在rsa2017安全大会上，rsa首席技术官(zulfikar ramzan)演讲时曾说过“任何雄心勃勃的企业都是把商业和安全结合起来的合资企业”，信息安全问题是企业发展必须重视的一环。
伴随移动化办公趋势的加强，企业能够及时有效的捕获信息传递资讯，让员工的碎片化时间有效利用，提升工作效率。但在获得诸多优势的同时，企业信息安全受到了更严峻的考验：身份认证管理、移动设备管理、移动应用管理、移动内容管理等等。企业如何行之有效的进行管理，让企业关键数据得到有效保障，成为了it部门迫在眉睫需要解决的问题。今天，小编为大家带来了这样一套解决方案，供广大企业参考。
appiron集终端设备管理、移动身份管理、移动应用管理、移动数据内容安全、移动运维管理于一身，是一款面向大中型企业的综合信息化安全管理运维平台。appiron以保护企业数字资产为首要任务，不仅能够协助企业完成日常的移动化管理，还为企业提供多种专属的移动安全服务，以及完整的移动化安全运维管理系统，解决了企业移动互联网转型过程中的基础安全和管理问题，协助企业打造高效、安全的移动化管理专属平台，进一步提升企业it运维和管控的能力。
统一的平台接入
相较传统的移动企业管理方案，通过不同设备访问企业内网时会配备有单独的移动应用，无论是手机、平板访问时都会存在多个移动应用登录，登录端口的不统一会造成管理维护更复杂，同时也会存在更多的安全隐患。appiron提供有统一的平台接入，具备全面的系统兼容性，支持android和ios系统。用户通过移动设备登录appiron应用平台，即可实现一次性登录，即可快速访问企业不同内网的业务系统，查询相关资料，提升工作效率。
全方位安全防护
现今网络现象繁杂，非法身份入侵、用户信息窃听、恶意邮件挟持等安全隐患比比皆是，时刻威胁着企业数据信息安全，特别是移动网络的迅速发展，企业用户通过移动终端获取的企业数据越来越多，移动化的安全成为企业安全管理的重点。appiron专注企业移动化安全管理，解决企业移动化进程中从用户身份、移动设备、数据传输、数据存储、安全阅读等方面全面守护企业安全。
移动身份认证
appiron采用多种方式对终端设备用户进行身份核准，支持身份、密码、复杂手势密码、短信动态口令、设备id等多种方式身份认证，同时支持对接企业的ldap/ad域认证，确保移动用户身份信息准确，避免非法用户侵入企业网络;针对企业应用，采用统一的移动sso登录，方便用户操作还能有效降低泄露风险;通过系统认证过的移动设备，可以实现通过扫描pc端二维码，快速登录企业业务系统，省去记忆繁琐密码的困扰。
端到端的移动安全管理
移动终端：appiron提供多种用户身份认证，对各种接入设备进行相应的安全检测，避免因byod设备的越狱、root、中毒等原因造成的安全风险。对于byod设备，appiron在终端设置安全沙箱，将企业数据和个人数据进行分离，企业数据在沙箱进行安全加密存储，防止企业数据在终端泄露或被恶意获取。
数据传输端：数据传输的安全隐患主要来源于网络中各种不正当的窃听、窃取、篡改等手段，为了避免网络层面的数据攻击，appiron对企业数据进行独特的加密封装，使得数据在传输中自带一层安全保护; appiron针对企业数据传输开发了专用的企业应用隧道apptunnel，基于应用层的安全传输通道，专业的隧道加密有效规避了数据传输的安全隐患，支持tcp(http/https/socket)与udp流量，可以实现数据的高并发和快速转发;同时，数据传输还支持传统的vpn通道，企业可以制定移动应用走相应的vpn隧道。
应用访问端：appiron为企业提供统一的移动应用发布管理，企业可定义符合自身的安全开发规范，并对应用发布进行规范化管理，针对应用类型设置使用权限，并可支持全业务范围内的应用发布灰度测试，提升了企业应用发布的安全性，同时缩短了企业应用发布app store审核周期长的问题。
appiron企业移动安全管理平台由移动端和管理后台组成，管理后台通过pc端登录emm管理平台，分设三种管理权限，三者协调合作实现对组织架构分配、用户身份审核、移动应用管理、安全隐患规避、移动内容管理、系统运维、审计分析等，为企业移动应用进行安全加固，是企业进行可控可管的系统平台;移动端则是sdk方式来提供，主要封装有应用商店和安全浏览器两个功能应用，为用户的移动设备使用提供实时可控的安全保护。
管理平台详解
企业采用appiron企业移动化安全管理平台，用户通过移动端的appiron来启动各种移动应用，实现移动端对企业内网的访问;在策略管理上，管理员可以通过emm平台对身份信息的验证、移动设备的增减、软件应用的发布、预警事件的处理及众多安全事件的审核等方面进行相应的策略以及限制条件的设置，具体的展示效果则在移动设备的客户应用端中展现，且这类策略管理基于组别分类，极大节省了管理者反复操控的时间;在企业的层级管理上，appiron设置多级帐号组别权限设定，满足大型企业的多层级组织架构。
emm管理平台由mdm、mam、mcm三大核心组成，在此基础上，企业根据自身特点进行相应功能的增补和删减，其中mdm侧重于设备配置和设备基本安全，如设备本地加密、反恶意软件、设备控制等相关的功能与安全策略。而mam则侧重于保障只有经过授权的应用才能在设备上按照指定策略运行，以及保护这些应用所访问的敏感数据，同时隔离企业和个人app的数据。mcm则侧重于保护电子邮件内容、web内容和文档的安全。
appiron的企业移动化安全管理平台同样如此，在emm管理平台中融合了三大核心部件，同时新增了系统运维、监控和分析等功能，相较于传统emm平台中以物为本的逻辑建模，中央集权式的超级管理员统管平台所有功能，appiron更侧重于以人为本的逻辑模型，采用三权分立的方式分配管理系统：系统管理员、安全管理员与审计管理员，毕竟术业有专攻，部门性质的不同决定了人员的专功方向。系统管理员侧重点在于对用户身份授权、企业组织架构分配、移动应用登记授权、分发企业及平台信息公告等;安全管理员则主要进行各种安全扫描、检测、加固，防微杜渐，为系统管理员的授权工作提供安全保障，对异常或突发安全事故进行及时补救，除了进行安全策略功能的设定管理，安全管理员还能对移动设备进行审核和实时管控，同时对管理平台中移动应用的注册和发布进行统一管理;审计管理员则负责用户行为统计、安全事件统计和管理员操作统计。三类管理员各司其职分工协作，助力企业高效办公快速发展。
下面从emm管理平台的三大核心部分来逐一介绍：
一，移动设备管理(mdm)。移动设备管理提供移动设备生命周期管理，包括设备与身份的绑定、设备新增、改动、使用、监控、遗失/作废管理，同时也对设备进行安全管控。mdm包括客户端和平台两部分。客户端以移动应用的形式安装于设备中，通过平台端的安全策略让用户在客户端访问企业内网，同时也能对设备进行管控。
设备信息管理包括已审核认证的设备列表、设备基本信息、客户端证书列表、移动设备组定义、设备用户绑定;策略定义则是从设备登录、设备检查、设备控制几个方面进行管理，对于新增的设备，确认绑定的用户信息，然后扫描设备是否存在root、越狱等安全隐患，设定移动应用黑名单，通过安全检测策略确保接入系统的设备是通过认证的合法设备;设备管理还能对设备的操作进行监控，发现违规操作和异常操作时自动锁定设备，避免风险。
二，移动应用管理(mam)。移动应用管理提供企业应用商店app整个生命周期管理，包括对应用注册管理、应用资源配置管理、应用发布管理、应用审核管理和应用视图管理。
在移动应用管理中可以对应用进行配置参数设置，用于自动配置应用扩展功能及自动配置客户端应用;mam提供app的白名单和黑名单管理，并且根据策略对设备端应用进行安全检查;同时mam支持第三方应用的快速接入和原生应用数据的保护，通过sdk对应用进行安全加固，提供企业和个人移动应用数据隔离机制;mam提供应用统计功能，对应用的使用人数、访问频率、使用行为等信息进行统计，供企业管理员参考。
在移动应用管理中提供应用的灰度发布，介于注册和应用正式发布之间，在小范围内对应用进行验证测试，当应用趋于稳定且完善后再次提交审核，获得最终的正式版本发布，减少应用的bug和漏洞，确保应用软件安全性。
三，移动内容管理(mcm)。移动内容管理用于保护电子邮件、web及文档的安全。通过沙箱技术将核心数据与私人数据进行分离，结合app tunnel安全通道防止数据内容被转发、截屏、复制，结合mdm限制设备上的文档操作，提供受限的文档操作功能和文档共享能力，同时，mcm单独提供一个功能受限的安全浏览器，通过禁止截屏、禁用复制、禁用分享等措施保障企业web内容的安全，实现移动dlp。
移动内容管理在加强自身数据安全的同时，还能对用户的行为操作进行监控，对于关键内容异常操作等行为，能够进行及时有效的制止，由于异常操作造成的数据泄露，也能在mcm中追溯到具体操作人员，有助安全审计。
四，移动运维管理。针对部门、应用、用户、性能及设备等各方面的数据统计，权利分散在三大管理员权限之中，通过系统移动运维管理确保企业办公的正常运转，利用扁平化的管理机制，在确保安全的同时提升办公效率。
appiron移动应用实测
appiron在移动端主要集成了emm sdk封装好的应用商店和安全浏览器两个功能，结合客户端的emm管理平台确保用户在移动端访问企业内网时的安全，同时便于企业it部门对移动设备的管理和安全预防。两者相互分工却又协同共进，客户端提供安全策略设定、运维统计及各项管理，主要面向企业it部门，而移动端通过应用商店及安全浏览器来使用企业应用软件及访问企业内网数据，面向企业所有员工。
初识appiron
企业员工通过安装appiron应用进入用户登录界面，账号密码为企业员工的身份认证，移动设备则是在emm管理平台经过安全审核授权可用的，且每个移动设备都会绑定对应的员工。
为了达到的有效安全管理，在登陆后企业还能根据自身情况对用户使用appiron应用进行二次验证，支持复杂手势密码、集成sso模块的动态密码等。
appiron应用
移动端appiron主要分为应用和用户两大块，应用块则是appiron为企业用户提供的应用商店模块，用户可以在应用商店里下载所需的应用软件，安装完成的则以图标的形式显示在“我的应用”中。应用下方为企业发送的系统消息，通过emm管理平台来实现。需要注意的是所有应用商店中的应用都是在emm管理平台中进行了安全审核的，由企业it部门分配用户群组的使用访问权限。
移动端用户界面截图
在客户端的emm管理平台上，it部门对企业所需用到的各类应用软件进行分类，设置不同群组的访问，通过安全策略审核的应用则能发布出现在移动端的应用商店中，用户可根据自身需求选择下载。
下面通过几个具体实例讲解appiron为企业it管理带来的便利：
1.应用管理
在appiron移动端应用商店中的每个应用都经历了“应用登记授权、注册、发布、审核”等步骤，由emm后台中的系统管理员进行应用登记授权，再经设定的安全策略进行各项检查，然后由安全管理员进行应用的信息设定和发布范围设定，最后经二次审核正式在移动端上线，同时，安全管理员可以在应用视图中对移动设备上的应用进行相应的数据统计。
应用注册
后台可见的应用注册列表
新应用注册完毕后申请发布
安全管理员对申请应用进行合规检查，二级审批发布
统计企业用户绑定移动设备中的应用使用情况
重点说明：各企业内部架构及业务流程的不同，使得市面上通用的应用软件和企业适用度存在一定差异，此时企业针对各自的特点就会让研发部门进行内部应用的二次开发，在整个开发过程中，不可避免的会有一定偏差，因此再次开发的应用在测试和发布中需要不断的重复，直到最后安全稳定为止。针对此种情况，appiron提供全方位的应用灰度发布，可设定应用发布在小范围内进行测试，同时支持多个应用版本共存下载，直到最终测试完毕正式上线。
2.策略管理
伴随byod设备的快速普及，如何确保企业员工byod设备的安全性？如何对byod设备的各种安全事件做到快速响？……这些都是企业it部门在安全管理中面临的严峻挑战。
appiron提供各项策略服务，通过设备的安全检查策略、安全控制策略等多方面进行安全保障，同时对用户的终端移动设备做到有效的可管可控操控，在应对各类安全事件时能服务于企业，为it部门带来更大的助力。
安全检查策略设定
安全管理策略设定
在实际操控中，对android设备进行了相应的控制策略，安全系统管理员可对相应的各项策略命名，方便在具体实用及数据运维中更直观的了解，同时各项策略可以指向特定组织或用户设�...