一、背景描述
BYOD（Bring Your Own Device）指携带自己的设备办公，这些设备包括个人电脑、手机、平板等在机场、酒店、咖啡厅等，登录公司邮箱、在线办公系统，不受时间、地点、设备、人员、网络环境的限制，BYOD向人们展现了一个美好的未来办公场景。用户希望无论使用哪个设备或该设备连接自哪里都能无缝访问公司的资源。随着工作与生活之间的界限日益模糊，安全性不再只是如何将人们阻挡在外的问题，还是如何让人们能够进来的问题。此外，新的业务需求也促使网络需要更大的灵活性和更多选择，同时用户也要求具备内部网络相同的网络性能和安全级别。如何将BYOD的安全风险最小化，是本方案讨论的主要议题。 

二、安全拓扑

 
三、方案描述
1、部署移动智能终端安全管理平台：移动智能终端通过2G/3G/WIFI等无线方式接入天融信MDM平台，由该统一平台集中实现移动终端设备的远程统一管理及移动数据传输和存储的安全保护功能；
2、部署无线办公平台：通过天融信的TZ-AP5000 系列室内型无线接入点，配合TZ系列无线控制器，为单位组建便捷安全的内部无线办公平台；
3、部署安全桌面虚拟化平台：通过天融信TVSP虚拟不同的安全桌面，在实现移动终端及本地终端安全管理与审计的前提下，保障了数据的安全，结合不同级别业务的访问控制，避免了终端的不可控性；
4、部署业务服务平台：通过采用天融信TopGate安全网关等边界防护手段，有效防范网络攻击行为、蠕虫病毒等各种外来威胁，在实现严格访问控制的基础上有效保障各类业务应用的安全性；
5、在互联网边界出口部署VPN综合安全网关，提供IPSEC/SSL等方式VPN的接入，对通过互联网远程办公的传输数据进行安全加密；
6、在移动办公用户的笔记本或智能终端上安装VPN客户端或安全插件后，即可实现安全的移动办公。通过和硬件的绑定，并使用多因素认证方式，可严格控制接入VPN系统，实现用户和计算机的专人专用，防止用户名密码泄漏带来的安全隐患，保证网络系统的安全性。

四、方案优势
1、涵盖了企业移动设备管理、移动设备安全管理和移动应用程序管理等多个方面，对移动终端的生命周期提供了全面的管理功能，提高了移动终端的可靠性和安全性；
2、无线接入点及控制器的组合，为无线办公用户提供优秀的数据转发体验；
3、实现了全网信息化建设虚拟化，并通过统一的终端安全防护、业务访问控制、用户身份认证、数据防泄漏、安全审计等，实现了远程及本地办公数据的安全；
4、边界防护手段的组合，包含防火墙、防病毒、入侵防御等，有效的保障了关键业务应用及核心数据的安全，使其免受各种外部攻击侵扰；
5、解决了远程通信过程中的泄密和数据篡改等问题；
6、对远程办公人员的访问资源进行有效控制，限制合法用户只能在自己权限范围内访问内部信息网络，防范了越权访问；
7、……