产品

模块

指标项

功能描述

移动安全管理平台

系统整体功能要求

系统整体功能要求

1.支持iOS、Android、PC多平台的移动办公安全管理；

2.iOS不需要安装设备管理配置文件，Android不需要激活设备管理器，满足BYOD环境下轻量化实现方式；

3.提供600个移动端和200个PC端授权。原厂一年维保服务。

系统用户及认证管理

系统用户及认证管理

用户同步：支持手动导入、支持基于模版批量导入、支持与AD/LDAP；

用户管理：1、实现创建、修改、删除、导入、导出用户；

2、实现搜索、查看用户信息；

3、实现激活/取消激活用户，已停用用户无法登录

用户认证：1、支持平台本地认证；

2、支持AD/LDAP、第三方IAM认证；

3、支持多因素认证：支持用户名密码+短信验证码相组合的双因素认证，通过与第三方系统对接支持动态口令、数字证书、生物特征等认证方式，并支持各认证方式的组合满足双因素认证的要求

移动设备管理

对设备的远程操作

1、实现远程对设备锁定、擦除、删除、标记丢失、标记找回及清除密码

2、支持设备定位，包括实时定位及历史轨迹；支持播放铃声；支持消息通知；支持强制设备锁屏；支持标记丢失；支持擦除设备；支持删除设备；支持清除设备密码；支持SD卡状态变更

设备管控策略

强制密码、应用黑白名单、WiFi黑白名单、蓝牙黑白名单、URL黑白名单，企业WiFi配置、APN配置、内部邮件配置、设置墙纸等

设备功能控制策略

安卓设备：支持Android设备限制，禁止使用摄像头/禁止发送短信/禁止使用WiFi网络/禁止开启WiFi网络/强制开启WiFi网络/禁止开启移动数据网络/强制开启移动数据网络/禁止使用外置存储（TF卡）/禁止开启网络共享热点/禁止使用系统原生浏览器/禁止使用麦克风/禁止修改系统时间和日期/禁止使用定位服务/禁止开启开发者选项、USB调试及数据传输/禁止使用蓝牙/禁止恢复出厂设置/禁止使用移动数据网络（2G/3G/4G）/禁止使用第二张SIM卡/禁止使用设备分身、访客仅/禁止使用下拉通知栏/禁止使用APN设置/禁止截屏/禁止开启飞行模式/禁止使用设备备份/强制开启GPS/强制关闭GPS/禁止安装外部来源应用/禁止使用NFC/禁止MTP数据传输；

支持在安卓设备禁止使用摄像头功能上配置例外应用（可要求提供相关配置截图）；

安卓设备支持禁止使用设备分身、访客（可要求提供相关配置截图）

移动端品牌、系统适配

移动端品牌、系统适配

移动设备管理支持国产五大品牌：华为、荣耀、小米、OPPO、VIVO，终端形态包括手机、平板；

移动设备管理支持Android、鸿蒙、IOS系统

移动设备合规管理

系统类型合规

设备破解情况、设备在线状态；系统版本、SIM卡、电量、存储空间状态的合规检测及合规策略的配置

应用类型合规

设置必装应用检测，一旦违规触发违规机制

违规机制

违规告警、远程锁定设备、擦出企业应用、恢复出厂设置、禁用企业应用

安全桌面

设置安全桌面，设备启动后自动进入安全桌面状态，同时可以设置安全桌面内可见内容

移动端内容管理

文件夹管理

实现查看、新建、编辑、删除文件夹、实现根目录删除

文件管理

支持支持单个文件或文件夹压缩包的上传，支持所有格式：e.g. PNG、JPG、PDF、DOC、DOCX、XSL、PPT、TXT、HTML、mp3、mp4等

安全策略

1、支持文档上传自动加密

2、支持受限阅读，文档只能加密应用查看

3、实现对文件有效期、文件分发通知、文件下载和预览权限、文件自动下载进行设置

移动端数据备份

通话记录

对终端产生通话记录进行数据备份，包含通话时间、通话类型等并进行数据统计，自定义时间段内拨打接通、拨打未接通、来电接通、来电未接通次数

短信记录

对终端产生短信记录进行数据备份，包含短信记录、彩信记录，并对短信发送次数、接收次数、彩信发送次数、彩信接收次数统计

通讯录

对终端通讯录产生数据进行数据备份。可远程添加/删除通信录数据

相册

对终端相册数据进行备份，包含相册图片数据、视频数据

移动应用管理及数据安全

应用生命周期管理

支持H5，本地H5，APK、IPA文件的后台上传，基于用户、组织等进行应用分发；

支持应用的多版本管理、灰度发布、应用的下架以及回收

应用安全服务能力

对上传平台的应用提供APP加固服务、提供代码混淆、放反编译、加密等能力；

对上传平台的APP提供APP检测服务，包括APP自身代码漏洞、逻辑漏洞、低安全性能力等检测能力，并可导出APP检测报告

应用赋能

1、快速沙箱化：可以快速对apk、ipa文件进行沙箱化处理，并提供响应的安全能力；

2、原包影响：沙箱化后的原包增量不超过30M（直接影响APP初始化、启动的效率）；

3、应用进程：工作空间的应用安装，需独立安装在操作系统内，具备独立的进程，保障应用能继承原有操作系统的安全性，以及应用运行的性能及稳定性

基础办公套件

1、安全邮件：提供企业私有、统一、具备安全能力的办公套件；

2、安全通讯录：提供企业内部通讯录管理模块；

3、安全文件管理器：提供企业内部文件预览及文件管理的套件

应用数据DLP策略

1、Android企业应用与H5应用支持应用水印支持明水印与暗水印模式

2、Android企业应用与H5应用支持截屏/录屏保护，禁止对此应用截屏或录屏，或监控对此应用的截屏操作，上报截屏信息，禁止此应用自身的截屏/录屏操作

3、Android企业应用与H5应用支持复制、粘贴保护，仅允许应用数据复制粘贴至开启此保护的应用，或禁止应用数据复制粘贴至任何应用

4、Android企业应用与H5应用支持应用数据加密

5、Android企业应用与H5应用支持应用文件隔离，实现文件路径加密混淆

6、Android企业应用支持安全键盘功能，具备随机按键布局模式

7、Android企业应用与H5应用支持应用运行安全策略，包括禁止应用启动、 禁止应用自启动、禁止通知栏消息、禁止后台运行

8、Android企业应用与H5应用支持使用网络控制，包括禁止使用WiFi网络、禁止使用移动数据网络

9、Android企业应用与H5应用支持系统权限限制，包括禁止拨打电话、禁止发送短信、禁止读取短信、禁止修改删除短信、禁止读取通话记录、禁止修改删除通话记录、禁止读取联系人、禁止修改删除联系人、禁止获取手机号、禁止调用蓝牙、禁止调用打印服务、禁止访问多媒体资源、禁止调用摄像头、禁止调用录音功能、禁止获取地理位置；

10、以上策略，具备基于角色、应用、应用不同版本的细粒度策略执行，同时上述策略可以动态变更

应用数据策略模版

1、支持设置复制粘贴白名单限制字符数

2、水印的大小、颜色、角度、内容进行灵活配置

3、支持配置Android、iOS、H5应用策略模板（需提供相关配置截图）

兼容性要求

兼容性要求

通用操作系统：支持CentOS、Redhat操作系统；

信创：中标麒麟；

通用数据库：支持Oracle、Mysql数据库；

信创数据库：达梦数据库、人大金仓数据库

移动端能力扩展要求

本地日志收集(门户客户端)

在服务端对平台客户端本地日志进行收集

应用性能监控(集成SDK)

应用集成性能监控SDK，可收集应用运行的性能情况，比如崩溃、卡顿

应用行为监控(集成SDK)

应用集成行为监控SDK，可收集用户使用应用的点击习惯

JS SDK

丰富H5应用对终端本地功能的调用能力，例如相机拍照、GPS定位、拨打电话等

SSO SDK

单点登录SDK，应用集成后可以实现单点登录

安全能力SDK

提供移动端安全能力SDK，应用集成后具备安全空间所有安全能力

PC端工作域

工作域管理

支持创建、修改、删除多个工作域；

支持搜索、查看工作域信息

应用管理

支持Windows应用自动上报和手动添加；

支持搜索和查看应用详情

安全策略

1、支持配置工作域水印，可设置仅工作域应用窗口水印和全屏水印；

2、支持配置工作域截屏检测控制；

3、支持配置工作域打印控制；

4、支持限制系统剪贴板，支持控制工作域外数据拷贝至沙箱和工作域内拷出字数限制；

5、支持配置工作域剪贴板复制粘贴白名单；

6、支持smb协议访问控制

应用策略

1、支持配置工作域内应用拦截方式；

2、支持配置应用黑/白名单，支持按用户、生效时间和应用选择

网络策略

1、支持配置网络黑/白名单，支持IP、IP段、IP区间和域名控制；

2、支持控制工作域内SDP资源访问控制；

3、支持网络策略导入、导出

文件外发设置

1、支持配置工作域外发流程、大小限制和文件外发审计参数；

2、支持与移动端联动，通过移动端进行外发审批操作；

3、支持设置外发审批模式，支持特权工作域或特权用户

预置应用

1、支持配置网页链接类型应用，打开后快速使用本地默认浏览器打开。支持配置指定的浏览器打开；

2、支持预置本地原生应用，支持配置应用进程名称和启动参数；

3、支持预置samba文件服务器，客户端可使用资源管理器打开；

4、支持原生应用未安装时进行错误提示或提示下载软件仓库应用

全局配置

支持配置截屏操作审计和截屏图片审计

工作域DNS配置

支持为指定工作域配置沙箱内域名解析服务器

应用管理

已安装应用管理

支持展示用户所有已安装应用；

支持自定义添加应用

软件仓库

1、支持第三方PC应用的上传、发布、下架和编辑操作；

2、支持对第三方应用进行分发和下载；

3、支持对第三方软件进行分类展示设置；

4、支持对接独立下载服务，应用上传支持本地发布/远程发布类型

PC客户端策略

客户端限制性策略

支持动态下发客户端强制开机自启、自动登录、卸载&退出限制、隐藏窗口等限制，并支持通过心跳调整和下发；

支持下发网络数据加密功能，防止中间人攻击

PC工作域审计

程序启动拦截日志

支持查看工作域启动禁止程序被拦截日志；

支持数据搜索和导出

复制粘贴拦截日志

1、支持查看工作域复制粘贴被拦截日志

2、支持查看复制粘贴的文本、图片和文件内容；

3、支持数据搜索和导出

网络拦截日志

支持查看工作域访问禁止网络被拦截日志；

支持数据搜索和导出

打印控制日志

支持查看工作域中打印文件日志；

支持数据搜索和导出

截图审计日志

支持查看工作域截图审计日志，支持查看截图内容；

支持数据搜索和导出

外发审计日志

支持查看文件外发审批流程和审核日志

syslog协议

审计日志支持通过syslog协议发送至第三方日志服务器

SDP零信任网关架构及兼容性

安全架构符合SDP规范

安全架构需符合CSA定义的SDP规范，采用客户端+控制器+网关的SDP安全架构，控制流和数据流分离

先认证后链接

采用先认证后接入的安全协议，在允许接入网关等之前先检查用户身份合法性

端口隐藏

业务系统和SDP网关均无需对外暴露任何TCP端口，使用SPA单包授权技术，仅通过认证的用户才能通过网关正常访问业务，减少互联网暴露面，降低恶意攻击和入侵风险

多类型终端接入

支持Android 7.0-11.x、iOS 11.0-14.x、Windows 7 32/64bit、Windows 10 32/64bit、MacOS 10.12以上等终端的接入

SDP零信任网关认证

SPA单包授权

需支持SPA单包授权技术，客户端先向控制器发送SPA认证消息，认证通过后，网关的端口才能对客户端开放

UDP敲门

SPA消息通过UDP协议敲门，控制器仅需开放一个UDP端口，避免开放TCP端口容易被扫描和攻击的问题。

客户端IP黑名单

在IP黑名单中的客户端无法发起SPA敲门，控制器默认丢弃请求

用户体验

SDP零信任网关客户端支持配置多个服务信息

客户端支持配置和保存多个服务器信息，可便捷切换

和安全工作空间客户端整合

使用安全工作空间客户端（包括移动端、PC端）即可自动登录SDP网关，用户无感知

产品

模块

指标项

功能描述

移动安全管理平台

系统整体功能要求

系统整体功能要求

1.支持iOS、Android、PC多平台的移动办公安全管理；

2.iOS不需要安装设备管理配置文件，Android不需要激活设备管理器，满足BYOD环境下轻量化实现方式；

3.提供600个移动端和200个PC端授权。原厂一年维保服务。

系统用户及认证管理

系统用户及认证管理

用户同步：支持手动导入、支持基于模版批量导入、支持与AD/LDAP；

用户管理：1、实现创建、修改、删除、导入、导出用户；

2、实现搜索、查看用户信息；

3、实现激活/取消激活用户，已停用用户无法登录

用户认证：1、支持平台本地认证；

2、支持AD/LDAP、第三方IAM认证；

3、支持多因素认证：支持用户名密码+短信验证码相组合的双因素认证，通过与第三方系统对接支持动态口令、数字证书、生物特征等认证方式，并支持各认证方式的组合满足双因素认证的要求

移动设备管理

对设备的远程操作

1、实现远程对设备锁定、擦除、删除、标记丢失、标记找回及清除密码

2、支持设备定位，包括实时定位及历史轨迹；支持播放铃声；支持消息通知；支持强制设备锁屏；支持标记丢失；支持擦除设备；支持删除设备；支持清除设备密码；支持SD卡状态变更

设备管控策略

强制密码、应用黑白名单、WiFi黑白名单、蓝牙黑白名单、URL黑白名单，企业WiFi配置、APN配置、内部邮件配置、设置墙纸等

设备功能控制策略

安卓设备：支持Android设备限制，禁止使用摄像头/禁止发送短信/禁止使用WiFi网络/禁止开启WiFi网络/强制开启WiFi网络/禁止开启移动数据网络/强制开启移动数据网络/禁止使用外置存储（TF卡）/禁止开启网络共享热点/禁止使用系统原生浏览器/禁止使用麦克风/禁止修改系统时间和日期/禁止使用定位服务/禁止开启开发者选项、USB调试及数据传输/禁止使用蓝牙/禁止恢复出厂设置/禁止使用移动数据网络（2G/3G/4G）/禁止使用第二张SIM卡/禁止使用设备分身、访客仅/禁止使用下拉通知栏/禁止使用APN设置/禁止截屏/禁止开启飞行模式/禁止使用设备备份/强制开启GPS/强制关闭GPS/禁止安装外部来源应用/禁止使用NFC/禁止MTP数据传输；

支持在安卓设备禁止使用摄像头功能上配置例外应用（可要求提供相关配置截图）；

安卓设备支持禁止使用设备分身、访客（可要求提供相关配置截图）

移动端品牌、系统适配

移动端品牌、系统适配

移动设备管理支持国产五大品牌：华为、荣耀、小米、OPPO、VIVO，终端形态包括手机、平板；

移动设备管理支持Android、鸿蒙、IOS系统

移动设备合规管理

系统类型合规

设备破解情况、设备在线状态；系统版本、SIM卡、电量、存储空间状态的合规检测及合规策略的配置

应用类型合规

设置必装应用检测，一旦违规触发违规机制

违规机制

违规告警、远程锁定设备、擦出企业应用、恢复出厂设置、禁用企业应用

安全桌面

设置安全桌面，设备启动后自动进入安全桌面状态，同时可以设置安全桌面内可见内容

移动端内容管理

文件夹管理

实现查看、新建、编辑、删除文件夹、实现根目录删除

文件管理

支持支持单个文件或文件夹压缩包的上传，支持所有格式：e.g. PNG、JPG、PDF、DOC、DOCX、XSL、PPT、TXT、HTML、mp3、mp4等

安全策略

1、支持文档上传自动加密

2、支持受限阅读，文档只能加密应用查看

3、实现对文件有效期、文件分发通知、文件下载和预览权限、文件自动下载进行设置

移动端数据备份

通话记录

对终端产生通话记录进行数据备份，包含通话时间、通话类型等并进行数据统计，自定义时间段内拨打接通、拨打未接通、来电接通、来电未接通次数

短信记录

对终端产生短信记录进行数据备份，包含短信记录、彩信记录，并对短信发送次数、接收次数、彩信发送次数、彩信接收次数统计

通讯录

对终端通讯录产生数据进行数据备份。可远程添加/删除通信录数据

相册

对终端相册数据进行备份，包含相册图片数据、视频数据

移动应用管理及数据安全

应用生命周期管理

支持H5，本地H5，APK、IPA文件的后台上传，基于用户、组织等进行应用分发；

支持应用的多版本管理、灰度发布、应用的下架以及回收

应用安全服务能力

对上传平台的应用提供APP加固服务、提供代码混淆、放反编译、加密等能力；

对上传平台的APP提供APP检测服务，包括APP自身代码漏洞、逻辑漏洞、低安全性能力等检测能力，并可导出APP检测报告

应用赋能

1、快速沙箱化：可以快速对apk、ipa文件进行沙箱化处理，并提供响应的安全能力；

2、原包影响：沙箱化后的原包增量不超过30M（直接影响APP初始化、启动的效率）；

3、应用进程：工作空间的应用安装，需独立安装在操作系统内，具备独立的进程，保障应用能继承原有操作系统的安全性，以及应用运行的性能及稳定性

基础办公套件

1、安全邮件：提供企业私有、统一、具备安全能力的办公套件；

2、安全通讯录：提供企业内部通讯录管理模块；

3、安全文件管理器：提供企业内部文件预览及文件管理的套件

应用数据DLP策略

1、Android企业应用与H5应用支持应用水印支持明水印与暗水印模式

2、Android企业应用与H5应用支持截屏/录屏保护，禁止对此应用截屏或录屏，或监控对此应用的截屏操作，上报截屏信息，禁止此应用自身的截屏/录屏操作

3、Android企业应用与H5应用支持复制、粘贴保护，仅允许应用数据复制粘贴至开启此保护的应用，或禁止应用数据复制粘贴至任何应用

4、Android企业应用与H5应用支持应用数据加密

5、Android企业应用与H5应用支持应用文件隔离，实现文件路径加密混淆

6、Android企业应用支持安全键盘功能，具备随机按键布局模式

7、Android企业应用与H5应用支持应用运行安全策略，包括禁止应用启动、 禁止应用自启动、禁止通知栏消息、禁止后台运行

8、Android企业应用与H5应用支持使用网络控制，包括禁止使用WiFi网络、禁止使用移动数据网络

9、Android企业应用与H5应用支持系统权限限制，包括禁止拨打电话、禁止发送短信、禁止读取短信、禁止修改删除短信、禁止读取通话记录、禁止修改删除通话记录、禁止读取联系人、禁止修改删除联系人、禁止获取手机号、禁止调用蓝牙、禁止调用打印服务、禁止访问多媒体资源、禁止调用摄像头、禁止调用录音功能、禁止获取地理位置；

10、以上策略，具备基于角色、应用、应用不同版本的细粒度策略执行，同时上述策略可以动态变更

应用数据策略模版

1、支持设置复制粘贴白名单限制字符数

2、水印的大小、颜色、角度、内容进行灵活配置

3、支持配置Android、iOS、H5应用策略模板（需提供相关配置截图）

兼容性要求

兼容性要求

通用操作系统：支持CentOS、Redhat操作系统；

信创：中标麒麟；

通用数据库：支持Oracle、Mysql数据库；

信创数据库：达梦数据库、人大金仓数据库

移动端能力扩展要求

本地日志收集(门户客户端)

在服务端对平台客户端本地日志进行收集

应用性能监控(集成SDK)

应用集成性能监控SDK，可收集应用运行的性能情况，比如崩溃、卡顿

应用行为监控(集成SDK)

应用集成行为监控SDK，可收集用户使用应用的点击习惯

JS SDK

丰富H5应用对终端本地功能的调用能力，例如相机拍照、GPS定位、拨打电话等

SSO SDK

单点登录SDK，应用集成后可以实现单点登录

安全能力SDK

提供移动端安全能力SDK，应用集成后具备安全空间所有安全能力

PC端工作域

工作域管理

支持创建、修改、删除多个工作域；

支持搜索、查看工作域信息

应用管理

支持Windows应用自动上报和手动添加；

支持搜索和查看应用详情

安全策略

1、支持配置工作域水印，可设置仅工作域应用窗口水印和全屏水印；

2、支持配置工作域截屏检测控制；

3、支持配置工作域打印控制；

4、支持限制系统剪贴板，支持控制工作域外数据拷贝至沙箱和工作域内拷出字数限制；

5、支持配置工作域剪贴板复制粘贴白名单；

6、支持smb协议访问控制

应用策略

1、支持配置工作域内应用拦截方式；

2、支持配置应用黑/白名单，支持按用户、生效时间和应用选择

网络策略

1、支持配置网络黑/白名单，支持IP、IP段、IP区间和域名控制；

2、支持控制工作域内SDP资源访问控制；

3、支持网络策略导入、导出

文件外发设置

1、支持配置工作域外发流程、大小限制和文件外发审计参数；

2、支持与移动端联动，通过移动端进行外发审批操作；

3、支持设置外发审批模式，支持特权工作域或特权用户

预置应用

1、支持配置网页链接类型应用，打开后快速使用本地默认浏览器打开。支持配置指定的浏览器打开；

2、支持预置本地原生应用，支持配置应用进程名称和启动参数；

3、支持预置samba文件服务器，客户端可使用资源管理器打开；

4、支持原生应用未安装时进行错误提示或提示下载软件仓库应用

全局配置

支持配置截屏操作审计和截屏图片审计

工作域DNS配置

支持为指定工作域配置沙箱内域名解析服务器

应用管理

已安装应用管理

支持展示用户所有已安装应用；

支持自定义添加应用

软件仓库

1、支持第三方PC应用的上传、发布、下架和编辑操作；

2、支持对第三方应用进行分发和下载；

3、支持对第三方软件进行分类展示设置；

4、支持对接独立下载服务，应用上传支持本地发布/远程发布类型

PC客户端策略

客户端限制性策略

支持动态下发客户端强制开机自启、自动登录、卸载&退出限制、隐藏窗口等限制，并支持通过心跳调整和下发；

支持下发网络数据加密功能，防止中间人攻击

PC工作域审计

程序启动拦截日志

支持查看工作域启动禁止程序被拦截日志；

支持数据搜索和导出

复制粘贴拦截日志

1、支持查看工作域复制粘贴被拦截日志

2、支持查看复制粘贴的文本、图片和文件内容；

3、支持数据搜索和导出

网络拦截日志

支持查看工作域访问禁止网络被拦截日志；

支持数据搜索和导出

打印控制日志

支持查看工作域中打印文件日志；

支持数据搜索和导出

截图审计日志

支持查看工作域截图审计日志，支持查看截图内容；

支持数据搜索和导出

外发审计日志

支持查看文件外发审批流程和审核日志

syslog协议

审计日志支持通过syslog协议发送至第三方日志服务器

SDP零信任网关架构及兼容性

安全架构符合SDP规范

安全架构需符合CSA定义的SDP规范，采用客户端+控制器+网关的SDP安全架构，控制流和数据流分离

先认证后链接

采用先认证后接入的安全协议，在允许接入网关等之前先检查用户身份合法性

端口隐藏

业务系统和SDP网关均无需对外暴露任何TCP端口，使用SPA单包授权技术，仅通过认证的用户才能通过网关正常访问业务，减少互联网暴露面，降低恶意攻击和入侵风险

多类型终端接入

支持Android 7.0-11.x、iOS 11.0-14.x、Windows 7 32/64bit、Windows 10 32/64bit、MacOS 10.12以上等终端的接入

SDP零信任网关认证

SPA单包授权

需支持SPA单包授权技术，客户端先向控制器发送SPA认证消息，认证通过后，网关的端口才能对客户端开放

UDP敲门

SPA消息通过UDP协议敲门，控制器仅需开放一个UDP端口，避免开放TCP端口容易被扫描和攻击的问题。

客户端IP黑名单

在IP黑名单中的客户端无法发起SPA敲门，控制器默认丢弃请求

用户体验

SDP零信任网关客户端支持配置多个服务信息

客户端支持配置和保存多个服务器信息，可便捷切换

和安全工作空间客户端整合

使用安全工作空间客户端（包括移动端、PC端）即可自动登录SDP网关，用户无感知