华为技术有限公司

华为BYOD安全解决方案

1

华为BYOD安全解决方案 www.huawei.com

华为BYOD安全解决方案

1

2

概述2012年，约有20％的企业员工将自己的iPhone、iPad或Android设备带入工作场所，处理工作相关活动。IT消

费化带来了BYOD新风尚，实现了Anydevice的真正自由。现在，BYOD已经不是一个趋势的概念，她正以不可阻挡

之势改变人们的工作方式，成为办公手段的一个必要补充。我们可以利用更多的时间碎片收发电邮、跟踪销售机

会点，将企业的信息化管理推向前端，使客户的界面变得更扁平化，提升决策效率和响应速度。然而，BYOD的开

放性容易引入各种安全和管理风险，您的企业做好了应对BYOD挑战的准备吗？

趋势和挑战BYOD使得企业办公环境边界进一步延伸，我们可以在同一台移动设备上处理工作，或在App Store上下载喜欢

的游戏，企业办公和个人业务瞬息切换，个人和企业应用的界限越来越模糊。对于大多数企业来说，简单的阻止

BYOD访问企业应用是不可行的，我们年轻的员工们出生在一个科技迅速普及的年代，他们对各种移动信息技术并

不陌生，迫切希望自己供职的企业能够为他们提供BYOD支持，员工的需求驱使企业必须变更和适应BYOD新技术

的变化。同时，BYOD带来的问题就像“冰山一角”海面下隐藏的风险，开放、智能的移动平台使移动终端成为了

新的安全缺口，易引入恶意代码植入、个人应用和企业应用混合、数据泄密风险、多平台的异构管理等问题，这

些问题给企业IT管理带来极大挑战。

首先，IT部门会发现公司的IT策略和配置规则与消费级的应用和设置产生冲突，基于传统PC的安全策略和管

理技术很难移植到移动设备，特别是非公司所拥有和管理的员工个人设备。企业必须建立针对BYOD的战略，包括

策略的定义和新的管理方法。第一步需要决定的是，你将允许什么样的移动设备接入，以及可以访问什么样的资

源，这是在入口处设置好安全管控的第一道门。

其次，这些BYOD设备通过网页浏览、下载应用、收发邮件等方式访问公司信息时，完全处于无保护状态。移

动设备智能化，集成PC的特性和功能，可使同样的应用程序，更容易遭受恶意攻击。 今天，移动恶意软件的数量

已超过两万，其中近三成的恶意软件为远程控制木马，以窃取个人隐私和敏感数据为重要目的。由于Root权限滥

用和黑客技术的应用，移动设备成为新的孕育安全风险的温床，71％的企业都认为移动设备是引起安全事件的重

要因素，尤其是Android设备。

同时，将企业的应用移植到千差万别的移动设备上，是IT部门的另一个恶梦。如何简单、快捷的实现企业业

务往移动环境的迁移和部署，避免复杂的自开发带来的高成本，快速实现价值，以及帮助企业IT 部门应对复杂的

移动环境已成为一大挑战。

3

华为BYOD安全解决方案 www.huawei.com

另外，现在的移动应用开发和使用正处于繁盛时期，企业缺少针对应用的管理手段，员工在设备上任意下载

和安装消费类应用，会降低系统的可靠性，引入安全风险，造成企业数据丢失或设备功能失效。

最后，由于移动设备体积小，极易丢失或被盗窃。据统计，47％的受访企业表明有大量客户数据存储在移动

设备上，包括敏感的客户信息或企业邮件中的敏感数据。设备丢失不但意味着敏感商业信息的泄漏和丢失，而且

可能给企业带来法规遵从的风险。

华为BYOD安全解决方案概述针对企业员工个人需求和企业策略遵从之间的矛盾，华为提供有效的平衡方案，使得员工在设备选择上拥有

更大的个性化自由，在任何时候、任何场所，使用任何设备便捷的访问公司内网，运行内部应用，并确保安全策

略不妥协。我们致力于为客户提供端到端的移动安全管理和灵活的应用发布的能力。从移动终端安全、网络传输

安全、应用安全、敏感数据安全，以及安全管理五个维度对移动办公进行全方位防护，帮助企业在BYOD的高效率

与信息安全之间找到最佳平衡点。同时，为应对日益复杂的移动化环境，通过一个简单的平台，支持各种应用的

移动化迁移，给开发工作带来良好的扩展性，更好的控制成本，使企业在全球化业务中获得竞争力。

架构和关键组件移动安全和管理本质上要解决的问题可以概括为三个：身份和设备可识别（ I den t i t y）、数据不泄密

（Privacy）、和设备可管理（Compliance）。华为BYOD安全解决方案围绕这三个关键点，为企业用户提供业界最

广泛的安全性，和最简单易用的管理方案。

2G/GPRS/3G

Pubilic WiFi

SV N

• 安全管理

• 资产管理

统一策略管理平台（含MDM）

USG MEAP server

终端侧 接入侧 DMZ Intranet

Email

LDAP

OA等

• U I设计

• 应用集成

设备接口

应用接口

开发平台

Workflow

Business对象

支撑平台

身份Identity 隐私Privacy 遵从Compliance

AnyOffice 安全平台

U SG

SACG

• 应用编译

• 应用发布

• 应用管理

• IT服务WiFi

Access switch

Office-based

NonOffice-based

•

移动强认证 • 移动NAC • SSL/UDP隧道加密• Web VPN• L3 VPN

• DDoS • 网络AV • 网络IDS/IPS

• 移动沙箱 • Web/Email DLP • 反盗窃

• 应用监控 • 安全管理 • 应用管理

• 资产管理 • IT服务

SSL

接入控制认证授权 数据保护 应用安全链路安全 威胁防护 管理安全

安全BYOD方案

4

华为BYOD安全解决方案 www.huawei.com

AnyOffice智能移动接入客户端

方案提供一个统一的移动安全客户端AnyOffice。AnyOffice作为单一的移动客户端，是用户和网络、应用的唯

一交互界面，简洁的客户端可降低管理和维护复杂度。同时，AnyOffice客户端是一个安全的移动办公工作台，以

One-agent的模式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理（MDM）软件、L3VPN客户端、

虚拟桌面等一系列应用，可满足移动办公的通用需求，保障企业员工安全、便捷、高效地接入和访问企业内网。

另外， AnyOff ice具备环境感知特性，可通过与网络侧的接入控制网关SACG（Security Access Control

Gateway）和SVN SSL VPN网关联动，实现用户在公司内、外网的智能感知，无缝切换应用安全策略，带给用户一

致性体验。

一致的网络接入控制*

方案中的SACG设备是在电信级防火墙硬件平台上开发的专用的接入控制网关，可与AnyOffice客户端，以及准

入控制服务器联动，实现在不同环境下（公司LAN，WLAN或远程接入），提供统一的网络接入控制手段，确保一

致的策略强制。SACG通过实施安全策略遵从，基于身份认证和设备安全状态，控制设备的访问范围，确保安全、

且被授权的合规用户使用合适的终端访问企业网络。

除了SACG网络接入控制，方案同时提供可选的802.1X交换机和软件防火墙两种网络准入控制手段，灵活适应

各种接入场景。

安全的远程VPN访问

SVN2000/5000系列设备是基于华为高可靠硬件平台和专用的实时操作系统的SSL VPN网关。具备业界领先的

系统性能、安全性和可靠性，为用户提供灵活便捷、安全可控的端到端链路加密，确保远程VPN访问安全。

电信级移动威胁防护

在企业网络边界，华为电信级高可靠USG系列防火墙可提供网络侧的威胁防护能力。USG系列防火墙通过融合

Symantec先进的入侵防御和反病毒技术，以及业界领先的DPI（深度包检测）识别技术，呈现专业的内容安全防御

能力，包括网络AV，IPS，DDoS和内容过滤等。

统一的安全策略管理*

华为BYOD统一策略管理能够在整个组织内实施统一的安全策略，基于不同的用户角色、设备类型、不同的场

所、不同的时段、不同的区域采用不同的策略，确保对企业不同敏感级别应用作细粒度的安全访问控制。统一、

直观的安全策略管理平台，可有效降低管理复杂度，节约宝贵的IT人力投入。

简单的企业移动应用发布平台

针对企业移动应用移植和发布的困难，我们提供领先的企业移动应用平台MEAP（Mobile Enterprise Application

Platform），实现企业应用的平滑迁移，提供一个简单的集成开发环境，支持HTML5/Native/Hybrid各种类型应用，

一次开发，跨平台多次发布，可显著降低开发复杂度，为企业节约成本。

5

华为BYOD安全解决方案 www.huawei.com

5

华为BYOD安全解决方案 www.huawei.com

6

华为BYOD安全解决方案 www.huawei.com

方案亮点

Identity：统一的网络接入控制

基于环境感知的网络接入控制 •

基于设备（What device）、角色（Who）、场所（Where）、时间（When）和接入方式（How）的环境感

知，实现细粒度访问控制策略。IT部门可通过统一策略管理平台，基于一个用户角色，一次性配置多套策略模

版，统一分发到移动客户端AnyOffice，AnyOffice基于环境感知，智能启动与设备环境适应的安全模块，与SVN

VPN网关、SACG安全接入控制网关或802.1X交换机联动，实现精确的网络访问控制。当用户自由的从咖啡厅、

机场远程接入，到出差至办事处，用户的远程会话可从SVN设备透明的切换到SACG设备，这个过程对用户完全

透明，AnyOffice可屏蔽一切复杂的网络连接，带给用户最简单、无缝的接入体验。

统一安全策略管理* •

统一策略管理平台可保证单一策略来源，安全策略在全网范围保持一致性，轻松确保企业安全策略遵从。

真正实现任何人、在任何地方、以任意授权设备（便携、智能手机或平板等物理设备，或虚拟设备）、通过任

何网络（有线网络、无线网络、远程网络）自由、无边界的访问公司内部资源。直观的管理界面简单、易用，

提升IT部门工作效率的同时，实现对移动设备的全面可见性和控制力。

Privacy：全面的数据安全和威胁防护

E2E（End to End，端到端）的数据防泄密 •

数据在设备侧: AnyOffice客户端开创性的通过沙箱技术，在同一台移动设备上创建了一个个人与企业分离

的安全地带，轻松解决了个人和企业应用、数据混合带来的数据泄密和病毒感染等风险，在个人需求和企业策

略强制的冲突中实现平衡。当用户登录AnyOffice工作台，所有的企业业务处理将在一个封闭的安全环境中，与

个人应用隔离，在数据创建之初就确保存储在一个安全的隔离地带，并且加密保护；AnyOffice进程扮演着操作

系统内核的角色，可监控企业应用的行为，个人应用不能访问企业应用，且阻断个人和企业应用之间的数据拷

贝、剪切、粘贴等行为，并可根据策略阻止或使能应用的上传、下载等操作；在应用注销时，AnyOffice还能实

现临时文件和数据的无痕化擦除，进一步减少数据泄密的风险。

I

P

C

Identity统一的网络接入控制

Privacy全面的数据安全和威胁防护

compliance全生命周期设备管理

7

华为BYOD安全解决方案 www.huawei.com

数据在传输中: 在数据传输层面，SVN SSL VPN网关可提供L3/L4 VPN高强度加密传输，保证数据隐密性安

全，防止数据的恶意嗅探和篡改。

数据在服务器侧: 移动设备由于体积小,容易丢失或者被盗，每年因设备丢失和盗窃造成的数据泄密事件不

胜枚举. 通过和管理后台联动, 方案提供远程锁定、远程数据擦除、数据备份和恢复等反盗窃功能，以及GPS定

位、自动报警等特性，确保在设备遗失情况下数据安全的万无一失。

移动应用级安全 •

安全浏览器

随着企业各类应用的Web化（如会议系统、考勤系统、文档查询系统、CRM等），通过一个统一的浏览器

访问企业内的各项应用的需求日益增加。安全浏览器可根据终端屏幕分辨率自动调整Web页面的排版格式，确

保带给用户一个流畅、一致性的访问体验。

同时，安全浏览器提供了关键的安全防护能力。首先，安全浏览器是基于AnyOffice的沙箱安全模块，可隔

离个人应用，并限制通过浏览器访问的企业B/S应用的行为。其次，安全浏览器具备L4VPN功能，不必在终端上

安装和启用其它VPN拨号软件即可顺畅地接入并访问企业网站。再次，安全浏览器支持无痕浏览功能，用户退

出浏览器时可对临时文件、Cookie、浏览历史记录做无痕化清除访问痕迹；对于保存在本地的文件和数据也可

提供高强度加密保护。最后，安全浏览器还支持黑名单，可有效防止防止网络钓鱼和恶意软件风险。

安全Pushmail

邮件是最早的移动办公应用。安全邮件客户端支持SMTP、POP3、IMAP4等标准协议收发邮件，并支持邮件

实时推送，实现“及时经济”下的实时邮件处理。

同时，安全Pushmail提供强大的安全特性，降低移动邮件引入的数据泄密和病毒风险。支持L4 VPN实现传

输自动加密，防恶意窃取和篡改。邮件在终端采用高强度加密算法加密存储，密钥动态获取，本地不保存。另

个人应用

个人数据 企业数据

注销运行创建

企业应用

邮件 OA CRM

强制隔离• 加密存储 •

行为监控 • 退出清除 •

8

华为BYOD安全解决方案 www.huawei.com

外，支持丰富的邮件安全控制策略，包括是否允许邮件转发、附件下载、附件上传、附件在线浏览等，IT部门

可根据员工的不同角色下发不同的控制策略。

电信级的网络侧移动威胁防护 •

在企业网络边界，针对以下三个场景，华为电信级高可靠USG系列防火墙可提供网络侧的深度威胁防御能力。

来自Internet的移动平台威胁防护：DDoS防攻击，非法访问控制，防黑客跳板入侵，防病毒、木马传播，

恶意邮件过滤等。

LAN中的移动设备到服务器侧的威胁防护：非授权访问内网服务器控制、防内部员工恶意入侵、防病毒和

木马传播等。

移动办公终端到Intertnet的信息泄密防护：非法URL访问过滤、恶意Web页面访问控制、Web页面和邮件

正文/附件内容过滤等。

Compliance：基于生命周期的移动设备管理

获取 •

华为BYOD安全解决方案遵循ITIL资产管理标准，支持标配机和BYOD的资产发现和注册，密码的初始化，并

提供移动设备使用承诺协议的自定义模板。

部署 •

部署移动办公方案，企业必须保证移动设备的安全合规性。华为BYOD安全解决方案支持对移动设备的主机

防火墙、VPN和WiFi进行安全配置和策略下发，支持企业安全策略的强制实施。

移动办公的核心是移动App的安全分发，华为BYOD安全方案集成企业App Store，对企业移动App进行安全

的远程分发、安装、配置；除此之外，企业可以根据用户角色定义App黑白名单策略，保证正确的人访问正确

的应用和数据。最后，应用签名验证特性，服务常驻防卸载功能保证授权的应用不被恶意的篡改和卸载，在移

动终端上维持应用环境的完整性。

Dep

loy

Retir

e

RetireR

un

设备生命周期

9

华为BYOD安全解决方案 www.huawei.com

运行 •

运行阶段重点关注数据和应用的安全性。华为BYOD安全方案支持密码策略、越狱检测与隔离、外设泄密通

道(SIM卡/SD存储卡/摄像头/蓝牙/WIFI/USB/GPS/录音)的控制，保护在移动终端上使用的数据安全。移动设备容

易丢失，华为方案能够实现对企业关键数据加密，远程备份/恢复/同步，远程锁定/数据擦除。此外，IT部门可

以通过远程升级、打补丁的方式来增强应用的安全性。在管理后台，IT部门可以审计查询所有移动设备列表，

以及相应的状态，例如设备型号，操作系统类型与版本等，并可以输出资产审计报表。

降低 IT支撑压力是移动办公方案的运作成功的一个重要因素，华为BYOD安全方案支持友好易用的自助

Portal，员工可以完成注册、重置密码、挂失、锁定、数据备份与恢复、数据远程擦除等频繁使用的操作，有效

的降低IT支撑人员压力。集中管理控制台除了支持上述功能之外，支持更加复杂的管理功能，例如消息推送，

故障定位等；另外，管理API接口支持与企业现有Helpdesk集成，提升支撑服务效率。

回收 •

员工离职或者设备丢失，为了防止数据泄密，IT部门可以对遗留在设备上的应用进行卸载，对数据进行擦

除，最后注销此设备。对于企业标配设备，回收的设备可以重新注册绑定，并部署安全策略和应用。

灵活的应用发布 •

移动设备的多样性和企业应用的复杂性，使得移动应用开发困难重重，华为提供集中的MEAP平台，将移

动终端和企业应用集中适配对接，提高扩展性。华为MEAP平台，不仅支持HTML5和原生Native应用，而且支持

以Native为容器、HTML5为界面的混合Hybrid应用的开发部署。MEAP集成开发环境，内置业务逻辑辅助设计模

块，减少代码量，并且支持一次开发，跨多平台发布，降低开发难度，缩短应用上线时间。在设计开发阶段，

企业可以在移动应用中内置丰富的安全特性，例如SSL，SSO，MDM安全特性联动。华为MEAP支持全生命周期

的开发流程：设计、开发、测试、部署、维护，保证应用开发活动的连续高效。

10

选择华为华为为企业和各行业客户提供市场领先的BYOD安全方案。由于BYOD移动业务涉及终端设备、底层固件、

系统软件和应用中间件等，是一个集成的生态链，强调上下游的整合。华为以良好的开放性，与移动设备OEM

厂商、集成商、移动/无线运营商和生态系统其他成员紧密配合，加速实现华为BYOD安全方案的独特价值和功

能，提供基于设备固化的、和应用级别的深度安全控制，使企业的安全管理变得简单、高效，为企业移动业务

的覆盖打消顾虑，提高投资回报(ROI)。实施华为BYOD安全方案您可以做到：

创建企业和个人环境隔离的安全地带，为BYOD找到最佳的安全与效率的平衡点 •

提供数据在静止、移动，使用和存储时的端到端敏感数据防泄漏 •

提供业界领先的泛在端点一致性安全接入，和统一安全策略管理平台* •

基于设备固化的、和应用级别的深度安全管控 •

基于全生命周期的移动设备管理，从获取、部署、运行到回收的全流程安全管理 •

支持设备及平台

设备 平台版本

iPhone 3G/3Gs iOS 3.1.3以上

iPhone 4/4s iOS 4.0以上

iPad iOS 3.2.2以上

Android（华为、Samsung等） Android 2.2以上

Windows XP, Vista,Windows 7

WindowsPhone Windows Phone 8*

* 华为BYOD安全解决方案后续版本支持

免责声明

本文档可能含有预测信息，包括但不限于有关未来的财务、运营、

产品系列、新技术等信息。由于实践中存在很多不确定因素，

可能导致实际结果与预测信息有很大的差别。因此，本文档信息

仅供参考，不构成任何要约或承诺。华为可能不经通知修改上述

信息，恕不另行通知。

版权所有 © 华为技术有限公司 2012。 保留一切权利。

非经华为技术有限公司书面同意，任何单位和个人不得擅自摘抄、复制本手册内容的部分或全部，并不得以任何形式传播。

商标声明

、HUAWEI、华为、 是华为技术有限公司的商标或者注册商标。

在本手册中以及本手册描述的产品中，出现的其他商标、产品名称、服务名称以及公司名称，由其各自的所有人拥有。

华为技术有限公司

深圳市龙岗区坂田华为基地

电话: (0755) 28780808

邮编: 518129

版本号: M3-035027-20120828-C-1.0

www.huawei.com