中国银联

银联国际移动终端安全

项目背景

随着银联国际智能终端移动办公业务在带来生产效率提升的同时，亦扩张了企业原来搭建的网络边界。由于现在各种智能终端能够通过4G网络随意访问移动互联网，且速度不亚于传统局域网，这些智能终端容易成为黑客重点关注的目标。一旦智能终端移动办公业务大规模使用，则无疑为生产及办公环境打开了一个面向移动互联网的大门，各种黑客攻击、恶意代码会随之而来，对企业生产安全、企业敏感数据都带来致命的影响。因此，包括企业对移动安全风险有所担忧，安全问题影响了移动创新技术提升生产力的进度。

由此可以知道，解决智能设备移动应用带来的安全风险，是企业推广移动业务的关键。

项目目标

通过对银联员工移动终端设备的管理，通过统一的管理平台实现对移动终端策略和配置定义与下发，实现设备管理、策略管理、应用管理、实现APP级别VPN通道，确保APP数据传输经过加密保护；不符合要求的移动设备不允许接入访问企业应用和数据。

解决方案

    在本次项目中采用了MobileIron移动终端管理服务器Core2台、MobileIron应用安全网关2台，通过HA的方式实现负载均衡同时管理用户的移动终端设备。

    提供的核心服务器移动设备管理服务器CORE，采用虚拟机的方式部署，目前为虚拟机分配的硬件资源参数单台服务器能够同时管理200台终端设备；安全网关Sentry单台能够能够支持同时2000台移动终端设备对后端业务应用系统的访问。为方便用户的增长需求，当项目涉及终端数量大幅增加时，可以对现有虚拟机的硬件资源进行增加，支持更多移动终端的管理。Mobileiron移动终端管理平台单台服务器最大能够支持10万台设备的管理，支持最大2万台设备终端对后端业务应用系统的访问连接。 

方案拓扑图

价值体现

1、通过邮件安全网关对移动设备进行准入控制

结合有证书验证功能的前端代理服务器或负载均衡器，实现通过证书及用户名密码的双重验证；大规模、按权限分组下发电子邮件配置，减轻运维管理员工作量、降低由配置引发的故障问题、提高用户的便捷使用体验。

2、控制未授权移动设备使用企业邮箱

只允许移动设备通过MobileIron方案的Sentry访问Exchange Server（ActiceSync），禁止未受管理移动设备收发邮件。