一种基于电力移动办公设备的安全管控方法、装置及系统与流程

本申请涉及电力领域，尤其涉及一种基于电力移动办公设备的安全管控方法、装置及系统。

背景技术：

电力服务作为关系民生的一项基础服务，在日常生活中扮演着重要角色，电力企业也一直把电力信息化建设作为工作中的重中之重。信息化建设也从固定的桌面端向移动的手持端方向发展，经过几年的建设，各业务领域的移动端应用已初具规模，移动办公也已成为日常办公不可或缺的组成部分，但随着移动端安装的应用越来越多。

独立应用开发质量的参差不齐，且单一设备间不同的软硬件环境也给移动办公带来了安全性方面的挑战，目前虽然接入的是电力企业内网，但是访问的数据和业务不属于企业核心，因此通过从设备端、到网络传输、远程控制和后台安全监控等一套完整的安全管控体系，在移动办公带来便捷的同时，也解决了很大部分的安全性问题，为电网公司企业移动应用的发展提供安全性保障。

技术实现要素：

本申请提供了一种基于电力移动办公设备的安全管控方法、装置及系统，以解决电力移动办公的安全性问题。

第一方面，本申请提供了一种基于电力移动办公设备的安全管控方法，所述方法应用在主控机上，所述方法包括：

发送管理指令至移动终端中，其中，所述管理指令包括设备监控指令和设备安全策略执行指令；

如果所述管理指令是设备监控指令，则调用sdk接口进行安全监控；

接收所述移动终端根据所述监控指令反馈的监控信息；

如果所述管理指令是设备安全策略执行指令，则控制所述移动终端执行所述设备安全策略执行指令。

第二方面，本申请还提供了一种基于电力移动办公设备的安全管控装置，其特征在于，包括管理指令发送模块和信息接收模块，其中：

所述管理指令发送模块，用于发送管理指令至移动终端中，其中，所述管理指令包括设备监控指令和设备安全策略执行指令；

安全监控模块，用于如果所述管理指令是设备监控指令，则调用sdk接口进行安全监控；

接收模块，用于实时接收所述移动终端发送的监控信息；

控制模块，用于如果所述指令是设备安全策略执行指令，则控制所述移动终端执行所述设备安全策略执行指令。

第三方面，本申请还提供了一种基于电力移动办公设备的安全管控系统，其特征在于，包括：主控机、移动管理平台、移动应用商店和移动终端，其中：

所述主控机通过4a平台与所述移动管理平台通信连接；

所述移动管理平台通过内外网交换平台与所述移动应用商店连接；

所述主控机通过vpn及移动管理平台与所述移动终端通信连接。

本申请公开的基于电力移动办公设备的安全管控方法、装置及系统中，结合设备安全、应用安全、数据安全、运行监控这些技术优势，针对目前电力移动办公中出现的突出问题进行优化和改善：最大限度在保证电网电力移动办公一体化建设及移动办公的业务和数据安全性方面提供了强有力的技术手段。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种基于电力移动办公设备的安全管控方法的流程示意图；

图2为本申请实施例提供的另一种基于电力移动办公设备的安全管控方法的流程图；

图3为本申请实施例提供的一种基于电力移动办公设备的安全管控装置结构示意图；

图4为本申请实施例提供的另一种基于电力移动办公设备的安全管控装置结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

本方法专注于采用移动设备安全管理(mdm)、移动应用安全管理(mam)、移动数据安全管理(mcm)、移动用户安全管理和移动应用运行监控等多种安全防护和安全管理手段，从终端、网络、平台三个方面构建移动安全管控平台，实现安全、可靠、经济适用的移动安全管控功能。

参见图1，为本申请实施例提供的一种基于电力移动办公设备的安全管控方法的流程示意图。

在步骤s101中，发送管理指令至移动终端中，其中，所述管理指令包括设备监控指令和设备安全策略执行指令；

本申请实施例提供的方法应用在基于电力移动办公设备的安全管控系统的主控机中，在移动终端申请进入内网时，用户使用pc电脑插入ukey访问4a(authenticationaccountauthorizationaudit，统一安全管理平台解决方案)门户，在4a门户中通过单点登录打开移动接入管理平台的自助证书申请界面，首先调用vpn(virtualprivatenetwork，虚拟专用网络)接口验证vpn是否开通，之后通过界面申请证书授权码时调用pki/ca的移动证书申请接口。

移动终端有证书时，通过移动证书登陆vpn，并调用pki/ca(publickeyinfrastructure，公钥基础设施；certificateauthority，认证中心)的证书验证接口验证证书有效性。用户登录成功后，通过vpn通道进入门户app首页，并调用移动应用管理接口获取应用商店信息和当前用户的权限。用户从门户app中启动子应用，子应用通过移动应用管理获取用户身份信息和权限，再连接容器云获取相应的服务，如服务内容需要从业务系统中获取则需要经过容器云连接业务系统。4a数据通过接口同步到移动终端接入管理，移动终端接入再同步数据到移动应用管理。

移动接入管理平台下发管理命令，命令通过内外网交换平台进行数据摆渡，摆渡到dmz区移动应用商店，移动应用商店针对不同客户端推送命令方式不一样，ios客户端通过苹果的apns服务器推送到每个客户端，android客户端则通过个推平台推送命令到每个客户端。

在步骤s102中，如果管理指令是设备监控指令，则调用sdk接口进行安全监控。

系统内提供sdk(softwaredevelopmentkit，软件开发工具包)接口用于进行设备监控。用户可通过主控机监控每一个连接至内网的移动终端，当需要监控或查看某一个移动终端时，通过主控机便可监控。

设备监控指令是一个实时监控的指令，可实时监控移动终端的流量、应用、设备、用户及异常告警。移动终端实时向主控机反馈上述监控信息。

在步骤s103中，接收移动终端根据监控指令反馈的监控信息。

实时或周期性接收移动终端根据监控指令反馈的监控信息，监控信息可包含移动终端的使用流量、应用运行情况、设备的运行情况、用户登录及异常告警等信息。根据移动终端反馈的监控信息确定移动终端的使用情况，从而起到监控的目的和作用。

在发送监控指令时，第指令进行加密处理，防止指令在传输过程中被篡改。

在步骤s104中，如果所述管理指令是设备安全策略执行指令，则控制所述移动终端执行所述设备安全策略执行指令。

如果管理指令是设备安全策略执行指令，得将安全策略执行指令发送至移动终端，控制移动终端执行设备安全策略指令指令。设备安全策略执行指令用于控制移动终端禁止拍照、禁止截屏以及下发内网的标识和密码，移动终端根据下发的内网的标识和密码连接至内网。主控机设定移动终端的锁屏密码，锁屏密码可预设为设备标识，防止第三者使用。

在传输数据时，主控机将内部数据进行压缩和加密后再发送至移动终端，防止数据在传输过程中被篡改或截取。另外，内部数据通过沙箱隔离技术，将内部数据存储在安全沙箱内，不能被非内部网的移动应用访问到，并且数据实行加密存储，即使移动终端被破解或越狱，也无法对拷贝的数据文件进行查看。

本申请实施例中主要对企业移动应用的数据做加密和隔离处理，数据存储的文件为电力移动应用所独占，企业应用无法访问，同时，使用rsa+aes双重加密后的文件，只有使用特定的解密方式才能读取到其中的数据内容，充分保障数据安全性。

参见图2，为本申请实施例提供的另一种基于电力移动办公设备的安全管控方法流程示意图。

在步骤s105中，接入移动管理平台，以及调用vpn接口。

在步骤s106中，如果vpn接口已开通，则调用pki/ca的移动证书申请接口。

在步骤s107中，获取申请证书授权码，以及根据申请证书授权码登录所述移动管理平台。

本申请实施例提供的方法应用于主控机与移动终端建立连接的过程，主控机在于移动终端建立连接时，需要首先接入移动管理平台，并调用vpn接口。如果vpn接口已开通，则调用pki/ca的移动证书申请接口，获取申请证书授权码，根据申请证书授权码登录移动管理平台。

本申请实施例针对目前电力移动办公过程中内网应用及数据安全性缺失的问题，进行补充优化和改善，从设备安全性、应用安全性、数据安全性及监控几大方面入手，为移动办公带来便捷的同时，也解决了很大部分的安全性问题，为电网公司企业移动应用的发展提供安全性保障。

参见图3，为本申请实施例提供的一种基于电力移动办公设备的安全管控装置结构示意图。

如图3所示，基于电力移动办公设备的安全管控装置包括管理指令发送模块和信息接收模块，其中：管理指令发送模块，发送管理指令至移动终端中，其中，管理指令包括设备监控指令和设备安全策略执行指令。安全监控模块，用于如果管理指令是设备监控指令，则调用sdk接口进行安全监控；接收模块用于实时接收所述移动终端发送的监控信息。控制模块用于如果指令是设备安全策略执行指令，则控制所述移动终端执行所述设备安全策略执行指令。

控制模块包括禁止模块，禁止模块用于控制所述移动终端禁止拍照、禁止截屏以及下发内网的标识和密码，控制所述移动终端自动连接内网。

控制模块还包括加密模块和隔离模块；加密模块用于传输数据时，压缩内部数据并加密后发送至所述移动终端；隔离模块用于将内部数据进行隔离并加密存储。

参见图4，为本申请实施例提供的另一种基于电力移动办公设备的安全管控装置结构示意图。

如图4所示，电力移动办公设备的安全管控装置还包括接入模块、调用模块及登录模块；接入模块用于接入移动管理平台，以及调用vpn接口；调用模块用于如果所述vpn接口已开通，则调用pki/ca的移动证书申请接口；登录模块用于获取申请证书授权码，以及根据所述申请证书授权码登录所述移动管理平台。

由上述描述可知，本申请实施例提供的装置主要对企业内部数据进行加密和隔离处理，从设备安全、应用安全、数据安全和监控入手，为移动办公带来便捷的同时，保证其安全性。

本申请实施例还提供了一种基于电力移动办公设备的安全管控系统，包括：主控机、移动管理平台、移动应用商店和移动终端，其中：主控机通过4a平台与所述移动管理平台通信连接；移动管理平台通过内外网交换平台与所述移动应用商店连接；主控机通过vpn及移动管理平台与所述移动终端通信连接。

本领域技术人员在考虑说明书及实践这里发明的公开后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。