深信服SSL VPN产品白皮书 文档密级:公开
3.6.7 移动用户管理(MUM)
移动用户管理解决方案支持对移动用户的全面管理,包括16级用户认证鉴权、用户权限与移动设备关联等功能,轻松实现多部门用户管理以及细粒度权限管控,减轻管理员运维压力。
3.6.8 多种身份认证
通过MAM中 APP 安全加固解决方案,可以为移动阴公新增用户认证方法,包括用户名/密码、硬件特征(注:手动集成 SDK 方式支持)、短信、动态令牌、CA证书、Ldap/Radius单点登录等认证方式,可以对贵单位移动办公用户的用户身份进行高强度识别,避免用户名/密码被非法人员窃取后,冒用被盗用户身份信息登录办公系统,导致信息泄密的情况出现。同时支持与现有身份认证系统联动,避免一套系统登录需要重复认证的情况出现,增加易用性。
3.6.9 严格的权限管理
APP 安全加固后,新增资源权限划分功能,可以拒绝贵单位移动办公用户访问未经授权的业务系统,避免黑客通过对移动应用进行动态调试等方式,对贵单位内部其他系统肆意发起跳板攻击。用户在进行身份鉴权后,贵单位管理员可为不同部门划分不同的系统访问权限,用户仅能访问权限允许范围内的系统。这样,业务系统进行移动化迁移的安全性就又多了一层保障。
3.6.10 移动应用管理(MAM)
支持手动/自动方式的APP安全加固、企业应用商店、移动应用单点登录等功能,简化应用加固、分发和用户登陆使用过程,为用户提供更加易用的企业应用使用环境。
3.6.11 影子IT避免,保护企业数据安全
BYOD的移动办公开展方式能为贵单位节省终端批量采购的预算,但是这种情况会造成“影子IT”(需求部分提到)的情况出现。MAM方案的移动应用管理功能可以对受控终端的应用进行管理,控制用户在进行移动办公时,无法使用公有云应用,这样企业数据就不会
深信服科技版权所有 www.sangfor.com.cn 36
深信服SSL VPN产品白皮书 文档密级:公开
被分发至个人云盘等第三方应用处,杜绝“影子IT”的情况出现。
3.6.12 全面的移动应用管理
移动应用管理(MAM)方案可为贵单位提供企业应用发布、企业应用分发管控、用户应用使用控制等功能,保证应用层面的数据安全。
对于贵单位正在进行开发的新建移动办公业务系统,深信服企业移动管理解决方案能够从数据访问权限、数据存储、数据传输等环节为企业数据进行安全保障。
3.6.13 方便快速的应用安全封装
深信服MAM方案可为APP开发商提供用于与企业移动管理平台对接的安全加固SDK,该安全加固SDK集成代码量约为20行左右,进行安全加固也仅需1名研发约2天时间即可完成;对于贵单位已经开发完成的业务系统,深信服提供安全加固SDK自动封装增值方案,无需开发商开发人员配合,通过上传、封装、下载3个动作,5分钟内完成安全加固SDK封装。完成SDK封装后,贵单位即可为原有移动办公应用新增移动用户管理、SSL VPN安全接入等功能,并可完整使用企业移动管理平台的其他功能。
深信服SDK包透明集成到用户的应用APPS中,用户无感知,提升用户使用体验。此外,深信服EasyAPP方案支持VPN隧道分流技术,用户可以在使用互联网体验的同时,使用企业移动应用。
深信服科技版权所有 www.sangfor.com.cn 37
深信服SSL VPN产品白皮书 文档密级:公开
3.6.14 多应用统一登录
考虑到贵单位后续会持续开展移动办公系统建设,深信服MAM方案预留可扩展的移动应用单点登录模块,在移动办公系统逐渐增多、各个系统间用户名/密码不同的情况下,为用户提供企业应用一键单点登录的功能,免除用户反复多次输入繁琐的用户名密码的麻烦,提高用户对贵单位IT部门的满意度。
3.6.15 C/S、B/S架构企业应用商店,保证企业应用分发权威
企业应用一旦没有权威分发出口或者应用下载方式不够便捷,贵单位的用户在更换手机等情况下,大多会选择在互联网进行搜索、下载、安装移动办公应用。由于第三方分发平台的应用被篡改的可能性较大,用户自行搜索安装的企业应用很可能被植入过广告、病毒SDK,肆虐用户的移动终端,对贵单位业务安全造成影响。MAM方案可为贵单位提供自建企业应用商店的能力,为贵单位的移动办公应用提供权威分发出口。该功能可以在客户端使用,也可以用浏览器直接访问自建WEB应用商店,支持控制应用分发进行策略授权,例如仅限制在手机或者平板安装、限制该应用的使用用户等,既可满足应用分发需求,又能控制企业应用不被非单位用户下载使用,一举两得。
3.6.16 图形解锁,轻松的二次认证
新增应用图形锁功能,原本的企业应用从后台切换至前台时,都被要求重新认证,以保证数据的安全性。具备该功能后,重新认证方式被替换为输入图形解锁码,这样及防止企业应用未退出、其他人使用该用户手机偷窥机密信息的情况出现,又能简化用户重复认证登录过程,极大的平衡了企业应用的安全性和易用性。同时,该功能可以与MDM进行策略联动,锁定多次解锁失败的设备,防止图形码被暴力破解。
3.6.17 应用黑白名单,用技术手段保证“专设专用”
支持应用黑白名单公呢个,使管理员可控制用户能否使用某些应用。例如被管理的手机在工作时间只能使用移动办公系统,不能进行QQ聊天、淘宝购物、刷微博等娱乐活动,提升员工办公效率。
深信服科技版权所有 www.sangfor.com.cn 38
深信服SSL VPN产品白皮书 文档密级:公开
3.6.18 移动内容管理(MCM)
支持对下载至移动终端的企业数据进行管理,包括落地数据加密、控制企业数据分享、远程数据擦除等,为企业提供安全的业务环境,避免企业数据泄露。
3.6.19 安全的企业移动内容管理
移动内容管理(MCM)能够为贵单位提供在BYOD办公环境下重新定义企业/个人应用边界的能力。MCM方案支持对下载至移动终端的企业数据进行管理,包括企业/个人数据隔离、数据存储加密、控制文档分发、控制邮件分发以及限制终端自带截图工具和剪切板工具等功能,为用户提供企业文档安全阅读环境,避免企业数据被动泄密。
3.6.20 一机两用,BYOD的公私隔离
该方案将所有企业数据在进行传输时均通过SSL VPN加密隧道进行传输,并且下载的企业数据被单独保存在终端上的加密隔离区,以文件碎片形式保存。同时,下载的应用仅限于指定的企业应用可以打开,杜绝QQ、微信等应用对其访问,避免数据被分享泄露。该方案还会对系统剪切板进行管理,防止拷贝、截屏泄密。
第4章 SSL VPN部署模式及用户使用
4.1 SANGFOR SSL VPN部署模式
深信服SSL VPN支持路由部署及单臂部署两种模式。
除了最基本的路由模式外,深信服SSL VPN支持单臂模式部署,不需要对用户现网结构做任何改变,不影响用户业务的正常使用。
深信服科技版权所有 www.sangfor.com.cn 39
深信服SSL VPN产品白皮书 文档密级:公开
支持路由模式、单臂模式部署
集群模式部署
深信服科技版权所有 www.sangfor.com.cn 40