1.1 方案架构设计

　　移动管理平台提供移动终端安全管理服务。涵盖设备管理、应用管理、内容管理、安全应用等。

　　本方案架构设计包括如下3部分：

　　Ø 安全客户端

　　安全客户端需要安装在移动设备上(如手机或平板)，用于接收来自移动安全管理平台下发的指令信息。

　　Ø 移动安全管理平台

　　移动安全管理平台由军队的IT管理员(如系统管理员)在PC端进行操作，可查看移动设备状态、下发的设备策略/应用APP/文档等，并可由平台直接推送部署移动设备进行远程控制(如远程锁定移动设备、远程锁屏、远程擦除数据等)等，实现对移动设备的全生命周期的管理，设备功能权限管理，用户上网限制管理等

　　Ø 自服务平台

　　自服务平台向军队用户提供了自助的管理方式，用户可以通过自己的帐号、密码登录自助服务平台，对自己名下的移动设备进行实时查看和管理，可极大的减少军队IT管理员的工作量，提高管理效率。

　　1.2 平台功能设计

　　1.2.1 MDM移动设备管理

　　MDM是产品的基础组件，MDM即移动设备管理，通过MDM军队可对平台下的移动设备进行管理，不仅提高了移动管理的可控性及安全性，也可避免他人在移动终端上操作军队相关数据，给军队造成安全隐患，更能防止移动终端不慎丢失后造成军队数据泄露等。

　　1.2.1.1 用户身份认证管控

　　移动终端用户需要加入军队移动安全管理平台时，需要军队管理员为每个用户提供独立的号及密码，且系统支持系统身份认证与军队认证(客户标识码)相结合。从登录完成开始实现人机绑定，该移动设备即开始接受本系统的全面管理，系统会对移动设备接入移动管理平台环境所有的操作行为及信息进行最合适的配置管理及严密的安全监控，并结合合规策略可以禁止用户更换SIM卡。

　　1.2.1.2 设备/用户分组管理

　　系统根据设备的不同属性对设备进行自动归类，不同平台不同状态设备及不同部门不同用户设备支持自由搭配过滤。面对当前移动设备多样性(如智能手机、平板)、移动操作平台多样性、操作平台版本多样性，单个用户可与多个不同平台/版本/操作系统的设备进行绑定，可统一在用户管理界面进行统一高效管理，实现了单用户多设备的集中管理，方便军队对移动设备进行集中统一管理。总之，多种灵活快速的管理方式，确保军队移动设备管理能够高效率高质量工作。

　　1.2.1.3 推送组的智能化管理

　　移动管理平台提供了智能化的推送组功能。支持按用户及设备来创建推送组，同时也支持按过滤条件创建推送组，如按部门、设备归属、设备平台/类型、设备状态等。推送组支持用户和设备混合存在，它的建立更好的让军队管理员可以更自由方便的对管控设备进行统一化及多元化管理。平台支持查看推送组下的设备、用户、应用、策略详情，为管理员提供了更方便更高效的集中管理操作。

　　1.2.1.4 设备权限信息管理

　　移动管理平台可对指定用户设备的密码、蓝牙、USB、WIFI等权限功能限制，另外可根据不同场景对设备的限制再进行时间/地理的控制，例如针对士兵休假状态、不同的时间段、地理范围使用不用的权限策略

　　主要通过设备策略对设备进行管控，策略内的主要功能包括：

　　Ø 权限限制

　　允许使用设备;允许摄像头;允许SD卡访问;允许 Wi-Fi;允许蓝牙;允许麦克风;允许使用系统原生浏览器;允许修改时间，GPS定位等等。

　　Ø 密码限制

　　密码长度下限;密码内容;失败尝试次数上限;最长密码期限(天);密码历史记录;设定锁定超时(分钟)。

　　Ø 设备行为轨迹

　　可以对设备自定义上传行为轨迹。

　　1.2.1.5 设备策略安全管理

　　为更方便军队管理移动设备，平台提供了设备策略管理。支持按不同平台添加策略进行推送，实时同步到移动设备上，无需用户手动确认。并提供设备策略的启用及禁用功能，为军队打造更智能化的管理操作平台。可查看策略已推送的推送组并管理，以及已应用/已推送的员工和设备，同时支持管理。

　　支持军队按需建立不同限制的设备配置策略，灵活应用。支持在特定的条件下执行对应的设备配置策略，从而实现不同环境下的不同管控。并且推送时，可智能化支持按不同过滤条件不同维度进行策略配置的下发。

　　设备策略推送时，可配置以下功能项：

　　u 时间围栏

　　u 地理围栏

　　u 设备策略有效期

　　1.2.1.6 移动设备操作管理

　　移动管理平台支持对指定移动设备进行设备定位，准确获取设备位置信息。可根据军队不同需要进指定设备进行锁定设备、设备擦除、删除设备、标记丢失等操作，防止设备丢失或淘汰对军队的数据产生安全隐患。另外，还可对指定设备进行设备更新、播放铃音、发送消息、清除密码等操作。发送消息即时送达到移动设备上，支持不同过滤条件的混合搭配，提高军队工作效率。

　　1.2.1.7 移动设备状态获取

　　移动管理平台可对移动设备的设备信息(如设备厂商、设备名称、设备型号、IMEI、电源状态、存储容量、物理内存、CPU、电话号码、UDID、设备序列号、资产编号、蓝牙MAC地址、WiFi Mac地址、摄像头、开机时长、IMSI)、安全信息(越狱/ROOT状态、密码合规性)、应用信息(已安装军队及非军队应用信息)、策略信息(已生效的策略列表信息)等进行详细的跟踪记录与预警，实现军队对移动设备信息的颗粒化全面管控。

　　1.2.2 移动应用管理

　　可对管控移动设备上的所有军队应用进行严密的安全管理。提供全球顶级的安全沙箱技术与应用安全保障和管理方案，遵循移动设备应用安全准则和数据防泄漏安全标准，提供独立隔离运行环境，拥有多项专利技术，对沙箱应用进行多级安全管控。支持Android4.0以上的所有安卓系统;经过上百万款App自动化测试，支持所有App应用在沙箱中正常运行，并且深度定制军队安全服务。

　　直接封装软件，保持原软件的完整性。封装后，软件无需做任何修改，军队应用在沙箱隔离环境运行。保持软件的原有体验，让软件运行更安全，并且增强自我防御的能力。

　　1.2.2.1 军队专属应用商店

　　支持应用程序的上传、编辑、更新、删除，以及分类管理，实现了军队应用的灵活管理。完全脱离第三方应用商店进行应用的推送与管理，建立军队自己的应用商店。上传军队应用后，APK即直接被封装，推送到用户移动设备上，直接按照管理员的权限配置运行在隔离沙箱中，实现军队应用全管控，防止其他应用程序恶意获取军队应用数据。

　　1.2.2.2 军队应用推送/删除

　　支持对军队应用程序的批量推送、远程删除、远程更新等操作，省去了繁杂的用户操作流程，大大地提升了批量部署过程中的工作效率。

　　应用推送可通过建立智能化的推送组进行推送，推送组支持按不同过滤条件不同维度进行多元化组合。

　　1.2.2.3 应用安全策略配置

　　推送到用户移动设备上的应用由军队管理员配置策略随应用下发。主要如下：

　　Ø 是否允许应用应用启动(使用)

　　Ø 是否允许应用后台运行：

　　Ø 可设置后台自动退出时间(秒)

　　Ø 可设置锁屏自动退出时间(秒)

　　Ø 是否允许应用自启动

　　Ø 应用退出时是否清除数据

　　Ø 是否允许应用显示通知栏消息

　　Ø 是否允许应用拨打电话

　　Ø 是否允许应用获取地理位置

　　Ø 是否允许应用使用录音

　　Ø 是否允许应用使用拍照、摄像

　　Ø 是否允许该应用的内容复制粘贴到沙箱外

　　Ø 是否允许应用发送电子邮件

　　Ø 是否允许应用使用打印功能

　　Ø 是否监控沙箱内应用的输入

　　Ø 是否允许应用使用手机摇一摇传感器

　　Ø 是否允许应用发送短信

　　Ø 是否允许应用读取短信

　　Ø 是否允许应用修改删除短信

　　Ø 是否允许应用读取通话记录

　　Ø 是否允许应用修改删除通话记录

　　Ø 是否允许应用读取联系人

　　Ø 是否允许应用修改删除联系人

　　Ø 是否允许应用截屏

　　Ø 是否允许应用沙箱应用访问媒体资源

　　Ø 是否启用SSL VPN配置

　　Ø 是否启动应用的文件加密

　　Ø 限制单个app通过指定APN访问数据网络

　　Ø ……

　　1.2.2.4 应用黑白名单控制

　　提供应用黑/白名单功能，可对设备上的应用安装进行限制。应用黑名单生效时，移动设备禁止安装黑名单应用，系统将通知管理员，或强制卸载，从而保证设备的规范使用。同样，应用白名单生效时，移动设备只允许安装白名单中的应用。白名单优先级高于黑名单。应用黑白名单，针对用户的移动设备操作，不限制管理员在平台的的应用推送。

　　1.2.2.5 军队应用安装统计

　　支持对军队推送应用进行统计，可查看每个应用程序的推送记录(包括已推送的推送组)、安装情况、推送情况等信息。对没有按军队规定安装必须应用程序的设备可进行警告，并进行二次推送，也可单独对推送的某个移动设备做删除应用操作。

　　1.2.3 MCM移动内容管理

　　MCM移动文档管理支持文件/文件夹的上传、删除、重命名、推送等操作，并且上传后自动加密。实现对移动设备内容全面安全管理，保证军队内部文档在移动设备上的安全浏览及文档的实时更新;实现军队文档的分发及权限设置及管理。

　　1.2.3.1 移动文档分发

　　系统可以将军队文档的分发到指定用户的移动终端上，实现军队文档统一下发和文件共享。文档推送可通过建立推送组进行推送，推送组支持按不同过滤条件不同维度进行多元化组合，更方便军队对移动文档进行集中规范安全管理。

　　1.2.3.2 移动文档管理

　　军队内部专属文档管理，支持文件/文件夹的上传、删除、重命名、推送等操作，并且上传后自动加密。支持查看文件/文件夹接收情况、安装情况，以及已推送的推送组。支持单个用户/设备进行再推送或删除操作。操作更快捷简单，提高军队的工作效率。

　　1.2.3.3 文档权限管理

　　军队文档推送下发时，可进行文档的策略权限配置，目前支持功能“指定受控应用打开”，即推送的文档到用户的移动终端，用户只可用系统管理员指定的应用打开该文档。更加保证了军队文档的数据安全性。

　　1.2.4 移动端上网行为管理

　　1.2.4.1 网站访问管理

　　军队管理人员可以设定允许士兵访问的互联网网站列表(即网站白名单)，让士兵既能了解当前的国内外时事，又避免士兵接触黄、赌、赌等不良信息以及抹黑党和社会的反动言论，保持革命队伍的纯洁性和忠诚度。

　　u 针对士兵上网行为进行管理，对非法网站进行限制;

　　u 控制士兵上网所访问网站的黑白名单;

　　u 针对上网行为的管控类型包括移动网络和WiFi无线网络;

　　1.2.4.2 上网时间管理

　　可根据军队的作息时间和训练执勤时间制定上网时间策略。使用手机上网具有隐蔽性，比如士兵在熄灯后躲在被窝中用手机上网，这加大了军队管理难度。通过上网时段限制，可保证士兵正常作息和部队正常执勤训练。

　　1.2.4.3 上网行为审计

　　士兵浏览网站、微信等聊天记录进行日志记录留存;军队管理人员可以从个体识别、行为感知、内容可视三个维度全面掌握士兵上网行为，对士兵的不良上网行为尽早发现，尽早批评教育，避免无可挽回的结果发生。

　　1.2.4.4 即时通讯审计

　　针对于部队特殊的管理需求及应用场景，需要对士兵的微信、QQ的聊天记录作以审计和管理，留存于数据库中，便于事后分析士兵心态动向或违规追溯等。支持即时通讯(微信/QQ)的聊天记录、图片、视频审计。

　　1.2.4.5 敏感词管理

　　军队管理人员可以定义一些敏感关键字，一方面阻止士兵通过手机上传涉密的帖子和评论，确保军事机密不会有意或无意间被泄漏出去;一方面阻塞标题和内容中包含关键字的网页，确保士兵可以健康地进行网上冲浪。

　　u 提供上网关键字过滤功能，避免士兵在上网过程中查询一些法律明令禁止的内容(例如：法轮功等);

　　u 关键字数据库可维护，包括增删改查;

　　1.2.5 移动设备安全管理

　　1.2.5.1 移动应用安全管理

　　移动设备接收军队管理员从军队商店推送的应用，而且军队管理员推送应用时会配置好应用的对应权限信息，从而控制应用的使用运行、地理位置，短信电话等隐私权限，录音、拍照摄像、防拷贝粘贴、邮件打印、网络权限、截屏、VPN，以及可控制在一定时间/地理围栏内使用应用，文件加密等功能。推送支持按不同过滤条件不同维度进行多元化组合，更加灵活准备。实施全面监控军队应用数据，保证军队工作的安全高效开展。

　　1.2.5.2 移动设备合规检测

　　支持对管控设备进行合规检测，可检测设备系统版本是否合规，检测设备是否处于越狱/Root状态，检测设备不在线天数是否超过管理员设定的范围，检测设备的策略配置未生效，检测设备是否安装了黑名单应用，检测设备是否安装了白名单以外的应用，检测设备是否有待安装的军队应用。检测管控的移动设备是否合规，并对违规的移动设备作相应处理，可锁定设备、擦除数据将，设备恢复出厂设置，禁用军队应用商店，禁用SD卡，禁止SIM卡变更，禁用摄像头等。全面监控管控设备，保证军队数据安全。

　　1.2.5.3 移动设备失控管理

　　在设备无法联网的状态下，可对设备进行擦除数据操作，清除设备军队数据，并进行锁定设备等操作，保证军队数据的安全性。

　　当设备丢失时，可对移动设备进行远程设备定位，与此同时可对设备进行锁定移动设备、擦除军队应用、擦除军队应用数据、恢复出厂设置等控制，全面保护军队数据安全，在设备丢失的第一时间标记丢失设备对移动设备所保存的数据进行安全管控，同时加锁，提供丢失后的最后一道防线，增加军队数据的安全防护性。

　　1.2.5.4 WIFI网络安全管理

　　支持对军队应用的网络访问进行控制，可对不同用户不同设备下的不同应用的WIFI无线网络、WIFI访问指定名单，移动数据网络进行控制限制。同时，支持对移动设备的网络访问进行控制，支持控制移动设备的WIFI无线网络访问、移动数据网络。双层保护动设备的上网安全。

　　1.2.5.5 文件安全管理

　　移动设备上军队应用产生的全部数据可设置加密，防止军队应用的数据存在安全隐患。且提供了防复制粘贴功能，军队应用内数据不允许粘贴到军队应用外。并提供应用的防截屏、防打印、邮件保护等功能。多层安全保护，提高了军队的数据保密性。而对于MCM文档，文档上传到文档中心后会自动加密，保证了管理员向移动设备推送时的传输安全。同时，移动设备接收到文档后会进行二次加密，保证文档在移动设备上的安全性，实现高级别的加密保护，有效防止数据分析与破解。

　　1.2.6 系统安全权限管理

　　1.2.6.1 功能菜单权限管理

　　移动管理平台支持三权分立原则，可由系统配置管理员根据军队内不同部队的管理权限对相应部门管理员进行分配，实现不同部门管理员管理相对应部门下的用户及设备。

　　对于系统相关操作员的操作日志可由系统审计员进行查看，并且可分配多级审计员。

　　1.2.6.2 平台登录安全管理

　　对于要求较高的用户来说，移动安全管理系统被管理人员登录时，可启用“管理员身份短信登录验证”以及允许登录系统的客户端IP地址“允许管理员从任意IP地址登录”或“仅允许管理员从以下IP地址登录”，通过手段来确保移动管理系统的安全使用。