目录
href="htt p s:// http:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466603 ">第一章 账内机管理平台 3
href="https:/ / http:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466604 ">一. CIMS智能手机管理平台 3
ttps://zhuanlan.zhihu.com/p/345474204/edit_Toc56466605">1.移动设备管控目标 3
/zhuanlan.zhihu.com/p/345474204/edit_Toc56466606">2.CIMS 智慧工厂版管控能力 4
href="https :/ / http:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466607 ">第二章 账外机管理整体方案 12
s :/ /zhuanlan.zhihu.com/p/345474204/edit_Toc56466608">一.便携式手机信号发现设备 12
href=" https:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466609 ">1. 概述 12
href=" https:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466610 ">2. 实现功能 12
href="https: // http:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466611 ">二. 手机数据点验及分析设备 13
f=" https:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466612 ">1.产品概述 13
f=" https:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466613 ">2.实现功能 13
t tp s://zhuanlan.zhihu.com/p/345474204/edit_Toc56466614">三.账外手机电子围栏 16
<a href=" https:// zhuanlan.zhihu.com/p/34 5474204/edit_Toc56466615 ">1 系统功能介绍 16
" ht tps://http://zhuanlan.zhihu.com/p/345474204/edit_Toc56466616">四.系统建设预算 18
ttps://zhuanlan.zhihu.com/p/345474204/edit_Toc56466617">4.1账内机管理系统 18
://zhuanlan.zhihu.com/p/345474204/edit_Toc56466618">4.2账外机便携侦测定位系统 19
ps://zhuanlan.zhihu.com/p/345474204/edit_Toc56466619">4.2账外机电子围栏系统 20
从注册、激活、管理和淘汰的各个环节,提供完整的设备生命周期管理功能。包括设备管理、资产管理、配置管理、安全管理等,帮助敏感区域应对移动化进程中的遇到的种种问题。将IT管理能力扩展到移动终端,移动设备无论在任何地方,都必须遵守敏感区域设定的安全策略,接受智慧工厂的统一管理。
CIMS智慧工厂版是专门推出的电力行业专用的移动设备管控平台, 是符合电力行业管控要求下多功能集合的全方位解决方案,平台包括:移动设备管理、移动应用管理、安全上网理三大模块,实现资产管理、安全管理、应用管理、报表统计、内容审计过滤等功能,满足电力行业移动终端安全管理系统快速部署及未来发展的需要。
CIMS智慧工厂版主要包括移动设备管理(MDM) 、移动应用管理(MAM) 、移动设备安全上网管理等主要功能。
CIMS 智慧工厂版从设备准备、使用、淘汰的各个环节,提供完整的设备生命周期管理功能。包括设备管理、资产管理、配置管理、安全管理等,帮助智慧工厂应对移动化进程中的设备分发、部署、配置、管理等问题。将IT管理能力扩展到移动终端,移动设备无论在任何地方,都必须遵守智慧工厂设定的安全策略,接受智慧工厂的统一管理。具体功能如下:
CIMS提供批量用户及设备导入功能,支持文件导入和LDAP/AD导入两种方式。管理员可将智慧工厂 LDAP/AD 服务器中的用户导入管理平台某个用户组中,然后按照用户组、用户名关键字进行选择性导入。通过管理平台能方便地对所有用户及设备进行查询,实时了解用户及设备的详细情况,以便智慧工厂对移动设备的监测和管理。
提供配置管理功能,通过预定义好的配置项,在设备激活后,自动向设备下发配置信息,并可通过修改配置文件在线对已激活的设备进行配置信息修改。
支持设备定位、锁定设备、数据擦除、淘汰设备、防卸载、事件日志等多种方式进行统一端点设备的安全管理。 为防止Web端访问被恶意破解,运营平台、管理平台和自服务平台提供一些可选的安全机制,如双因子认证,密码输入错误达到一定次数要求用户提供随机验证码或锁定该IP。
支持在地图上查询单个设备的历史轨迹。选择起始和结束时间,可查询单个设备在该时间段内的历史轨迹。
支持时间/地理围栏功能。管理员可创建基于时间或地理位置的管理策略,当移动终端处于某段时间,或某个地理位置范围时,自动开启控制策略。
针对Android设备,限制包括设置锁屏密码、配置网络(移动数据、Wi-Fi)、禁用摄像头、禁用蓝牙,应用限制包括沙箱应用的启用/禁用、沙箱内应用的启用/禁用。
可设置围栏内的通话白名单,在围栏内仅能与白名单内的号码通话。
支持定制桌面,围栏内显示定制桌面,围栏外停用。在围栏范围内还支持相机使用的安全提示配置,策略生效后,终端上打开定位和相机开启时会弹出信息安全提示,提示用户在敏感区域注意信息安全保密。
支持对设备创建标签,并根据标签进行消息推送、应用推送、策略下发、内容下发等各种操作。基于设备标签,可突破组织架构的限制,对虚拟团队或跨部门组织进行统一管理。
设备标签包括静态标签与动态标签两类,静态标签是用户根据需要自定义的一组设备集合。动态标签是根据用户设定的一系列条件,自动筛选出来的设备,这个设备集合是根据当前筛选条件的不同,实时改变的。
支持对标签的进行分级管理,不同级别的管理员具有不同的标签操作权限。
Android 客户端通过综合利用多进程守护、辅助功能、默认Launcher以及查看应用使用情况等功能,在无需获得系统签名或预装应用的情况下,强化了CIMS客户端的防卸载和防被杀死进程功能。此功能适用于智慧工厂、电厂、变电站等对设备有强管控需求的行业。该功能重点适配了华为、OPPO、Vivo和中兴4个品牌的终端,此功能为可选配置。
CIMS 智慧工厂版允许自建移动应用商店,实现移动应用获取、分发、管控、跟踪的全生命周期管理能力。能有效地、安全地为智慧工厂提供应用管理,减轻IT部门将移动应用程序转移到个人设备的负担。具体功能如下:
管理员可通过智慧工厂应用商店进行应用上传、管理、分发等操作,实现智慧工厂移动应用的统一管理。
CIMS 提供远程推送功能,可设置为必装或按需。对于必装应用,系统会要求用户必须进行安装。如果用户不安装指定应用将重复推送程序,直到安装完成。同时,对于经过厂商授权的移动设备,还可静默推送安装,用户全程无感知。
支持查看已安装/已分发应用的所有设备列表,并可导出该设备列表;应用商店里可以通过点击标题栏的方式,按照已安装数量、更新时间来排序,并可通过筛选框进行筛选;新增CIMS客户端版本统计功能;应用策略中,可以查看该策略的已安装/已下发数量,以及下发用户的详情。
此外,还优化了平台设备、用户、应用等多维度的统计报表,包括:设备激活记录、设备已安装应用报表、用户详情报表、应用详情报表、应用安装统计报表、应用黑白名单报表、合规策略报表、内容报表。运营平台的客户还可以直观的显示出当月客户套餐使用情况和激活设备数。
为限制智慧工厂使用不合规软件,可设置软件黑/白名单。通过应用黑/白名单策略监控并限制用户使用不合规应用情况,在用户安装或运行匹配的应用时,将违规信息同步至管理平台,并可向用户推送警告信息。
智慧工厂应用包含很多敏感数据,涉及智慧工厂机密信息,如果不能得到有效防护,很可能造成数据泄漏。CIMS 为智慧工厂用户提供一套SDK,用于管理和配置智慧工厂的移动应用,实现应用的数据安全和应用的集中配置。开发者集成SDK后,可以通过SDK提供的AES256加解密接口提升移动应用产生数据的安全性,在应用层进行数据加密,在设备端将应用的离线数据加密存储在容器中,达到防止数据泄露的目的,而无需关注负责的安全技术。
针对Android系统采用革新的沙箱技术,支持应用级、容器级和系统级的 DLP 数据防泄漏,数据加密等功能。支持的限制项包括:相机、麦克风、地理位置、读取短信、联系人、通话记录、手机号码、发送短信、媒体库、蓝牙、拨打电话、数据共享和打印功能等功能。
CIMS提供对设备进行安全上网行为的管控,该功能需要获得高级审计功能的License授权。
支持将微信QQ的摇一摇、附近的人和漂流瓶等陌生人交友功能进行禁用,保证战士上网安全,防止勾联事件的发生。
管理员可以在管理平台自定义或批量导入敏感字,微信及QQ等聊天软件中如果出现该敏感字,则自动记录或者替换成星号,防止由于智慧工厂人员无意识中泄露机密,同时支持对聊天记录进行审计,审计内容自动上传至服务器,包括文字、语音、图片和视频。
管理员可以在管理平台自定义或批量导入敏感字,智慧工厂工作人员在使用移动设备过程中如果浏览或搜索该敏感,CIMS自动记录该敏感字及访问的设备信息,用于在泄密事件发生后,可以追根溯源。
管理员可以在管理平台自定义或批量导入敏感网址,智慧工厂工作人员在使用移动设备过程中如果浏览该网址,CIMS自动切断敏感网址的访问,防止工作人员访问不健康、不安全的网站。
管理员可以向设备推送定制版本的谷歌、百度或搜狗输入法,设备静默安装后会自动配置为默认输入法,用户在输入文字时,将会自动匹配管理员下发的敏感词词库,一旦触发敏感词将自动将敏感词替换为*号。
管理员可以在时间/地理围栏内,配置分时上网策略,比如禁止智慧工厂工作时间或学习期间使用手机上网,但是不禁止手机的基本通话和短信功能;同时还可以指定智慧工厂工作人员在受限期间使用哪些应用。
移动数据采集系统是一款体积小、重量轻,适用于公安执法办案部门的一款移动分析工作站。该系统可采集嫌疑对象的手机身份代码之后,通过自身平台可快速侦测出嫌疑对象是否在已知目的地,通过对指定采集区域的分析,采集已知地点的信号数据,自动分析嫌疑手机信号。该系统还搭配了碰撞分析等数据分析模块,提升分析侦察的效率。产品主机可内置于挎包内独立工作,用智能手机通过WIFI工作,隐蔽性强,可进行隐蔽侦查定位。
l 支持移动、联通、电信所有运营商信号频段。
l 同时支持三频段同时工作(B1/B3/B34/B38/B39/B40/B41/B5/B8),均支持跨Band多频点轮询。频点轮询耗时毫秒级。
l 工作频点支持智能自配置,通过扫网,实现智能自配置,无须手动添加频点
l 支持黑名单定位模式、吸附定位模式。
l 发射功率2W,室外环境有效距离400米以上。室内环境隔楼层可中标。
l 整机体积小巧,重量轻,携带方便,操作人员负担轻。
l 工作时发热量低,并配置静音风扇,工作时无噪音,不易引起外界注意。
l 帧偏置自配置,支持动态空口、GPS双同步模式,持续纠频偏等处理机制,确保工作过程中不影响周边其他非目标手机。
l 通过手机APP管理,APP操作简单,直接配置黑名单即可使用。
l 支持独立工作模式和单兵工作模式,可独立工作,也可以配合单兵来使用。
手机数据点验及分析设备是定期对智慧工厂手机(特别是帐外机)进行安全检查,深度读取手机现有信息和已经删除的通信(通话、短信),微信、QQ等多项APP数据。并对手机存储的图片、影像、文档等资料的恢复查看,自动生成内容检查报告,及时发现涉黄、涉赌、涉贷与失泄密问题。
1.支持android、iphone手机等其他操作系统的手机数据提取,手机机身点验支持三路并行点验。
2.能够对手机图片、即时通信应用数据、上网记录及应用程序使用痕迹进行安全检测。
3.能根据手机数据,对机主上网习惯、经济行为、行为轨迹等进行分析,并形成分析报告。
n 支持丰富的应用类别解析:
1) 基本信息:账号、短信、彩信、iMessage、闹钟、通话记录、联系人、日历、蓝牙、Wifi、安装应用、Android开机密码、系统痕迹、用户痕迹、
系统日志、VPN、位置。
2) 即时通讯:账号、公众号、好友、群列表、群消息、讨论组、好友动态、联系人、通话记录、定位、搜索记录等信息。
3) 浏览器类:账号、上网记录、收藏夹、Cookie、密码、下载等信息;支持网络社交类应用中的账号、好友、话题、搜索记录等信息。
4) 电子商务类:账号、商品、店铺、交易、聊天、定位、搜索记录等信息。
5) 邮件类:账号、通讯录、收件箱、发件箱、草稿、删除信箱、其他信箱、搜索记录等信息。
6) 地图类:账号、定位、导航、搜索记录等信息。
7) 出行类:账号、定位、出行路线、酒店订单、推送消息、常客卡、航班搜索、搜索记录等信息。
8) 快递类:账号、地图定位、搜索记录、推送消息、订单、常用地址等信息。
9) 网盘类:账号、好友、群、讨论组、动态、传输、文件、搜索记录等信息。
10) 笔记类:账号、笔记本信息、搜索记录、群聊等信息
11) 传输类:账号、好友、群、讨论组、WIFI、传输、文件、搜索等
12) 手机安全类:账号、屏蔽的通话记录、屏蔽的短信记录、黑白名单等信息。
13) 手机助手类:账号、下载的APP、收藏的APP、管理资源文件列表、文件传输列表、搜索记录、地图定位信息等信息。
14) 其他:运营商类、输入法类应用的账号信息、天气类应用的账号及定位信息。
整套智慧工厂屏蔽管控系统包括以下部分:
1) 屏蔽子系统(室内覆盖):精准屏蔽控制区域内的手机信号;
2) 通讯管控子系统(室内覆盖):侦测、管控信号的室内分布;
3) 通讯管控子系统(室外覆盖):侦测、管控信号的室外覆盖;
4) 访客管理子系统(门卫侦码识别):将外来人员手机转为白名单。
5) 平台软件:黑白名单管理(白名单放行、黑名单屏蔽)、手机信息告警、访客管理、用户管理、权限管理、策略配置、日志审计等。
6) 智慧工厂局域网:本地部署;
屏蔽管控子系统(屏蔽管控主设备):屏蔽管控主设备。
可根据实际需求,针对性的设计管控范围:
1) 全屏蔽区域:该区域内所有手机实施屏蔽,无法正常使用;
2) 侦测管控区域:白名单用户可正常使用,黑名单用户无法正常使用;
3) 门岗侦码设备区域:当领导或学习人员进入智慧工厂时,要被侦码设备采集一次,被采集后的人员手机默认是白名单人员,可以正常上网、通话。
支持的手机制式,包括现有的2G/3G/4G/5G(NSA)频段的所有用户,并为5G(SA)留有升级接口。
下一篇:智慧电厂信息系统设计方案
