中移杭研 | 面向企业和家庭的网络管控安全服务平台

中移（杭州）信息技术有限公司（中国移动杭州研发中心）安全产品部，作为中国移动集团内部规模最大的安全研发团队，在面向企业和家庭的网络管控安全服务平台有深入研究。现已有手机终端管控方向的和管家（面向军警用户）、和卫士（面向企业）、小绿伞产品（面向学校）方案等，网关管控方向的安全网关插件（面向家庭）、企业安全网关及审计平台（面向企业），面向网络管控的安全APN业务等，并进行整合，形成一整套面向企业、家庭的网络管控解决方案。

【背景】

企业和家庭 网络安全管控迫切

在如今端到端的网络安全体系中，对于使用行为的管控是预防安全问题发生的一个重要措施。特别是随着移动互联网的发展，企业和家庭的网络管控风险愈加明显，管控需求也愈加迫切。

随着4G网络的发展，个人对于移动终端的使用依赖越来越强，众多企业也将IT管理能力从传统的 PC 延伸到移动设备甚至移动应用APP 上。由于移动智能终端设备数量繁多、硬件配置不同、操作系统迥异、应用环境混乱，移动端遭受攻击、企业数据外泄的风险大幅增加。而管控相较于PC难度很大。

同时，随着家庭宽带的普及，青少年上网沉迷屡见不鲜，不良内容影响青少年健康，家庭面临着儿童上网管控需求。另一方面，中文钓鱼网站量快速增长，家庭用户面临愈发严峻的网络钓鱼攻击威胁，而物联网终端的普及带来家庭用户个人隐私外泄的风险。这些都需要进行行为管控以预防安全风险。

企业和家庭用户对终端使用、上网行为存在安全风险和管控需求，现有市场上的单一解决方案不能提供满足完整使用场景下的客户需求。提供统一的整合解决方案，满足全场景下的客户使用需求是网络管控安全服务的发展趋势。

【概述】

为企业和家庭用户营造安全网络环境

新型网络管控安全服务平台以云管端整个体系为防护单位，整合手机终端、专用网络、安全网关能力，为企业和家庭用户提供智能设备及用户网络环境安全、内容安全、上网管控功能的整体安全防护。

其设计思路为：

其功能架构为：

构建统一的核心管控平台，通过专用APN、政企专线/家庭宽带、安全网关、安全手机整合管道、终端资源，通过安全手机、安全网关、专用APN采集信息到管控平台进行流量分析和指令生成，再下发到接入触点执行；前端通过管理APP、WEB管理平台和安全防护SDK集成到第三方应用的三种操作展现。

【功能模块】

三大安全解决方案齐头并进

1安全手机解决方案

通过“基础+框架+应用”的三层安全体系设计，提供了包括底层基础安全保护，应用、内容、设备的统一安全管理，各类型应用服务在内的全套安全保护。

设计架构为：

通过以上设计架构，可以实现对企业终端的全面管理，比如：

• 企业应用统一管理：

阻止违规安装非授权APP，并能远程安装、升级、卸载企业应用，应用分发，进行应用统计等；

• 企业文件统一管理：

政企下发到手机的企业文件，进行加密传输和存储， 特别重要的机密信息要求做到阅后即焚，保障企业文件信息不被外泄；

• 手机配置统一管理：

接入企业网络和应用的手机众多，手机接入网络配置和维护繁琐，可以实现对企业接入的手机配置统一管理，能远程下发配置和维护协助；

• 手机设备安全管理：

保证手机在丢失、盗窃或者人员离职的情况下保障手机设备安全； 能够及时锁定设备和清除设备上企业数据，保障手机设备不被非法使用和手机上的企业数据不被泄露；

• 手机外设安全使用管理：

手机集成摄像头、WiFi、蓝牙、USB、SD卡的外设，保障这些手机外设使用安全，不能通过外设泄露企业数据；

2安全网络解决方案

在全网覆盖范围内均可提供对APN业务的接入，并以L2TP技术在两端建立隧道（Tunnel），通过虚拟专用的隧道来传输数据，确保用户通信数据的安全。

设计架构为：

通过以上设计架构，可以实保障管控用户的网络访问和传输安全，实现现对管控用户的网络行为管理。同时，APN组网具有组网灵活、安全可靠、操作简便、节省成本的优势。

3安全网关解决方案

安全网关下沉至用户侧部署，基于网络流量分析及攻击特征监控等功能特性给用户提供近源多层安全融合防护，针对WEB安全、僵木蠕感染、漏洞利用等各类安全威胁，对网络行为和网络环境进行有效监控及处置，保障网络安全。

以企业网关为例，其设计架构为：

通过“企业安全网关+网络安全管控平台”的设计架构，可以实保障企业用户的网络管理安全，实现对管控用户的网络行为管理。比如：

• 安全网关管理：

日志留存、威胁情报、外接系统、应用特征库、威胁过滤特征库等；

• 上网行为审计：

应用设计、威胁过滤、邮件审计、WEB安全内容审计、外发文件控制等；

• 网络安全服务：

安全策略、路由管理、流量显示、DPI等；

【应用】

成效显著，切实解决多方难题

党政军：产品实现对手机终端的应用管理和上网管理等功能，已在全国24个省市183家军警行业客户使用，累计服务用户数达到24万；业务范围扩展到军营有线、WiFi、移动网络三种方式接入互联网的行为审计和安全管理。

校园：产品解决学生上课和休息时间使用手机、沉迷游戏和网络、受不良信息侵害、擅自外出等管理问题，引导学生合理使用手机，实现了学校科学管理、学生合理使用手机、家长省心安心的三赢局面；产品已经累计发展37万用户。

家庭：安全网关插件业务为宽带用户提供家庭上网管控和恶意网站拦截保护能力，实现家庭流量分析、上网安全防护、上网管控的功能；现已在山东等省份进行试点，家宽用户体验和活跃提升明显。用户平均转化率达到24.15%；订购用户的平均周活跃度为43%，并呈较快幅度增长。

企业：企业安全网关及审计平台实现了网关内置安全插件采集信息+安全审计平台信息分析的功能，可对接上报至有数据对接需求的省级及地市的公安审计后台，解决了中国移动企业用户公共WiFi上网行为审计问题；产品现已获得公安部销售许可证，当前已在16个省落地，2019年预计发展用户100万。