第一章账内机管理平台军队移动设备管控能力

第一章账内机管理平台一.CIMS智能手机管理平台1.部队联通设备管控目标

从注册、激活、管理和淘汰的各个环节，提供完整的设备生命周期管理功能。包括设备管理、资产管理、配置管理、安全管理等，帮助军队应对联通化进程中的遇见的种种问题。将IT管理能力扩充到联通终端，联通设备无论在任何地方，都必须遵循军队设定的安全策略，接受军队的统一管理。

2.CIMS部队版管控能力

CIMS部队版是专门推出的部队行业专用的联通设备管控平台，是符合军队管控要求下多功能集合的全方位解决方案，平台包括：联通设备管理、移动应用管理、安全上网理三大模块，实现资产管理、安全管理、应用管理、报表统计、内容审计过滤等功能，满足军队联通终端安全管理系统快速布署及未来发展的须要。

CIMS部队版主要包括联通设备管理（MDM）、移动应用管理（MAM）、移动设备安全上网管理等主要功能。

2.1联通设备管理

CIMS部队版从设备打算、使用、淘汰的各个环节，提供完整的设备生命周期管理功能。包括设备管理、资产管理、配置管理、安全管理等，帮助军队应对联通化进程中的设备分发、部署、配置、管理等问题。将IT管理能力扩充到联通终端，联通设备无论在任何地方，都必须遵循军队设定的安全策略，接受军队的统一管理。具体功能如下：

2.1.1用户及设备管理

CIMS提供批量用户及设备导出功能，支持文件导出和LDAP/AD导出两种形式。管理员可将军队LDAP/AD服务器中的用户导出管理平台某个用户组中，之后根据用户组、用户名关键字进行选择性导出。通过管理平台能便捷地对所有用户及设备进行查询，实时了解用户及设备的详尽情况，便于军队对联通设备的检测和管理。

2.1.2配置管理

提供配置管理功能，通过预定义好的配置项，在设备激活后，自动向设备下发配置信息，并可通过更改配置文件在线对已激活的设备进行配置信息更改。

2.1.3安全管理

支持设备定位、锁定设备、数据擦除、淘汰设备、防卸载、事件日志等多种形式进行统一端点设备的安全管理。为避免Web端访问被恶意破解，营运平台、管理平台和自服务平台提供一些可选的安全机制，如双因子认证，密码输入错误达到一定次数要求用户提供随机验证码或锁定该IP。

2.1.4设备定位历史轨迹

支持在地图上查询单个设备的历史轨迹。选择起始和结束时间，可查询单个设备在该时间段内的历史轨迹。

2.1.5时间／地理栅栏

支持时间／地理栅栏功能。管理员可创建基于时间或地理位置的管理策略，当联通终端处于某段时间，或某个地理位置范围时，手动开启控制策略。

针对Android设备，限制包括设置屏保密码、配置网路（联通数据、Wi-Fi）、禁用摄像头、禁用蓝牙，应用限制包括沙箱应用的启用/禁用、沙箱内应用的启用/禁用。

可设置栅栏内的通话白名单，在栏杆内仅能与白名单内的号码通话。

支持订制桌面，栏杆内显示订制桌面，栏杆外停用。在栅栏范围内还支持单反使用的安全提示配置，策略生效后，终端上打开定位和单反开启时会弹出信息安全提示，提示用户在敏感区域注意信息安全保密。

2.1.6静态标签/动态标签

支持对设备创建标签，并依照标签进行消息推送、应用推送、策略下发、内容下发等各类操作。基于设备标签，可突破组织构架的限制，对虚拟团队或跨部门组织进行统一管理。

设备标签包括静态标签与动态标签两类，静态标签是用户按照须要自定义的一组设备集合。动态标签是按照用户设定的一系列条件，手动筛选下来的设备，这个设备集合是按照当前筛选条件的不同，实时改变的。

支持对标签的进行分级管理，不同级别的管理员具有不同的标签操作权限。

2.1.7顾客端防卸载和进程防杀害能力

Android顾客端通过综合借助多进程守护、辅助功能、默认Launcher以及查看应用使用情况等功能，在无需获得系统签名或预装应用的情况下，加强了CIMS顾客端的防卸载和防被杀害进程功能。此功能适用于部队、武警及公安等对设备有强管控需求的行业。该功能重点适配了华为、OPPO、Vivo和中兴4个品牌的终端，此功能为可选配置。

2.2联通应用管理

CIMS部队版容许军队自建联通应用商店，实现联通应用获取、分发、管控、跟踪的全生命周期管理能力。能有效地、安全地为军队提供应用管理，减少IT部门将联通应用程序转移到个人设备的负担。具体功能如下：

2.2.1联通应用的统一分发和管理

管理员可通过军队应用商店进行应用上传、管理、分发等操作，实现军队联通应用的统一管理。

CIMS提供远程推送功能，可设置为必装或按需。对于必装应用，系统会要求用户必须进行安装。假如用户不安装指定应用将重复推送程序，直至安装完成。同时，对于经过厂商授权的联通设备，还可沉静推送安装，用户全程无感知。

2.2.2应用统计和剖析

支持查看已安装/已分发应用的所有设备列表，并可导入该设备列表；应用商店里可以通过点击标题栏的方法，根据已安装数目、更新时间来排序，并可通过筛选框进行筛选；新增CIMS顾客端版本统计功能；应用策略中，可以查看该策略的已安装／已下发数目，以及下发用户的详情。

据悉，还优化了平台设备、用户、应用等多维度的统计报表，包括：设备激活记录、设备已安装应用报表、用户详情报表、应用详情报表、应用安装统计报表、应用黑白名单报表、合规策略报表、内容报表。营运平台的顾客还可以直观的显示出当月顾客套餐使用情况和激活设备数。

2.2.3应用策略管理

为限制军队士兵使用不合规软件，可设置软件黑/白名单。通过应用黑/白名单策略监控并限制用户使用不合规应用情况，在用户安装或运行匹配的应用时，将违法信息同步至管理平台，并可向用户推送警告信息。

2.2.4应用数据安全

军队应用包含好多敏感数据，涉及军队绝密信息蓝牙策略禁用文件传输，假如不能得到有效防护，很可能导致数据泄露。CIMS为军队用户提供一套SDK蓝牙策略禁用文件传输，用于管理和配置军队的联通应用，实现应用的数据安全和应用的集中配置。开发者集成SDK后，可以通过SDK提供的AES256加揭秘插口提高联通应用形成数据的安全性，在应用层进行数据加密，在设备端将应用的离线数据加密储存在容器中，达到避免数据泄漏的目的，而无需关注负责的安全技术。

2.2.5沙箱应用

针对Android系统采用革新的沙箱技术，支持应用级、容器级和系统级的DLP数据防泄露，数据加密等功能。支持的限制项包括：单反、麦克风、地理位置、读取邮件、联系人、通话记录、手机号码、发送邮件、媒体库、蓝牙、拨打电话、数据共享和复印功能等功能。

2.3敏感内容审计及过滤

CIMS提供对设备进行安全上网行为的管控，该功能须要获得中级审计功能的License授权。

2.3.1禁用附近等社交功能

支持将陌陌QQ的摇一摇、附近的人和漂流瓶等陌生人交友功能进行禁用，保证战士上网安全，避免勾联风波的发生。

2.3.2聊天软件内容敏感字过滤与审计

管理员可以在管理平台自定义或批量导出敏感字，陌陌及QQ等聊天软件中若果出现该敏感字，则手动记录或则替换成星号，避免因为战士无意识中泄漏军事绝密，同时支持对聊天记录进行审计，审计内容手动上传至服务器，包括文字、语音、图片和视频。

2.3.3网页内容及搜索敏感字过滤

管理员可以在管理平台自定义或批量导出敏感字，战士在使用联通设备过程中假如浏览或搜索该敏感，CIMS手动记录该敏感字及访问的设备信息，用于在泄露风波发生后，可以追根追溯。

2.3.4网址黑白名单及网址审计

管理员可以在管理平台自定义或批量导出敏感网址，战士在使用联通设备过程中假如浏览该网址，CIMS手动切断敏感网址的访问，避免战士访问不健康、不安全的网站。

2.3.5输入法过滤

管理员可以向设备推送订制版本的微软、百度或搜狗输入法，设备沉静安装后会手动配置为默认输入法，用户在输入文字时，将会手动匹配管理员下发的敏感词词库，一旦触发敏感词将手动将敏感词替换为*号。

2.3.6分时上网

管理员可以在时间/地理栅栏内，配置分时上网策略，例如严禁战士训练或学习期间使用手机上网，而且不严禁手机的基本通话和邮件功能；同时还可以指定战士在受限期间使用什么应用。

第二章账外机管理整体方案一.便携式手机讯号发觉设备1.概述

联通数据采集系统是一款容积小、重量轻，适用于公安执法办案部门的一款联通剖析工作站。该系统可采集嫌疑对象的手机身分代码以后，通过自身平台可快速探测出嫌疑对象是否在已知目的地，通过对指定采集区域的剖析，采集已知地点的讯号数据，手动剖析嫌疑手机讯号。该系统还搭配了碰撞剖析等数据剖析模块，提高剖析侦察的效率。产品主机可外置于背包内独立工作，用智能手机通过WIFI工作，隐蔽性强，可进行隐蔽侦查定位。

2.实现功能

l支持联通、联通、电信所有营运商讯号频段。

l同时支持三频段同时工作（B1/B3/B34/B38/B39/B40/B41/B5/B8），均支持跨Band多频点寻址。频点协程历时微秒级。

l工作频点支持智能自配置，通过扫网，实现智能自配置，无须自动添加频点

l支持黑名单定位模式、吸附定位模式。

l发射功率2W，室内环境有效距离400米以上。室外环境隔楼层可中标。

l整机容积精巧，重量轻，携带便捷，操作人员负担轻。

l工作时发热量低，并配置静音电扇，工作时无噪声，不易造成外界注意。

l帧偏置自配置，支持动态空口、GPS双同步模式，持续纠频偏等处理机制，确保工作过程中不影响周边其他非目标手机。

l通过手机APP管理，APP操作简单，直接配置黑名单即可使用。

l支持独立工作模式和单兵工作模式，可独立工作，也可以配合单兵来使用。

二.手机数据点验及剖析设备1.产品概述

手机数据点验及剖析设备是定期对官兵手机（非常是帐外机）进行安全检测，深度读取手机现有信息和早已删掉的通讯（通话、短信），陌陌、QQ等多项APP数据。并对手机储存的图片、影像、文档等资料的恢复查看，手动生成内容检测报告，及时发觉涉毒、涉赌、涉贷与失泄露问题。

2.实现功能

1.支持android、iphone手机等其他操作系统的手机数据提取，手机机身点验支持三路并行点验。

2.才能对手机图片、即时通讯应用数据、上网记录及应用程序使用痕迹进行安全检查。

3.能依据手机数据，对机主上网习惯、经济行为、行为轨迹等进行剖析，并产生剖析报告。

n支持丰富的应用类别解析：

1)基本信息：帐号、短信、彩信、iMessage、闹钟、通话记录、联系人、日历、蓝牙、Wifi、安装应用、Android开机密码、系统痕迹、用户痕迹、

系统日志、VPN、位置。

2)即时通信：帐号、公众号、好友、群列表、群消息、讨论组、好友动态、联系人、通话记录、定位、搜索记录等信息。

3)浏览器类：帐号、上网记录、收藏夹、Cookie、密码、下载等信息；支持网路社交类应用中的帐号、好友、话题、搜索记录等信息。

4)电子商务类：帐号、商品、店铺、交易、聊天、定位、搜索记录等信息。

5)电邮类：帐号、通讯录、收件箱、发件箱、草稿、删除信箱、其他信箱、搜索记录等信息。

6)地图类：帐号、定位、导航、搜索记录等信息。

7)出游类：帐号、定位、出行路线、酒店订单、推送消息、常客卡、航班搜索、搜索记录等信息。

8)快件类：帐号、地图定位、搜索记录、推送消息、订单、常用地址等信息。

9)云盘类：帐号、好友、群、讨论组、动态、传输、文件、搜索记录等信息。

10)笔记类：帐号、笔记本信息、搜索记录、群聊等信息

11)传输类：帐号、好友、群、讨论组、WIFI、传输、文件、搜索等

12)手机安全类：帐号、屏蔽的通话记录、屏蔽的邮件记录、黑白名单等信息。

13)手机助手类：帐号、下载的APP、收藏的APP、管理资源文件列表、文件传输列表、搜索记录、地图定位信息等信息。

14)其他：营运商类、输入法类应用的帐号信息、天气类应用的帐号及定位信息。

三．账外手机电子栅栏1系统功能介绍1.1系统概述

整套营区屏蔽管控系统包括以下部份：

1)屏蔽子系统（室外覆盖）：精准屏蔽控制区域内的手机讯号；

2)通信管控子系统(室外覆盖)：探测、管控讯号的室外分布；

3)通信管控子系统(室内覆盖)：探测、管控讯号的室内覆盖；

4)访客管理子系统（传达室侦码辨识）：将外来人员手机转为白名单。

5)平台软件：黑白名单管理(白名单放行、黑名单屏蔽)、手机信息告警、访客管理、用户管理、权限管理、策略配置、日志审计等。

6)营区局域网：本地布署；

屏蔽管控子系统(屏蔽管控主设备)：屏蔽管控主设备。

1.2布署构架图

可依照实际需求，针对性的设计管控范围：

1)全屏蔽区域：该区域内所有手机施行屏蔽，难以正常使用；

2)探测管控区域：白名单用户可正常使用，黑名单用户难以正常使用；

3)门岗侦码设备区域：当领导或学习人员步入军营时，要被侦码设备采集一次，被采集后的人员手机默认是白名单人员，可以正常上网、通话。

支持的手机制式，包括现有的2G/3G/4G/5G(NSA)频段的所有用户，并为5G(SA)留有升级插口。