在推動移動辦公的過程中，如何對移動辦公設備進行全面的安全管控，一直是企業機構關注的焦點，尤其是對蘋果iOS移動設備的安全管控，更是其IT管理員感到棘手的問題。因為蘋果系統的權限控制，當前很多企業機構對蘋果系統的移動設備還處于無法管控的狀態。

根據此項用戶需求，盈高科技制定了一套針對性的解決方案，研發了針對iOS移動設備進行管控的IMC移動管理平臺，能夠對iOS移動設備實現全面的安全管控。

那這套方案具體是怎么實現的呢?我們先來了解一下其系統架構：

 

IMC系統是以硬件網絡設備為基礎，基于C/S架構的一套管理功能組件。其系統服務端由硬件網絡設備和其自帶的內置操作系統組成，系統客戶端由終端所安裝的軟件組成。整個平臺分三部分組成，基于iOS管控的云服務器模塊，系統統一的管控平臺和移動設備上的IMC客戶端。

具體功能實現

WIFI連接控制

對iOS設備連接非白名單的WIFI進行違規處理動作，包括上報違規日志，客戶端告警提示和鎖屏處理。管理員可以通過管理平臺查看相關違規記錄，掌握違規使用移動設備的情況。

 

WiFi連接控制策略配置示意圖↓↓↓

 

違規記錄信息列表示意圖↓↓↓

 

地理圍欄策略

為了提高辦公效率，企業機構會給公司人員配發相關的iOS移動設備進行移動辦公，但由于iOS設備小巧，容易被公司人員隨意帶出辦公區域，極易造成數據泄露風險。IMC系統的地理圍欄策略，能夠強制移動設備只能在規定的位置范圍內使用，設備一旦帶出，則根據管理規范配置的相關策略進行違規處理，給設備提示帶出安全風險告警和強制鎖屏操作，使被帶出設備在指定區域范圍外無法正常使用，杜絕了設備數據泄露風險。

 

應用管控(專機專用)

如何確保所有派發的專用設備不被使用者隨意安裝與工作無關的應用，一直是企業移動安全管理的一個難題。由于iOS系統給出的操作權限的局限性，無法對iOS設備進行統一規范使用。通過對大量客戶需求進行調研，盈高科技采用自主研發的IMC內網管控客戶端與iOS策略控制服務中心相結合的方式，在iOS設備派發前對其進行安全配置策略，來禁止設備上的相機、App Store和Safari等應用，在iOS設備上只安裝與工作相關的應用，然后派發下去。用戶拿到設備后，未經授權無法安裝其他應用，保證移動設備的使用規范，實現專機專用。

 

輕應用功能

在派發的設備采用了專機專用的配置規范后，管理員會禁用派發的設備使用Safari應用，以防止員工通過瀏覽器訪問與工作不相關的網頁，杜絕違規外聯，這樣也導致員工無法訪問任何網頁信息，但是單位存在業務相關的網頁訪問需求。為了保障派發的設備能夠訪問與工作相關的網頁，盈高IMC提供輕應用管控功能，管理員在管理平臺配置好允許訪問的網頁頁面鏈接地址，推送給相關移動設備，員工通過IMC客戶端的輕應用菜單訪問和使用相關的網頁應用信息。

 

安全準入聯動

要實現安全的移動接入，就需要在互聯網邊界與安全防護區之間，通過必要的安全防護手段，為移動應用提供高安全性、高可靠性的設備端數據加密、通信鏈路加密及集成身份認證。盈高IMC移動設備管理系統結合了自主研發的網絡準入管控技術，提供多重身份認證，實現人、手機號、IP的一對一綁定，確保專網專用;提供加密安全隧道服務，保證應用數據及管理數據的安全傳輸，從接入層保障了辦公內網的安全。

資產采集

移動設備上安裝了IMC APP后，在后臺服務器端即可獲取移動設備的基本信息，如電話號碼、IMEI號、 設備ID、設備序列號、設備型號、系統版本、存儲空間、電池用量、已經安裝的APP及版本等信息，管理員可一目了然地了解網絡中各個移動設備的狀態。

方案優勢與價值

自主研發的內網APP下載技術，擺脫了iOS系統下載客戶端必須依托于App Store平臺進行下載的瓶頸，保障了內網用戶也能安裝IMC客戶端進行管控的需求。

設備客戶端通過TCP長連接服務端獲取數據、信息，發送客戶端狀態。服務器端由MDM連接服務接受客戶端的TCP請求，通過指令引擎解析指令，發送到MDM管理模塊。在整個信息傳輸過程中采集加密處理，有效的保障了數據傳輸安全，同時自主研發的后臺保活機制，保障了客戶端對設備的實時監控。

盈高科技構建了國內最完善的移動辦公生態鏈，集成自主研發的網絡準入技術，實現對內網所有接入終端的安全管控，確保接入內網的設備必須安裝IMC客戶端，有效的保障了IMC客戶端的安裝率，從而保障了對iOS設備的管控。