智慧醫(yī)院移動應(yīng)用管理規(guī)劃方案

智慧醫(yī)院移動應(yīng)用管理規(guī)劃方案

目錄TOC\o"1-2"\h\z\u1. 數(shù)字化醫(yī)院發(fā)展趨勢及應(yīng)用分析 4數(shù)字化醫(yī)院的發(fā)展趨勢 4數(shù)字化醫(yī)院各業(yè)務(wù)系統(tǒng)分析及醫(yī)院的典型應(yīng)用 5數(shù)字化醫(yī)院的建設(shè)目標 72. 醫(yī)院對移動設(shè)備的需求 9醫(yī)院移動設(shè)備管理系統(tǒng)的需求 10系統(tǒng)建設(shè)原則 10移動設(shè)備管理平臺的整體架構(gòu) 11醫(yī)院移動應(yīng)用需求 133 APP實施 153.1 APP分發(fā) 153.2 容器化 163.3 數(shù)據(jù)傳輸保護 164 文檔資料管理 184.1 企業(yè)需求 184.2 郵件附件管理 184.3 SharePoint集成 185 多層次安全 205.1 企業(yè)需求 205.2 身份識別與證書 205.3 防據(jù)泄 205.4 郵件安全 215.5 網(wǎng)絡(luò)連接安全 215.6 BYOD及隱私安全 225.7 iOS安全要點 235.8 Android安全要點 236 集中管理 256.1 移動OS持續(xù)更新 256.2 用戶管理 256.3 報表分析 256.4 實時狀態(tài)監(jiān)控 256.5 事件警告通知 266.6 自動化用戶行為處理 276.7 擁有成本 276.8 用戶自服務(wù) 277 部署實施 287.1 部署架構(gòu) 287.2 性能 307.3 運維 328 技術(shù)支持 328.1 本地化 328.2 本地技術(shù)支持 339 參考 349.1 統(tǒng)計信息 349.2 MobileIron優(yōu)勢 34

數(shù)字化醫(yī)院發(fā)展趨勢及應(yīng)用分析數(shù)字化醫(yī)院的發(fā)展趨勢目前隨著醫(yī)療行業(yè)改革與開放的進一步深入，中國醫(yī)療行業(yè)信息化、網(wǎng)絡(luò)化的外部壓力和內(nèi)部動力越來越大：醫(yī)療服務(wù)日趨市場化；新興醫(yī)療機構(gòu)的加入，將使人才和市場競爭加??；老牌醫(yī)院需要將旗下醫(yī)療、教學(xué)、研究等多項職能納入網(wǎng)絡(luò)化管理；醫(yī)院之間的兼并重組，使得跨地域的溝通和管理提上議事日程；醫(yī)院與社保系統(tǒng)的互聯(lián)互通要求越來越迫切。未來的醫(yī)療行業(yè)不會僅僅局限于降低成本、實現(xiàn)無障礙的互聯(lián)互通，而是向系統(tǒng)化、完善應(yīng)用的領(lǐng)域前進，屆時，醫(yī)療服務(wù)提供方、醫(yī)學(xué)研究機構(gòu)和社會保障體系等相關(guān)的機構(gòu)，將成為一個以用戶為中心的人性化產(chǎn)業(yè)鏈條。同時由于醫(yī)療成本不斷上升、對服務(wù)質(zhì)量的要求越來越高、患者對醫(yī)療服務(wù)的安全性要求日益苛刻，醫(yī)院通過采用新技術(shù)提高服務(wù)質(zhì)量和效益，已成為一種潮流和趨勢。美國權(quán)威的醫(yī)療機構(gòu)早在2001年就指出：“未來十年要在醫(yī)療服務(wù)質(zhì)量上取得實質(zhì)性的提升，信息技術(shù)必須在醫(yī)療服務(wù)系統(tǒng)的重新規(guī)劃中扮演核心角色?！本C合起來，信息技術(shù)在醫(yī)療服務(wù)系統(tǒng)中所扮演的角色大致包括以下幾個方面：實現(xiàn)HIS、CIS、、RIS、LIS、EMR等系統(tǒng)；醫(yī)院內(nèi)部通過固定網(wǎng)絡(luò)和無線網(wǎng)絡(luò)全面覆蓋；醫(yī)院通過網(wǎng)絡(luò)安全技術(shù)措施保障網(wǎng)絡(luò)穩(wěn)定可靠運行，充分保證患者的隱私；網(wǎng)絡(luò)將兄弟醫(yī)院、醫(yī)保系統(tǒng)、臨床教學(xué)單位、藥物研究單位等相關(guān)醫(yī)療機構(gòu)連成一體，以便相互實現(xiàn)信息共享和業(yè)務(wù)協(xié)作；患者家屬可以通過網(wǎng)絡(luò)實現(xiàn)遠程探視。另外信息網(wǎng)絡(luò)也不僅局限在某個醫(yī)院，隨著HIS（醫(yī)院管理信息系統(tǒng)）的普及并逐步向CIS（臨床醫(yī)療信息系統(tǒng)）以及GMIS（區(qū)域醫(yī)療信息系統(tǒng)）演進。作為醫(yī)療行業(yè)網(wǎng)絡(luò)應(yīng)用的典型/RIS、EMR等系統(tǒng)將成為基礎(chǔ)，圍繞人的需求，依托網(wǎng)絡(luò)基礎(chǔ)設(shè)施進一步深入以及橫向拓展應(yīng)用，逐步提升。數(shù)字化醫(yī)院各業(yè)務(wù)系統(tǒng)分析及醫(yī)院的典型應(yīng)用HIS（醫(yī)院管理信息系統(tǒng)）HIS（醫(yī)院管理信息系統(tǒng)）被業(yè)界公認為是迄今為止世界上現(xiàn)存的企業(yè)信息系統(tǒng)中最復(fù)雜的一類。按照學(xué)術(shù)界公認的MorrisF.Collen所給的定義，HIS應(yīng)該是：利用電子計算機和通訊設(shè)備，為醫(yī)院所屬各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和數(shù)據(jù)交換的能力并滿足所有用戶的功能需求。HIS系統(tǒng)的組成子系統(tǒng)：門診預(yù)約、掛號子系統(tǒng)門/急診患者管理子系統(tǒng)住院患者及床位管理子系統(tǒng)計價、收費子系統(tǒng)藥庫、藥房管理子系統(tǒng)病案管理子系統(tǒng)醫(yī)院信息統(tǒng)計子系統(tǒng)人事、工資管理子系統(tǒng)財務(wù)、科室成本管理子系統(tǒng)醫(yī)院固定資產(chǎn)、設(shè)備管理子系統(tǒng)醫(yī)院后勤、物流管理子系統(tǒng)信息綜合查詢及決策支持子系統(tǒng)HIS系統(tǒng)主要支撐醫(yī)院日常管理工作，目前絕大多數(shù)醫(yī)院的HIS系統(tǒng)已實現(xiàn)掛號、劃價、收費、藥庫管理及發(fā)藥的流水線作業(yè)以及信息查詢等工作，已經(jīng)成為了醫(yī)院賴以運作的基礎(chǔ)平臺。然而這并沒有完全體現(xiàn)出HIS系統(tǒng)在醫(yī)院管理中的重要角色。HIS的建設(shè)實際上類似于企業(yè)建立自己的ERP（EnterpriseResourcesPlan，企業(yè)資源規(guī)劃）。信息系統(tǒng)對管理決策的支持，經(jīng)濟管理、成本核算是最重要的內(nèi)容。成本核算是指對生產(chǎn)、經(jīng)營過程中所發(fā)生的生產(chǎn)費用進行審核，并按照一定的對象（醫(yī)院是部門、病種、項目；工廠是產(chǎn)品）和標準進行歸集和分配，采用適當?shù)姆椒ㄓ嬎愠鲈搶ο蟮目偝杀竞蛦挝怀杀?。通過成本核算，不僅可以考核成本的執(zhí)行情況，揭露經(jīng)營中存在的問題，還可以為制定經(jīng)營戰(zhàn)略提供依據(jù)。醫(yī)院的部門級全成本核算正在成為越來越多的醫(yī)院所追求的目標。盡管醫(yī)院對成本核算的需求十分迫切，但真正實現(xiàn)起來卻很困難，特別是精細的能輔助醫(yī)院經(jīng)濟管理和分配的全成本核算。HIS系統(tǒng)通過其各子系統(tǒng)的協(xié)作，將能夠幫助醫(yī)院完成部門級的全成本核算和在此基礎(chǔ)上的醫(yī)院領(lǐng)導(dǎo)層管理決策的支持。CIS系統(tǒng)（臨床信息系統(tǒng)）在HIS系統(tǒng)成功運行之后，數(shù)字化醫(yī)院信息系統(tǒng)的重點一定會轉(zhuǎn)到臨床信息系統(tǒng)（CIS）的建設(shè)上來，這是客觀規(guī)律。建設(shè)CIS是廣大醫(yī)護人員的迫切要求，其基本目的是以病人信息為中心，提高醫(yī)療/服務(wù)質(zhì)量，減少醫(yī)療錯誤和事故。臨床信息系統(tǒng)的內(nèi)容紛繁復(fù)雜，其建設(shè)與實施需要耗費大量的資源。因此醫(yī)院決策層對該系統(tǒng)的建設(shè)一般都是非常慎重的。CIS的核心是以電子病歷為基礎(chǔ)，計算機化醫(yī)囑錄入為應(yīng)用，臨床決策支持為關(guān)鍵的一個完整的系統(tǒng)。而當前，臨床信息系統(tǒng)的基礎(chǔ)核心首先是門診醫(yī)生工作站系統(tǒng)（診間系統(tǒng)）和病房醫(yī)生工作站的建設(shè)。系統(tǒng)收集的任何病人的臨床信息只有通過醫(yī)生工作站才能供給醫(yī)生使用，充分發(fā)揮效益。其次是臨床實驗室信息系統(tǒng)（LIS）。據(jù)文獻報告，盡管當前醫(yī)院擁有多種輔助檢查的工具和手段，但醫(yī)生對病情的診斷75%以上是依據(jù)實驗室化驗結(jié)果。它（LIS）具有提供醫(yī)生迅速、方便、準確獲知病人化驗結(jié)果的能力，則會受到醫(yī)生的普遍歡迎和認同。再其次就是功能檢測報告系統(tǒng)和各種專用的醫(yī)技科室信息系統(tǒng)，如手術(shù)室信息系統(tǒng)（ORIS）、放射科信息系統(tǒng)（RIS）、病理科信息系統(tǒng)（PIS）、ICU/CCU信息系統(tǒng)。CIS組成的子系統(tǒng)：門診醫(yī)生工作站系統(tǒng)住院病人醫(yī)囑處理子系統(tǒng)護理信息系統(tǒng)電子病歷子系統(tǒng)（EMR）（多媒體智能化）患者生命指征監(jiān)護子系統(tǒng)手術(shù)室監(jiān)控子系統(tǒng)臨床實驗室檢查報告子系統(tǒng)醫(yī)學(xué)圖象診斷報告處理系統(tǒng)功能檢查信息子系統(tǒng)病理圖片、報告子系統(tǒng)血庫管理子系統(tǒng)營養(yǎng)、配餐子系統(tǒng)臨床用藥咨詢子系統(tǒng)其他信息系統(tǒng)完整的醫(yī)療信息系統(tǒng)除了以上所列的HIS、CIS之外，還應(yīng)包括：科研教學(xué)子系統(tǒng)檔案管理子系統(tǒng)信息查詢子系統(tǒng)遠程醫(yī)療子系統(tǒng)辦公子系統(tǒng)數(shù)字化醫(yī)院的建設(shè)目標《全國衛(wèi)生信息化發(fā)展規(guī)劃綱要（2003-2010年）》提出2010年衛(wèi)生信息化建設(shè)的奮斗目標，即“建立起較完備、標準統(tǒng)一規(guī)范、系統(tǒng)安全可靠，與衛(wèi)生改革與發(fā)展相適應(yīng)的衛(wèi)生信息化體系，經(jīng)濟發(fā)達地區(qū)衛(wèi)生信息化建設(shè)和信息技術(shù)應(yīng)用達到中等發(fā)達國家水平，其余地區(qū)衛(wèi)生信息化建設(shè)要處與發(fā)展中國家的前列”。十年前醫(yī)院信息化建設(shè)還只限于如何基于商業(yè)化的數(shù)據(jù)庫建設(shè)醫(yī)院管理信息系統(tǒng)，而今天，數(shù)字化醫(yī)院的建設(shè)重點已是無膠片化、無紙化、無線化、移動計算、臨床信息系統(tǒng)、、管理與臨床決策、系統(tǒng)集成與安全、流程再造。數(shù)字化醫(yī)院的標準：三部分的統(tǒng)一：數(shù)字化醫(yī)療設(shè)備計算機網(wǎng)絡(luò)平臺醫(yī)療行業(yè)業(yè)務(wù)軟件三無醫(yī)院：無紙化無膠片無線網(wǎng)醫(yī)院信息化的根本目的是減少醫(yī)療錯誤、提高醫(yī)療服務(wù)質(zhì)量、控制醫(yī)療成本和醫(yī)療費用的增長。當今我國醫(yī)療行業(yè)所面對的所有挑戰(zhàn)，醫(yī)院信息化是一個功能強大的應(yīng)對武器。這正是當今醫(yī)療衛(wèi)生信息化成為世界性熱潮的根本原因。

醫(yī)院對移動設(shè)備的需求數(shù)字化醫(yī)院是在數(shù)字醫(yī)療設(shè)備、計算機網(wǎng)絡(luò)平臺和醫(yī)院業(yè)務(wù)軟件的基礎(chǔ)上，對病人的治療數(shù)據(jù)進行采集、存儲、傳輸和處理，以達到在全院范圍內(nèi)的全數(shù)字化流程，就是數(shù)字化醫(yī)院，其中移動設(shè)備的便捷性，對于整個系統(tǒng)的實施起到了重要的推進提高作用。數(shù)字化醫(yī)院在發(fā)展的過程中分成兩個階段，第一階段，主要是一些關(guān)于人、財、物的管理，如財務(wù)管理、各種收費、藥品藥庫管理和OA等，第二階段，也是這些醫(yī)院最直接、最迫切的面對臨床的信息化，包括諸如PACS、LIS、手術(shù)室、麻醉等。伴隨移動技術(shù)的大力發(fā)展，芯片、終端等整個產(chǎn)業(yè)鏈全面支持移動技術(shù)，目前市場上平板電腦和智能手機的銷售已經(jīng)超過PC，而所有移動設(shè)備全部帶有Wi-Fi或3G功能，保證實施在線的特性?？梢哉f一場移動性的革命正在到來。在醫(yī)療行業(yè)，各種無線醫(yī)療終端也應(yīng)運而生。通過應(yīng)用這些移動智能終端，醫(yī)療人員可以大大節(jié)省時間、提高工作效率和工作準確度、還可以改進工作流程、完善管理考核、提高服務(wù)質(zhì)量。讓患者感覺到更貼近的伴隨服務(wù)。醫(yī)院移動設(shè)備管理系統(tǒng)的需求移動設(shè)備的應(yīng)用，需要定義全新的一整套策略，用戶角色，用戶體驗，和技術(shù)需求。圖中自下而上，管理部門最先意識到的是網(wǎng)絡(luò)服務(wù)，包括WiFi的建設(shè)，網(wǎng)絡(luò)覆蓋，3G接入等。隨之而來就會想到將現(xiàn)有的應(yīng)用如email和共享文檔資料，OA，ERP拓展到移動設(shè)備上。移動設(shè)備管理系統(tǒng)必須能夠滿足上述要求，并提供安全的方案。這些之后，身份識別的問題浮出，企業(yè)需要一個完善的授信方案，來保證可信的設(shè)備得到可信的數(shù)據(jù)資源，特別醫(yī)療機構(gòu)，包含公眾的敏感信息。系統(tǒng)建設(shè)原則1、實用性：整個網(wǎng)絡(luò)系統(tǒng)具有較高的實用性；2、時效性：網(wǎng)絡(luò)應(yīng)保證各類業(yè)務(wù)數(shù)據(jù)流的及時傳輸，網(wǎng)絡(luò)時效性要強，網(wǎng)絡(luò)延時要小，確保業(yè)務(wù)的實時高效；3、可靠性：整個網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很高的安全可靠性，必須滿足7×24×365小時連續(xù)運行的要求。在故障發(fā)生時，網(wǎng)絡(luò)設(shè)備可以快速自動地切換到備份設(shè)備上；4、安全性：能有效防止非法訪問，保護關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性；防止移動設(shè)備的數(shù)據(jù)泄露。6、效益性：網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用，保護現(xiàn)有網(wǎng)絡(luò)的投資，充分發(fā)揮網(wǎng)絡(luò)投資的最大效益；7、可伸縮性：移動管理平臺要具有面向未來的良好的伸縮性能，既能滿足當前的需求，又能支持未來業(yè)務(wù)網(wǎng)點、業(yè)務(wù)量、業(yè)務(wù)種類的擴展和與其它機構(gòu)或部門的連接等對網(wǎng)絡(luò)的擴充性要求。移動設(shè)備管理平臺的整體架構(gòu)管理平臺提供了全套的移動設(shè)備生命周期管理功能，從設(shè)備的接入，日常運行，維護，到安全管控，各個應(yīng)用資源的分發(fā)全部涵蓋。第1步：移動設(shè)備必須要能夠安全的設(shè)置email訪問，App，數(shù)據(jù)加密，密碼，身份設(shè)備，來連接企業(yè)資源。配置和策略可以按組或個人分發(fā)。第2步：移動設(shè)備必須緊密與企業(yè)現(xiàn)有的IT后端環(huán)境融合，移動IT部分不能成為一個孤島。因此必須要能夠集成進郵件系統(tǒng)，現(xiàn)有LDAP的用戶分組目錄，身份識別信息，證書認證系統(tǒng)。第3步：考慮個人設(shè)備的隱私顧慮，需要能夠控制是否收集一些敏感信息，如位置信息和APP安裝清單。第4步：以上所有配置和策略都需要部署到成千上萬的終端上，必須要盡量做到自動化實施，注冊流程盡量簡化，并能有效引導(dǎo)用戶正確操作，提供用戶自服務(wù)界面。這樣可以大大降低IT管理部門的工作量，是IT工作重點放在管理的決策而不是操作。此外，管理員的權(quán)限需要劃分，包括分派用戶和分派功能兩個方面。第5步：一個統(tǒng)一的界面可以查看到移動設(shè)備和APP的整體運行情況，涵蓋多種OS，還需要快速區(qū)分設(shè)備的歸屬權(quán)。第6步：風(fēng)險監(jiān)控要求能夠根據(jù)用戶或設(shè)備的“行為”判斷風(fēng)險和是否信任，如越獄，關(guān)掉密碼，下載了云存儲APP等情況。第7步：根據(jù)對風(fēng)險的判斷，企業(yè)需要能夠控制設(shè)備訪問企業(yè)的資源，如郵件。如果發(fā)生違規(guī)，應(yīng)及時將設(shè)備隔離。第8步：對于大型企業(yè)，存在繁多的移動應(yīng)用，需要既安全又簡便的進行用戶身份和設(shè)備的識別。第9步：以上眾多管理步驟，都必須高度自動化，IT管理者才可以抽身繁雜的事務(wù)來關(guān)注移動戰(zhàn)略的實施。運維人力成本也是標示一個系統(tǒng)方案優(yōu)劣的主要因素。此外，一個完善的系統(tǒng)不應(yīng)該再依賴其他第三方的組件，如DB產(chǎn)品和DB管理員。對于快速發(fā)展的移動應(yīng)用領(lǐng)域，能夠快速簡單的安裝部署和升級，也很重要。第10步：APP和資料文檔才是真正的移動商務(wù)價值所在。用戶期待能夠在移動設(shè)備上及時方便的訪問企業(yè)文檔資料，主要來自于郵件附件和SharePoint這種共享方式。移動IT系統(tǒng)首先需要能夠提供這種訪問方式，并確保安全，此外還需要防止文檔從移動設(shè)備的泄露。第11步：APP需要從企業(yè)內(nèi)部的應(yīng)用商店分發(fā)。規(guī)模之大可以達到數(shù)千臺設(shè)備，數(shù)百個App，數(shù)百兆的APP體積。第12步：對于移動設(shè)備上存儲的企業(yè)數(shù)據(jù)，必須通過加密來保護安全。最好的辦法就是通過容器化的方式，就好像在設(shè)備上安放一個保險箱。同時這些數(shù)據(jù)可以動態(tài)的和其他安全策略關(guān)聯(lián)，需要時及時銷毀。第13步：App傳輸?shù)钠髽I(yè)數(shù)據(jù)也需要建立一個安全的隧道來進行保護。第14步：企業(yè)對于移動設(shè)備的另一關(guān)注問題是巨大的漫游消費數(shù)字，特別是數(shù)據(jù)流量消費。必須要能夠監(jiān)管到設(shè)備漫游的活動，并通知警告或關(guān)閉相關(guān)功能。第15步：最終，當員工離職或設(shè)備確認丟失后，企業(yè)需要徹底擦除設(shè)備上的企業(yè)數(shù)據(jù)，包括email，App，文檔資料，證書，和其他配置如WiFi，VPN。醫(yī)院移動應(yīng)用需求醫(yī)療行業(yè)的移動應(yīng)用非常豐富。按照使用目的，可以概括為兩類：第一類是醫(yī)療業(yè)務(wù)相關(guān)的應(yīng)用；第二類是同任何企業(yè)組織一樣的日常移動辦公的應(yīng)用。下文將簡單介紹兩類不同的應(yīng)用。1．醫(yī)療業(yè)務(wù)相關(guān)的應(yīng)用：（1）移動醫(yī)護移動醫(yī)護，主要是通過移動設(shè)備，實現(xiàn)實時的數(shù)據(jù)錄入和查詢，從而節(jié)省工作時間、提高工作準確度、優(yōu)化管理流程、減少醫(yī)療事故。目前應(yīng)用最多的就是基于iPad的移動醫(yī)生工作站APP、移動護士工作站APP。無線終端可以是iPad或Android手機。結(jié)合設(shè)備上的條碼掃描、RFID掃描、智能卡讀卡器、攝像頭等功能。有的還帶有Wi-Fi語音通話或GSM語音功能。移動終端可以通過對條碼的掃描確認病人和用藥情況，還可實時收集患者的主要體征和癥狀?！襁@種配備了全時網(wǎng)絡(luò)連接的移動設(shè)備是醫(yī)院移動醫(yī)護的終端最佳選擇。●護士人員可以將他們推到患者的床邊通過無線網(wǎng)絡(luò)記錄患者的主要體征、癥狀和用藥情況?！裼械囊苿庸ぷ髡旧线€可以通過接口連接外設(shè)如RFID讀卡器等。●優(yōu)點：操作系統(tǒng)與HIS、PACS系統(tǒng)一致。機器性能高。PACS圖像顯示清晰?！袢秉c：需要充電。●應(yīng)用環(huán)境：病房、急診、門診、臨時掛號等各種情況。（2）藥庫管理面對藥庫中種類繁多的藥品，通過基于無線應(yīng)用的條碼掃描槍，可以大大提高庫房管理的效率。另外，條碼掃描槍還可以集成無線語音功能，實現(xiàn)掃描、傳輸、語音通信一體化。（3）醫(yī)療示教系統(tǒng)在醫(yī)療示教系統(tǒng)中，學(xué)生通過遠端會議視頻系統(tǒng)或PC，實時觀看醫(yī)療教學(xué)。而演示者通過佩帶無線IP電話，可以隨時、自由、清晰地與學(xué)生通話，并隨時解答學(xué)生的提問。通過這種方式，既保護了患者的隱私，又達到了老師和學(xué)生在病人身邊一樣地學(xué)習(xí)效果。2.病患和部分醫(yī)護人員的互聯(lián)網(wǎng)連接

APP實施APP分發(fā)企業(yè)需求移動IT的頭等大事就是分發(fā)APP給用戶，并能夠管理覆蓋APP的整個生命周期。主要需求：

保證APP分發(fā)的安全

支持大規(guī)模分發(fā)下載

防止存儲在終端的數(shù)據(jù)泄露

防止傳輸數(shù)據(jù)泄露

防止不良App安裝企業(yè)內(nèi)部軟件商店App@Work提供了企業(yè)內(nèi)部私有的軟件商店，用來分發(fā)企業(yè)自主開發(fā)的App。同時還可以分發(fā)來自于蘋果或谷歌官方市場的App。(支持蘋果VPP企業(yè)批量采購APP的管理，但該業(yè)務(wù)蘋果在中國尚未開展)用戶是否有權(quán)從軟件商店下載APP，還會自動關(guān)聯(lián)到其他安全策略上，如未設(shè)置密碼，越獄等違規(guī)的設(shè)備，不能下載APP。從軟件商店分發(fā)的APP都是可管理的，可被遠程刪除。軟件商店的操作界面關(guān)照了用戶體驗，具備優(yōu)秀的視覺效果和交互效果，減少操作出錯的可能性。APP分發(fā)網(wǎng)絡(luò)大規(guī)模分發(fā)的定義為大APP體積，大設(shè)備數(shù)量，大地理范圍覆蓋。APP分發(fā)網(wǎng)絡(luò)可以幫助企業(yè)將下載任務(wù)從MobileIronVSP管理引擎中剝離到單獨的下載系統(tǒng)上。通過外接更為強大的下載系統(tǒng)和網(wǎng)絡(luò)，能夠極大的拓展APP分發(fā)下載的性能。如分布式服務(wù)器，鏈路優(yōu)化，負載均衡等。這將使大規(guī)模分發(fā)效果倍增，不再成為網(wǎng)絡(luò)分線和APP應(yīng)用的瓶頸。APP控制策略APP控制策略幫助企業(yè)建立黑白名單和必裝名單管理機制。

黑名單；黑名單內(nèi)的程序出現(xiàn)會觸發(fā)處罰。

白名單：白名單之外的程序出現(xiàn)會觸發(fā)處罰。

必裝名單：必裝名單之內(nèi)的程序缺失會觸發(fā)處罰。

關(guān)聯(lián)處罰：警告通知包括短信，郵件，推送消息，移除企業(yè)配置包括郵件，VPN，WiFi，移除企業(yè)APP。APP審計提供一覽界面查看所有設(shè)備上安裝的所有APP匯總。

查看安裝了某一個APP的設(shè)備清單。

查看某個設(shè)備上安裝的全部APP清單。

查看客戶端安裝APP的日志容器化容器化是將客戶端的APP及APP產(chǎn)生的數(shù)據(jù)加密后安放在一個邏輯上的容器里，達到存儲安全，防止數(shù)據(jù)泄露，并可被集中管理(如刪除)的效果。通過AppConnect技術(shù)，將容器管理與其他安全策略相關(guān)聯(lián)，動態(tài)的實現(xiàn)身份認證，授權(quán)，配置，跟蹤使用，擦除等功能。特別還可實現(xiàn)企業(yè)需求的單點登陸功能。(需要涉及APP開發(fā)環(huán)節(jié)，提供SDK和打包方式)數(shù)據(jù)傳輸保護通過在中心端部署Sentry網(wǎng)關(guān)進行傳輸加密，服務(wù)器端與終端之間建立APP加密隧道，來保證數(shù)據(jù)傳輸?shù)陌踩?/p>

文檔資料管理企業(yè)需求防止郵件附件泄露，如利用網(wǎng)盤等從移動設(shè)備上傳

郵件附件在移動設(shè)備上的安全存儲

能夠?qū)⑵髽I(yè)共享資料文檔安全的分發(fā)到可信的移動設(shè)備上

企業(yè)資料文檔在移動設(shè)備上安全存儲

文檔資料在移動設(shè)備上，需要與其他的策略相關(guān)聯(lián)，需要時可刪除

不需要額外購置系統(tǒng)，硬件和存儲空間郵件附件管理通過MobileIronSentry郵件智能網(wǎng)關(guān)，將郵件的附件進行加密轉(zhuǎn)換并傳輸?shù)揭苿釉O(shè)備上，加密轉(zhuǎn)換后的附件，只能夠通過Docs@Work客戶端讀取并呈現(xiàn)，并安全存儲在數(shù)據(jù)容器中。附件不會在移動設(shè)備上被其他應(yīng)用打開或使用，更不會造成文件或文件內(nèi)容的泄露。

SharePoint集成SharePoint為目前使用最為廣泛的標準化企業(yè)資源共享方案。通過MobileIronDocs@Work，可以使用戶在移動設(shè)備上訪問SharePoint上的資源，并可同步到本地存儲，整個過程安全可控。

多層次安全移動安全方案的目標是能夠承擔(dān)這個責(zé)任而不是拒絕一切新需求，在能夠發(fā)揮移動設(shè)備眾多優(yōu)勢的同時，保證安全，并對用戶隱形不產(chǎn)生打擾。傳統(tǒng)的MDM安全，只注重保護設(shè)備丟失的情況，MobileIron的安全方案提供了更全面深入的功能。企業(yè)需求email訪問和附件管理

App和文檔管理

BYOD下企業(yè)數(shù)據(jù)分離，隱私保護

越獄設(shè)備

設(shè)備丟失

用戶體驗簡單，不打擾用戶使用身份識別與證書AD/LDAP集成作為移動IT的核心策略，身份識別是其他安全策略的前提和基礎(chǔ)。MobileIron可以緊密與企業(yè)現(xiàn)有的AD/LDAP集成工作，包括用戶信息和用戶分組(user,OU,group)，這可以減少維護工作量，快速融合進企業(yè)的管理策略。內(nèi)置CA和集成CA此外，已經(jīng)有大量的企業(yè)客戶(超過66%)采用證書認證的方式來加強WiFi，VPN和email的鑒別。MobileIron平臺含有內(nèi)置的CA功能，即使企業(yè)尚未提供CA仍可以處理證書工作。也可以作為證書代理服務(wù)器(SCEP)，與企業(yè)CA協(xié)同，代為分發(fā)管理證書，避免將企業(yè)CA暴露在公網(wǎng)上。多用戶切換在MobileIron客戶端上，可以通過切換用戶來使用不同的策略，如不同郵箱，不同的APP，方便共享設(shè)備使用的場景。防據(jù)泄密碼策略可以設(shè)定密碼

密碼的復(fù)雜程度，如必須字母數(shù)字混合，必須包含標點，不能出現(xiàn)升序降序如123，432.

密碼長度

密碼有效期

密碼嘗試失敗次數(shù)，超過后會擦除設(shè)備

活動設(shè)備進入待機的時間遠程鎖定/解鎖可以通過系統(tǒng)遠程接觸設(shè)備的密碼，用戶可以登入系統(tǒng)重新設(shè)置自己的密碼。

可以遠程將正在活動的設(shè)備推出到密碼登陸界面。遠程擦除可遠程將設(shè)備初始化，清楚全部數(shù)據(jù)。設(shè)備加密可遠程激活設(shè)備的存儲加密功能，包括設(shè)備內(nèi)存和SD卡。郵件安全企業(yè)可以集中分發(fā)郵件的配置，用戶不需要知道驗證內(nèi)容，并可以遠程移除終端上的郵箱配置。結(jié)合證書認證，提供了對ActiveSync郵件的雙重身份驗證效果。結(jié)合iOS系統(tǒng)，還可以限制企業(yè)郵箱的郵件從個人郵箱轉(zhuǎn)發(fā)，強制啟用S/MIME等。MobileIronSentry智能郵件網(wǎng)關(guān)能夠管控對企業(yè)郵件的訪問。此外，Sentry采用的安全進程session訪問控制方式，可以使用戶使用移動設(shè)備原生客戶端，提高用戶體驗。將Sentry與VSP上的安全策略關(guān)聯(lián)，可以自動化處理違規(guī)后的郵件隔離。網(wǎng)絡(luò)連接安全全局代理服務(wù)器通過iOS的全局代理服務(wù)器設(shè)置，可以強制所有設(shè)備必須通過統(tǒng)一的代理服務(wù)器訪問網(wǎng)絡(luò)，尤其當用戶連接到不受信的WiFi或3G網(wǎng)絡(luò)時，更可以間接的限制訪問。WiFi可以分發(fā)企業(yè)的WiFi配置，配合證書，隱藏SSID，密碼推送等技術(shù)，加強企業(yè)WiFi的安全特性，防止了不受信的設(shè)備接入的WiFi網(wǎng)絡(luò)。支持WEP，WPA，WPA2多種認證技術(shù)。VPN支持IPsec，CiscoAnyConnect，F(xiàn)5，Juniper主流方案，包括PPTP，L2TP，SSL等方式。并支持證書驗證，RSA驗證方式。VPDN支持管理iOS設(shè)備的APN接入點，在中國市場上需要結(jié)合運營商的情況測試驗證。BYOD及隱私安全70%MobileIron的大客戶已經(jīng)展開了BYOD項目，MobileIron是首家提供功能支持的廠商，包括設(shè)備歸屬權(quán)標示，隱私策略，選擇性擦除企業(yè)數(shù)據(jù)。歸屬權(quán)標識每臺設(shè)備都可以被標識為企業(yè)所屬或個人所屬，并根據(jù)此屬性關(guān)聯(lián)不同的策略。隱私策略對于涉及個人的敏感信息，包括短信，通過記錄，照片等都不會被管理服務(wù)器收集，此外對于iOS和Android設(shè)備，可以通過因此策略從服務(wù)器端關(guān)掉APP安裝清單和位置信息的獲取。選擇性擦除在受管理的設(shè)備上，企業(yè)數(shù)據(jù)和個人數(shù)據(jù)可以被MobileIron識別，對于員工離職或設(shè)備更換的情況，可以只刪除企業(yè)數(shù)據(jù)而不影響個人數(shù)據(jù)。例如刪除企業(yè)的APP，企業(yè)的郵箱，而保留個人下載的APP和郵箱。iOS安全要點單APP限定模式設(shè)備被限定只能在某個APP工作，不可以退出，Home鍵失效。并可以設(shè)定屏幕的某些區(qū)域不相應(yīng)點擊操作。iOS功能禁用安裝APP，游戲中心

iMessage，iCloud，照片流

Safari瀏覽器，YouTube，iTunes

截屏，攝像頭，F(xiàn)aceTime

Siri語音等Android安全要點功能限定模式靜默安裝/卸載通過后臺推送，設(shè)備背景安裝，無用戶交互過程。用戶刪除后會自動恢復(fù)安裝。原生郵件客戶端支持目前支持三星，HTC，Motorola的原生郵件客戶端程序配置管理。支持無C2DM工作模式特別針對中國市場，C2DM被禁用，或AmazonKindle這類沒有C2DM的定制android系統(tǒng)，MobileIron研發(fā)了替代方案，仍然可以有效的管理android設(shè)備。功能禁用根據(jù)不同廠商的設(shè)備能夠?qū)崿F(xiàn)的功能不同。包括攝像頭，截屏，WiFi，藍牙，安卓瀏覽器，fuzhi/粘貼，設(shè)備重置，麥克風(fēng)，NFC，OTS升級，漫游語音/數(shù)據(jù)，SD卡，WiFi熱點，USB等

集中管理移動OS持續(xù)更新管理引擎跟進升級MobileIron始終做到最快支持最新發(fā)布的系統(tǒng)，以iOS支持為例，各次iOS發(fā)布(4,5,6)，MobileIron均在5天之內(nèi)就提供支持。如此快的支持，首先可以保證新系統(tǒng)帶來的風(fēng)險能夠及時控制，其次還可以對新系統(tǒng)帶來的企業(yè)特性加以利用。如iOS5帶來的iCloud就可以造成數(shù)據(jù)泄露到云端，而iOS6帶來的全局代理服務(wù)器卻是企業(yè)急需的功能。

MobileIron的開發(fā)和升級通常為6-8周，每年會有3個主要的功能升級，不斷拓展新功能，用戶體驗和性能。所有的知識產(chǎn)權(quán)均為自有，無任何惡心組件OEM情況。升級可以通過管理界面進行，用戶可自行操作，也可請MobileIron工程師協(xié)助。終端OS及版本限制支持最新的iOS6，Android4.1.1，WindowsPhone8向前兼容到iOS4，Android2，WindowsMobile5，黑莓4.2.1用戶管理用戶賬戶可以創(chuàng)建在MobileIron的系統(tǒng)平臺，也可以與LDAP/AD連接。用戶和設(shè)備可以批量導(dǎo)入的方式生成。報表分析MobileIronAtlas提供了全局報表和分析的功能，而惡意輕松獲取數(shù)據(jù)并導(dǎo)出。Atlas的界面可以根據(jù)用戶的需求高度自定義，如負責(zé)安全的管理員可以將APP違規(guī)，安全違規(guī)，AtivceSync隔離的統(tǒng)計設(shè)置在自己的視圖上。此外還可以提供VSP和Sentry的工作狀態(tài)，iOS和Android的版本細分統(tǒng)計，客戶端安裝的情況等。實時狀態(tài)監(jiān)控通過VSP或Atlas可以實時查看設(shè)備的情況，還包括違規(guī)情況，歸屬權(quán)，最近連接時間，運營商等。還可以了解某臺設(shè)備上策略的應(yīng)用情況，策略與分組的關(guān)聯(lián)。在一覽界面可以了解到信息，并判斷異常情況的發(fā)生：

最后連接時間(設(shè)備丟失或被盜)

策略過期未更新(設(shè)備違規(guī))

設(shè)備的OS未更新(舊系統(tǒng)不安全或不兼容新的企業(yè)APP)

設(shè)備越獄(設(shè)備安全被破壞)

設(shè)備APP違規(guī)

數(shù)據(jù)加密未啟用

設(shè)備硬件類型(舊的硬件存在安全隱患，如舊款iPhone沒有設(shè)備加密功能)

SIM卡更換

設(shè)備MDM功能被影響()事件警告通知通過事件中心，可以靈活配置針對不同情況發(fā)出不同自定義的警告通知。

警告通知包括短信，郵件，推送消息。

通知范圍包括用戶自身，管理員，可設(shè)定排除名單，如企業(yè)高層。

通知場景包括策略違規(guī)，國際漫游，SIM卡更換，內(nèi)存用量，系統(tǒng)事件等。

通知的內(nèi)容可自定義模板，系統(tǒng)默認帶有全套中文模板。自動化用戶行為處理在使用中，難免有設(shè)備違規(guī)，通常在短時間內(nèi)用戶意識到問題，會自覺修正，設(shè)備回到合規(guī)狀態(tài)。這種情況頻繁出現(xiàn)會給IT管理員帶來巨大的工作量。從行為檢查，違規(guī)判斷到關(guān)聯(lián)處罰都是自動完成的，當被處罰的設(shè)備合規(guī)后，還可以重新自動放開企業(yè)資源。IT管理員僅需審計日志，不需要實時操作。擁有成本安裝安裝部署快速，通常只需要半天-一天時間就可以完成。

不需要額外的DB，OS(Windows)等許可

不需要對外圍環(huán)境維護升級，如Windows補丁，SQLserver補丁。管理人力

設(shè)計工作量為1個全職管理員可以承擔(dān)10000-20000臺設(shè)備。用戶自服務(wù)可以訪問MobileIron平臺，登陸后查看個人的設(shè)備信息。

可查看個人的多臺設(shè)備

可進行定位，鎖定，擦除操作（設(shè)備丟失時）

可注冊新的設(shè)備

所有功能和界面的權(quán)限管理員可控部署實施部署架構(gòu)網(wǎng)絡(luò)環(huán)境要求帶寬規(guī)劃當實施軟件分發(fā)的任務(wù)時，會有多終端連接服務(wù)器下載，請酌情根據(jù)情況優(yōu)化帶寬上限。當無軟件分發(fā)下載任務(wù)時，根據(jù)實際用戶數(shù)量，也應(yīng)保證相當?shù)膸捰脩舳ㄆ诘呐c終端的數(shù)據(jù)溝通，根據(jù)經(jīng)驗，通常10M的共享帶寬是可以的。網(wǎng)絡(luò)結(jié)構(gòu)及端口設(shè)置VSP作為核心的管理引擎，VSP可以提供設(shè)備狀態(tài)查詢，策略配置等功能。而且相比同類產(chǎn)品，安裝部署極為簡單快速，通常只需要幾小時。

并提供跨移動OS的統(tǒng)一管理界面Sentry作為安全郵件網(wǎng)關(guān)，Sentry可以管控所有通過移動設(shè)備的ActiveSync郵件訪問。通過和VSP連接，可以保證只有授信的設(shè)備才可以訪問郵件，增加了郵件賬號對移動設(shè)備硬件的綁定，大大提高了安全性。還可以將郵件控制和其他安全策略關(guān)聯(lián)在一起，比如越獄的設(shè)備禁止郵件。此外，Sentry的部署，還可以避免將exchange等郵件服務(wù)器暴露在DMZ區(qū)域、AtlasAtlas是集中管理和報表引擎，可以管理5個VSP上的設(shè)備。

管理員委派，可以指派給某個管理員某個設(shè)備分組，而不可以涉及分組外的設(shè)備。

控制面板自定義，報表和統(tǒng)計界面可以按照個人的需求自定義內(nèi)容。

報表，可以對多種信息跨VSP進行收集統(tǒng)計。

操作，可以執(zhí)行鎖定，解鎖，擦除，定位，發(fā)送信息等及時操作，還可以注冊設(shè)備，用戶，用戶分組。性能連接容量VSP

500型–可管理500臺設(shè)備

3000型–可管理3000臺設(shè)備

9000型–可管理9000臺設(shè)備

20K型–可管理20000臺設(shè)備

100K型–可管理100000臺設(shè)備Sentry

可管理5000個連接Atlas

可連接5臺VSP處理數(shù)據(jù)硬件指標硬件設(shè)備會不定期升級配置，請在部署之前再次確認具體指標。虛擬化指標請在部署之前咨詢MobileIron技術(shù)專家或工程師。安裝環(huán)境項目標準最佳平均供電功率500W1000W，多路連續(xù)供電機架空間2U,

66x43x9cm重量23.6KG溫度范圍0°C－60°C20－25°C(運行時)適度范圍0%－95%(不冷凝)45%－65%(不冷凝)除M500以外的機型，都具備雙路電源冗余供電，請酌情準備。

MI會準備機架安裝螺絲和導(dǎo)軌，但因為用戶處的情況差別較大，請另備一套機架螺絲。

我們建議除了服務(wù)器占用的2U空間之外，預(yù)留1U空間便于散熱。

對于夏季冬季等室內(nèi)外環(huán)境溫差較大的情況，請?zhí)崆案嬷?，通常會將服?wù)器放置在機房6小時。

服務(wù)器應(yīng)安置在專業(yè)專用的機房環(huán)境中。機房盡可能符合《電子計算機機房設(shè)計規(guī)范》的有關(guān)要求。特別注意防火，防塵，防靜電，防雷擊，并嚴格管理操作人員的權(quán)限，避免無關(guān)人員接近。運維災(zāi)難恢復(fù)備份VSP的數(shù)據(jù)極為重要，MobileIron可以提供專業(yè)的遠程備份服務(wù)，或建議采用HA方案部署。Sentry不需要備份。當VSP不可用時，Sentry會自動放開郵件限制。日志服務(wù)器端提供了詳細的日志記錄服務(wù)器的運行情況，并可以從管理界面導(dǎo)出。SysLog支持配置好后系統(tǒng)會同時向Syslog目標和本地寫入日志?？梢栽O(shè)定級別。SNMP支持VSP，Sentry和Atlas都支持SNMP，包括CPU用量，內(nèi)容用量，磁盤用量，軟件安裝和運行情況等等。APIwebserviceVSP具備完整的API接口，可以共第三方開發(fā)調(diào)用。設(shè)備信息可以通過XML和JSON格式下載，包括100多個詳細字段?？梢詧?zhí)行注冊，鎖定，擦除等動作。

常見的API拓展開發(fā)功能：

自定義報表

自動注冊設(shè)備或限制注冊設(shè)備

向Syslog發(fā)送設(shè)備詳細信息

與位置相關(guān)的策略，電子圍欄

自動化發(fā)送推送消息

與時間和日期關(guān)聯(lián)的策略技術(shù)支持移動技術(shù)和用戶的需求都在時刻變化，MobileIron持續(xù)跟進并改進產(chǎn)品，并提供良好的服務(wù)來實現(xiàn)客戶共贏。本地化資料本地化MobileIron備有大量的客戶案例和針對不同應(yīng)用場景的方案資料，特別在中國市場，作為客戶和案例最多的廠商，分享包括BYOD計劃，數(shù)據(jù)防泄漏，Android國內(nèi)支持情況，各行業(yè)特點案例，常用安全策略細則等。幫助企業(yè)快速部署推進，定制策略，建立移動IT架構(gòu)。本地技術(shù)支持支持水平在中國市場，MobileIron原廠負責(zé)實施部署，并配合渠道伙伴提供售后技術(shù)支持。一些與企業(yè)集成相關(guān)的部署服務(wù)可能會產(chǎn)生費用，如WiFi證書部署，HA