1、创新虚拟移动基础架构+ 企业私有云存储架构趋势科技(中国)有限公司2015 年 3 月趋势科技安全移动办公解决方案1目录第 1 章. 概述 41.1 移动互联网发展态势 41.1.1 移动互联网高速发展 .41.1.2 4G 高速发展 .51.2 企业移动化趋势 51.3 BYOD 对企业的价值 6第 2 章. 企业移动办公面临的挑战 72.1 企业移动化面临的挑战 .72.2 移动安全方案比较 8第 3 章. 趋势科技安全移动办公解决方案 103.1 创新虚拟移动基础架构 VMI103.2 企业私有云存储系统 Safesync 123.3 企业移动数据不落地 123.3 保障移动业务通讯及用
2、户访问的安全性、可靠性 .133.4 确保在公网环境的访问安全 .133.5 确保大并发环境下的性能 .13第 4 章. 趋势科技安全移动办公实施方案 144.1 SMW 系统说明 144.1.1 SMW 系统架构 144.1.2 SMW 系统需求 154.2 SafeSync 系统说明 164.2.1 SafeSync 系统架构 164.2.2 SafeSync 系统需求 17第 5 章. 趋势科技安全移动方案总结 184.1 防止移动设备数据泄露 184.2 支持移动办公应用快速推广,提升员工生产力 .184.3 降低移动终端及其应用管理成本及推广成本 1824.4 创新点 183文档信息
3、:版本记录:版本编号 版本日期 创建者/修改者 说明1.1 2015.3.29 刘政平 SMW+SafeSync 融合方案文档说明:文档属性 内容项目/任务名称项目/任务编号文档名称 趋势科技安全移动办公解决方案文档版本号 V1.1 文档状态制作人 刘政平 保密级别 商密管理人 刘政平 制作日期 2015 年 3 月 29 日复审人 复审日期扩散范围 内部使用4第 1 章. 概述1.1 移动互联网发展态势1.1.1 移动互联网高速发展据 CNNIC 2015 年 1 月报告,截至 2014 年 12 月,我国手机网民规模达 5.57 亿,较2013 年底增加 5672 万人。网民中使用手机上网
4、人群占比由 2013 年的 81.0% 提升至85.8%。手机端即时通信使用保持稳步增长趋势,使用率为 91.2%。手机网络游戏从爆发式增长变为稳步增长,预计 2015 年市场份额将进一步扩大。手机旅行预订用户增长达到194.6%,是增长最快的移动商务类应用。手机网购、手机支付、手机银行等手机商务应用用户年增长分别为 63.5%、73.2%和 69.2%,高于其他手机应用增长幅度。在移动互联网的推动下,个人互联网应用呈上升态势。通过台式电脑和笔记本电脑接入互联网的比例分别为 70.8%、43.2% ,与 2013 年底基本持平;通过手机接入互联网的比例继续增高,较 2013 年底提高 4.8
5、个百分点;平板电脑的娱乐性和便捷性特点使其成为网民的重要娱乐设备,2014 年底使用率达到 34.8%,并在高学历(本科及以上学历网民使用率 51.0%) 、高收入人群(月收入 5000 元以上网民使用率 43.0%)中拥有更高使用率。截至 2014 年 12 月,全国企业固定宽带接入比例 4 为 77.4%,是企业接入互联网的最主要方式。随着 4G 的普及,以及企业级移动互联网应用,如移动 OA、移动 ERP、移动CRM 等的发展,未来移动宽带将会成为企业接入互联网的重要方式。51.1.2 4G 高速发展第四代移动电话行动通信标准,指的是第四代移动通信技术,外语缩写:4G。该技术包括 TD-
6、LTE 和 FDD-LTE 两种制式(严格意义上来讲, LTE 只是 3.9G,尽管被宣传为 4G 无线标准,但它其实并未被 3GPP 认可为国际电信联盟所描述的下一代无线通讯标准 IMT-Advanced,因此在严格意义上其还未达到 4G 的标准。只有升级版的 LTE Advanced 才满足国际电信联盟对 4G 的要求) 。4G 是集 3G 与 WLAN 于一体,并能够快速传输数据、高质量、音频、视频和图像等。4G 能够以 100Mbps 以上的速度下载,比目前的家用宽带 ADSL(4兆)快 25 倍,并能够满足几乎所有用户对于无线服务的要求。中国电信董事长王晓初在 2014 年业绩记者会
7、上透露,中国电信 2015 年资本开支将达到 1078 亿元,较 2014 年增长 40%,其中,610 亿将用于投建 4G 网络(包括 TDD 和 FDD 制式)。也就是说,用于 4G 网络的开支在总资本开支中占比约 57%。中国联通总经理陆益民此前表示,中国联通的发展策略是以 3G 及 4G 一体化吸引用户,因而今年资本开支不会大增,将控制在 1000 亿元以内。但中国联通仍将加快城乡的 4G 网络覆盖,2015 年基站数量的目标为 92 万个。中国移动也毫不懈怠,将继续投资建设 4G 网络,以巩固 4G 先发优势。中国移动今年计划资本开支为 1997 亿元,其中 4G 网络投资预算虽下降
8、 10.4%,但仍达到722 亿元,占比 36%。截至 2014 年 10 月底,中国移动共建成 4G 基站 57 万个,覆盖超过 300 个城市,基本实现县级以上城市和发达乡镇覆盖,人口覆盖率达到 75%。同期,中国移动 4G 用户数超过 5000 万户。中国工业和信息化部的数据显示,10 月份 4G 用户净增突破 1450 万户,再创新高,而同期 3G 用户净减 85 万户,2G 用户减少超过 970 万。2G 和 3G 用户向 4G 迁移成为趋势。1.2 企业移动化趋势Gartner 预测,2017 年将有 50%企业员工自带设备上班进行业务办公,这种被称为BYOD 将对企业营运、IT
9、管理带来不小影响。所谓 BYOD(bring your own device)是指允许6员工、商业伙伴在企业环境内使用个人的移动设备,智能手机或平板电脑通过网络进行企业应用、存取资料等操作。Gartner 针对全球 CIO 所做的调查显示,随着 BYOD 趋势兴起,到了 2016 年将有 38%的企业预期将停止提供办公设备,BYOD 将在未来 10 年内对企业运营的成本及终端运算设备产生变革,BYOD 将带来新的工作效率、增加员工满意度,同时大幅降低成本。BYOD 对企业 IT 的影响将是驱动更多移动应用的开发,以提升员工的整体工作效率,但 BYOD 仍未受到大多数 IT 主管了解,如何有效向
10、其他部门展现 BYOD 的好处是关键。对于应用方面,Gartner 表示随着企业对员工在办公设备补贴减少,为避免管理上的困难,企业将对 BYOD 中进行服务使用费补助,如员工购买智能手机,企业补助其上网、通话费用。数据安全一直是企业 BYOD 趋势最担忧的因素,超过 50%公司有信心能确保使用的设备的安全,企业应对 BYOD 建立起完整的内部规范,例如对什么平台或设备提供支持,提供什么服务、员工使用 BYOD 设备相对应负的责任等等。随着员工自带的设备更多的融入到企业的工作之中,员工不只是带着自己的设备来办公,而是带着自己的数据来办公,因此越来越多的员工担心个人数据信息会被泄露,而如何通过制定
11、合理的管理策略及部署安全设备来消除员工的这一担忧,将是 2015 年企业 CIO们必须要考虑的难题。1.3 BYOD 对企业的价值随着移动互联技术的飞速发展,网络访问速度已经不再成为移动应用发展的瓶颈。由于移动应用能够支持用户随时、随地接入网络和后端应用系统,因此在 4G 环境具备无可比拟的优势。采用智能终端(Android、IOS)通过 4G 接入后台应用系统,利用智能终端操作系统及 APP 的灵活性、定制化技术,可以极大提升工作的效率。所以,在企业中推广智能移动办公,有助于提升整体生产力及工作效率,对加快业务处理速度以及推广办公移动化的建设有着非常关键的意义。7第 2 章. 企业移动办公面
12、临的挑战2.1 企业移动化面临的挑战智能终端移动办公业务在带来生产效率提升的同时,亦扩张了企业原来搭建的网络边界。由于现在各种智能终端能够通过 4G 网络随意访问移动互联网,且速度不亚于传统局域网,这些智能终端容易成为黑客重点关注的目标。一旦智能终端移动办公业务大规模使用,则无疑为生产及办公环境打开了一个面向移动互联网的大门,各种黑客攻击、恶意代码会随之而来,对企业生产安全、企业敏感数据都带来致命的影响。因此,包括企业对移动安全风险有所担忧,安全问题影响了移动创新技术提升生产力的进度。由此可以知道,解决智能设备移动应用带来的安全风险,是企业推广移动业务的关键。本方案的目的是旨在设计一套适合在企
13、业移动安全办公平台。此平台会解决如下移动应用在移动运营商环境中遇到的障碍:1、 生产数据安全问题。原有移动应用的架构,生产数据会存放在智能终端的存储中。一旦发生恶意代码感染、手机丢失或内部员工故意泄露信息等情况,存放在智能终端的数据将会不受保护。趋势科技安全移动办公方案就是把所有涉及到生产的数据存放在后端服务器,智能终端将不存放任何敏感数据。这样,即使发生刚才极端的情况,也不会发生数据泄密的事件,确保企业生产数据的安全。2、 无线访问的安全。原有的架构只能通过用户认证及运营商保障的方式,确保访问安全。趋势科技安全移动办公方案,可以解决端到端的访问安全。包括远程智能终端虚拟桌面的用户账号安全、访
14、问通道加密、后端应用边界安全防护等技术,确保后端数据访问全程的安全。3、 更简便快捷的应用发布及管理。原有的架构,每一个新移动应用发布时,均需要终端用户重新安装 APP,推广一次就涉及到数千智能终端,成本非常高。本方案中的技术,可以统一在后端的虚拟智能终端桌面发布应用,用户只需打开该远程桌面,即可快速使用,无需安装。4、 支持 BYOD。BYOD (用自己的手机办公)是目前发展的趋势,每个员工都有 1-2 台自有的智能终端。如果利用这些员工自有的终端进行移动应用推广,可以节省公司大量成本。但由于员工大部分不愿意把公司的应用安装在自己的手机上,导致 BYOD 无法推广。趋势科技安全移动办公方案,
15、可以区分企业与员工私有的应用,员工仅需打开远程手机桌面即可使用各种移动应用。采用本方案,企业可以更快捷地开展移动应用的开发及使用,各种应用的部署无需再8考虑数据安全、部署成本的问题,通过此平台快速发布到全网的智能终端之上。推广趋势科技安全移动办公平台对于 BYOD 的价值在于:1、 可以有效解决移动应用在企业中面临的各种安全问题,从而企业移动业务能够真正有效地投放在生产中,提升员工的生产效率。2、 节省移动应用推广成本。通过统一发布平台,用户打开远程手机桌面即可使用新应用,节省大量的部署成本。3、 利用此平台,可以使 BYOD 更快实现。 2.2 移动安全方案比较目前,业界针对移动安全办公领域
16、的研究,主要有 2 个方向。其一,基于客户端防护的模式。在智能终端部署安全软件,利用安全软件提供防病毒、防泄密、防攻击等一系列的安全防护手段,类似于 PC 时代的防病毒软件。但由于智能终端与 PC 环境不一致,会涉及到用户使用习惯、终端性能、网络流量费用等情况,大部分客户都不乐意使用此方案。同时,此方案没有解决企业数据不落地的问题,因此对数据安全这部分存在缺失。其二,基于虚拟化技术的解决方案。众所周知,PC 领域的虚拟桌面能够很好地解决局域网中敏感数据泄密的问题。而基于智能终端的环境,使用虚拟智能终端的技术,同样也能很好的解决企业敏感数据的问题。因此,业界有很多厂家和客户,倾向使用这种技术来解
17、决移动安全办公的难题。经过调研,目前国内外均没有现成的技术能够实现智能终端的虚拟化。主要的难点如下:1、 智能终端 APP 开发是近两年新兴技术,大部分的科研机构及厂家对此还没有足够的技术储备。即使能够了解到该技术的优势,也没有办法在短时间内形成解决方案。同时,目前还有大部分的客户,信息化建设没有电信行业走得快,主营业务还停留在 PC 时代。2、 原有的 2G/3G 网络,不足以支撑移动虚拟化应用的运行。2014 年,国内运营商全面铺开 4G 网络的应用,在此之前,国内运营商网络非常慢,对移动应用实时性要求高的电信行业,根本无法支撑。3、 智能终端操作平台多样化。2014 年之前,有多种智能终
18、端的操作系统,包括塞班、黑莓、Win Phone、Android、IOS 等,各种平台之间存在巨大的差别。如果要移动应用适配各个平台,需要花费巨大的研发成本。幸运的是,至 2014 年,国内情况发生巨大的转变。首先 4G 网络的大规模部署,使智能终端网络访问不再是瓶颈。而 Android 和 IOS,目前已经成为国内智能终端的主9流平台,新型的移动应用只需覆盖这两个平台,即可覆盖 95%以上的用户。同时,各种 APP 开发的技术储备,也达到了要求。因此,安全移动办公平台的推出正是时候。本项目的关键点如下:1、 如何规避企业生产数据通过智能终端泄漏,即是如何保障企业关键数据不在智能终端落地。2、
19、 如何确保移动业务与后端应用的访问通道安全。3、 如何保障终端用户的使用感受及满意度。4、 怎样减少智能终端的应用开发成本、综合管理成本,降低管理难度。5、 怎样解决用户的隐私问题且同样可以管理 BYOD。10第 3 章. 趋势科技安全移动办公解决方案3.1 创新虚拟移动基础架构 VMI趋势科技安全移动办公是一种为每个用户托管独立工作区的移动云服务解决方案。用户工作区基于Android 操作系统,可通过 Android 或 iOS 移动设备上安装的安全移动办公移动客户端应用程序进行访问。使用移动客户端应用程序,用户可以获取来企业定制化的移动应用程序和数据,而这些应用及数据不离开数据中心,从而确
20、保数据的高度安全性。移动客户端应用程序通过为用户提供所有各种移动应用功能及其移动系统操作体验来保证用户高度的移动体验。Safe Mobile Workforce 解决方案能通过集中化的服务器虚拟移动操作系统,并通过高效的远程显示协议来实现网络访问和操作。由于所有工作区都托管在服务器上并由管理员进行维护,因此安全移动办公会明确区分可供用户使用的个人数据和企业数据。这一明确区分确保了数据安全并提供了更为集中而有效的工作区,易于管理和维护。11安全移动办公解决方案提供以下功能:数据保护:所有企业应用程序和数据都保存在管理员控制的公司服务器上。简化的管理:用户可以从任何移动设备访问其工作区。网络管理员
21、可以通过 Web 控制台远程管理所有工作区。原始的移动用户体验:安全移动办公支持 iOS 和 Android 移动操作系统,并提供原始的移动用户体验。安全移动办公客户端应用程序附带有高级渲染引擎,为智能手机和平板电脑提供熟悉的移动用户体验。趋势科技安全云存储服务集成:安全移动办公提供与趋势科技企业云存储的集成。这种集成为管理和同步文档提供了既方便又安全的方法。与现有企业基础架构集成:安全移动办公提供与 Microsoft Active Directory 的集成,便于进行用户管理。趋势科技安全移动办公的技术核心是Linux的“容器”技术。Linux 的“容器”技术,能够支持用户把某些关键的应用
22、打包在“容器”中。而本项目则是研究利用“容器”技术,把智能终端操作系统及其上部署的应用,打包在“容器”中。然后通过加密的通道,发布到所有的智能终端。终端用户按照分租类别,登录虚拟手机桌面后,就能访问到各自定制的虚拟手机应用环境。123.2 企业私有云存储系统 SafesyncSafeSync让企业可在内部架设一个私有云端储存和同步的服务器,让员工移动设备与企业私有云上的数据都保持同步。因此,不论员工使用何种移动设备,都能随时取得最新的文档。不仅如此,SafeSync 还能防范遗失、失窃或移动设备故障所造成的数据损失。通过SafeSync,员工与其他同事之间的文件分享变得非常容易。SafeSyn
23、c提供企业用户私有云的备份同步,提供企业机密数据安全的储存管理空间。让员工享有云端服务的便利和保障企业内部数据的安全管控。3.3 企业移动数据不落地在各自的虚拟手机桌面中,设置终端用户的智能终端不能访问及存储虚拟手机桌面的数据,但虚拟手机桌面可以调用终端智能手机的各种外设,如摄像头、无线网卡等。这样虚拟手机桌面既能实现终端手机各种功能,同时不用担心企业数据存放到智能终端的存储中。这样,即使发生手机丢失、感染恶意代码、甚至是内部员工泄密等极端情况,也能确保企业关键数据不会泄露。133.3 保障移动业务通讯及用户访问的安全性、可靠性端到端访问的加密。从智能终端到电信运营商边界、从电信运营商边界到后
24、端移动安全办公平台、从管理员到移动安全办公平台均为SSL 加密,不存在网络窃听的风险。外网用户登录,必须通过中间安全隔离层访问,并且同时通过动态密钥、用户认证等方式来确保登录的安全性。3.4 确保在公网环境的访问安全大部分智能终端,都需要通过3G/4G网络访问电信运营商后端系统。如何确保用户身份合法性,访问通道的安全性是一个挑战。访问身份的合法性,可以通过目前比较成熟的动态密钥方式+用户身份认证方式解决。通过动态密钥及静态密码等双重方式的保障,可以确保访问者的身份唯一性,同时无需担心密码被盗的风险。访问通道安全性。可以通过建立安全访问中继的方式解决。除了在访问通道进行加密以及边界防护外,还可以
25、加入类似移动终端访问中继的方式,提升内部数据访问的安全性。3.5 确保大并发环境下的性能当成功推广后,全网会有数千用户进行访问,如何确保访问的效率是推广成功与否的关键。通过模块化设计,建立虚拟机资源池,以做到随需扩展的效果。 14第 4 章. 趋势科技安全移动办公实施方案4.1 SMW 系统说明4.1.1 SMW 系统架构SMWSA:移动互联王使用者由 SMWSA连接SMW虚拟主机后,使用 SMW所提供的服务。SA可以部署于DMZ 区域,以避免SMW因置于DMZ 区域暴露于网络安全风险中。SMW:提供虚拟移动平台服务,提供用户连线之后使用企业提供的Android APP及Web Clip取得內
26、部资源。154.1.2 SMW 系统需求此硬體需求以最大同時連線數 100 人進行規劃164.2 SafeSync 系统说明4.2.1 SafeSync 系统架构趋势科技 SafeSync Corporate Solution 为纯软件之私有云应用解决方案,让企业可有效利用现有之硬设备,以最经济、快速之导入成本完成初步之私有云存储应用建置计划,尔后即可视企业发展及使用状况采取横向扩充硬件效能或容量以符合实际需求。布署方案一此架构适用于中小企业,其优点为投入成本低,可快速完成布署,仅需一台具有适当储存空间之服务器即可,建议采用 RAID-1 之磁盘阵列,避免因硬盘毁损而造成数据遗失。布署方案二
27、整合企业储存设备,对于中大型企业,且有大量数据储存需求之客户,可将其企业储存设备做为 SafeSync 之数据储存空间,以获得较有弹性及安全之储存空间。布署方案三对于大型、跨国或对数据保存及 IT 服务可用性有特别要求之企业单位,SafeSync 亦可配合GSLB、 L4 及 L7 负载平衡设备,达到数据就近存取,前台服务 7x24 小时不中断,后端储存设备利用自身之备份机制即可达到数据异地备援之目的。SafeSyncSafeSync174.2.2 SafeSync 系统需求负载平衡设备18第 5 章. 趋势科技安全移动方案总结4.1 防止移动设备数据泄露通过该项目,可以有效解决敏感数据由于部
28、署了移动应用后导致的泄露问题。因为所有敏感数据均存放在企业后端服务器,所以即使发生手机丢失、员工离职等极端情况,也不会产生数据泄露的风险。4.2 支持移动办公应用快速推广,提升员工生产力由于解决了移动办公应用带来的数据泄露问题,原来大范围推广的障碍得以清除。电信运营商可以放心把更多的移动应用部署在生产中,让员工的生产效益得以大幅度提高。4.3 降低移动终端及其应用管理成本及推广成本由于所有新增的移动应用,均可以通过此平台统一发布,规避了每个终端单独安装的步骤,有效降低了推广移动应用的成本。同时,管理员只需要集中精力管理好后端统一发布的虚拟桌面,遇到问题仅需要修复单一虚拟桌面即可,从原来所有终端必须重装变为仅需修复后端虚拟手机桌面,工作量发生极大的变化。4.4 创新点1)业界首创的虚拟智能终端桌面应用。经过调查,可以得知目前虚拟化技术大部分是应用在 PC 环境,而应用在智能终端虚拟化层面,目前是首次尝试。2) 移动应用统一发布技术。过往每个新的移动应用发布,均需要对每个智能终端进行部署甚至升级的操作,工作量大且失败率高。而目前采用的是应用统一交付的技术,后端只需要统一部署好应用,前端用户只需要打开虚拟手机桌面,既可以使用最新发布的应用,也是业界首次出现的技术。
