华为AnyOffice移动办公解决方案技术白皮书.pdf-道客多多

资源描述

1、AnyOfce技术白皮书从桌面办公到口袋办公目录 1 移动化带来的挑战 . 1 2 AnyOfce解决之道 3 2.1 “端”移动应用入口 .3 2.1.1 AnyOfce单点登录框架 5 2.1.2 AnyOfce消息中心 . 6 2.1.3 AnyOfce的MDM能力 . 7 2.2 “管”数据安全管道 .8 2.2.1 AnyOfce安全沙箱 . 9 2.2.2 应用层VPN管道 10 2.2.3 AnyOfce安全SDK . 11 2.3 “云”移动云存储平台 .13 2.4 “桥梁”拉通用户和应用 16 3 “平台+应用”打造开放的生态系统 17 4 成功故事 . 19 4.1

2、 AnyOfce为民生银行打造移动业务平台 19 4.2 华为助力海尔移动创新 20 5 AnyOfce部署FAQ 22 6 参考文档 . 25 1 1 移动化带来的挑战随着宽带、无线通信和终端技术的飞速发展，各式各样的移动智能终端将人们的工作和生活更紧密的联系在一起。工作不再局限于办公室，移动办公成为一种潮流和趋势。移动办公让员工可以使用自己更喜欢的终端工作，可以自由分配碎片时间

3、用于工作还是娱乐上，可以更及时的处理紧急事务，最终提高了工作效率和舒适度。同时，移动办公让企业在业务上有了更多的创新模式，能够帮助提升客户满意度和市场空间。据Gartner 分析报告，到2016 年将会有46% 的组织彻底使用移动设备办公，其他的使用个人电脑加移动设备混合的方式。从行业细分看，金融和大企业走在移动化的前

4、列，政府、能源、医疗、教育等行业紧随其后。 BYOD 时代的移动办公终端上，企业和个人的数据混合存储在一起，高价值的企业信息资产暴露在公共网络及开放应用下。在移动终端上，我们只需要点击几下就能下载各类应用，而移动恶意软件常常通过伪装成有吸引力的应用、二次打包成热门软件和内置在刷机包中等方式隐藏在应用程序中，

5、通过电子市场、手机论坛、二维码等多种渠道传播。这些软件会通过后台扣费、贩卖用户隐私数据、窃取用户银行账户等方式对用户造成损失。一旦它们被安装在可以访问企业网络的设备上，就可能侵入办公和生产网络，窃取企业的机密数据，并通过贩卖给竞争对手等方式给企业造成重大损失。互联网时代，企业如何在不影响个人隐私和体验的前提下确

6、保数据安全？ BYOD 使得企业办公网络边界模糊，以地理位置定义的传统办公区被打破。3G/4G/WiFi 等多种接入手段使得事实上的办公网络边界扩展成为一个企业内网、员工办公终端及其之间所经网络组成的集合体。这个集合体的地理位置可能分布在世界的各个角落，中间经过了不计其数的 “ 不安全网络连接 ” ，带来的问题就是企业办公网将面临

7、以前数十倍甚至数百倍的网络安全威胁。在这种情况下，让移动办公人员既能方便快捷，又能安全可靠的接入，就成了企业IT要攻克的一个重大难题。企业移动化面临的另一大问题是终端多样化、更新频率快带来的管理复杂度激增。PC 办公时代，企业有统一的标配机、标准化的操作系统和软件，IT 部门不必为管理设备花费太多精力。但移动办公使用的智能 2移动终端不同

8、，它们品牌繁多，更换频率快，同时Android 、IOS 等智能操作系统约每12 个月就会有一次大的更新。另外，智能终端存在密码设置简单、易破解、易丢失等情况。这些因素叠加，导致企业IT 管理人员要管理的设备复杂度会以几何级增长，亟需一个方案能在不增加人力的情况下提供简单易行的全生命周期管理。企业传统的移动办公基本采用 “ 标配便携机+L3VPN

9、远程接入+ 预装安全软件 ” 的方式。以BYOD 为特征的新移动办公和它有着巨大的区别终端由便携机扩展到各类平板电脑和智能手机，由企业标配扩展到用户自由选择( 企业提供或BYOD) 。传统L3VPN 隧道技术隔离网络，各种应用共享一个隧道，VPN 建立后，安全的应用可以使用它访问企业内网办公，病毒、木马等也可以使用它进入企业内网攻击内

10、部服务器。标配便携机上一般同时预装安全软件，保护终端不受病毒木马等威胁。在移动化时代，智能终端多样化，企业对BYOD 终端管控力度弱，无法统一预装安全软件，病毒木马威胁呈指数级增长。传统 “L3VPN 远程接入+ 预装安全软件”方案难以应对，迫切需要一个能平滑演进的方案。对企业来讲，适应变化的能力、业务模式转型的速度，都影响着企业的发展。在开放

11、、融合的互联网时代，IT 已经成为企业建立新型竞争力的核心之一。移动化是IT 领域的重要发展趋势，是企业创新的助推器。比如，金融行业的移动展业、现场开卡、移动投保等新业务；能源电力行业的移动巡检、现场作业等新应用；医疗行业的移动查房、家庭护理等新服务，都是移动化给传统行业带来的创新改变。以金融行业发展最快的

12、移动展业、现场开卡、移动投保等业务为例，移动化让银行、保险业的产品经理、客户经理脱离了营业厅的地理位置限制，带着移动终端到任何贴近客户的地方提供服务，可以说就是一个个口袋中的微营业厅。这种模式能最大限度的拓展各类潜在客户，最及时的响应各种新鲜需求，把销售模式从传统的 “ 等客户上门 ” 变成 “ 送到客户家里 ”

13、，从而更好的保持老客户的粘性及拓展新客户群。这时，IT 就面临着更大的挑战网络如何满足业务的巨大需求，终端如何做到像办公PC 一样安全，服务如何做到像水电一样无处不在？ 3 2 AnyOfce解决之道移动办公包含由员工使用习惯引发的BYOD( 自带设备办公) ，或在移动化大潮下企业主导的业务创新( 企业标配机为主) 等多种模式，是企业办公模式的革新，代表了

14、个性化、移动化、智能化。但同时，开放、智能的移动平台成为了新的安全缺口，易引入恶意代码植入、公私数据混合、企业信息泄密等问题，这些问题给企业IT管理带来极大挑战。 AnyOffice 华为移动办公安全解决方案，致力于在移动化大潮中，为企业提供统一的移动办公入口和灵活的应用发布平台，在 “ 端、管、云 ” 三点构筑核心能力，通过对网络、设备、应用、

15、数据的统一管控，为企业移动业务创新提供强劲动力和坚实保护。AnyOffice 在用户和应用间架起桥梁，帮助用户实现5W1H(Who, Whose Device, What Device, Where, When, How)的情景感知和策略联动，从而享受自由办公和移动信息安全。 Figure 2-1 AnyOfce移动办公解决方案安全架构 2.1 “端”移动应用入口 PC 时代，互联网以Web 为核心建立了它的信息组织方式。人与站点的交互是互联

16、网最频繁的信息流动，人们通过浏览器可以很方便的遨游互联网世界，因此浏览器就成为最主要的网络入口，有着无可比拟的重要性。在移动互联网时代，信息更加丰富，入口也更加丰富多样，人们更加需要一个统一入口更加快速方便的畅游移动互联网。同时，移动 Acquire Deploy Retire Run 设备生命周期终端安全沙箱网络层隧道+ 应用层隧道

17、 EMM (MDM/MCM/MAM) 移动云存储平台安全沙箱，隔离企业和个人数据跨平台的安全SDK 应用App数据传输独立加密 L3VPN 在移动设备全生命周期各阶段确保其可见性和安全性轻量级应用数据存储、检索数据容灾、备份、分布式部署 4浏览器退化为千千万万App 中的一员，不再天生是最主要的移动网络入口，不再是人们进入浩瀚网络的必经之地，其他App 也有了机会与浏览器争夺移动互联网的入口，

18、手机桌面、超级App 、应用商店在竞争中纷纷脱颖而出。同时，企业移动应用也越来越多。但这些移动应用互相独立存在，逻辑上也各不相干，导致使用起来很不方便需要反复登录、操作复杂，从而造成用户体验下降、使用率降低的负面效果。而各个移动应用由不同厂商提供，难以共用消息中心等公共模块，需要重复开发和部署，增加了企业使用

19、成本。这些移动应用的安全机制各不相同，没有统一的安全策略，企业难以统一管控。对于企业来说，迫切需要一个统一的移动工作平台。这个平台作为企业移动互联网的入口，通过这一工作台，确保用户体验一致，共享消息中心，为各种移动应用实现单点登录，提供安全和统一管控能力。面向公众的移动互联网入口应用通常只考虑公众需求，并没有针对企业来设计，无法有效满足企业的

20、需求，特别是企业信息安全的需求和定制化的需求。如果企业使用，需要将企业数据存储在服务提供商的服务器中，暴露在公众互联网之下，在网络中传输的企业机密数据也只能使用和普通数据一样的保护，客户端功能更无法满足企业特色化的定制需求。 Figure 2-2 AnyOfce安全工作台手机工作台平板电脑工作台华为AnyOffice 安全工作台作为企业

21、在移动互联网的业务入口应需而生。企业用户只需要登录AnyOffice 安全工作台，就可以很方便的访问各种企业移动应用，包括Native App和Web App。AnyOfce安全工作台通过应用入口容器和单点登录框架，实现所有应用SSO 的体验。企业用户全 5 程仅一次登录，就可以自动访问各个企业移动应用，摆脱了烦琐的登录过程、减少了输入，极大地提高了易用性和用

22、户体验。AnyOffice 安全工作台也提供应用消息中心，供各个企业移动应用使用。使企业摆脱对公网第三方消息服务器的依赖，既增强可靠性又规避安全风险。AnyOffice 安全工作台提供移动安全沙箱能力，实现个人数据和企业数据的隔离，安全工作台内的企业移动应用数据不能通过复制/ 粘帖、截屏等方式泄密，对企业数据采用高强度加密

23、手段防护，能做到即使数据被非法获取也不泄露明文信息。 AnyOffice 安全工作台作为企业应用的统一入口，直观的将企业应用和个人应用进行分类，便于用户快速进入企业应用，提高工作效率。另外在进入安全工作平台的过程中，AnyOffice 提供了用户身份认证、移动终端安全策略检查，作为入口，为应用提供了一层强有力的安全保障。为了便于用户快速进入企业应用，同时又能提

24、供身份安全保障，有必要在同一个移动终端上的企业应用之间实现单点登录。当AnyOffice 工作台作为企业应用的唯一入口，用户在进入AnyOffice 工作台时进行身份认证，从工作台进入各个企业应用时，则不需要再次输入帐号密码进行身份认证。其实现方案如下： 2.1.1 AnyOfce单点登录框架 Figure 2-3 AnyOfce单点登录方案 1 2 3 4 5 用户 Anyof ce 单点登录入口

25、登录Anyof ce 企业应用服务器 AD/LDAP 验证Token 返回UID 访问服务器携带Token 用户认证返回Token Anyof ce 接入服务器 1) 用户首先需要输入账号密码信息登录AnyOfce； 2) AnyOffice 应用登录接入服务器，接入服务器对用户账号进行登录认证( 可与第三方AD/LADP 认证服务器联动) ，认证通过后返回用户凭据信息（Token）； 63) 用户从AnyOffice 工作台启动企业

26、应用，启动过程中AnyOffice 工作台将用户凭据传递给企业应用。企业应用使用用户凭据（token ）登录企业应用服务器； 4) 企业应用服务器将用户凭据（token）发送到AnyOfce接入服务器进行验证； 5) AnyOffice 接入网关验证token ，并返回用户标识（UID ），应用认证通过； AnyOffice 工作台和企业应用之间需要进行用户凭据(Token) 传递， AnyOffice 具有明确的接口规范。另

27、外企业应用服务器需要到 AnyOffice 接入服务器上验证用户凭据，接入服务器提供明确的Web service接口。 2.1.2 AnyOfce消息中心为实现AnyOffice 工作台作为企业应用的统一入口功能，AnyOffice 平台提供企业消息中心，企业应用可使用中心的消息推送平台进行消息推送。AnyOffice 系统在后台针对企业应用提供消息推送接口，在移动终端上提

28、供统一消息展示界面。通过应用消息中心，企业可以摆脱对公网第三方消息服务器的依赖，通过双机热备等方式增强系统可靠性，同时又降低信息在公网泄露的安全风险。 Figure 2-4 AnyOfce消息中心方案管理员管理员管理员新闻服务器发布新闻微博管理平台发布微博 MQTT 接口消息推送 MQTT 接口消息推送管理https(443) 发布公告 iOS APNs (2195/2196) MDM(52

29、23) Android 推送通道(SSL:443) Apple Data Center iOS APNs Service AnyOf ce 网关 https(8443) http(8080) 统一消息平台 7 AnyOffice 系统的统一消息中心框架分为统一消息平台、AnyOffice 接入服务器、AnyOffice 客户端消息中心三个部分。统一消息平台对外提供符合MQTT(Message Queuing Telemetry Transport ，消息队列遥测传输)

30、标准协议规范的接口，第三方应用服务器可通过标准协议向消息平台推送消息。统一消息平台维护推送到移动终端的消息队列，记录当前移动终端的新消息条数。AnyOffice 接入服务器维护到移动终端的消息推送通道，实现到移动终端的消息推送。统一消息平台接收到消息后，通过内部自定义协议接口将推送消息发送给AnyOffice 接入服务器

31、，再由接入服务器通过iOS APNs 或者Android 推送通道推送到移动终端上（接入服务器保存所有的推送消息，直至消息被推送到移动终端），AnyOffice 客户端上实现对推送消息的界面展示。 2.1.3 AnyOfce的MDM 能力 AnyOffice 移动办公客户端，集成移动设备管理(MDM) 功能，用于集中管理企业的移动智能终端。有了它，企业的IT 人员就可以像用域控制器管

32、理企业的PC 一样，管理企业里的移动终端设备。华为提出了基于生命周期的移动设备管理方案，从移动设备的获取、部署、运行及回收 4 个生命周期环节提供了完善的MDM 策略和手段，确保每个环节都能顺畅、安全地实施和开展。同时，兼顾企业标配机和BYOD 设备的特点，在确保安全性的同时，不损害用户在使用移动终端时的体验。 Figure 2-5 全生命周期的移动设备管理（MDM）获取

33、AnyOffice 解决方案遵循ITIL 资产管理标准，支持标配机和BYOD 的资产发现和注册，并提供移动设备使用承诺协议的标准模板及自定义模板。 Acquire Deploy Retire Run 设备生命周期 8部署部署移动办公方案，企业必须保证移动设备的安全合规性。 AnyOffice 支持对移动设备的VPN 和WiFi 进行安全配置和策略下发，支持企业安全策略的强制实施。移动办公的

34、核心是移动App 的安全分发。AnyOffice 集成企业应用商店，对企业移动App 进行安全的远程分发、安装、配置。除此之外，企业可以根据用户角色定义App 黑白名单策略，保证正确的人访问正确的应用和数据。运行运行阶段重点关注数据和应用的安全性。AnyOffice 支持密码策略检查、越狱设备检测与隔离、外设泄密通道(SIM 卡/SD 存储卡/ 摄像头/ 蓝

35、牙 /WIFI/USB/ 录音) 的控制，保护在移动终端上使用的数据安全。移动设备容易丢失，AnyOffice 能够实现对企业关键数据加密、远程锁定/ 数据擦除。在管理后台，IT 部门可以审计查询所有移动设备列表，以及相应的状态，例如设备型号，操作系统类型与版本等，并可以输出资产审计报表。能否降低IT 支撑压力是移动办公方案运作成功的一

36、个重要因素。 AnyOf ce 支持友好易用的自助Portal ，员工可以完成客户端下载、屏幕锁定、清除锁屏密码、数据远程擦除、GPS 定位、注销设备等经常使用的操作，有效的降低IT 支撑人员压力。集中管理控制台除了支持上述功能之外，支持更加复杂的管理功能，例如消息推送，故障定位等。回收员工离职或者设备丢失，为了防止数据泄密，IT 部门可以对遗留在设备上的应

37、用进行卸载，对数据进行擦除，最后注销此设备。对于企业标配设备，回收的设备可以重新注册绑定，并重新部署安全策略和应用。 9 2.2 “管”数据安全管道在一个移动应用从外网接入企业的过程中，从应用到操作系统协议栈，到网络传输，都需要确保数据的安全性。采用传统L3VPN 可以实现传输的数据安全，但无法区隔合法应用和非法应用。新的

38、移动办公平台既要能满足全程全网安全性，又要能够做到应用隔离。 AnyOffice 在管道安全环节，提供应用层VPN 管道和安全协议栈，并开放功能强大而又容易集成的SDK 给第三方应用。利用安全协议栈，每个应用的数据在从应用到传输层的过程中已经是密文，可以防范木马、病毒类非法应用，也能阻止嗅探类手段获取明文数据。采用应用层VPN 管道技术，每个应用都

39、独享一个安全隧道，可以确保数据传输的安全性。在应用层VPN 中，有终端和网关两个核心控制点，这两个控制点相互关联，双向认证，高度安全，即使通过黑客类手段获取终端权限，利用伪造或中间人攻击等手段也无法突破网关的防护。 Figure 2-6 AnyOfce数据安全管道 2.2.1 AnyOfce安全沙箱 AnyOffice 提供安全沙箱能力，通过安全沙箱实现个人和企业数据的隔离，对

40、企业数据采用高强度加密手段防护，能做到即使数据被非法获取也无法获取明文信息。AnyOf ce 在移动终端OS 的数据隔离基础上通过高强度的加密技术实现文件数据隔离。AnyOffice 给上层企业应用提供透明的安全文件加解密接口，上层应用通过调用接口，可以方便地从加密沙箱中读取数据或者向加密沙箱中写入数据。数据在读取或者写入的

41、同时完成加解密操作，上层应用不需要关注具体的加解密过程。沙箱内的数据在存储到存储介质上时是加密的，可避免明文信息被非法获取。企业应用安全SDK AnyOf ce 安全网关 AnyOf ce 安全沙箱应用层VPN 安全SDK 跨平台能力，支持主流OS平台提供本地文件/数据加解密接口提供网络访问加密接口应用层VPN 采用虚拟协议技术，支持全IP应用应用专属VPN隧道，网络开放权限小数据在应用层加密，防止本地网络层窃取移动安全沙箱创建独立的安全存储区，公私数据隔离企业数据高

42、强度加密算法加密资产注销时，按照安全策略擦除终端本地数据 102.2.2 应用层VPN管道传统SSL VPN 或者IPSec VPN 实现技术中，需要在移动终端上安装虚拟网卡，并且企业应用的数据报文需要经过虚拟网卡中转之后才能进入到VPN 加密通道。在企业应用的数据经过虚拟网关中转时，存在安全风险此时感染病毒或木马的应用，可以通过拦截虚拟网卡上的数据，获取到明文的企业应用信息。

43、AnyOffice 采用应用层VPN 实现技术。企业应用直接集成加密传输组件，在应用内即对数据进行加密，只有加密后的数据才从应用内传递到 OS 系统。因此，即使移动终端上存在被病毒或木马感染的恶意应用，也不能够从OS系统中获得明文的企业数据。应用层TCP/IP 虚拟协议栈是AnyOffice 方案有别于其他厂家安全传输技术的关键。在AnyOffice 中，应用的应用

44、层数据能够通过虚拟协议栈封装TCP/IP 头，形成一个新的IP 报文并对其进行加密。安全协议栈的重要意义在于，AnyOffice 能够对所有基于IP 协议的企业应用( 不管传输层是TCP 还是UDP) 提供安全传输保护，而不仅局限在基于HTTP 或TCP 协议的企业应用。 Figure 2-7 应用层VPN隧道 AnyOffice 还可对企业应用提供数据防泄漏保护。比如，使用安全沙箱

45、后，可以防止在企业应用内部拷贝文件，然后通过粘贴泄漏到其它非企业应用，也可以防止在企业应用的界面上进行截屏。企业IT 管理员可以在AnyOffice 后台系统配置对企业数据的安全管理策略，包括是否禁止Copy/Paste 、是否禁止截屏等等。还可以对企业数据进行远程管理，由于企业数据和个人数据是隔离的，因此管理员可以远程擦除企业数据而不影响个人数据。企业应用系统协

46、议栈物理网卡集成调用发送安全SDK 接口层虚拟协议栈应用隧道封装层 11 2.2.3 AnyOfce安全SDK AnyOffice 开放安全沙箱能力，把其封装为安全SDK ，以协助企业应用快速集成移动安全特性。AnyOffice 将如下功能封装为安全SDK 开发组件：应用层VPN管道本地文件加解密本地数据加解密安全SDK 通过华为公司的Dopra 抽象层和各个具体的操作系统适配对接（目前，

47、支持的操作系统包括iOS 、Android 、Windows 、Symbian ），屏蔽底层操作系统的差异。向上提供统一的本地加解密接口、数据加密传输接口，方便各类自研及第三方的应用集成，使之具备数据加密传输、本地数据加密等能力。其中 “ 数据加密传输接口 ” 又包括兼容标准 SOCKET的安全通信接口、兼容HTTP的安全通信接口。 Figure 2-8 AnyOfce安全SDK架构 SDK / SOC

48、KET / HTTP / VPN OS SDK SDK VPN 和其它SDK 类似，安全SDK 是一个软件开发工具包，它不对外公开源代码，但对外提供API供集成它的上层应用使用。 1）安全SDK的调用流程 12第三方应用程序需要使用安全SDK 的特性时，只需要在源代码中使用安全SDK 提供的接口。这些接口接管了应用程序的网络通信、文件操作等功能，应用程序无需关心底层的加解密过程即可实现相应的功能。以加密通信为例，用户启动客户端应用程序，应用加载安全SDK ，调用 SDK 提供的初始化接口设置SDK 的运行环境，然后与AnyOffice 网关之间自动建立起VPN 加密隧道进行业务数据的传输，应用退出时，则应使用 “运行环境清理接口”以清理初始化时做的设置。 2）安全文件操作接口文件加解密功能有着较为广泛的应用场景。譬如，在

展开阅读全文