某法院EMM应用封装价值交付案例（详）

   因案例涉及内容较多此处给出目录项，可自行查找重点关注内容进行研讨

目录

1.项目概述

2.实施方案规划

3.需求策略确认

4.应标参数设备相关资料：

5.aWork移动工作平台操作手册

一   项目概述：

根据最高院《人民法院信息化建设五年发展规划（2017- 2021）》要求“充分运用移动互联技术，按照信息安全要求稳步 推进办公办案等移动终端应用，最大限度为法官办公办案提供便 利。2017年底，高级以上法院全部实现移动办公办案，部分法院 以省为单位实现移动办公办案， 覆盖办公和办案主要业务关 节”。省高院建设全省法院移动工作平台，对移送终端和手机 APP应用进行统一管理，实现全省审判、执行、政务工作的移动 互联网延伸，提升工作质效。

网络拓扑，在基于运营商APN专用SIM卡，通过无线接入运营商APN中，再通过各运营商专线互联，有L2TP，GRE隧道，静态路由等方式，相关网络配置不在此案例中详细介绍，有相关疑问可以留言。

二  实施方案规划：

四台EMM设备集群部署，因APN网络为非互联网网络，因此需在内网搭建应用封装服务器，并后台修改移动应用封装地址，EMM设备后台修改代码此处不做详细介绍，具体操作文档可咨询智能客服获取。

三  需求策略确认：

（此处详细列举了EMM设备所有策略相关，有类似项目可直接参考向客户确认需要配置哪些策略功能）

1 Awrok登录密码策略

[size=12.0000pt]1.口密码不能包含用户名
2.口新密码不能与旧密码相同
3.口限定密码最小长度为X位
4.口每隔X天用户必须修改密码，密码过期X天前开始提醒用户修改密码
5.口用户必须修改初始密码(新建用户第一次登录必须修改密码)
6.口密码必须包括 口数字 口字母 口特殊字符(shift+数字)

[size=12.0000pt]7.口用户名区分大小写

2 Awrok登录密码防止暴力破解策略
1.口连续登录错误1次，启用图形验证码

2.口同名用户登录连续出错5(1-32)次后锁定用户300秒后恢复正常状态

[size=12.0000pt]3.口同IP用户登录连续出错10次后拒绝同IP登录，并在3600*24秒后恢复正常状态

4.启用水印功能

3 策略组策略

1.口使用本地认证登录aWork时
a.强制 使用指纹认证(不支持指纹则使用手势密码)

b.强制使用手势密码
c.强制使用指纹或手势密码
d.不强制

2.口应用进入后台60(0-1440)秒后，自动唤醒指纹锁或手势锁

3.口移动端接入，用户如果在60分钟内未进行任何操作则断开连接

4 移动设备策略基本策略

[size=12.0000pt]1.口与服务器失联X天后，通知管理员
2.口与服务器失联180天后，

[size=12.0000pt]a.锁定设备

—重新连接服务器后自动解锁

[size=12.0000pt]b.恢复出厂

设备管控

[size=12.0000pt]1.桌面模式

a口单桌面模式:仅允许终端用户进入aWork安全工作区，默认仅可使用aHork内部的安全应用及系统设置应用。
b.口双桌面模式:终端用户可以在个人桌面和aWork安全工作区自由切换，默认所有的应用均可以使用。
c.口单桌面模式高级选项。双桌面模式高级选项—自定义配置可使用的应用

3.
口禁止截屏
口禁止拍照
口禁止通过USB传输文件(包括禁止开启调试模式)
口禁止外置存储(如TP卡)
口禁止恢复出厂设置
口禁止配置 证书
口禁止录音
口禁止蓝牙
口禁止WiFi
口禁止配置移动网络(如:选择移动网络接入点、运营商、网络模式)C3禁止配置移动热点

4.安全监测（禁止登录或告警）

口设备root

口设备更换SIM卡

口设备更换SD卡

口设备系统版本过低

口设备型号不合规

口连接到非法WiFi

口安装非法应用

口安装危险应用

[size=12.0000pt]5.手机密码规则

口启用密码规则(不支持图案锁)

5 应用封装策略

口启用文件加密（配置白名单）

*该APP下载到手机的文件是加密的，只能由封装后的APP打开，普通应用程序软件是无法打开的
口启用文件系统隔离
*安全应用与个人应用存储目录完全隔离，相互之间无法相互访问各自的文件
口启用分享和打开隔离（配置白名单）
口允许个人域分享到安全域启用剪切板隔离
*禁止封装的应用与个人应用之间相互分享数据

口启用剪切板隔离

口允许个人域复制粘贴到安全域

*禁止封装的应用与个人应用之间分享剪贴板内容

口禁止截屏

*禁止在封装应用界面截取屏幕

   四   应标参数设备相关资料：

(此部分如有侵权请及时联系我修改，谢谢)

移动设备管理要求：

1.要求具备国家密码管理局商用密码产品型号证书。通过下载和安装Agent客户端，进行用户身份认证，完成设备注册流程，设备将处于纳管状态

2.移动设备版本支持主流的移动手机；

3.支持国际标准加密算法，国家商密SM2/SM3/SM4算法，以及商密硬件对称加密算法(SM1)定制化支持；

4.支持多种企业级的身份认证方案，如AD/LDAP认证、Radius认证、CA证书认证;多种身份认证方式时，支持可选同时使用或者使用任意一种认证，提供配置实例；

5.支持本地认证，本地认证支持多种密码安全策略：密码不包含用户名、新旧密码重复控制、密码最小长度、定期修改密码、初次登录修改密码、密码必须包含数字/字母/特殊字符等，提供配置实例；

6.支持多维度的账号权限控制，支持不同用户访问App应用服务器的地址权限控制，支持不同用户访问App应用服务器的时间段控制；支持账号有效期控制，支持用户长时间不登录失效控制；

7.支持本地CA中心，支持RSA和商密SM2算法，并可以与第三方CA中心对接，支持OCSP在线证书查询；

8.支持对手机号码的管控，要求能够设置设备密码尝试限制次数 、自动锁屏超时时间 、新旧密码雷同控制 、设备密码有效期控制 、设备密码尝试限制次数 、密码错误超过限制后恢复出厂设置等；

9.支持手机设备的越狱检测，以及相应的工作App准入访问控制；支持手机设备的root检测，以及相应的告警、准入、锁定设备、恢复出厂等控制；

10.支持手机设备的专机专用，开机只允许进入工作域；并支持专机专用模式与一机两用模式的在线切换；

11.支持手机设备系统功能的管控，包括禁止拨打电话 、收发短信 、获取位置信息 、设备截屏 、拍照 、USB传输文件 、外置存储 、恢复出厂设置 、配置证书 、蓝牙 、Wifi 、配置移动热点 、配置移动网络 、录音等；

12.支持地理围栏功能，在围栏内支持禁止拍照、录音、拨打电话、发送短信、使用WiFi等；支持时间围栏功能，在围栏内支持禁止拨打电话、发送短信、使用GPS等；

13.支持在手机终端上基于沙盒技术生成隔离的安全工作区域，为用户提供安全的办公环境；安全工作域支持离线登陆，仅验证手势密码即可，保证离线状态下工作人员以访问本地应用和数据；支持水印保护，支持对维度的水印自定义能力，对截屏和拍照泄密行为进行追溯，提供相关的操作实例并保留测试权利；

14.要求能查看到设备注册时间、用户、设备名称、设备型号、手机号码、系统存储空间、是否越狱/ROOT、IMEI/UDID、WiFi MAC地址、OS版本、设备应用状态(应用名称、版本号、大小、类型、是否违规)、设备目前状态(失联、违规、擦除等)；

15.支持消息推送功能，管理员可将通知消息推送至终端，保证单位的通知信息直接推送到最终用户；

16.支持基于SDK方式的App封装，提供代码Demo和企业证明，支持针对移动应用App的移动安全接入代码的应用自动封装，并支持将应用发布至应用商店，避免二次开发拖延项目交付周期，提供相关的操作实例并保留测试权利；

17.软硬一体化设备，本次配置4台一体化设备做集群部署，SSL最大加密流量:500Mbps;SSL理论并发用户数:5000个;SSL理论新建用户数:450个/秒，尺寸:2U，接口:6电2光；

应用程序管理方面：

1.提供在移动设备上的企业自建应用商店；

2.支持在手机终端上基于沙盒技术生成隔离的安全工作区域，为用户提供安全的办公环境，提供配置实例；

3.支持安全App在工作域文件的加密，与个人App隔离，支持专属VPN网络隔离，工作App通过VPN传输，个人App通过互联网访问，严禁工作App访问互联网造成泄密，严禁向个人App开放内网访问造成的窃密；

4.支持个人App和工作App之间的文件分享、剪切板隔离，防止工作App中的数据泄露到互联网，同时支持放开个人个人App到工作App的文件、剪切板限制，方便工作中的数据共享，提供配置实例；

5.支持对安全域工作App数据进行远程擦除，降低丢失设备上的数据泄密风险；支持手机办公App防截屏，同时不影响个人App的截屏；

6.支持工作App的水印保护，水印支持用户名和时间的显示，便于时候追踪，有效控制截屏和拍照违规事件，支持水印的自定义，支持明暗和颜色、边框、字体大小、透明度、倾斜度的自定义；

7.支持手机上的安全相机和相册服务，保障工作域中的办公App多媒体功能调用；提供标准的邮件客户端，需支持Exchange协议；提供内置的安全浏览器，保障所有在沙箱中浏览的H5轻应用的安全调用；

8.集成企业应用商店，对工作域App进行通过管理，支持App的发布、下线等功能；支持对未安装企业APP的设备进行统计、输出报表，为管理者的决策提供数据依据；

9.支持非对称式部署的传输协议优化技术（单边加速），不用在用户终端上安装任何插件和软件，即可提升用户访问应用服务的速度，提供上述功能的配置实例并保留测试权利；

10.工作域中的App支持单点登录，保证工作人员使用工作App的效率和体验；支持工作域内的安全App的联网状态可视化、网络流速可视化，在网络超时断线后支持手工重连；

移动应用管理适配要求：

1.要求提供与移动设备及应用程序管理系统系统集成，集成工作包括但不限于：通过移动管理系统SDK或打包技术，使应用客户端软件具备一定的安全加固能力，如ROOT检测，离线（断网）后禁止使用软件，设备脱管后禁止使用软件，使用软件时禁止截屏，复制粘贴，内置应用程序VPN等功能的开发。

五  aWork移动工作平台操作手册

1.用户注册

   网络注册：

（图一）注册全程请确保“移动数据”打开，“WLAN”关闭

（ 图二） 打开 ”设置’

（图三）选择“无线和网络”

（图四）选择“移动网络”

（图五）选择“接入点名称APN”

（图六）点击右上角

（图七）选择“新建APN”

图八到图十涉及具体APN域名及接入账号配置，此处不贴，这个专用的SIM卡类似于物联网卡，和运营商建立APN属于专线通道

（图十一）打开浏览器

（图十二）地址栏输入http://192.168.254.121/com/aWork.apk或点击扫描项扫描

此处二维码可使用在线二维码生成工具，将URL转为二维码，之前分享过一次SASE-AC的接入二维码也是同理。

打开aWork应用权限：

（图十三）打开设置

（图十四）选择安全

（图十五）打开权限管理

（图十六）找到aWork

（图十七）允许aWork所有权限

（图十八）打开“aWork”

（图十八）连接管理中心，输入地址，点击连接

（图十九）登录aWork,输入用户名密码

（图二十）设置指纹锁，首次登录后需要设置手势或指纹密码，便于后续个人域与安全工作区切换时快捷登录

（图二十一）登录进入aWork安全工作区,点击应用商店，下载安装工作平台等APP

（图二十二）在应用商店下载移动APP

（图二十三）打开设置

（图二十四）选择安全

（图二十五）打开权限管理

（图二十六）找到工作平台APP

（图二十七）允许工作平台所有权限，即可正常使用移动办公APP

（注意：此操作手册可能根据不同的手机型号操作步骤不同，寻找自身手机类似功能项设置即可）

感谢分享，有助于工作，学习学习

登陆论坛学习网络安全

回帖是美德，点赞技术人！

为啥是在3600*24秒后恢复正常状态？

看样子， 直接把这个贴子粘贴到word中，就可以给用户交付了，哈哈

感谢分享，有助于工作，学习学习

感谢楼主的精彩分享，有助工作!!!

感谢楼主的精彩分享，有助工作!!!

感谢分享，有助于工作，