VPN、移动办公解决方案(华为AnyOffice解决方案)

  • 本方案采用华为AnyOffice移动办公安全解决方案。

  华为AnyOffice移动办公安全解决方案是针对当前移动办公的需求、特点和挑战,在保障移动办公人员顺畅、安全访问企业内网的同时,提供高效和良好的用户体验,实现了“安全”、“效率”和“体验”的完美融合。

  华为AnyOffice移动办公安全解决方案是针对当前移动办公的需求、特点和挑战,在保障移动办公人员顺畅、安全访问企业内网的同时,提供高效和良好的用户体验,实现了“安全”、“效率”和“体验”的完美融合。

  华为公司凭借在网络通信领域和网络安全的技术积累和优势,在方案中融合了AnyOffice客户端、SVN2000-M/SVN5000-M系列的SSL/IPSec一体化VPN硬件网关设备、兼具防火墙和UTM(Unified Threat Management)功能的USG2200/5100/5500系列设备。华为AnyOffice移动办公安全解决方案如图1-1所示。

图1-1 华为AnyOffice 移动办公安全解决方案组网图

  华为AnyOffice移动办公安全解决方案从移动终端设备安全、网络传输安全、应用安全、敏感数据安全,以及安全管理等五个维度对移动办公进行全方位防护,面向大中型企业、垂直行业,如银行、证券等,提供基于端到端的移动办公安全解决方案,实现在任何时间、任何地点、任何设备、任何网络的情况下,任何移动终端用户都能够真正实现跨设备、跨系统、跨网络的远程协同办公,提升办公效率。

强身份认证,伪者止步

  为保证移动接入用户的合法性,本解决方案支持以下认证方式。

  • VPNDB本地认证

  SVN自身支持VPNDB(Virtual Private Network Database)认证方式,即在SVN上建立本地用户数据库,对用户名、密码进行严格认证,用户无需另外建立认证系统。

  • 第三方认证

  针对已建设起相对完善的认证体系的企业,SVN支持第三方认证服务器,包括与符合RADIUS(Remote Authentication Dial in User Service)、LDAP(Light DirectoryAccess Protocol)、AD(Active Directory)、SecurID动态密码等标准协议的认证服务器对接。

  • 数字证书认证

  支持X.509 v3数字证书。

  • SVN支持多级证书,且支持证书的CRL(Certificate Revocation List)和OCSP(Online Certificate Status Protocol)检测,保证证书的有效和安全。
  • SVN支持内置CA,并支持产生设备证书CSR(Certificate Signing Request),减少用户成本。
  • 支持上述多种认证方式的组合认证,进一步提高对用户的认证强度。例如,可以要求用户必须同时通过VPNDB认证和证书认证才能登录SVN。

  为保证企业内网用户通过无线局域网(WLAN)接入企业内网的合法性,本方案还支持通过802.1X协议对用户的身份进行认证,保证接入用户的合法性。

加密隧道,保障传输安全
  终端与SVN之间建立加密隧道,传输各类业务数据,防范数据传输过程中的非法窃听。支持的加解密算法包括AES-256、AES-128、3DES、DES和RC4。
  另外,加密隧道还具备如下特点:

  • 提供最佳的防火墙、NAT、Proxy、SOCKS V5代理穿越能力。
  • 自动检测网络穿越能力,智能选择TLS或UDP加密隧道
  • 可被第三方软件集成,实现深入应用的安全。

网络级威胁防护,有效防御
  终端发起的加密数据在到达SVN之前会先经过防火墙设备,报文只有通过了包过滤、会话检查、DDoS攻击防范等网络威胁防护环节,才能被路由分发到SVN设备。报文经SVN设备解密、解封装后重新发给防火墙,防火墙再对这些报文中的明文数据进行URL过滤、病毒和木马的检测和过滤、入侵检测、DDoS应用层攻击检测和过滤,最后才将干净的流量送往企业内网。相应的来自企业内网服务器的应答报文在到达用户终端之前,也会经过防火墙的上述防护环节。
SDK 安全组件
  SDK安全组件不是一个可独立工作的组件,而是一个软件开发包,它不对外公开源代
码,但对外提供API供集成它的上层应用使用。
  SDK安全组件通过华为公司的虚拟操作系统抽象层和各个具体的操作系统适配对接(目前,支持的操作系统包括iOS、Android),屏蔽底层操作系统的差异,向上提供统一的本地加解密接口、兼容标准Socket的安全通信接口,方便各类自研及第三方的应用集成,使之具备数据加密传输、本地文件加解密等安全能力,如本方案的AnyOffice客户端软件及第三方应用eSpace Mobile等。

  AnyOffice 客户端,实现完整的企业移动办公应用发布和业务级安全

  AnyOffice客户端是一个开放的平台,它支持当前流行的Android、iOS移动智能终端操作系统。AnyOffice客户端集成了SDK安全组件,提供了数据隔离、数据加解密、应用集成等接口,是一个安全的移动办公工作台。
  AnyOffice客户端集成了安全浏览器、安全邮件客户端、MDM客户端等一系列华为自研应用,可满足移动办公的通用需求,保障企业员工安全、便捷、高效地接入和访问企业内网。除此之外,AnyOffice客户端还可以整合集成了SDK安全组件的企业自主开发应用,为企业自主开发应用提供符合标准的高安全认证和数据防泄漏能力。
安全浏览器,为安全浏览保驾护航
  随着企业各类应用(如会议系统、考勤系统等)的Web化,通过浏览器访问企业内部各项应用的需求日益增加。安全浏览器作为AnyOffice客户端的默认内置组件之一,确保给用户一个顺畅便利的安全访问体验。
  安全浏览器是华为自研的浏览器,高效稳定,兼容性好。安全浏览器具备L4VPN功能,不必在移动智能终端上安装和启用其他VPN拨号软件即可顺畅地接入并访问企业网站。安全浏览器提供了关键的安全防护能力:

  • 基于AnyOffice客户端的安全沙箱模块,实现企业数据和个人数据的隔离,即不允许将AnyOffice客户端内的数据拷贝到AnyOffice客户端之外,也不允许将AnyOffice客户端之外的数据拷贝到AnyOffice客户端内部。
  • 支持无痕浏览功能,用户退出安全浏览器时可对临时文件、Cookie、浏览历史记录做无痕化清除访问痕迹。对于保存在本地的文件和数据也可提供高强度加密保护。
  • 支持黑名单,可有效防止网络钓鱼和恶意软件风险。

  安全邮件推送同步,有效提高办公效率
  邮件是企业移动办公的典型应用之一。华为自研的安全邮件客户端作为AnyOffice客户端的默认内置组件之一,支持IMAP4、ActiveSync等标准协议收发邮件,并支持邮件实时推送,实现“及时经济”下的实时邮件处理。
  安全邮件客户端可提供强大的安全特性,降低移动邮件引入的数据泄密和病毒风险。安全邮件客户端具备L4VPN功能,实现传输自动加密、防恶意窃取和篡改。邮件在移动智能终端采用高强度加密算法加密存储,密钥可以通过在线或者离线方式获取。另外,安全邮件支持丰富的邮件安全控制策略,企业管理员可根据员工的不同权限下发这些策略,包括是否允许附件转发、附件下载、附件上传、附件在线浏览等。安全邮件客户端可实现零配置登录,即用户只需输入AnyOffice用户名和密码即可实现自动登录安全邮箱,而不需要用户配置邮箱地址。

  设备管理,防止数据泄漏
  为方便企业对移动智能终端的管理和控制,本解决方案整合了MDM(Mobile DeviceManagement)功能。MDM基于设备生命周期对终端设备进行管理,包括资产注册、部署、维护和注销。

  • 资产注册

  用户需要输入用户名称、终端类型等信息完成资产的注册。

  • 部署

  该阶段重点关注数据和应用的安全性。本解决方案支持密码策略、越狱检测与隔离、外设泄密通道(如Android平台的摄像头/蓝牙/Wi-Fi/USB等;iOS平台的摄像头等)的控制,保护在移动智能终端上使用的数据安全。移动智能终端设备容易丢失,为了保护终端上的数据防泄漏,本解决方案能够实施远程锁定/数据擦除。
  降低IT支撑压力是移动办公方案的运作成功的一个重要因素,本解决方案支持友好易用的自助Portal,企业员工可以锁定设备、清除锁屏密码、注销资产、数据远程擦除等频繁使用的操作,有效的降低IT支撑人员压力。

  • 维护

  在管理后台,管理员可以审计查询所有移动办公设备列表,以及相应的状态,例如设备型号,操作系统与版本等等,并可以输出资产审计报表。

  • 注销

  员工离职或者设备丢失,为了防止数据泄漏,本解决方案支持企业IT管理员对遗留在设备上的应用进行卸载,对数据进行清除,最后注销此设备。对于企业标配设备,回收的设备可以重新注册绑定,并部署安全策略和应用。