1、2022 移动安全解决方案白皮书第 1 页联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 1 页目录一、移动信息化的现状及其安全风险. 21.1 移动信息化现状.21.2 移动信息化的安全风险.2二、 移动安全技术的发展历程.52.1 传统移动安全解决方案.52.2 新一代移动安全方案核心能力.6三、企业移动安全解决方案.63.1 企业移动安全能力平台.73.1.1 设备管理（MDM）.83.1.2 应用管理（MAM）.93.1.3 锁定安全桌面.93.1.4 单点登录.93.1.5 消息中心.93.1.6 应用安全检

2、测. 103.1.7 应用安全加固. 103.1.8 内网准入.123.2 数据安全.123.2.1 应用安全网关. 133.2.2 智能 API 网关.143.2.3 安全沙箱.143.2.4 安全工作空间. 153.3 云部署、云管控.163.4 用户与应用安全纽带.173.5“平台” + “应用”打造开放安全的生态系统.17四、典型应用场景.194.1 保障各行业移动自带设备+配发设备安全.194.2 企业自建移动门户安全解决方案.194.3 移动安全办公 SaaS.194.4 数据防泄密移动审批场景.20五、未来发展趋势.215.1 移动安全进入了快速发展阶段.215.2 独木难成林”

3、，国内生态合作成为大势所趋.225.3 业务与安全紧密融合.235.4 移动安全产品的未来趋势.23联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 2 页一、移动信息化的现状及其安全风险1.1 移动信息化现状据 2018 年度移动应用安全报告显示，据工信部数据显示，截止 2018 年 11 月底，我国移动互联网用户总数达 13.9 亿，我国手机上网用户达 12.6 亿，自 2018 下半年起维持稳定，市场用户增量基本饱和。2018 年底我国移动应用数量达 449 万，应用数量净增 42 万。2021 年，中国信通院发布

4、了移动互联网数据安全蓝皮报告（2021 年）显示随着移动通信技术的飞速发展， 移动应用成为了经济活动和民生需求必不可少的工具， 全面覆盖到金融、医疗、教育、办公、交通等各个领域，移动应用种类和数量呈爆发式增长，对社会经济发展的基础性服务作用日益突显。1.2 移动信息化的安全风险随着移动办公浪潮的到来，移动办公为企业带来了新的机遇的同时随着安全隐患的增多也为企业信息安全和管理带来了新的挑战：（1）如何把企业数据和企业应用安全快速的部署到移动设备联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 3 页既然使用移动办公大势所趋

5、，那么如何把企业数据和企业自研应用安全快速部署到移动智能设备上去是所有企业 IT 经理必须面对的一个难题，目前全球终端安全管理产品在经历了第一阶段的资产管理和第二阶段的传统终端安全管理之后， 如何在移动互联网时代， 实现跨平台的管理和安全将成为企业面临的重大挑战。（2）如何保证企业数据在传输过程中的安全和企业应用内部网络和服务器免受病毒木马攻击企业传统的移动办公基本采用“标配便携机+L3VPN 远程接入+预装安全软件”的方式。以 BYOD 为特征的新移动办公和它有着巨大的区别终端由便携机扩展到各类平板电脑和智能手机，由企业标配扩展到用户自由选择(企业提供或 BYOD)。传统 L3VPN 隧道技

6、术隔离网络，各种应用共享一个隧道，VPN 建立后，安全的应用可以使用它访问企业内网办公，病毒、 木马等也可以使用它进入企业内网攻击内部服务器。 标配便携机上一般同时预装安全软件，保护终端不受病毒木马等威胁。在移动化时代，智能终端多样化，企业对 BYOD 终端管控力度弱，无法统一预装安全软件，病毒木马威胁呈指数级增长。传统“L3VPN 远程接入+预装安全软件”方案难以应对，迫切需要一个能平滑演进的方案。（3）企业和个人的数据混合存储在一起，高价值的企业信息资产暴露在公共网络及开放应用下同一移动终端上既有个人应用，又有企业数据和企业应用，个人应用可以随意访问、存取企业数据， 企业应用同样也会触及到

7、个人数据。 如何明确区分并隔离移动设备上的企业/私人数据与应用，禁止企业数据被个人应用非法上传、共享和外泄，同时禁止企业应用访问个人数据，尊重移动设备上的私人数据是一个难以规避的问题。（4）移动设备易被窃或遗失，给企业带来数据泄密隐患移动设备由于其便携性极易丢失，每年有 7000 万部手机丢失，其中 60%的手机包含敏感信息，而移动设备中所保存的企业敏感数据也因此面临泄密风险。Varonis 在 2013 年发布的关于企业中移动设备的趋势调查报告显示，50%的受访企业表示曾经丢失过储存企业重要数据的设备，其中 23%的企业遭遇了数据安全事故。设备丢失不但意味着敏感商业信息的泄漏，所丢失的设备也

8、可能会变成黑客攻击企业网络的跳板。联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 4 页（5）如何对移动设备的统一管理随着科技的发展，智能终端和传统 PC 终端存在一定的差异性，传统的 IT 管理手段很难移植到移动终端上， 尤其是非企业所拥有和管理的员工个人设备。 而且由于智能终端设备的平台多样性， 更是给统一管理造成了困难。 缺乏对移动设备的统一管理很容易给不法分子可乘之机，所以企业亟需统一的移动设备管控平台，高效地管理在企业网络中的移动设备，监测移动终端设备的安全状况。（6）如何对企业应用提供统一的安全防护，降低开

9、发门槛，提高开发效率，为企业的业务快速创新保驾护航每个移动应用都受到各种安全威胁，需要各自考虑安全方案。这会带来几个问题，一是应用开发商对安全不专业，水平参差不齐；二是增加了他们的额外工作量，三是总体的移动安全防护效果不好。四是在开放、融合的互联网时代，IT 已经成为企业建立新型竞争力的核心之一。移动化是 IT 领域的重要发展趋势，是企业创新的助推器。比如，金融行业的移动展业、现场开卡、移动投保等新业务；能源电力行业的移动巡检、现场作业等新应用；医疗行业的移动查房、家庭护理等新服务，都是移动化给传统行业带来的创新改变。以金融行业发展最快的移动展业、现场开卡、移动投保等业务为例，移动化让银行、保

10、险业的产品经理、 客户经理脱离了营业厅的地理位置限制， 带着移动终端到任何贴近客户的地方提供服务，可以说就是一个个口袋中的微营业厅。 这种模式能最大限度的拓展各类潜在客户， 最及时的响应各种新鲜需求，把销售模式从传统的“等客户上门”变成“送到客户家里”，从而更好的保持老客户的粘性及拓展新客户群。（7）企业移动业务安全是否合规近几年，国家相继规划和出台了数据安全法（草案）信息安全技术-网络安全等级保护基本要求 2.0、个人信息安全规范、个人信息和重要数据出境管理办法等一批法律法规， 把数据安全提升到了前所未有的高度， 南方电网属于保障国家能源安全的关键企业，需要全面满足相关法律法规的要求，保障个

11、人信息和重要能源数据的安全，是保障国家安全的重要组成部分，同时也给企业构建移动安全提出了更严格的要求和规范。联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 5 页二、 移动安全技术的发展历程2.1 传统移动安全解决方案随着移动互联网的快速发展，移动办公和移动展业是大势所趋，企业在移动信息化建设过程中都面临着， 如何安全地将应用部署到移动设备上去， 如何保障应用在不安全的网络环境下，依然能够安全地访问业务，如何对这些移动终端进行统一安全管控，还有如何保障我们企业的数据不被泄密， 这些都是整个行业所亟待解决的安全问题， 必

12、须打破传统移动方案的形式，创新移动安全技术和能力。移动安全管理的重要因素 MDM（智能机，PDA 并未普及，价格昂贵，多见于企业配发）；EMM：应用管理和沙箱机制出现。随着智能机普及，移动应用越来越丰富，BYOD 参与办公，企业关注点从设备管理转移到应用安全和数据安全管理；UMM：涵盖所有移动终端（移动 PC，平板，手机，可穿戴设备，物联网设备）。传统移动安全解决方案所有安全管理都是基于 MDM（移动设备管理）实现的，MAM（移动应用管理）应用管理也需要通过 MDM 接管设备实现，个人自带设备办公情况下会涉嫌侵犯用户隐私。MAM 和 MDM 两套系统管理，企业配发设备可以同时使用 MDM 和最

13、简单的 MAM 应用安装功能，个人自带设备只有 MAM 和基本的设备信息，两套系统要分开管理应用和设备。贯穿多个部门，需要多个系统进行对接部门之间沟通成本高，业务系统对接复杂。联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 6 页2.2 新一代移动安全方案核心能力现如今根据客户和行业的需求，移动安全方案采用微服务方式模块化设计，各模块独立开发零耦合，出厂前各模块集成打包测试。从源头上规避各模块间的耦合性。根据用户需求集成对应的模块。一套管理支撑平台可以同时支撑 BYOD、COPE 等所有场景，分发不同应用和管理策略，需

14、要有以下几点核心能力：?统一移动平台BYOD、COPE 对产品能力要求存在差异，统一平台须实现不同场景能力。?应用可管理性多法人架构下，应用复杂度增加，应用全生命周期管理必须考量。?多种水印方式组合明文水印、矢量水印（专利）、隐形水印。?灵活的单点登录方案同时支持对接企业自有单点登录、业务 APP 申请自有单点登录票据或者使用 EMM 自带单点登录。?高并发及多级架构接入大并发会对产品的性能、兼容性、易用性提出更高的要求。?落地效果有大量 Anyoffice 替换成功落地案例，除产品能力外，服务团队的经验能力也是做好项目的关键。三、企业移动安全解决方案联软致力于构建可控互联世界，推出企业移动安

15、全支撑平台 UniEMM，为移动应用提联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 7 页供包括身份认证、安全接入抗攻击、密码及密钥管理、数据安全等安全能力在内的解决方案UniEMM 企业移动安全管理平台为企业提供一整套移动应用安全框架，它采用先进的“零信任”安全架构设计理念，为企业应用提供安全便捷的部署环境，解决企业数据在传输、存储、使用、设备遗失等各种场景下的安全问题；通过接入 UniEMM 统一门户与安全隧道，防止黑客入侵后端系统，比传统 VPN 更加安全。通过统一安全策略，解决员工隐私保护问题，防止第三方移动

16、应用开发商窃取员工隐私信息。3.1 企业移动安全能力平台UniEMM 企业移动安全门户作为企业在移动互联网的业务入口应需而生。企业用户只需要登录 UniEMM 企业移动应用安全门户，就可以很方便的访问各种企业移动应用，包括Native App 和 Web App。UniEMM 企业移动应用安全门户通过应用入口容器和单点登录框架，实现所有应用 SSO 的体验。企业用户全程仅一次登录，就可以自动访问各个企业移动应用，摆脱了烦琐的登录过程、减少了输入，极大地提高了易用性和用户体验。UniEMM 企业移动应用安全门户作台也提供应用消息中心， 供各个企业移动应用使用。 使企业摆脱对公网第三方消息服务器的

17、依赖，既增强可靠性又规避安全风险。UniEMM 企业移动应用安全门户提供移动安全沙箱能力， 实现个人数据和企业数据的隔离， 安全门户内的企业移动应用数据不能通过复制/粘帖、截屏等方式泄密，对企业数据采用高强度加密手段防护，能做到即使数据被非法获取也不泄露明文信息。 给企业应用下发水印策略， 一旦数据在互联网造成扩散，我们可以对扩散源头进行溯源。联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 8 页UniEMM 企业移动应用安全门户作为企业应用的统一入口，直观的将企业应用和个人应用进行分类，便于用户快速进入企业应用，提高

18、工作效率。另外在进入安全工作平台的过程中，UniEMM 提供了用户身份认证、移动终端安全策略检查，作为入口，为应用提供了一层强有力的安全保障。3.1.1 设备管理（MDM）UniEMM 企业移动安全支撑平台 MDM 移动设备管理能力，支持移动设备生命周期管理。设备认证接入 ，新设备接入方式支持自注册短信激活或动态码激活、设备预先录入、管理员审核用户或设备的合法性才允许接入。设备策略配置，管理员可灵活的自定义移动终端的安全策略，可根据需要制定准入检查策略、密码策略、越狱 ROOT 策略、应用黑白名单策略、操作系统版本限制策略、SIM 卡变更策略、功能限制策略（禁用摄像头，截屏，App Store

19、 等功能）、应用限制策略 、时间地理围栏策略等设备信息采集 ，应用登录后会通过门户采集设备的基本信息设备名称、设备品牌、操作系统名称、 操作系统版本、 是否 ROOT 越狱、 CPU 名称、 内核版本、 蓝牙 MAC、 WiFi MAC、移动运营商、IMEI 等。实时信息状态采集监测, 管理员可以查看设备明细，实时获取 GPS状态、WiFi 网络状态、信号强度、手机总内存、手机已用内存、SD 卡总内存、SD 卡已用内存、电池状态、电池电量、cpu 负荷、CPU 占用前五名的进程信息。设备监控与处理 ，对于违规设备，管理员可远程进行设备定位、清除工作数据、注销设备、锁定设备、锁定工作区、恢复出厂

20、设置等强制性操作。也可预先制定违规事件处理预案，待违规行为发生后，自动根据预案对终端进行逐渐严厉的处罚管控机制（如发现违规立即推送消息提醒警告、未及时恢复半小时后锁定工作区等管控机制）。违规行为恢复后自动根据恢复预案解除限制。员工离职或者设备丢失，为了防止数据泄密，管理员可以对遗留在设备上的应用进行联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 9 页卸载，对数据进行擦除，最后注销此设备。对于企业标配设备，回收的设备可以重新注册绑定，并重新部署安全策略和应用。3.1.2 应用管理（MAM）UniEMM 企业移动安全支撑

21、平台提供强大的应用管理（MAM）能力，从应用登记、注册、发布、访问权限、安全传输等全流程控制。3.1.3 锁定安全桌面针对企业配发 Android 设备，UniEMM 企业移动安全门户提供锁定安全桌面功能，桌面上的应用可以在服务端配置显示的系统应用如电话、短信、相机、相册，也可以配置显示企业应用商店里发布的原生应用和轻应用。 锁定安全桌面同时结合时间地理围栏启用和退出、连接指定 SSID、禁止相机、禁止截屏等，同时可以限制拨打电话、接听电话、收发短信联系人的范围。3.1.4 单点登录为了便于用户快速进入企业应用，同时又能提供身份安全保障，有必要在同一个移动终端上的企业应用之间实现单点登录。当

22、UniEMM 作为企业应用的唯一入口，用户在进入UniEMM 工作台时进行身份认证，从工作台进入各个企业应用时，则不需要再次输入帐号密码进行身份认证。3.1.5 消息中心为实现 UniEMM 企业移动安全门户作为企业应用的统一入口功能，UniEMM 企业移动安全支撑平台提供企业消息中心， 企业应用可使用中心的消息推送平台进行消息推送。 企业移动安全支撑平台在后台针对企业应用提供消息推送接口， 在企业移动安全门户上提供统一消息展示界面。通过应用消息中心，企业可以摆脱对公网第三方消息服务器的依赖，通过负载均衡或双机热备等方式增强系统可靠性，同时又降低信息在公网泄露的安全风险。统一企业消息推送平台对

23、外提供 RESTful API 接口，第三方应用服务器可通过标准接口联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 10 页向消息平台推送消息。 统一企业消息平台维护推送到移动终端的消息队列， 记录当前移动终端的新消息条数。UniEMM 安全网关服务维护到移动终端的消息推送通道，实现到移动终端的消息推送。 统一企业消息推送平台接收到消息后， 通过内部自定义协议接口将推送消息发送给 UniEMM 安全网关服务，再由安全网产服务通过 iOS APNs 或者 Android 推送通道推送到移动终端上 （安全网关服务保存所有的

24、推送消息， 直至消息被推送到移动终端） ， UniEMM企业移动安全门户上实现对推送消息的界面展示。3.1.6 应用安全检测检测移动应用内部存在的安全风险，对发现的安全问题给出解决建议。提供高效、准确、完整的移动应用安全分析报告；协助开发/监管人员掌控移动应用中存在的风险，有效提高移动应用开发的安全性。静态检测：应用代码安全检测、应用配置安全检测、应用数据安全检测。检测分析报告：自动生成检测报告，直观反应移动应用安全风险，同时提供可切实执行的修复建议。3.1.7 应用安全加固移动 APP 应用进行深度加密处理、 加壳保护的安全技术产品， 保护应用上线后的安全，采用程序文字信息加密功能，使应用远

25、离恶意破解、反编译、二次打包，内存抓取、数据信息窃取等威胁，同时给应用提供数据加密、签名校验、防内存修改、完整性校验、应用安全检测等保护。通过应用封装加固系统加固后的业务应用，可防止反编译工具破解和逆向，包括但不限于 smali、jd-gui、Dex2jar、baksmali、JEB、BytecodeViewer、 AXMLPrinter2、ApkTool工具等，以上工具均无法正常进行应用程序源代码反编译和重打包操作。（1）dex 文件加密保护对业务应用中 dex 文件采用高压缩及加密变形处理，原始 dex 的关键函数指令采用基于虚拟机指令保护方法，并将指令解释方案实现在 native 层的保

26、护壳中。反编译软件在对应用进行逆向的时候只能看到加固后新增的保护壳的部份， 并不能够逆向出原 dex 中的数据联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 11 页及代码。（2）so 文件加密保护对业务应用中的 so 文件代码采用自定义 Linker 方式进行加密保护，并且对于壳 so 中的关键函数使用基于虚拟机指令的 so 保护，使调试者或破解者无法获取 Linker 入口从而无法正常反编译 so 文件中代码。同时采用基于动态加载器的 so 保护，增大了壳 so 和第三方so 的保护强度，保护应用中的 so 的安全

27、性。（3）应用主配文件防篡改保护应用封装加固系统采用哈希技术对业务应用主配文件生成文件指纹，指纹信息保存在dex 文件某处，并在程序运行时对文件指纹进行校验，如发现指纹改变则停止运行，增强业务应用的防篡改能力。（4）应用资源文件完整性保护应用封装加固系统使用快速计算方法，把文件的完整特征存储到源 dex 保护数据中，在运行的时候能够快速判断文件是否被修改， 达到保护目的， 资源文件加固比较消耗终端性能，需要应急管理部酌情考虑实际情况，是否需要平台提供此能力。（5）应用数据文件加密保护对业务应用运行中的产生的数据文件进行加密保护，防止数据文件被窃取和篡改，加密关键信息保存在 Native 层保护

28、壳中。（6）应用签名校验保护将开发者签名信息进行变换存储成特征，把特征存储到源 dex 保护数据中，在运行的时候能够快速判断签名是否被修改，应用签名被改动后，业务应用无法使用，达到保护开发者被二次发布的目的。（7）防内存截取攻击保护业务应用经过封装加固后，通过动态监控业务应用中的内存分布文件，可以随时监控到内存读取等操作，对非法窃取业务应用内存使用的非法行为，进行及时拦截，从而保护业联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 12 页务应用的内存安全。（8）应用内存非法读取/修改保护业务应用经过封装加固后，动态监控

29、业务应用中的内存分布文件，可以随时监控到内存是否被非法第三方程序进行读写操作， 从而保护应用运行时的内存数据不被非法读取或修改。（9）防动态注入攻击保护对业务应用的关键模块增加反调试技术，从根本上杜绝调试本程序，注入非法代码等操作，保护业务应用的安全运行。（10）dex 文件深度混淆对内存中的应用 dex 文件进行混淆处理，使得在 dex 被内存截取的情况下，也只能截取出加固混淆之后的代码，无法还原出原始 dex 文件。3.1.8 内网准入众所周知，802.1x 技术为企业级的网络提供了安全和便捷的解决方案，移动终端在接入无线网络时需要进行身份认证及必要的安全检查， UniEMM 除了网关型准

30、入控制还同样支持基于 802.1x 的准入。移动终端安装 UniEMM 的客户端后选择企业指定的 WiFi 然后输入相应的用户名密码，即可完成认证，后续认证只需打开客户端，客户端自动连接最后一次完成认证的 WiFi，实现无感知的网络接入。UniEMM 的 App 无线 802.1x 准入同样支持对设备属性、 应用黑白名单等安全基线进行检查，确保通过企业 WLAN 接入企业内网的设备是安全、可信。3.2 数据安全联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 13 页企业移动应用从外网接入企业的过程中，从应用到操作系统协

31、议栈，到网络传输，都需要确保数据的安全性。采用传统 L3VPN 可以实现传输的数据安全，但无法区隔合法应用和非法应用。新的移动办公平台既要能满足全程全网安全性，又要能够做到应用隔离。UniEMM 在管道安全环节，提供应用层 APN 管道和安全协议栈，并开放功能强大而又容易集成的 SDK 给第三方应用。在 Android 系统下企业移动安全门户会开辟安全域，企业应用可以直接运行在安全域中不需要集成安全 SDK， 容器会自动接管网络安全传输和文件数据的安全存储。APN 管道提供给每个应用的数据在从应用到传输层的过程中已经是密文，可以防范木马、病毒类非法应用，也能阻止嗅探类手段获取明文数据。采用应用

32、层 APN 管道技术，每个应用都独享一个安全隧道，可以确保数据传输的安全性。在应用层 APN 中，有终端和网关两个核心控制点，这两个控制点相互关联，双向认证，高度安全，即使通过黑客类手段获取终端权限，利用伪造或中间人攻击等手段也无法突破网关的防护。3.2.1 应用安全网关传统 SSL VPN 或者 IPSec VPN 实现技术中，需要在移动终端上安装虚拟网卡，并且企业应用的数据报文需要经过虚拟网卡中转之后才能进入到 VPN 加密通道。在企业应用的数据经过虚拟网关中转时， 存在安全风险此时感染病毒或木马的应用， 可以通过拦截虚拟网卡上的数据， 获取到明文的企业应用信息。 而且由于 IPSec V

33、PN 无法对接入终端进行校验，任何终端只要有合法的 VPN 账号密码，即可接入内网，这对内网安全也造成了极大的安全联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 14 页隐患。UniEMM 安全网关采用应用层 VPN 实现技术。企业应用直接集成加密传输组件，在应用内即对数据进行加密，只有加密后的数据才从应用内传递到 OS 系统。因此，即使移动终端上存在被病毒或木马感染的恶意应用，也不能够从 OS 系统中获得明文的企业数据。3.2.2 智能 API 网关零信任智能 API 网关，可用于政府、银行、证券、能源、制造业等各行

34、业，承担请求接入、业务聚合、中介策略、统一管理四大职能。?请求接入作为所有 API 接口服务请求的接入点。?业务聚合作为所有后端业务服务的聚合点。?中介策略实现安全、验证、路由、流控等策略。?统一管理对所有 API 服务和策略进行统一管理。3.2.3 安全沙箱（1）安全沙箱UniEMM 提供安全沙箱能力，通过安全沙箱实现个人和企业数据的隔离，对企业数据采用高强度加密手段防护，能做到即使数据被非法获取也无法获取明文信息。UniEMM 在移动终端 OS 的数据隔离基础上通过高强度的加密技术实现文件数据隔离。UniEMM 给上层企业应用提供透明的安全文件加解密接口， 上层应用通过调用接口， 可以方便

35、地从加密沙箱中读取数据或者向加密沙箱中写入数据。 数据在读取或者写入的同时完成加解密操作， 上层应用不需要关注具体的加解密过程。 沙箱内的数据在存储到存储介质上时是加密的， 可避免明联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 15 页文信息被非法获取。UniEMM 还可对企业应用提供数据防泄漏保护。比如，使用安全沙箱后，可以防止在企业应用内部拷贝文件， 然后通过粘贴泄漏到其它非企业应用， 也可以防止在企业应用的界面上进行截屏。企业 IT 管理员可以在 UniEMM 后台系统配置对企业数据的安全管理策略，包括是否禁止

36、 Copy/Paste、是否禁止截屏等等。还可以对企业数据进行远程管理，由于企业数据和个人数据是隔离的，因此管理员可以远程擦除企业数据而不影响个人数据。（2）虚拟安全域为了避免与企业应用集成，UniEMM 平台在 Android 系统上实现虚拟安全域。为用户生成一个专属的安全虚拟工作区，在工作区中，用户可以自由的访问企业应用，而企业业务和数据的安全性可以得到保障：如防截屏、防转发、防复制粘贴，禁用摄像头，数据传输和存储加密等。为了解决用户拍照行为追踪溯源，运行在安全域里的应用可以通过管理后台下发水印策略，第三方应用会自动根据后台策略显示水印功能无需任何企业应用改造。在沙箱中的应用网络传输会自动

37、被 UniEMM 安全门户接管，根据管理台配置的转发，将内部数据流加密传输到安全网关由安全网关转发到业务应用服务器， 未配置转发的自动通过互联网去连接。在虚拟安全域以外的应用、数据和设备权限，依然归员工个人控制。这样，就完美解决了企业信息安全和员工个人隐私间的矛盾。3.2.4 安全工作空间遵循系统的已有应用沙箱原理，在进程隔离的基础上，实现对应用行为的深度控制，通过对系统的应用沙箱进行扩展， 扩充其他的业务所需安全属性， 通过为应用专属创建的引导应用将应用导入加载到沙箱中运行， 实现系统级的对应用的管控能力。 安全空间需要既支联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联

38、软科技移动安全白皮书2022 移动安全解决方案白皮书第 16 页持 Android 系统，也要支持 IOS 系统 。?个人隐私保护通讯录保护、短信保护、电话保护、应用权限限制。?企业数据保护安全沙箱、安全阅读、水印保护(明文水印、矢量水印、隐形水印)。?可信环境检查禁止越狱/Root 设备、防止渗透攻击、禁止运行在无 SIM 卡设备。?用户行为限制复制粘贴保护、截屏/录屏保护、网络访问控制。?应用监测审计感知并采集应用安装、使用情况，性能和业务数据等。3.3 云部署、云管控联软 UniEMM 企业移动安全支撑平台支持公有云或私有云部署，采用业界领先微服务技术架构， 平台里每一个服务都可以根据用

39、户业务能力进行横向扩展。 所有微服务在云端集中管控。联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 17 页3.4 用户与应用安全纽带在企业中，用户信息是所有应用的核心数据。在移动化时代，用户的类别增多，用户状态信息也从单一的用户身份信息发展到包含用户身份、接入终端类型、位置、时间等多维度信息， 针对不同的用户和状态需要有不同的管控策略。 这些策略和状态信息对于支撑应用的创新至关重要，所以应用要能便捷获取这些信息。UniEMM 企业移动安全平台可以统一管理固定和移动接入的用户(如员工、临时访客、合作伙伴等)，可以统一设

40、置策略(如接入规则、应用访问策略、安全检查策略、安全控制策略、安全审计策略、时间地理栏策略)，获取用户实时状态(接入方式、地理位置等)。同时，应用审计信息可以通过开放 API 给应用使用，应用可以利用这些信息进行数据挖掘、增值服务等UniEMM 企业移动安全平台在不改变用户使用习惯下实现企业业务应用快速部署、快速上线、快速推广，节省了大量人力和财力。推动新业务快速扩展，在没有 UniEMM 企业移动安全门户前用户只能选择开发原生应用，同时需要关注应用的网络传输安全、文件数据的存储读写安全、以及拍照截屏的安全性都需要业务应用开发投入大量的时间、 应用自身的安装升级等也需要投入时间研发。 同时要考

41、虑跨平台的开发、 以及上线前网络权限开放申请等。 联软企业移动安全门户不仅支持原生应用发布全生命周期管理，同时支持跨平台的 H5 应用直接在门户中发布，企业应用不需要申请开放互联网访问权限。3.5“平台” + “应用”打造开放安全的生态系统联软科技致力于构建可控互联世界，UniEMM 企业移动安全支撑平台秉承战略思想，为企业应用提供安全、快捷的部署环境。?实现全业务开放联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 18 页联软企业移动安全门户帮助用户实现全业务开放，在网络传输、数据存储和文件读写、应用、设备多维度实施

42、安全保护措施。在网络上基于应用层安全网关实现安全隧道，为每一个企业应用建立独立安全隧道。在数据存储和文件读写上实现沙箱和虚拟安全域隔离个人与企业数据，保护企业高价值的数据不被外泄。在应用上实现禁止复制、剪切，自定义水印（Android 应用禁止截屏）以及截屏审计。在设备上可以禁止截屏、禁止拍照、连接指定 SSID、设备安全检查（病毒扫描）等。在我们全方位的安全守护下帮助用户实现全业务开发，提升企业市场竞争力。?实现多平台多终端接入作为一个开放的平台，它支持当前流行的 Android、iOS、Windows、Mac 系统等终端操作系统，允许企业根据实际需求选择办公终端平台。解决移动办公、在家办公

43、、出差办公等场景提高员工作效率同时也提高企业的竞争力。?实现统一的认证中心（1）PC 业务系统登录使用动态码实现双因素企业办公及业务系统需要支持双因素认证，市场目前大部分采用短信码，少数金融客户会采用硬件口令（硬件成本比较高，电量用完后每二至三年要更换一次硬件），UniEMM平台通过统一认证中心将动态码集成到企业移动安全门户中， 每分钟自动刷新一次， 提供即时有效安全的认证因子。UniEMM 企业移动安全门户登录后，PC 端打开业务系统通过门户扫码认证。业务系统服务端通过客户端扫码提交第三方业务系统的回调。（2）PC 动态码、扫码入网UniEMM 安全门户与 LeagView 平台准入模块无缝

44、对接， 实现统一身份认证和扫码认证成功后，PC 自动接入办公网。?实现统一的门户为实现移动端和 PC 端移动办公场景，为终端用户提供便捷，实现统一的企业办公的门户。联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 19 页四、典型应用场景4.1 保障各行业移动自带设备+配发设备安全随着信息化建设的不断发展，移动智能终端设备的性价比的不断提升，移动化业务在各个行业的使用越来越普遍，企业采购设备派发给工作人员进行开展业务。联软 UniEMM通过在手机或平板设备上安装一个 EMM 门户客户端，EMM 门户客户端运行起来是一个虚

45、拟工作空间并可以强制锁定无法退出， 通过这种方式可以对设备本身的硬件功能及设备上安装运行的应用进行限制，并可对接企业 WLAN802.1X 安全准入保证配发设备的安全及专机专用。4.2 企业自建移动门户安全解决方案随着信息化建设的不断发展，移动智能终端设备的性价比的不断提升，移动化业务在各个行业的使用越来越普遍。 很多行业都在开发自己的 BYOD 应用， 为了提升员工使用的体验，越来越多的企业推出自己的移动门户，员工只需要安装一个应用，可以满足所有移动办公需求。 但这类移动门户通常缺乏专业的安全能力， 急需专业的安全厂商提供相应的安全能力。联软企业移动办公支撑平台（以下简称 UEM）致力于将自

46、身安全能力通过接口 SDK 的方式提供给到生态企业的 APP，这些 APP 只需要简单集成 SDK 就可以拥有以下安全能力：4.3 移动安全办公 SaaS联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 20 页传统基于内网边界的安全产品理念是“筑墙”、“信任”。城墙越高越厚，城墙里面就越安全，让城墙外的危险进不来；而进了城墙的人就是自己人不再加以防范。但是事实证明再坚固的城墙往往最先从内部被攻破， 既然被攻破是不可避免的， 那显露在互联网的企业应用该如何防护？答案是隐身和零信任：外面的人看不见你，自然不会想到攻击你；那

47、对于能看见你的自己人呢？零信任机制通过严格的多因素认证保证进来的只有自己人， 而且即使是自己人也得“遵纪守法”，一旦违法做乱立刻“驱逐出境”减少损失。联软已经在公有云平台上部署了基于零信任隐身技术的移动安全办公 SaaS 服务平台，企业用户无需在内网部署任何软硬件， 只需要简单注册开通， 即可让员工下载专用的安全办公门户 APP 进行移动安全办公。整个过程无需当面接触，安全，极速交付，即需即用。4.4 数据防泄密移动审批场景信息化时代，企业对数据资产安全越来越重视，数据防泄密系统也成为了企业内网安全的一个必要选项，对于金融行业尤其如此，浙江农信全省就部署了数据防泄密系统(UniDLP)。对文件

48、打印、拷贝、进出盘审批以及移动存储设备注册、使用人的变更审批，需要相关的审批人员回到内网在办公电脑上进行审批， 尤其是部分审批人的层级比较高， 平时工作就十分繁重，往往无法及时处理，导致相关的审批流程迟迟无法得到审批，影响相关工作的开展。针对 PC 端审批流程的相关痛点，联软的提供了企业移动办公安全支撑平台 UniEMM,创新性的将 UniDLP 上的审批操作开发成一个独立的审批应用，提供移动审批功能，既保证了相关的审批流程安全性，又解放了审批人，只需要通过个人手机无需回到内网使用办公PC 即可完成相关审批操作。大大提升了审批人的操作体验，从而提高了审批流程的时效性。同时联软的 UniEMM

49、还支持消息推送及单点登录特性，与该审批应用结合后，可以进一步提供更好的操作体验。审批的通知可以通过消息推送，直接将通知推送到指定审批人的手机上，即时审批应联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书联软科技移动安全白皮书2022 移动安全解决方案白皮书第 21 页用不在线，也可以在手机的系统通知里收到对应的消息，审批人只需要在手机上点击消息，通过单点登录认证后即可直接拉起审批应用并进入到相应的审批页面， 直接操作。 进一步提高了审批操作体验。五、未来发展趋势5.1 移动安全进入了快速发展阶段（1) 资产轻量化:云的发展使得移动办公越来越普遍，移动安全业务发展迅速我们先来看

50、一下国外的发展情况，以美国为例的云发展较为显著，2018 年在 RASC 展会上，60%的主题和厂商都或多或少提到了和云相关的；国内的发展，像阿里云、腾讯云等各种云服务器，企业员工只有要 OACRM 系统账号之类的就可以登陆使用进入到企业网络中办公，加上移动设备的发展，员工移动办公越来越普遍，GSMA 在“2021 年移动行业影响报告中提出“目前，23 亿人使用手机购买商品和服务，占移动用户的 45%”。移动市场带来的风险也逐渐受到更多关注。（2）移动办公带来的零信任理念发展:端点安全能力不断升级，零信任安全近年更受到国内外关注零信任安全是一个 IT 安全框架，不管是谁发起访问，它都会将访问者