中國銀聯(lián)

銀聯(lián)國際移動終端安全

項目背景

隨著銀聯(lián)國際智能終端移動辦公業(yè)務在帶來生產效率提升的同時，亦擴張了企業(yè)原來搭建的網絡邊界。由于現(xiàn)在各種智能終端能夠通過4G網絡隨意訪問移動互聯(lián)網，且速度不亞于傳統(tǒng)局域網，這些智能終端容易成為黑客重點關注的目標。一旦智能終端移動辦公業(yè)務大規(guī)模使用，則無疑為生產及辦公環(huán)境打開了一個面向移動互聯(lián)網的大門，各種黑客攻擊、惡意代碼會隨之而來，對企業(yè)生產安全、企業(yè)敏感數(shù)據(jù)都帶來致命的影響。因此，包括企業(yè)對移動安全風險有所擔憂，安全問題影響了移動創(chuàng)新技術提升生產力的進度。

由此可以知道，解決智能設備移動應用帶來的安全風險，是企業(yè)推廣移動業(yè)務的關鍵。

項目目標

通過對銀聯(lián)員工移動終端設備的管理，通過統(tǒng)一的管理平臺實現(xiàn)對移動終端策略和配置定義與下發(fā)，實現(xiàn)設備管理、策略管理、應用管理、實現(xiàn)APP級別VPN通道，確保APP數(shù)據(jù)傳輸經過加密保護；不符合要求的移動設備不允許接入訪問企業(yè)應用和數(shù)據(jù)。

解決方案

    在本次項目中采用了MobileIron移動終端管理服務器Core2臺、MobileIron應用安全網關2臺，通過HA的方式實現(xiàn)負載均衡同時管理用戶的移動終端設備。

    提供的核心服務器移動設備管理服務器CORE，采用虛擬機的方式部署，目前為虛擬機分配的硬件資源參數(shù)單臺服務器能夠同時管理200臺終端設備；安全網關Sentry單臺能夠能夠支持同時2000臺移動終端設備對后端業(yè)務應用系統(tǒng)的訪問。為方便用戶的增長需求，當項目涉及終端數(shù)量大幅增加時，可以對現(xiàn)有虛擬機的硬件資源進行增加，支持更多移動終端的管理。Mobileiron移動終端管理平臺單臺服務器最大能夠支持10萬臺設備的管理，支持最大2萬臺設備終端對后端業(yè)務應用系統(tǒng)的訪問連接。 

方案拓撲圖

價值體現(xiàn)

1、通過郵件安全網關對移動設備進行準入控制

結合有證書驗證功能的前端代理服務器或負載均衡器，實現(xiàn)通過證書及用戶名密碼的雙重驗證；大規(guī)模、按權限分組下發(fā)電子郵件配置，減輕運維管理員工作量、降低由配置引發(fā)的故障問題、提高用戶的便捷使用體驗。

2、控制未授權移動設備使用企業(yè)郵箱

只允許移動設備通過MobileIron方案的Sentry訪問Exchange Server（ActiceSync），禁止未受管理移動設備收發(fā)郵件。