(華為AnyOffice解決方案)

  • 本方案采用華為AnyOffice移動辦公安全解決方案。

  華為AnyOffice移動辦公安全解決方案是針對當前移動辦公的需求、特點和挑戰,在保障移動辦公人員順暢、安全訪問企業內網的同時,提供高效和良好的用戶體驗,實現了“安全”、“效率”和“體驗”的完美融合。

  華為AnyOffice移動辦公安全解決方案是針對當前移動辦公的需求、特點和挑戰,在保障移動辦公人員順暢、安全訪問企業內網的同時,提供高效和良好的用戶體驗,實現了“安全”、“效率”和“體驗”的完美融合。

  華為公司憑借在網絡通信領域和網絡安全的技術積累和優勢,在方案中融合了AnyOffice客戶端、SVN2000-M/SVN5000-M系列的SSL/IPSec一體化VPN硬件網關設備、兼具防火墻和UTM(Unified Threat Management)功能的USG2200/5100/5500系列設備。華為AnyOffice移動辦公安全解決方案如圖1-1所示。

圖1-1 華為AnyOffice 移動辦公安全解決方案組網圖

  華為AnyOffice移動辦公安全解決方案從移動終端設備安全、網絡傳輸安全、應用安全、敏感數據安全,以及安全管理等五個維度對移動辦公進行全方位防護,面向大中型企業、垂直行業,如銀行、證券等,提供基于端到端的移動辦公安全解決方案,實現在任何時間、任何地點、任何設備、任何網絡的情況下,任何移動終端用戶都能夠真正實現跨設備、跨系統、跨網絡的遠程協同辦公,提升辦公效率。

強身份認證,偽者止步

  為保證移動接入用戶的合法性,本解決方案支持以下認證方式。

  • VPNDB本地認證

  SVN自身支持VPNDB(Virtual Private Network Database)認證方式,即在SVN上建立本地用戶數據庫,對用戶名、密碼進行嚴格認證,用戶無需另外建立認證系統。

  • 第三方認證

  針對已建設起相對完善的認證體系的企業,SVN支持第三方認證服務器,包括與符合RADIUS(Remote Authentication Dial in User Service)、LDAP(Light DirectoryAccess Protocol)、AD(Active Directory)、SecurID動態密碼等標準協議的認證服務器對接。

  • 數字證書認證

  支持X.509 v3數字證書。

  • SVN支持多級證書,且支持證書的CRL(Certificate Revocation List)和OCSP(Online Certificate Status Protocol)檢測,保證證書的有效和安全。
  • SVN支持內置CA,并支持產生設備證書CSR(Certificate Signing Request),減少用戶成本。
  • 支持上述多種認證方式的組合認證,進一步提高對用戶的認證強度。例如,可以要求用戶必須同時通過VPNDB認證和證書認證才能登錄SVN。

  為保證企業內網用戶通過無線局域網(WLAN)接入企業內網的合法性,本方案還支持通過802.1X協議對用戶的身份進行認證,保證接入用戶的合法性。

加密隧道,保障傳輸安全
  終端與SVN之間建立加密隧道,傳輸各類業務數據,防范數據傳輸過程中的非法竊聽。支持的加解密算法包括AES-256、AES-128、3DES、DES和RC4。
  另外,加密隧道還具備如下特點:

  • 提供最佳的防火墻、NAT、Proxy、SOCKS V5代理穿越能力。
  • 自動檢測網絡穿越能力,智能選擇TLS或UDP加密隧道
  • 可被第三方軟件集成,實現深入應用的安全。

網絡級威脅防護,有效防御
  終端發起的加密數據在到達SVN之前會先經過防火墻設備,報文只有通過了包過濾、會話檢查、DDoS攻擊防范等網絡威脅防護環節,才能被路由分發到SVN設備。報文經SVN設備解密、解封裝后重新發給防火墻,防火墻再對這些報文中的明文數據進行URL過濾、病毒和木馬的檢測和過濾、入侵檢測、DDoS應用層攻擊檢測和過濾,最后才將干凈的流量送往企業內網。相應的來自企業內網服務器的應答報文在到達用戶終端之前,也會經過防火墻的上述防護環節。
SDK 安全組件
  SDK安全組件不是一個可獨立工作的組件,而是一個軟件開發包,它不對外公開源代
碼,但對外提供API供集成它的上層應用使用。
  SDK安全組件通過華為公司的虛擬操作系統抽象層和各個具體的操作系統適配對接(目前,支持的操作系統包括iOS、Android),屏蔽底層操作系統的差異,向上提供統一的本地加解密接口、兼容標準Socket的安全通信接口,方便各類自研及第三方的應用集成,使之具備數據加密傳輸、本地文件加解密等安全能力,如本方案的AnyOffice客戶端軟件及第三方應用eSpace Mobile等。

  AnyOffice 客戶端,實現完整的企業移動辦公應用發布和業務級安全

  AnyOffice客戶端是一個開放的平臺,它支持當前流行的Android、iOS移動智能終端操作系統。AnyOffice客戶端集成了SDK安全組件,提供了數據隔離、數據加解密、應用集成等接口,是一個安全的移動辦公工作臺。
  AnyOffice客戶端集成了安全瀏覽器、安全郵件客戶端、MDM客戶端等一系列華為自研應用,可滿足移動辦公的通用需求,保障企業員工安全、便捷、高效地接入和訪問企業內網。除此之外,AnyOffice客戶端還可以整合集成了SDK安全組件的企業自主開發應用,為企業自主開發應用提供符合標準的高安全認證和數據防泄漏能力。
安全瀏覽器,為安全瀏覽保駕護航
  隨著企業各類應用(如會議系統、考勤系統等)的Web化,通過瀏覽器訪問企業內部各項應用的需求日益增加。安全瀏覽器作為AnyOffice客戶端的默認內置組件之一,確保給用戶一個順暢便利的安全訪問體驗。
  安全瀏覽器是華為自研的瀏覽器,高效穩定,兼容性好。安全瀏覽器具備L4VPN功能,不必在移動智能終端上安裝和啟用其他VPN撥號軟件即可順暢地接入并訪問企業網站。安全瀏覽器提供了關鍵的安全防護能力:

  • 基于AnyOffice客戶端的安全沙箱模塊,實現企業數據和個人數據的隔離,即不允許將AnyOffice客戶端內的數據拷貝到AnyOffice客戶端之外,也不允許將AnyOffice客戶端之外的數據拷貝到AnyOffice客戶端內部。
  • 支持無痕瀏覽功能,用戶退出安全瀏覽器時可對臨時文件、Cookie、瀏覽歷史記錄做無痕化清除訪問痕跡。對于保存在本地的文件和數據也可提供高強度加密保護。
  • 支持黑名單,可有效防止網絡釣魚和惡意軟件風險。

  安全郵件推送同步,有效提高辦公效率
  郵件是企業移動辦公的典型應用之一。華為自研的安全郵件客戶端作為AnyOffice客戶端的默認內置組件之一,支持IMAP4、ActiveSync等標準協議收發郵件,并支持郵件實時推送,實現“及時經濟”下的實時郵件處理。
  安全郵件客戶端可提供強大的安全特性,降低移動郵件引入的數據泄密和病毒風險。安全郵件客戶端具備L4VPN功能,實現傳輸自動加密、防惡意竊取和篡改。郵件在移動智能終端采用高強度加密算法加密存儲,密鑰可以通過在線或者離線方式獲取。另外,安全郵件支持豐富的郵件安全控制策略,企業管理員可根據員工的不同權限下發這些策略,包括是否允許附件轉發、附件下載、附件上傳、附件在線瀏覽等。安全郵件客戶端可實現零配置登錄,即用戶只需輸入AnyOffice用戶名和密碼即可實現自動登錄安全郵箱,而不需要用戶配置郵箱地址。

  設備管理,防止數據泄漏
  為方便企業對移動智能終端的管理和控制,本解決方案整合了MDM(Mobile DeviceManagement)功能。MDM基于設備生命周期對終端設備進行管理,包括資產注冊、部署、維護和注銷。

  • 資產注冊

  用戶需要輸入用戶名稱、終端類型等信息完成資產的注冊。

  • 部署

  該階段重點關注數據和應用的安全性。本解決方案支持密碼策略、越獄檢測與隔離、外設泄密通道(如Android平臺的攝像頭/藍牙/Wi-Fi/USB等;iOS平臺的攝像頭等)的控制,保護在移動智能終端上使用的數據安全。移動智能終端設備容易丟失,為了保護終端上的數據防泄漏,本解決方案能夠實施遠程鎖定/數據擦除。
  降低IT支撐壓力是移動辦公方案的運作成功的一個重要因素,本解決方案支持友好易用的自助Portal,企業員工可以鎖定設備、清除鎖屏密碼、注銷資產、數據遠程擦除等頻繁使用的操作,有效的降低IT支撐人員壓力。

  • 維護

  在管理后臺,管理員可以審計查詢所有移動辦公設備列表,以及相應的狀態,例如設備型號,操作系統與版本等等,并可以輸出資產審計報表。

  • 注銷

  員工離職或者設備丟失,為了防止數據泄漏,本解決方案支持企業IT管理員對遺留在設備上的應用進行卸載,對數據進行清除,最后注銷此設備。對于企業標配設備,回收的設備可以重新注冊綁定,并部署安全策略和應用。

中国6一12呦女精品