某法院EMM应用封装价值交付案例(详)
  

王雪枭 37861人觉得有帮助

{{ttag.title}}
   因案例涉及内容较多此处给出目录项,可自行查找重点关注内容进行研讨
目录
1.项目概述
2.实施方案规划

3.需求策略确认

4.应标参数设备相关资料:

5.aWork移动工作平台操作手册


一   项目概述:
根据最高院《人民法院信息化建设五年发展规划(2017- 2021)》要求“充分运用移动互联技术,按照信息安全要求稳步 推进办公办案等移动终端应用,最大限度为法官办公办案提供便 利。2017年底,高级以上法院全部实现移动办公办案,部分法院 以省为单位实现移动办公办案, 覆盖办公和办案主要业务关 ”。省高院建设全省法院移动工作平台,对移送终端和手机 APP应用进行统一管理,实现全省审判、执行、政务工作的移动 互联网延伸,提升工作质效。
网络拓扑,在基于运营商APN专用SIM卡,通过无线接入运营商APN中,再通过各运营商专线互联,有L2TP,GRE隧道,静态路由等方式,相关网络配置不在此案例中详细介绍,有相关疑问可以留言。

二  实施方案规划:

四台EMM设备集群部署,因APN网络为非互联网网络,因此需在内网搭建应用封装服务器,并后台修改移动应用封装地址,EMM设备后台修改代码此处不做详细介绍,具体操作文档可咨询智能客服获取。


三  需求策略确认:

(此处详细列举了EMM设备所有策略相关,有类似项目可直接参考向客户确认需要配置哪些策略功能)


1 Awrok登录密码策略
[size=12.0000pt]1.口密码不能包含用户名
2.口新密码不能与旧密码相同
3.口限定密码最小长度为X位
4.口每隔X天用户必须修改密码,密码过期X天前开始提醒用户修改密码
5.口用户必须修改初始密码(新建用户第一次登录必须修改密码)
6.口密码必须包括 数字 字母 特殊字符(shift+数字)
[size=12.0000pt]7.口用户名区分大小写
2 Awrok登录密码防止暴力破解策略
1.口连续登录错误1次,启用图形验证码
2.口同名用户登录连续出错5(1-32)次后锁定用户300秒后恢复正常状态
[size=12.0000pt]3.IP用户登录连续出错10次后拒绝同IP登录,并在3600*24秒后恢复正常状态
4.启用水印功能
3 策略组策略
1.口使用本地认证登录aWork时
a.强制 使用指纹认证(不支持指纹则使用手势密码)
b.强制使用手势密码
c.强制使用指纹或手势密码
d.不强制

2.口应用进入后台60(0-1440)秒后,自动唤醒指纹锁或手势锁
3.口移动端接入,用户如果在60分钟内未进行任何操作则断开连接
4 移动设备策略基本策略
[size=12.0000pt]1.口与服务器失联X天后,通知管理员
2.口与服务器失联180天后,
[size=12.0000pt]a.锁定设备
—重新连接服务器后自动解锁
[size=12.0000pt]b.恢复出厂
设备管控
[size=12.0000pt]1.桌面模式
a口单桌面模式:仅允许终端用户进入aWork安全工作区,默认仅可使用aHork内部的安全应用及系统设置应用。
b.口双桌面模式:终端用户可以在个人桌面和aWork安全工作区自由切换,默认所有的应用均可以使用。
c.口单桌面模式高级选项。双桌面模式高级选项—自定义配置可使用的应用

3.
口禁止截屏
口禁止拍照
禁止通过USB传输文件(包括禁止开启调试模式)
禁止外置存储(如TP卡)
禁止恢复出厂设置
禁止配置 证书
口禁止录音
口禁止蓝牙
禁止WiFi
禁止配置移动网络(如:选择移动网络接入点、运营商、网络模式)C3禁止配置移动热点

4.安全监测(禁止登录或告警)
口设备root
口设备更换SIM卡
口设备更换SD卡
口设备系统版本过低
口设备型号不合规
口连接到非法WiFi
口安装非法应用
口安装危险应用

[size=12.0000pt]5.手机密码规则
启用密码规则(不支持图案锁)
5 应用封装策略
口启用文件加密(配置白名单)
*APP下载到手机的文件是加密的,只能由封装后的APP打开,普通应用程序软件是无法打开的
口启用文件系统隔离
*安全应用与个人应用存储目录完全隔离,相互之间无法相互访问各自的文件
口启用分享和打开隔离(配置白名单)
口允许个人域分享到安全域启用剪切板隔离
*禁止封装的应用与个人应用之间相互分享数据
口启用剪切板隔离
口允许个人域复制粘贴到安全域
*禁止封装的应用与个人应用之间分享剪贴板内容
口禁止截屏
*禁止在封装应用界面截取屏幕

   四   应标参数设备相关资料:
(此部分如有侵权请及时联系我修改,谢谢)
移动设备管理要求:
1.要求具备国家密码管理局商用密码产品型号证书。通过下载和安装Agent客户端,进行用户身份认证,完成设备注册流程,设备将处于纳管状态
2.移动设备版本支持主流的移动手机;
3.支持国际标准加密算法,国家商密SM2/SM3/SM4算法,以及商密硬件对称加密算法(SM1)定制化支持;
4.支持多种企业级的身份认证方案,如AD/LDAP认证、Radius认证、CA证书认证;多种身份认证方式时,支持可选同时使用或者使用任意一种认证,提供配置实例;
5.支持本地认证,本地认证支持多种密码安全策略:密码不包含用户名、新旧密码重复控制、密码最小长度、定期修改密码、初次登录修改密码、密码必须包含数字/字母/特殊字符等,提供配置实例;
6.支持多维度的账号权限控制,支持不同用户访问App应用服务器的地址权限控制,支持不同用户访问App应用服务器的时间段控制;支持账号有效期控制,支持用户长时间不登录失效控制;
7.支持本地CA中心,支持RSA和商密SM2算法,并可以与第三方CA中心对接,支持OCSP在线证书查询;
8.支持对手机号码的管控,要求能够设置设备密码尝试限制次数 、自动锁屏超时时间 、新旧密码雷同控制 、设备密码有效期控制 、设备密码尝试限制次数 、密码错误超过限制后恢复出厂设置等;
9.支持手机设备的越狱检测,以及相应的工作App准入访问控制;支持手机设备的root检测,以及相应的告警、准入、锁定设备、恢复出厂等控制;
10.支持手机设备的专机专用,开机只允许进入工作域;并支持专机专用模式与一机两用模式的在线切换;
11.支持手机设备系统功能的管控,包括禁止拨打电话 、收发短信 、获取位置信息 、设备截屏 、拍照 、USB传输文件 、外置存储 、恢复出厂设置 、配置证书 、蓝牙 、Wifi 、配置移动热点 、配置移动网络 、录音等;
12.支持地理围栏功能,在围栏内支持禁止拍照、录音、拨打电话、发送短信、使用WiFi等;支持时间围栏功能,在围栏内支持禁止拨打电话、发送短信、使用GPS等;
13.支持在手机终端上基于沙盒技术生成隔离的安全工作区域,为用户提供安全的办公环境;安全工作域支持离线登陆,仅验证手势密码即可,保证离线状态下工作人员以访问本地应用和数据;支持水印保护,支持对维度的水印自定义能力,对截屏和拍照泄密行为进行追溯,提供相关的操作实例并保留测试权利;
14.要求能查看到设备注册时间、用户、设备名称、设备型号、手机号码、系统存储空间、是否越狱/ROOTIMEI/UDIDWiFi MAC地址、OS版本、设备应用状态(应用名称、版本号、大小、类型、是否违规)、设备目前状态(失联、违规、擦除等)
15.支持消息推送功能,管理员可将通知消息推送至终端,保证单位的通知信息直接推送到最终用户;
16.支持基于SDK方式的App封装,提供代码Demo和企业证明,支持针对移动应用App的移动安全接入代码的应用自动封装,并支持将应用发布至应用商店,避免二次开发拖延项目交付周期,提供相关的操作实例并保留测试权利;
17.软硬一体化设备,本次配置4台一体化设备做集群部署,SSL最大加密流量:500Mbps;SSL理论并发用户数:5000;SSL理论新建用户数:450/秒,尺寸:2U,接口:62光;
应用程序管理方面:
1.提供在移动设备上的企业自建应用商店;
2.支持在手机终端上基于沙盒技术生成隔离的安全工作区域,为用户提供安全的办公环境,提供配置实例;
3.支持安全App在工作域文件的加密,与个人App隔离,支持专属VPN网络隔离,工作App通过VPN传输,个人App通过互联网访问,严禁工作App访问互联网造成泄密,严禁向个人App开放内网访问造成的窃密;
4.支持个人App和工作App之间的文件分享、剪切板隔离,防止工作App中的数据泄露到互联网,同时支持放开个人个人App到工作App的文件、剪切板限制,方便工作中的数据共享,提供配置实例;
5.支持对安全域工作App数据进行远程擦除,降低丢失设备上的数据泄密风险;支持手机办公App防截屏,同时不影响个人App的截屏;
6.支持工作App的水印保护,水印支持用户名和时间的显示,便于时候追踪,有效控制截屏和拍照违规事件,支持水印的自定义,支持明暗和颜色、边框、字体大小、透明度、倾斜度的自定义;

7.支持手机上的安全相机和相册服务,保障工作域中的办公App多媒体功能调用;提供标准的邮件客户端,需支持Exchange协议;提供内置的安全浏览器,保障所有在沙箱中浏览的H5轻应用的安全调用;
8.集成企业应用商店,对工作域App进行通过管理,支持App的发布、下线等功能;支持对未安装企业APP的设备进行统计、输出报表,为管理者的决策提供数据依据;
9.支持非对称式部署的传输协议优化技术(单边加速),不用在用户终端上安装任何插件和软件,即可提升用户访问应用服务的速度,提供上述功能的配置实例并保留测试权利;

10.工作域中的App支持单点登录,保证工作人员使用工作App的效率和体验;支持工作域内的安全App的联网状态可视化、网络流速可视化,在网络超时断线后支持手工重连;
移动应用管理适配要求:
1.要求提供与移动设备及应用程序管理系统系统集成,集成工作包括但不限于:通过移动管理系统SDK或打包技术,使应用客户端软件具备一定的安全加固能力,如ROOT检测,离线(断网)后禁止使用软件,设备脱管后禁止使用软件,使用软件时禁止截屏,复制粘贴,内置应用程序VPN等功能的开发。
五  aWork移动工作平台操作手册
1.用户注册
   网络注册:
(图一)注册全程请确保“移动数据”打开,“WLAN”关闭

( 图二) 打开 ”设置’
(图三)选择“无线和网络”
(图四)选择“移动网络”
(图五)选择“接入点名称APN”
(图六)点击右上角
(图七)选择“新建APN”
图八到图十涉及具体APN域名及接入账号配置,此处不贴,这个专用的SIM卡类似于物联网卡,和运营商建立APN属于专线通道
(图十一)打开浏览器
(图十二)地址栏输入http://192.168.254.121/com/aWork.apk或点击扫描项扫描
此处二维码可使用在线二维码生成工具,将URL转为二维码,之前分享过一次SASE-AC的接入二维码也是同理。
打开aWork应用权限:
(图十三)打开设置
(图十四)选择安全

(图十五)打开权限管理

(图十六)找到aWork

(图十七)允许aWork所有权限

(图十八)打开“aWork”
(图十八)连接管理中心,输入地址,点击连接
(图十九)登录aWork,输入用户名密码
(图二十)设置指纹锁,首次登录后需要设置手势或指纹密码,便于后续个人域与安全工作区切换时快捷登录
(图二十一)登录进入aWork安全工作区,点击应用商店,下载安装工作平台等APP
(图二十二)在应用商店下载移动APP
(图二十三)打开设置
(图二十四)选择安全
(图二十五)打开权限管理

(图二十六)找到工作平台APP

(图二十七)允许工作平台所有权限,即可正常使用移动办公APP
(注意:此操作手册可能根据不同的手机型号操作步骤不同,寻找自身手机类似功能项设置即可)

图片8.png (89.57 KB, 下载次数: 222)

图片8.png

图片9.png (90.61 KB, 下载次数: 207)

图片9.png

图片10.png (56.04 KB, 下载次数: 189)

图片10.png

图片11.png (56.82 KB, 下载次数: 189)

图片11.png

图片12.png (95.02 KB, 下载次数: 216)

图片12.png

图片13.png (40.12 KB, 下载次数: 199)

图片13.png

图片23.png (112.28 KB, 下载次数: 220)

图片23.png

打赏鼓励作者,期待更多好文!

打赏
13人已打赏

飞翔的苹果 发表于 2022-1-17 08:43
  
感谢分享,有助于工作,学习学习
新手589624 发表于 2022-1-17 08:46
  
登陆论坛学习网络安全
呆呆蛙 发表于 2022-1-17 10:59
  
回帖是美德,点赞技术人!
航嘉电脑门诊 发表于 2022-1-18 20:30
  
为啥是在3600*24秒后恢复正常状态?
航嘉电脑门诊 发表于 2022-1-18 20:31
  
看样子, 直接把这个贴子粘贴到word中,就可以给用户交付了,哈哈
水之蓝色 发表于 2022-1-18 20:52
  
感谢分享,有助于工作,学习学习
新手741261 发表于 2022-3-6 14:51
  
感谢楼主的精彩分享,有助工作!!!
dhf 发表于 2022-3-8 22:12
  
感谢楼主的精彩分享,有助工作!!!
开心就浪 发表于 2022-3-9 08:57
  
感谢分享,有助于工作,
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人