中國(guó)銀聯(lián)

銀聯(lián)國(guó)際移動(dòng)終端安全

項(xiàng)目背景

隨著銀聯(lián)國(guó)際智能終端移動(dòng)辦公業(yè)務(wù)在帶來生產(chǎn)效率提升的同時(shí)，亦擴(kuò)張了企業(yè)原來搭建的網(wǎng)絡(luò)邊界。由于現(xiàn)在各種智能終端能夠通過4G網(wǎng)絡(luò)隨意訪問移動(dòng)互聯(lián)網(wǎng)，且速度不亞于傳統(tǒng)局域網(wǎng)，這些智能終端容易成為黑客重點(diǎn)關(guān)注的目標(biāo)。一旦智能終端移動(dòng)辦公業(yè)務(wù)大規(guī)模使用，則無疑為生產(chǎn)及辦公環(huán)境打開了一個(gè)面向移動(dòng)互聯(lián)網(wǎng)的大門，各種黑客攻擊、惡意代碼會(huì)隨之而來，對(duì)企業(yè)生產(chǎn)安全、企業(yè)敏感數(shù)據(jù)都帶來致命的影響。因此，包括企業(yè)對(duì)移動(dòng)安全風(fēng)險(xiǎn)有所擔(dān)憂，安全問題影響了移動(dòng)創(chuàng)新技術(shù)提升生產(chǎn)力的進(jìn)度。

由此可以知道，解決智能設(shè)備移動(dòng)應(yīng)用帶來的安全風(fēng)險(xiǎn)，是企業(yè)推廣移動(dòng)業(yè)務(wù)的關(guān)鍵。

項(xiàng)目目標(biāo)

通過對(duì)銀聯(lián)員工移動(dòng)終端設(shè)備的管理，通過統(tǒng)一的管理平臺(tái)實(shí)現(xiàn)對(duì)移動(dòng)終端策略和配置定義與下發(fā)，實(shí)現(xiàn)設(shè)備管理、策略管理、應(yīng)用管理、實(shí)現(xiàn)APP級(jí)別VPN通道，確保APP數(shù)據(jù)傳輸經(jīng)過加密保護(hù)；不符合要求的移動(dòng)設(shè)備不允許接入訪問企業(yè)應(yīng)用和數(shù)據(jù)。

解決方案

    在本次項(xiàng)目中采用了MobileIron移動(dòng)終端管理服務(wù)器Core2臺(tái)、MobileIron應(yīng)用安全網(wǎng)關(guān)2臺(tái)，通過HA的方式實(shí)現(xiàn)負(fù)載均衡同時(shí)管理用戶的移動(dòng)終端設(shè)備。

    提供的核心服務(wù)器移動(dòng)設(shè)備管理服務(wù)器CORE，采用虛擬機(jī)的方式部署，目前為虛擬機(jī)分配的硬件資源參數(shù)單臺(tái)服務(wù)器能夠同時(shí)管理200臺(tái)終端設(shè)備；安全網(wǎng)關(guān)Sentry單臺(tái)能夠能夠支持同時(shí)2000臺(tái)移動(dòng)終端設(shè)備對(duì)后端業(yè)務(wù)應(yīng)用系統(tǒng)的訪問。為方便用戶的增長(zhǎng)需求，當(dāng)項(xiàng)目涉及終端數(shù)量大幅增加時(shí)，可以對(duì)現(xiàn)有虛擬機(jī)的硬件資源進(jìn)行增加，支持更多移動(dòng)終端的管理。Mobileiron移動(dòng)終端管理平臺(tái)單臺(tái)服務(wù)器最大能夠支持10萬臺(tái)設(shè)備的管理，支持最大2萬臺(tái)設(shè)備終端對(duì)后端業(yè)務(wù)應(yīng)用系統(tǒng)的訪問連接。 

方案拓?fù)鋱D

價(jià)值體現(xiàn)

1、通過郵件安全網(wǎng)關(guān)對(duì)移動(dòng)設(shè)備進(jìn)行準(zhǔn)入控制

結(jié)合有證書驗(yàn)證功能的前端代理服務(wù)器或負(fù)載均衡器，實(shí)現(xiàn)通過證書及用戶名密碼的雙重驗(yàn)證；大規(guī)模、按權(quán)限分組下發(fā)電子郵件配置，減輕運(yùn)維管理員工作量、降低由配置引發(fā)的故障問題、提高用戶的便捷使用體驗(yàn)。

2、控制未授權(quán)移動(dòng)設(shè)備使用企業(yè)郵箱

只允許移動(dòng)設(shè)備通過MobileIron方案的Sentry訪問Exchange Server（ActiceSync），禁止未受管理移動(dòng)設(shè)備收發(fā)郵件。