聯軟科技：2022移動安全解決方案白皮書（25頁）.pdf

《聯軟科技：2022移動安全解決方案白皮書（25頁）.pdf》由會員分享，可在線閱讀，更多相關《聯軟科技：2022移動安全解決方案白皮書（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、2022 移動安全解決方案白皮書第 1 頁聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 1 頁目錄一、移動信息化的現狀及其安全風險. 21.1 移動信息化現狀.21.2 移動信息化的安全風險.2二、 移動安全技術的發展歷程.52.1 傳統移動安全解決方案.52.2 新一代移動安全方案核心能力.6三、企業移動安全解決方案.63.1 企業移動安全能力平臺.73.1.1 設備管理（MDM）.83.1.2 應用管理（MAM）.93.1.3 鎖定安全桌面.93.1.4 單點登錄.93.1.5 消息中心.93.1.6 應用安全檢

2、測. 103.1.7 應用安全加固. 103.1.8 內網準入.123.2 數據安全.123.2.1 應用安全網關. 133.2.2 智能 API 網關.143.2.3 安全沙箱.143.2.4 安全工作空間. 153.3 云部署、云管控.163.4 用戶與應用安全紐帶.173.5“平臺” + “應用”打造開放安全的生態系統.17四、典型應用場景.194.1 保障各行業移動自帶設備+配發設備安全.194.2 企業自建移動門戶安全解決方案.194.3 移動安全辦公 SaaS.194.4 數據防泄密移動審批場景.20五、未來發展趨勢.215.1 移動安全進入了快速發展階段.215.2 獨木難成林”

3、，國內生態合作成為大勢所趨.225.3 業務與安全緊密融合.235.4 移動安全產品的未來趨勢.23聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 2 頁一、移動信息化的現狀及其安全風險1.1 移動信息化現狀據 2018 年度移動應用安全報告顯示，據工信部數據顯示，截止 2018 年 11 月底，我國移動互聯網用戶總數達 13.9 億，我國手機上網用戶達 12.6 億，自 2018 下半年起維持穩定，市場用戶增量基本飽和。2018 年底我國移動應用數量達 449 萬，應用數量凈增 42 萬。2021 年，中國信通院發布

4、了移動互聯網數據安全藍皮報告（2021 年）顯示隨著移動通信技術的飛速發展， 移動應用成為了經濟活動和民生需求必不可少的工具， 全面覆蓋到金融、醫療、教育、辦公、交通等各個領域，移動應用種類和數量呈爆發式增長，對社會經濟發展的基礎性服務作用日益突顯。1.2 移動信息化的安全風險隨著移動辦公浪潮的到來，移動辦公為企業帶來了新的機遇的同時隨著安全隱患的增多也為企業信息安全和管理帶來了新的挑戰：（1）如何把企業數據和企業應用安全快速的部署到移動設備聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 3 頁既然使用移動辦公大勢所趨

5、，那么如何把企業數據和企業自研應用安全快速部署到移動智能設備上去是所有企業 IT 經理必須面對的一個難題，目前全球終端安全管理產品在經歷了第一階段的資產管理和第二階段的傳統終端安全管理之后， 如何在移動互聯網時代， 實現跨平臺的管理和安全將成為企業面臨的重大挑戰。（2）如何保證企業數據在傳輸過程中的安全和企業應用內部網絡和服務器免受病毒木馬攻擊企業傳統的移動辦公基本采用“標配便攜機+L3VPN 遠程接入+預裝安全軟件”的方式。以 BYOD 為特征的新移動辦公和它有著巨大的區別終端由便攜機擴展到各類平板電腦和智能手機，由企業標配擴展到用戶自由選擇(企業提供或 BYOD)。傳統 L3VPN 隧道技

6、術隔離網絡，各種應用共享一個隧道，VPN 建立后，安全的應用可以使用它訪問企業內網辦公，病毒、 木馬等也可以使用它進入企業內網攻擊內部服務器。 標配便攜機上一般同時預裝安全軟件，保護終端不受病毒木馬等威脅。在移動化時代，智能終端多樣化，企業對 BYOD 終端管控力度弱，無法統一預裝安全軟件，病毒木馬威脅呈指數級增長。傳統“L3VPN 遠程接入+預裝安全軟件”方案難以應對，迫切需要一個能平滑演進的方案。（3）企業和個人的數據混合存儲在一起，高價值的企業信息資產暴露在公共網絡及開放應用下同一移動終端上既有個人應用，又有企業數據和企業應用，個人應用可以隨意訪問、存取企業數據， 企業應用同樣也會觸及到

7、個人數據。 如何明確區分并隔離移動設備上的企業/私人數據與應用，禁止企業數據被個人應用非法上傳、共享和外泄，同時禁止企業應用訪問個人數據，尊重移動設備上的私人數據是一個難以規避的問題。（4）移動設備易被竊或遺失，給企業帶來數據泄密隱患移動設備由于其便攜性極易丟失，每年有 7000 萬部手機丟失，其中 60%的手機包含敏感信息，而移動設備中所保存的企業敏感數據也因此面臨泄密風險。Varonis 在 2013 年發布的關于企業中移動設備的趨勢調查報告顯示，50%的受訪企業表示曾經丟失過儲存企業重要數據的設備，其中 23%的企業遭遇了數據安全事故。設備丟失不但意味著敏感商業信息的泄漏，所丟失的設備也

8、可能會變成黑客攻擊企業網絡的跳板。聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 4 頁（5）如何對移動設備的統一管理隨著科技的發展，智能終端和傳統 PC 終端存在一定的差異性，傳統的 IT 管理手段很難移植到移動終端上， 尤其是非企業所擁有和管理的員工個人設備。 而且由于智能終端設備的平臺多樣性， 更是給統一管理造成了困難。 缺乏對移動設備的統一管理很容易給不法分子可乘之機，所以企業亟需統一的移動設備管控平臺，高效地管理在企業網絡中的移動設備，監測移動終端設備的安全狀況。（6）如何對企業應用提供統一的安全防護，降低開

9、發門檻，提高開發效率，為企業的業務快速創新保駕護航每個移動應用都受到各種安全威脅，需要各自考慮安全方案。這會帶來幾個問題，一是應用開發商對安全不專業，水平參差不齊；二是增加了他們的額外工作量，三是總體的移動安全防護效果不好。四是在開放、融合的互聯網時代，IT 已經成為企業建立新型競爭力的核心之一。移動化是 IT 領域的重要發展趨勢，是企業創新的助推器。比如，金融行業的移動展業、現場開卡、移動投保等新業務；能源電力行業的移動巡檢、現場作業等新應用；醫療行業的移動查房、家庭護理等新服務，都是移動化給傳統行業帶來的創新改變。以金融行業發展最快的移動展業、現場開卡、移動投保等業務為例，移動化讓銀行、保

10、險業的產品經理、 客戶經理脫離了營業廳的地理位置限制， 帶著移動終端到任何貼近客戶的地方提供服務，可以說就是一個個口袋中的微營業廳。 這種模式能最大限度的拓展各類潛在客戶， 最及時的響應各種新鮮需求，把銷售模式從傳統的“等客戶上門”變成“送到客戶家里”，從而更好的保持老客戶的粘性及拓展新客戶群。（7）企業移動業務安全是否合規近幾年，國家相繼規劃和出臺了數據安全法（草案）信息安全技術-網絡安全等級保護基本要求 2.0、個人信息安全規范、個人信息和重要數據出境管理辦法等一批法律法規， 把數據安全提升到了前所未有的高度， 南方電網屬于保障國家能源安全的關鍵企業，需要全面滿足相關法律法規的要求，保障個

11、人信息和重要能源數據的安全，是保障國家安全的重要組成部分，同時也給企業構建移動安全提出了更嚴格的要求和規范。聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 5 頁二、 移動安全技術的發展歷程2.1 傳統移動安全解決方案隨著移動互聯網的快速發展，移動辦公和移動展業是大勢所趨，企業在移動信息化建設過程中都面臨著， 如何安全地將應用部署到移動設備上去， 如何保障應用在不安全的網絡環境下，依然能夠安全地訪問業務，如何對這些移動終端進行統一安全管控，還有如何保障我們企業的數據不被泄密， 這些都是整個行業所亟待解決的安全問題， 必

12、須打破傳統移動方案的形式，創新移動安全技術和能力。移動安全管理的重要因素 MDM（智能機，PDA 并未普及，價格昂貴，多見于企業配發）；EMM：應用管理和沙箱機制出現。隨著智能機普及，移動應用越來越豐富，BYOD 參與辦公，企業關注點從設備管理轉移到應用安全和數據安全管理；UMM：涵蓋所有移動終端（移動 PC，平板，手機，可穿戴設備，物聯網設備）。傳統移動安全解決方案所有安全管理都是基于 MDM（移動設備管理）實現的，MAM（移動應用管理）應用管理也需要通過 MDM 接管設備實現，個人自帶設備辦公情況下會涉嫌侵犯用戶隱私。MAM 和 MDM 兩套系統管理，企業配發設備可以同時使用 MDM 和最

13、簡單的 MAM 應用安裝功能，個人自帶設備只有 MAM 和基本的設備信息，兩套系統要分開管理應用和設備。貫穿多個部門，需要多個系統進行對接部門之間溝通成本高，業務系統對接復雜。聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 6 頁2.2 新一代移動安全方案核心能力現如今根據客戶和行業的需求，移動安全方案采用微服務方式模塊化設計，各模塊獨立開發零耦合，出廠前各模塊集成打包測試。從源頭上規避各模塊間的耦合性。根據用戶需求集成對應的模塊。一套管理支撐平臺可以同時支撐 BYOD、COPE 等所有場景，分發不同應用和管理策略，需

14、要有以下幾點核心能力：?統一移動平臺BYOD、COPE 對產品能力要求存在差異，統一平臺須實現不同場景能力。?應用可管理性多法人架構下，應用復雜度增加，應用全生命周期管理必須考量。?多種水印方式組合明文水印、矢量水?。▽＠?、隱形水印。?靈活的單點登錄方案同時支持對接企業自有單點登錄、業務 APP 申請自有單點登錄票據或者使用 EMM 自帶單點登錄。?高并發及多級架構接入大并發會對產品的性能、兼容性、易用性提出更高的要求。?落地效果有大量 Anyoffice 替換成功落地案例，除產品能力外，服務團隊的經驗能力也是做好項目的關鍵。三、企業移動安全解決方案聯軟致力于構建可控互聯世界，推出企業移動安

15、全支撐平臺 UniEMM，為移動應用提聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 7 頁供包括身份認證、安全接入抗攻擊、密碼及密鑰管理、數據安全等安全能力在內的解決方案UniEMM 企業移動安全管理平臺為企業提供一整套移動應用安全框架，它采用先進的“零信任”安全架構設計理念，為企業應用提供安全便捷的部署環境，解決企業數據在傳輸、存儲、使用、設備遺失等各種場景下的安全問題；通過接入 UniEMM 統一門戶與安全隧道，防止黑客入侵后端系統，比傳統 VPN 更加安全。通過統一安全策略，解決員工隱私保護問題，防止第三方移動

16、應用開發商竊取員工隱私信息。3.1 企業移動安全能力平臺UniEMM 企業移動安全門戶作為企業在移動互聯網的業務入口應需而生。企業用戶只需要登錄 UniEMM 企業移動應用安全門戶，就可以很方便的訪問各種企業移動應用，包括Native App 和 Web App。UniEMM 企業移動應用安全門戶通過應用入口容器和單點登錄框架，實現所有應用 SSO 的體驗。企業用戶全程僅一次登錄，就可以自動訪問各個企業移動應用，擺脫了煩瑣的登錄過程、減少了輸入，極大地提高了易用性和用戶體驗。UniEMM 企業移動應用安全門戶作臺也提供應用消息中心， 供各個企業移動應用使用。 使企業擺脫對公網第三方消息服務器的

17、依賴，既增強可靠性又規避安全風險。UniEMM 企業移動應用安全門戶提供移動安全沙箱能力， 實現個人數據和企業數據的隔離， 安全門戶內的企業移動應用數據不能通過復制/粘帖、截屏等方式泄密，對企業數據采用高強度加密手段防護，能做到即使數據被非法獲取也不泄露明文信息。 給企業應用下發水印策略， 一旦數據在互聯網造成擴散，我們可以對擴散源頭進行溯源。聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 8 頁UniEMM 企業移動應用安全門戶作為企業應用的統一入口，直觀的將企業應用和個人應用進行分類，便于用戶快速進入企業應用，提高

18、工作效率。另外在進入安全工作平臺的過程中，UniEMM 提供了用戶身份認證、移動終端安全策略檢查，作為入口，為應用提供了一層強有力的安全保障。3.1.1 設備管理（MDM）UniEMM 企業移動安全支撐平臺 MDM 移動設備管理能力，支持移動設備生命周期管理。設備認證接入 ，新設備接入方式支持自注冊短信激活或動態碼激活、設備預先錄入、管理員審核用戶或設備的合法性才允許接入。設備策略配置，管理員可靈活的自定義移動終端的安全策略，可根據需要制定準入檢查策略、密碼策略、越獄 ROOT 策略、應用黑白名單策略、操作系統版本限制策略、SIM 卡變更策略、功能限制策略（禁用攝像頭，截屏，App Store

19、 等功能）、應用限制策略 、時間地理圍欄策略等設備信息采集 ，應用登錄后會通過門戶采集設備的基本信息設備名稱、設備品牌、操作系統名稱、 操作系統版本、 是否 ROOT 越獄、 CPU 名稱、 內核版本、 藍牙 MAC、 WiFi MAC、移動運營商、IMEI 等。實時信息狀態采集監測, 管理員可以查看設備明細，實時獲取 GPS狀態、WiFi 網絡狀態、信號強度、手機總內存、手機已用內存、SD 卡總內存、SD 卡已用內存、電池狀態、電池電量、cpu 負荷、CPU 占用前五名的進程信息。設備監控與處理 ，對于違規設備，管理員可遠程進行設備定位、清除工作數據、注銷設備、鎖定設備、鎖定工作區、恢復出廠

20、設置等強制性操作。也可預先制定違規事件處理預案，待違規行為發生后，自動根據預案對終端進行逐漸嚴厲的處罰管控機制（如發現違規立即推送消息提醒警告、未及時恢復半小時后鎖定工作區等管控機制）。違規行為恢復后自動根據恢復預案解除限制。員工離職或者設備丟失，為了防止數據泄密，管理員可以對遺留在設備上的應用進行聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 9 頁卸載，對數據進行擦除，最后注銷此設備。對于企業標配設備，回收的設備可以重新注冊綁定，并重新部署安全策略和應用。3.1.2 應用管理（MAM）UniEMM 企業移動安全支撐

21、平臺提供強大的應用管理（MAM）能力，從應用登記、注冊、發布、訪問權限、安全傳輸等全流程控制。3.1.3 鎖定安全桌面針對企業配發 Android 設備，UniEMM 企業移動安全門戶提供鎖定安全桌面功能，桌面上的應用可以在服務端配置顯示的系統應用如電話、短信、相機、相冊，也可以配置顯示企業應用商店里發布的原生應用和輕應用。 鎖定安全桌面同時結合時間地理圍欄啟用和退出、連接指定 SSID、禁止相機、禁止截屏等，同時可以限制撥打電話、接聽電話、收發短信聯系人的范圍。3.1.4 單點登錄為了便于用戶快速進入企業應用，同時又能提供身份安全保障，有必要在同一個移動終端上的企業應用之間實現單點登錄。當

22、UniEMM 作為企業應用的唯一入口，用戶在進入UniEMM 工作臺時進行身份認證，從工作臺進入各個企業應用時，則不需要再次輸入帳號密碼進行身份認證。3.1.5 消息中心為實現 UniEMM 企業移動安全門戶作為企業應用的統一入口功能，UniEMM 企業移動安全支撐平臺提供企業消息中心， 企業應用可使用中心的消息推送平臺進行消息推送。 企業移動安全支撐平臺在后臺針對企業應用提供消息推送接口， 在企業移動安全門戶上提供統一消息展示界面。通過應用消息中心，企業可以擺脫對公網第三方消息服務器的依賴，通過負載均衡或雙機熱備等方式增強系統可靠性，同時又降低信息在公網泄露的安全風險。統一企業消息推送平臺對

23、外提供 RESTful API 接口，第三方應用服務器可通過標準接口聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 10 頁向消息平臺推送消息。 統一企業消息平臺維護推送到移動終端的消息隊列， 記錄當前移動終端的新消息條數。UniEMM 安全網關服務維護到移動終端的消息推送通道，實現到移動終端的消息推送。 統一企業消息推送平臺接收到消息后， 通過內部自定義協議接口將推送消息發送給 UniEMM 安全網關服務，再由安全網產服務通過 iOS APNs 或者 Android 推送通道推送到移動終端上 （安全網關服務保存所有的

24、推送消息， 直至消息被推送到移動終端） ， UniEMM企業移動安全門戶上實現對推送消息的界面展示。3.1.6 應用安全檢測檢測移動應用內部存在的安全風險，對發現的安全問題給出解決建議。提供高效、準確、完整的移動應用安全分析報告；協助開發/監管人員掌控移動應用中存在的風險，有效提高移動應用開發的安全性。靜態檢測：應用代碼安全檢測、應用配置安全檢測、應用數據安全檢測。檢測分析報告：自動生成檢測報告，直觀反應移動應用安全風險，同時提供可切實執行的修復建議。3.1.7 應用安全加固移動 APP 應用進行深度加密處理、 加殼保護的安全技術產品， 保護應用上線后的安全，采用程序文字信息加密功能，使應用遠

25、離惡意破解、反編譯、二次打包，內存抓取、數據信息竊取等威脅，同時給應用提供數據加密、簽名校驗、防內存修改、完整性校驗、應用安全檢測等保護。通過應用封裝加固系統加固后的業務應用，可防止反編譯工具破解和逆向，包括但不限于 smali、jd-gui、Dex2jar、baksmali、JEB、BytecodeViewer、 AXMLPrinter2、ApkTool工具等，以上工具均無法正常進行應用程序源代碼反編譯和重打包操作。（1）dex 文件加密保護對業務應用中 dex 文件采用高壓縮及加密變形處理，原始 dex 的關鍵函數指令采用基于虛擬機指令保護方法，并將指令解釋方案實現在 native 層的保

26、護殼中。反編譯軟件在對應用進行逆向的時候只能看到加固后新增的保護殼的部份， 并不能夠逆向出原 dex 中的數據聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 11 頁及代碼。（2）so 文件加密保護對業務應用中的 so 文件代碼采用自定義 Linker 方式進行加密保護，并且對于殼 so 中的關鍵函數使用基于虛擬機指令的 so 保護，使調試者或破解者無法獲取 Linker 入口從而無法正常反編譯 so 文件中代碼。同時采用基于動態加載器的 so 保護，增大了殼 so 和第三方so 的保護強度，保護應用中的 so 的安全

27、性。（3）應用主配文件防篡改保護應用封裝加固系統采用哈希技術對業務應用主配文件生成文件指紋，指紋信息保存在dex 文件某處，并在程序運行時對文件指紋進行校驗，如發現指紋改變則停止運行，增強業務應用的防篡改能力。（4）應用資源文件完整性保護應用封裝加固系統使用快速計算方法，把文件的完整特征存儲到源 dex 保護數據中，在運行的時候能夠快速判斷文件是否被修改， 達到保護目的， 資源文件加固比較消耗終端性能，需要應急管理部酌情考慮實際情況，是否需要平臺提供此能力。（5）應用數據文件加密保護對業務應用運行中的產生的數據文件進行加密保護，防止數據文件被竊取和篡改，加密關鍵信息保存在 Native 層保護

28、殼中。（6）應用簽名校驗保護將開發者簽名信息進行變換存儲成特征，把特征存儲到源 dex 保護數據中，在運行的時候能夠快速判斷簽名是否被修改，應用簽名被改動后，業務應用無法使用，達到保護開發者被二次發布的目的。（7）防內存截取攻擊保護業務應用經過封裝加固后，通過動態監控業務應用中的內存分布文件，可以隨時監控到內存讀取等操作，對非法竊取業務應用內存使用的非法行為，進行及時攔截，從而保護業聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 12 頁務應用的內存安全。（8）應用內存非法讀取/修改保護業務應用經過封裝加固后，動態監控

29、業務應用中的內存分布文件，可以隨時監控到內存是否被非法第三方程序進行讀寫操作， 從而保護應用運行時的內存數據不被非法讀取或修改。（9）防動態注入攻擊保護對業務應用的關鍵模塊增加反調試技術，從根本上杜絕調試本程序，注入非法代碼等操作，保護業務應用的安全運行。（10）dex 文件深度混淆對內存中的應用 dex 文件進行混淆處理，使得在 dex 被內存截取的情況下，也只能截取出加固混淆之后的代碼，無法還原出原始 dex 文件。3.1.8 內網準入眾所周知，802.1x 技術為企業級的網絡提供了安全和便捷的解決方案，移動終端在接入無線網絡時需要進行身份認證及必要的安全檢查， UniEMM 除了網關型準

30、入控制還同樣支持基于 802.1x 的準入。移動終端安裝 UniEMM 的客戶端后選擇企業指定的 WiFi 然后輸入相應的用戶名密碼，即可完成認證，后續認證只需打開客戶端，客戶端自動連接最后一次完成認證的 WiFi，實現無感知的網絡接入。UniEMM 的 App 無線 802.1x 準入同樣支持對設備屬性、 應用黑白名單等安全基線進行檢查，確保通過企業 WLAN 接入企業內網的設備是安全、可信。3.2 數據安全聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 13 頁企業移動應用從外網接入企業的過程中，從應用到操作系統協

31、議棧，到網絡傳輸，都需要確保數據的安全性。采用傳統 L3VPN 可以實現傳輸的數據安全，但無法區隔合法應用和非法應用。新的移動辦公平臺既要能滿足全程全網安全性，又要能夠做到應用隔離。UniEMM 在管道安全環節，提供應用層 APN 管道和安全協議棧，并開放功能強大而又容易集成的 SDK 給第三方應用。在 Android 系統下企業移動安全門戶會開辟安全域，企業應用可以直接運行在安全域中不需要集成安全 SDK， 容器會自動接管網絡安全傳輸和文件數據的安全存儲。APN 管道提供給每個應用的數據在從應用到傳輸層的過程中已經是密文，可以防范木馬、病毒類非法應用，也能阻止嗅探類手段獲取明文數據。采用應用

32、層 APN 管道技術，每個應用都獨享一個安全隧道，可以確保數據傳輸的安全性。在應用層 APN 中，有終端和網關兩個核心控制點，這兩個控制點相互關聯，雙向認證，高度安全，即使通過黑客類手段獲取終端權限，利用偽造或中間人攻擊等手段也無法突破網關的防護。3.2.1 應用安全網關傳統 SSL VPN 或者 IPSec VPN 實現技術中，需要在移動終端上安裝虛擬網卡，并且企業應用的數據報文需要經過虛擬網卡中轉之后才能進入到 VPN 加密通道。在企業應用的數據經過虛擬網關中轉時， 存在安全風險此時感染病毒或木馬的應用， 可以通過攔截虛擬網卡上的數據， 獲取到明文的企業應用信息。 而且由于 IPSec V

33、PN 無法對接入終端進行校驗，任何終端只要有合法的 VPN 賬號密碼，即可接入內網，這對內網安全也造成了極大的安全聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 14 頁隱患。UniEMM 安全網關采用應用層 VPN 實現技術。企業應用直接集成加密傳輸組件，在應用內即對數據進行加密，只有加密后的數據才從應用內傳遞到 OS 系統。因此，即使移動終端上存在被病毒或木馬感染的惡意應用，也不能夠從 OS 系統中獲得明文的企業數據。3.2.2 智能 API 網關零信任智能 API 網關，可用于政府、銀行、證券、能源、制造業等各行

34、業，承擔請求接入、業務聚合、中介策略、統一管理四大職能。?請求接入作為所有 API 接口服務請求的接入點。?業務聚合作為所有后端業務服務的聚合點。?中介策略實現安全、驗證、路由、流控等策略。?統一管理對所有 API 服務和策略進行統一管理。3.2.3 安全沙箱（1）安全沙箱UniEMM 提供安全沙箱能力，通過安全沙箱實現個人和企業數據的隔離，對企業數據采用高強度加密手段防護，能做到即使數據被非法獲取也無法獲取明文信息。UniEMM 在移動終端 OS 的數據隔離基礎上通過高強度的加密技術實現文件數據隔離。UniEMM 給上層企業應用提供透明的安全文件加解密接口， 上層應用通過調用接口， 可以方便

35、地從加密沙箱中讀取數據或者向加密沙箱中寫入數據。 數據在讀取或者寫入的同時完成加解密操作， 上層應用不需要關注具體的加解密過程。 沙箱內的數據在存儲到存儲介質上時是加密的， 可避免明聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 15 頁文信息被非法獲取。UniEMM 還可對企業應用提供數據防泄漏保護。比如，使用安全沙箱后，可以防止在企業應用內部拷貝文件， 然后通過粘貼泄漏到其它非企業應用， 也可以防止在企業應用的界面上進行截屏。企業 IT 管理員可以在 UniEMM 后臺系統配置對企業數據的安全管理策略，包括是否禁止

36、 Copy/Paste、是否禁止截屏等等。還可以對企業數據進行遠程管理，由于企業數據和個人數據是隔離的，因此管理員可以遠程擦除企業數據而不影響個人數據。（2）虛擬安全域為了避免與企業應用集成，UniEMM 平臺在 Android 系統上實現虛擬安全域。為用戶生成一個專屬的安全虛擬工作區，在工作區中，用戶可以自由的訪問企業應用，而企業業務和數據的安全性可以得到保障：如防截屏、防轉發、防復制粘貼，禁用攝像頭，數據傳輸和存儲加密等。為了解決用戶拍照行為追蹤溯源，運行在安全域里的應用可以通過管理后臺下發水印策略，第三方應用會自動根據后臺策略顯示水印功能無需任何企業應用改造。在沙箱中的應用網絡傳輸會自動

37、被 UniEMM 安全門戶接管，根據管理臺配置的轉發，將內部數據流加密傳輸到安全網關由安全網關轉發到業務應用服務器， 未配置轉發的自動通過互聯網去連接。在虛擬安全域以外的應用、數據和設備權限，依然歸員工個人控制。這樣，就完美解決了企業信息安全和員工個人隱私間的矛盾。3.2.4 安全工作空間遵循系統的已有應用沙箱原理，在進程隔離的基礎上，實現對應用行為的深度控制，通過對系統的應用沙箱進行擴展， 擴充其他的業務所需安全屬性， 通過為應用專屬創建的引導應用將應用導入加載到沙箱中運行， 實現系統級的對應用的管控能力。 安全空間需要既支聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯

38、軟科技移動安全白皮書2022 移動安全解決方案白皮書第 16 頁持 Android 系統，也要支持 IOS 系統 。?個人隱私保護通訊錄保護、短信保護、電話保護、應用權限限制。?企業數據保護安全沙箱、安全閱讀、水印保護(明文水印、矢量水印、隱形水印)。?可信環境檢查禁止越獄/Root 設備、防止滲透攻擊、禁止運行在無 SIM 卡設備。?用戶行為限制復制粘貼保護、截屏/錄屏保護、網絡訪問控制。?應用監測審計感知并采集應用安裝、使用情況，性能和業務數據等。3.3 云部署、云管控聯軟 UniEMM 企業移動安全支撐平臺支持公有云或私有云部署，采用業界領先微服務技術架構， 平臺里每一個服務都可以根據用

39、戶業務能力進行橫向擴展。 所有微服務在云端集中管控。聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 17 頁3.4 用戶與應用安全紐帶在企業中，用戶信息是所有應用的核心數據。在移動化時代，用戶的類別增多，用戶狀態信息也從單一的用戶身份信息發展到包含用戶身份、接入終端類型、位置、時間等多維度信息， 針對不同的用戶和狀態需要有不同的管控策略。 這些策略和狀態信息對于支撐應用的創新至關重要，所以應用要能便捷獲取這些信息。UniEMM 企業移動安全平臺可以統一管理固定和移動接入的用戶(如員工、臨時訪客、合作伙伴等)，可以統一設

40、置策略(如接入規則、應用訪問策略、安全檢查策略、安全控制策略、安全審計策略、時間地理欄策略)，獲取用戶實時狀態(接入方式、地理位置等)。同時，應用審計信息可以通過開放 API 給應用使用，應用可以利用這些信息進行數據挖掘、增值服務等UniEMM 企業移動安全平臺在不改變用戶使用習慣下實現企業業務應用快速部署、快速上線、快速推廣，節省了大量人力和財力。推動新業務快速擴展，在沒有 UniEMM 企業移動安全門戶前用戶只能選擇開發原生應用，同時需要關注應用的網絡傳輸安全、文件數據的存儲讀寫安全、以及拍照截屏的安全性都需要業務應用開發投入大量的時間、 應用自身的安裝升級等也需要投入時間研發。 同時要考

41、慮跨平臺的開發、 以及上線前網絡權限開放申請等。 聯軟企業移動安全門戶不僅支持原生應用發布全生命周期管理，同時支持跨平臺的 H5 應用直接在門戶中發布，企業應用不需要申請開放互聯網訪問權限。3.5“平臺” + “應用”打造開放安全的生態系統聯軟科技致力于構建可控互聯世界，UniEMM 企業移動安全支撐平臺秉承戰略思想，為企業應用提供安全、快捷的部署環境。?實現全業務開放聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 18 頁聯軟企業移動安全門戶幫助用戶實現全業務開放，在網絡傳輸、數據存儲和文件讀寫、應用、設備多維度實施

42、安全保護措施。在網絡上基于應用層安全網關實現安全隧道，為每一個企業應用建立獨立安全隧道。在數據存儲和文件讀寫上實現沙箱和虛擬安全域隔離個人與企業數據，保護企業高價值的數據不被外泄。在應用上實現禁止復制、剪切，自定義水?。ˋndroid 應用禁止截屏）以及截屏審計。在設備上可以禁止截屏、禁止拍照、連接指定 SSID、設備安全檢查（病毒掃描）等。在我們全方位的安全守護下幫助用戶實現全業務開發，提升企業市場競爭力。?實現多平臺多終端接入作為一個開放的平臺，它支持當前流行的 Android、iOS、Windows、Mac 系統等終端操作系統，允許企業根據實際需求選擇辦公終端平臺。解決移動辦公、在家辦公

43、、出差辦公等場景提高員工作效率同時也提高企業的競爭力。?實現統一的認證中心（1）PC 業務系統登錄使用動態碼實現雙因素企業辦公及業務系統需要支持雙因素認證，市場目前大部分采用短信碼，少數金融客戶會采用硬件口令（硬件成本比較高，電量用完后每二至三年要更換一次硬件），UniEMM平臺通過統一認證中心將動態碼集成到企業移動安全門戶中， 每分鐘自動刷新一次， 提供即時有效安全的認證因子。UniEMM 企業移動安全門戶登錄后，PC 端打開業務系統通過門戶掃碼認證。業務系統服務端通過客戶端掃碼提交第三方業務系統的回調。（2）PC 動態碼、掃碼入網UniEMM 安全門戶與 LeagView 平臺準入模塊無縫

44、對接， 實現統一身份認證和掃碼認證成功后，PC 自動接入辦公網。?實現統一的門戶為實現移動端和 PC 端移動辦公場景，為終端用戶提供便捷，實現統一的企業辦公的門戶。聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 19 頁四、典型應用場景4.1 保障各行業移動自帶設備+配發設備安全隨著信息化建設的不斷發展，移動智能終端設備的性價比的不斷提升，移動化業務在各個行業的使用越來越普遍，企業采購設備派發給工作人員進行開展業務。聯軟 UniEMM通過在手機或平板設備上安裝一個 EMM 門戶客戶端，EMM 門戶客戶端運行起來是一個虛

45、擬工作空間并可以強制鎖定無法退出， 通過這種方式可以對設備本身的硬件功能及設備上安裝運行的應用進行限制，并可對接企業 WLAN802.1X 安全準入保證配發設備的安全及專機專用。4.2 企業自建移動門戶安全解決方案隨著信息化建設的不斷發展，移動智能終端設備的性價比的不斷提升，移動化業務在各個行業的使用越來越普遍。 很多行業都在開發自己的 BYOD 應用， 為了提升員工使用的體驗，越來越多的企業推出自己的移動門戶，員工只需要安裝一個應用，可以滿足所有移動辦公需求。 但這類移動門戶通常缺乏專業的安全能力， 急需專業的安全廠商提供相應的安全能力。聯軟企業移動辦公支撐平臺（以下簡稱 UEM）致力于將自

46、身安全能力通過接口 SDK 的方式提供給到生態企業的 APP，這些 APP 只需要簡單集成 SDK 就可以擁有以下安全能力：4.3 移動安全辦公 SaaS聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 20 頁傳統基于內網邊界的安全產品理念是“筑墻”、“信任”。城墻越高越厚，城墻里面就越安全，讓城墻外的危險進不來；而進了城墻的人就是自己人不再加以防范。但是事實證明再堅固的城墻往往最先從內部被攻破， 既然被攻破是不可避免的， 那顯露在互聯網的企業應用該如何防護？答案是隱身和零信任：外面的人看不見你，自然不會想到攻擊你；那

47、對于能看見你的自己人呢？零信任機制通過嚴格的多因素認證保證進來的只有自己人， 而且即使是自己人也得“遵紀守法”，一旦違法做亂立刻“驅逐出境”減少損失。聯軟已經在公有云平臺上部署了基于零信任隱身技術的移動安全辦公 SaaS 服務平臺，企業用戶無需在內網部署任何軟硬件， 只需要簡單注冊開通， 即可讓員工下載專用的安全辦公門戶 APP 進行移動安全辦公。整個過程無需當面接觸，安全，極速交付，即需即用。4.4 數據防泄密移動審批場景信息化時代，企業對數據資產安全越來越重視，數據防泄密系統也成為了企業內網安全的一個必要選項，對于金融行業尤其如此，浙江農信全省就部署了數據防泄密系統(UniDLP)。對文件

48、打印、拷貝、進出盤審批以及移動存儲設備注冊、使用人的變更審批，需要相關的審批人員回到內網在辦公電腦上進行審批， 尤其是部分審批人的層級比較高， 平時工作就十分繁重，往往無法及時處理，導致相關的審批流程遲遲無法得到審批，影響相關工作的開展。針對 PC 端審批流程的相關痛點，聯軟的提供了企業移動辦公安全支撐平臺 UniEMM,創新性的將 UniDLP 上的審批操作開發成一個獨立的審批應用，提供移動審批功能，既保證了相關的審批流程安全性，又解放了審批人，只需要通過個人手機無需回到內網使用辦公PC 即可完成相關審批操作。大大提升了審批人的操作體驗，從而提高了審批流程的時效性。同時聯軟的 UniEMM

49、還支持消息推送及單點登錄特性，與該審批應用結合后，可以進一步提供更好的操作體驗。審批的通知可以通過消息推送，直接將通知推送到指定審批人的手機上，即時審批應聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書聯軟科技移動安全白皮書2022 移動安全解決方案白皮書第 21 頁用不在線，也可以在手機的系統通知里收到對應的消息，審批人只需要在手機上點擊消息，通過單點登錄認證后即可直接拉起審批應用并進入到相應的審批頁面， 直接操作。 進一步提高了審批操作體驗。五、未來發展趨勢5.1 移動安全進入了快速發展階段（1) 資產輕量化:云的發展使得移動辦公越來越普遍，移動安全業務發展迅速我們先來看

50、一下國外的發展情況，以美國為例的云發展較為顯著，2018 年在 RASC 展會上，60%的主題和廠商都或多或少提到了和云相關的；國內的發展，像阿里云、騰訊云等各種云服務器，企業員工只有要 OACRM 系統賬號之類的就可以登陸使用進入到企業網絡中辦公，加上移動設備的發展，員工移動辦公越來越普遍，GSMA 在“2021 年移動行業影響報告中提出“目前，23 億人使用手機購買商品和服務，占移動用戶的 45%”。移動市場帶來的風險也逐漸受到更多關注。（2）移動辦公帶來的零信任理念發展:端點安全能力不斷升級，零信任安全近年更受到國內外關注零信任安全是一個 IT 安全框架，不管是誰發起訪問，它都會將訪問者