传输安全 - ZDNet至顶网
Download
Report
Transcript 传输安全 - ZDNet至顶网
目录
一、移动办公与BYOD概述
二、安全BYOD需求分析
三、天融信安全BYOD解决方案
四、安全移动办公应用分析
移动办公应用的发展现状
经济全球化,人们对信息的需求和通信的移动化要求剧增;
iOS、Android等系统的智能移动终端迅速普及,解决了移动办公自
有设备的应用的基础;
我国3G、4G与办公WLAN的飞速发展与全球无线网络运营商的推广,
为移动办公提供非常广阔的应用空间;
随着移动办公应用服务的逐步落地,新型业务应用需求逐步浮出水面,推
动移动办公模式的新发展。
移动应用面临的核心问题
适应性问题
• 很多C/S模式的应用程序没有针对智能终端的客户端,无法在智能
终端上应用;
• 针对不同的业务需求,需要订制专业的移动应用服务;
• 移动办公并非只解决办公区域内的移动适用,BYOD需要实现全网
的移动应用。
安全性问题
• 企业业务数据与移动应用平台间的数据交换安全;
• 移动应用平台到移动设备间的传输安全;
• 移动设备安全与移动设备数据处理安全。
BYOD应用描述
我急需解决:
用户自持设备的安全、稳定、便捷、高效
网络数据传输的安全、稳定、便捷、高效
移动办公系统的安全、稳定、便捷、高效
用户业务系统的安全、稳定、便捷、高效
移动办公
安全BYOD
3G/WiFi
TUNNEL
Anydeice
Anywhere
Anytime
Anynetwork
企业APP store
MDM & MAM
ERP
OA CRM
CRM
ERP OA
移动办公平台
TUNNEL
Internet
业务应用系统
TUNNEL
VPN网关
目录
一、移动办公与BYOD概述
二、安全BYOD需求分析
三、天融信安全BYOD解决方案
四、安全移动办公应用分析
安全BYOD需求分析
实现业务平台的移动化
保证业务平台与移动平台间的数据安全
保证移动平台与移动设备间的数据传输安全
实现移动自持设备和应用服务的安全管理
支持国密SM1、SM2、SM3加密算法(Android&IOS)
ERP OA CRM
ERP OA CRM
ERP OA CRM
安全传输安全
移动平台数据安全
企业APP store
MDM & MAM
Internet
VPN网关
客户端应用与安全
防火墙
移动办公平台服务器
防火墙
核心业务
系统
目录
一、移动办公与BYOD概述
二、安全BYOD需求分析
三、天融信安全BYOD解决方案
四、安全移动办公应用分析
安全BYOD系统架构
安全应用服务层
安全应用服务层是用户的业务应用系统的安全运行环境。
前置安全管理层
前置安全管理是BYOD项目核心应用层,主要包括:移动应用平台,
管理移动设备认证、用户认证和应用系统的应用准入控制。
专网安全应用层
VPN设备需要部署用户的可信专网环境内,部署安全策略管理,保
持外网与内网应用系统的安全通讯。
加密安全传输层
移动用户通过启用手持设备启动VPN服务和天融信移动办公系统,
通过天融信VPN系统可实现高可信数据传输应用。全面支持国密
RSA,SM1,SM2,SM3等加密算法。实现硬件设备的对称加解密,
保证传输数据的绝对安全。
用户网络应用层
终端用户可通过在自有移动终端设备上安装移动APP应用软件,直
接应用任意的开放WLAN网络接入移动办公系统
安全BYOD应用示意图
安全应用服务层
保证客户的证核心业务区数
据安全;
移动办公平台通过前置数据
交换获取业务数据。
获取数据方式可以通过业务
系统推过来的数据,也可以
由移动办公平台去安全数据
区去拉数据;
通过天融信移动办公平台直
接转换核心业务系统功能与
数据。
天融信移动办公平台可实现
业务系统全部功能的APP应用。
前置安全管理层
通过天融信自主开发了应用程序
转换协议(Application Transfer
Protocol),可以将所有业务功能
集成到一个平台中。
平台开放二次开发接口,满足用
户提出的个性化要求
通过天融信移动办公平台后台管
理,可进行业务系统、模块功
能、表单界面、组织机构、人员
授权的增删改,在不需升级客户
端的前提下,所有修改均可即时
生效。
通过天融信认证平台,可以管控
移动接入设备和接入应用系统的
安全管理策略
移动应用平台
控件化
控件化封装:
平台将界面进行控件、组件封
装,由平台统一定义,可标准
化生成与组合
丰富多样
丰富的控件组件 :
文本、日期、选择、图片、
音视频、二维码、地图、列
表、表格、BI图形、手写输
入、分组容器、翻转容器、
停靠容器、悬浮容器
屏幕自
适应
可根据屏幕分辨率自适应 :
所有控件均可根据屏幕自适
应,无需根据不同分辨率单
独配置或开发页面
移动应用平台
设计器及调试器-android
调试器
实际效果
可视化设计器
移动应用平台
设计器及调试器-IOS
设备管理
可强认证用
户手动设备
和用户信息
应用管理
可根据用户需求
设置时间或区域
进行控制应用系
统生效或失效
安全管理
行为安全:系统将记录用户的所有操
作,基于日志可进行行为审计
传输安全:传输数据基于私有证书
的256位RSA非对称加密,保证传输
的安全
设备安全:通过私有数字证书进行
终端管理,只有授权终端才可访问
系统
数据安全:所有业务均为在线请
求,服务器、客户端均不保存任
何缓存数据
数据安全
设备安全
传输安全
行为安全
专网安全应用层
天融信采用自主知识产权的安全
操作系统 — TOS(Topsec
Operating System),是国内主
流的安全VPN厂商。
天融信VPN支持
IPSEC/SSL/PPTP/L2TP等多种VPN
技术,天融信是国内唯一家支持
IPSec/SSL VPN国密SM2算法的厂
商。
通过天融信VPN平台实现总分模式
的移动设备数据接入,保证应用
数据传输的安全性。
通过天融信VPN策略管理平台,全
面管理分支机构VPN设备的应用策
略。
加密安全传输层
部署天融信IPSec/SSL VPN国密
SM2算法的VPN设备。
移动设备需要加载安全加密KEY。
VPN的SM2加解密卡与移动设备上
的加解密KEY保证数据传输的绝对
安全。
移动设备的加密KEY可以选择可插
拔式的Android 安全TF卡及iOS
Dock Key。
可以选择非接触式的蓝牙盾,蓝
牙盾同时支持Android 设备和iOS
设备。
国密SM2产品现状
政策依据:国密局字[2011]50号文件。所有已建设的和将要建设的以PKI为基础的
系统,都要采用SM2替代RSA。同时,政府、金融行业、能源行业、教育行业逐
步推广开来。
适应场景:移动办公、VPN网关、客户端互联、安全数据传输
客户群体:政府、军工、金融、国(央)企业
方案优势:目前在符合国密局要求规范的VPN产品中,天融信处于绝对的领先地位。
应用模式:天融信国密安全BYOD整体解决方案,天融信SM2安全产品。
实施目标:一个方案解决客户移动办公中所有问题
用户网络应用层
移动用户在设备认证和系统认证
许可的情况下,可以持任何操作
系统的智能终端,在任何网络环
境中,随时访问企业移动VPN门户。
通过二次开发,移动平台可与GIS
平台、业务管理平台进行集成,
可实现在指定的时间、指定的空
间内访问指定的应用系统。
系统用户可以与AD域进行同步,
可以集成LDAP库进行同步,可以
基于数据库的用户同步二次开发。
用户、设备及系统准入安全策略
可供选择。
任何应用系统的准备都可按角色
进行批量管控。
应用统计管理
项目实施规划
按通常三套企业核心业务系统预
估,在没有大规模软件集成情况
下,整体项目实施工期约85个工
作日。
开发人员角色
硬件设备调试人员
移动平台系统架构师
移动平台核心数据库开发人员
移动平台核心程序开发人员
移动平台软件开发人员
移动平台美工人员
整体系统测试人员
项目实施人数
1
1
1
2
4
1
1
项目实施人员主要为移动平台二
次开发工作量,国密VPN和国密
KEY均为成熟产品,直接部署调试
即可。
天融信实施BYOD项目优势
天融信是国内唯一有实施经验并可提供完整国密安全BYOD方案厂商。
本方案包括天融信自有产品:国密VPN设备、SM2移动设备KEY、移动办公平台及APP应用开发团队、移
动办公设备认证平台和应用系统认证平台。
天融信是首家获得IPSec/SSL二合一SM2资质的厂商。
天融信参与了国家信息中心主导的《IPSec VPN安全接入技术要求与实施指南》规范的制定。
天融信将国密协议标准与国际协议标准合二为一了。
天融信实现了双栈并行,既能符合国密局的要求,又不牺牲已购买VPN产品,在满足合规性的同时,能有
效的保护用户的投资。
天融信全面支持SM2数字证书。
包括IPSec VPN与SSL VPN,能与权威机构国密局检测中心的检测平台完全对接。
天融信是我国最早的安全产品厂商之一。
14年的网络安全实施经验,有力地保证客户业务数据、传输数据、移动设备数据的安全性
目录
一、移动办公与BYOD概述
二、安全BYOD需求分析
三、天融信安全BYOD解决方案
四、安全移动办公应用分析
成功案例-天安人寿T-PAD移动保险服务平台
终端业务系统与VPN接入无缝集成,提供数据加密、统一身份认证单点登录,
实现“随身柜面”电子保单业务和移动办公。
成功案例-北海中石化移动办公
将集团邮件、OA、MES、合同管理等系统扩展至智能终端,实现移动办公;
iOS、Android移动终端通过TopConnect客户端虚拟化方式接入。
ERP OA CRM
虚拟化
服务器
集团邮件
Pad
合同管理
3G/WiFi
Internet
VONE网关
智能手机
移动用户
MES系统
OA系统
成功案例-交通运输部科学研究院远程办公
TopCA
OA
服务器
总院
实现分支机构、移动用户访问总院OA远程办公;
同时使用SV和IV两种客户端方式;
使用支持SM1/SM2的USBkey和移动设备KEY
VONE网关
进行身份认证和加解密;
SSL
移动用户
SSL
移动用户
Internet
IPSec
客户端用户
IPSec
客户端用户
使用SM2证书进行认证;
采用天融信TopCA颁发SM2证书。
移动办公应用集成
应用场景预想-外宾来访车辆管理
1、BYOD可以实现全网
范围内移动设备与业务
门户的安全通讯。
2、移动业务办公系统
可以通过BYOD平台进行
范围控制,可设定移动
设备在指定的时间段,
指定范围内与哪些业务
系统进行互联。
3、通过BYOD可以追溯
网内移动设备行动轨迹
和操作日志。
天融信BYOD方案总结
移动设备
可支持目前市场主流智能移动设备操作系统
•保障移动设备的数据安全、传输安全、操作行为安全、操作日志安全审计;
•可以实现在任何时段、任何地点、应用任何网络进行移动设备登录;
应用系统
无缝集成现有应用系统,支持全新开发移动平台应用
•移动办公平台与应用系统无关,控件及功能具备跨平台能力;
•可根据用户现有平台进行集成,也可根据用户需求进行全新开发移动办公系统;
•多平台客户端的界面风格既可统一,又可根据操作系统风格个性界面风格;
网络控制
支持SM2国密算法,实现设备认证和系统应用认证
•VPN设备符合国密SM2标准,移动设备认证符合国密SM2标准;
•支持多方式严格的移动设备准入和用户认证;
•可根据用户的需求随时订制应用系统开放策略,可控制某时段对特定用户进行开放或限制,可控制在某区
域对特定用户进行开放或限制。