智慧型手机已经广泛地套用到我们日常的工作和生活中,有些CIO在考虑网路的安全管理时把这些移动设备遗忘了。而由于这种管理缺失,导致智慧型手机和其他移动设备成为了企业网路中最为薄弱的一个环节。
自带设备办公(BYOD)让原本为个人消费者设计的智慧型手机和平板电脑,不断被企业用于承载关键业务及核心套用。,自带设备办公(BYOD)的策略也被大量引入企业,传统的IT管理在针对不断涌现的自带设备办公(BYOD)管理方面受到巨大的挑战。移动设备管理(Mobile Device Management,简称MDM)由此应运而生。主流的移动智慧型终端作业系统都不同程度的支持移动设备管理。
基本介绍
- 中文名移动设备管理
- 外文名Mobile Device Management
- 外文缩写MDM
- 套用移动设备
背景
智慧型手机已经广泛地套用到我们日常的工作和生活中,有些CIO在考虑网路的安全管理时把这些移动设备遗忘了。而由于这种管理缺失,导致智慧型手机和其他移动设备成为了企业网路中最为薄弱的一个环节。
自带设备办公(BYOD)让原本为个人消费者设计的智慧型手机和平板电脑,不断被企业用于承载关键业务及核心套用。,自带设备办公(BYOD)的策略也被大量引入企业,传统的IT管理在针对不断涌现的自带设备办公(BYOD)管理方面受到巨大的挑战。移动设备管理(Mobile Device Management,简称MDM)由此应运而生。主流的移动智慧型终端作业系统都不同程度的支持移动设备管理。
利弊
自带设备办公(BYOD)的增长受到平板电脑和智慧型手机普及的刺激,许多用户都有乐于使用的设备。例如,有些用户可能使用MacBook、iPad或智慧型手机,这些设备将代表主流个人设备。自带设备办公(BYOD)可以帮助公司减少IT设备的支出,员工使用自己的个人设备,如此一来,企业设备投入将减少。
企业的目标是在满足员工自身对于新科技和个性化追求的,提高员工的工作效率,降低企业在移动终端上的成本和投入。自带设备办公(BYOD)可以让企业员工在机场、酒店、咖啡厅等,登录公司信箱、线上办公系统,不受时间、地点、设备、人员、网路环境的限制……自带设备办公(BYOD)向人们展现了一个美好的未来办公场景。
自带设备办公(BYOD)是IT消费化的一个戏剧性结果。自带设备办公(BYOD)的原动力来自于员工而非企业,员工对于新科技的喜好反过来驱动企业变更和适应新技术的变化。这些新技术在设计和开发初期并没有考虑企业的套用环境和要求,很多IT支持部门非常担心自带设备办公(BYOD)带来的安全和支持风险。
自带设备办公(BYOD)存在大量与安全相关的问题。恶意软体和窃听(使用公共WIFI的情况下)是两个可能存在的风险。自带设备办公(BYOD)不仅仅是简单的所有权转移的问题, 它包含了非常複杂的,甚至隐藏的问题和风险需要规避和解决。
下面是移动设备管理的两个关键方面
- 移动设备的升级(及其他变更)部署和管理
- 安全性,或者说对移动设备的全天候安全防护能力
使用移动设备管理的优势
对移动性举措的控制整合
对设备正确配置后才向员工授予访问许可权
跨各种不同设备人群创造规模经济
降低每个用户的支持成本
降低丢失或被盗设备的风险
执行移动安全政策
持续验证政策合规性
对设备正确配置后才向员工授予访问许可权
跨各种不同设备人群创造规模经济
降低每个用户的支持成本
降低丢失或被盗设备的风险
执行移动安全政策
持续验证政策合规性
转变管理战略
企业只能做少量工作来锁定设备。设备给企业不断带来威胁,包括越狱以及设备不可避免地被偷或者丢失。现在焦点正逐渐从管理设备转移到管理这些设备上的数据和套用。
对于数据管理,企业有很多选择。其中容器(或沙盒)技术让用户可以在BYOD设定中隔离个人数据和企业数据。例如,电子邮件客户端的容器可以保持隔离用户的企业电子邮件与个人电子邮件。
,双重角色採取了类似的做法,IT在设备中配置工作配置档案和个人配置档案。当员工离开公司时,IT可以在双角色设备擦除工作配置档案内的数据。
移动套用管理(MAM)允许IT控制在受企业控制的移动设备中运行的套用内的访问许可权和数据。随着企业更多地了解移动性如何加快业务流程以及让员工更有效,解锁移动套用的功能以及管理这些套用的方法成为关键。
移动套用并不能简单地变成採用移动形式的传统桌面套用。它们必须调整为满足移动员工的需求以及兼容各种设备和作业系统。
变更部署
如果你使用了移动设备,那幺很可能是RIM公司的黑莓、苹果公司的iPhone、Android手机或者微软的Windows mobile手机。如果你的网路中只有一种移动设备的话,那幺你足够幸运 – ,绝大多数情况下,企业需要通过不同的工具来管理多种设备。
RIM公司具有多种设备的管理的丰富经验,其黑莓企业伺服器(BES)可以让你通过一个控制台进行管理,而且能便捷地实现黑莓作业系统的升级并从桌面监控整个升级过程。BES已经问世有一段时间了事实上,当2007年针对夏时製做了改进之后,黑莓管理员就再也不用面对时间变更的梦魇了 – 通过BES伺服器就能实现夏时制补丁在所有移动设备上的升级。,如果要管理黑莓设备,BES是最佳选择。
对于iPhone用户来说,为了对设备进行软体升级必须部署iTunes。如果你有多个iPhone设备,则应该考虑把iTunes部署到工作站上以确保所有设备的一致更新。其他手机则通过本地和远程的方式进行升级。,如果需要管理多种智慧型手机,你就要幺对各类升级进行管理,要幺乾脆改变部署的策略。
安全防护
谈到安全性,最基本的就是要对远程设备拥有控制权。对于黑莓手机,BES可以帮你实现安全策略的控制。对于其他所有设备,Exchange ActiveSync Policies (EAP)是合适的选择。儘管EAP最初是为Windwos Mobile设计,现在已经演化成了各种智慧型手机的标準控制策略 -- iPhone、Android和微软的智慧型手机都通过这些策略实现对设备的控制。无论黑莓抑或是其他智慧型手机,下列安全特性都能通过EAP实现
- 密码和数据安全对你的移动设备实施较强力度的密码策略。而且,在一定时间的非活动状态下锁定设备,只有用複杂的密码(字母加数字)才能解锁。如果设备遗失,要能对其进行远程擦除。这样就可以在设备落入不法之徒手中时防止机密信息被窃取。
- 加密绝大多数设备都有不能被禁止的强加密功能。比如,iPhone上的iOS4使用了256位的Advanced Encryption Standard来进行信息编码 – 其他设备也使用类似级别的加密措施。必须确保所有设备都用强加密策略锁定,以便保护数据和机密信息。
- 套用安全性通过EAPs或者BES伺服器实现与移动设备的连线(注意,EAPs不支持黑莓手机),你可以对套用的设定和可访问性进行控制。比如,你可以允许或者拒绝在移动设备上使用移动存储。你也可以只允许有签名的套用才能安装在移动设备上,以此来减少服务支持请求和潜在的问题。
- 移动IT安全策略为移动设备定义强有力和简洁的安全策略。这可以通过和IT安全策略一起定义,如果太过複杂,那幺会带来很多麻烦。
- 员工的认识因为几乎每个员工都有移动设备,所以必须树立他们的安全意识。比如制定这样的政策,当员工丢失手机时,必须向你进行通报。
5大安全隐患
网路频宽浪费严重 工作效率低下
移动设备的监管手段,远远落后于移动设备的联网能力。3G网路、便携无线路由器,让网路失去边界,各种员工行为管理被移动设备轻鬆绕过。
移动设备感染恶意软体机会增加
员工自带设备安全投入低微,防护能力很差,,员工自带设备在访问範围广泛,针对移动平台的威胁呈现指数级别的高速增长,自备设备受到威胁。
移动设备丢失更加频繁威胁数据安全
作为一种便携设备,员工可以随身携带,发生丢失、被盗的几率极高,而作为企业的接入终端,自带设备上有企业的机密数据,设备丢失威胁企业数据安全。
针对移动设备的网路攻击更加常态
移动设备不同于PC的一个很重要的方面,就是移动设备大都是直接和用户的金钱、利益相关的,比方说话费、移动银行等等,这直接导致了行动网路攻击的爆发。
众多移动设备间安全策略不一致
移动时代,无线终端多种多样,更新换代更加频繁。企业很难做到即时更新设备安全策略的手动更新,这可能会导致安全手段实效,,也会给员工带来工作障碍。
移动设备管理
自带设备办公(BYOD)让原本为个人消费者设计的智慧型手机和平板电脑,不断被企业用于承载关键业务及核心套用。,自带设备办公(BYOD)的策略也被大量引入企业,传统的IT管理在针对不断涌现的自带设备办公(BYOD)管理方面受到巨大的挑战。移动设备管理(MDM)由此应运而生,主流的移动智慧型终端作业系统都不同程度的支持移动设备管理。
主要功能
移动设备管理,又称MDM(Mobile Device Management),它提供从设备注册、激活、使用、淘汰各个环节进行完整的移动设备全生命周期管理。移动设备管理(MDM)能实现用户及设备管理、配置管理、安全管理、资产管理等功能。移动设备管理(MDM)还能提供全方位安全体系防护,在移动设备、移动APP、移动文档三方面进行管理和防护。
不同点
对于移动设备管理,我们可以这样认为,容器方法将应用程式、服务、身份验证、数据等连线在一个被称为包的容器中。这个容器可能仅仅是一个可以将几种功能聚集起来的应用程式,或是一个可以聚集不同套用类型(本地的、Web或虚拟的)的更複杂和全面的空间类型,它可以控制信息共享的方式。容器的一个明确特性是,它可以控制哪些可以进出容器。,IT实施这种控制,即意味着增加安全层。
对于移动设备管理,应用程式的封装是指给一个独立的应用程式增加一个安全层和管理功能。从移动设备管理(MDM)或企业移动管理(EMM)厂商的观点来看,应用程式的封装可以确保企业内部开发的应用程式与EMM方案正确地互动。这就要求对应用程式原始代码的访问,而应用程式的封装过程要自动地增加需要提升管理和安全性的代码。
对于移动设备管理,套用容器也可以连线到套用封装,因而这并不是一个二选一的问题。例如,EMM的套用封装特性,可以包含在同一家厂商的容器特性中。
移动设备管理(MDM)确保企业移动安全通常涉及四个主要阶段。
第一阶段,移动设备管理(MDM)配置设备,由负责企业移动的移动IT部门和安全工程师负责决定哪种设备会被保留。这个阶段包括利用所有现有的公司网路设施以此帮助避免资源複杂化以及重複化。
第二阶段,移动设备管理(MDM)管理所有的设备。笔记本、手机、平板电脑和iPod Touches等等,以此确保原企业人员设备保持不变。在这一点上,使用者被允许访问企业特定的资源,包括应用程式,电子邮件,确保目录安全以及基于云的档案存储。理论上,IT团队也可以向移动设备使用者发布相应的“公告”,告知他们什幺是允许的(例如,在设备上运行邮件客户端)和什幺是不允许的(例如,下载一个带有病毒的游戏)。
第三阶段,MDM管理使用者的移动应用程式。在这个阶段,必须解决的是一个几乎无限的应用程式管理。设备,人员和作业系统平台都是有限、相对可控的,套用数量、种类却是时刻都在发生变化。MDM可以帮助企业解决一系列相关的问题,包括提供一个私人的,公司特定的应用程式商店等。一个这样的公司应用程式库对于整个公司的部门,以及应用程式的保存和发布都是方便有效的,并且提供最严格的安全和最佳的最终用户体验。
第四阶段,移动设备管理(MDM)控制成本。由于移动设备管理(MDM)软体设计的应用程式接口(APIs)可以监测用户的通讯情况,这样企业就可以有效的减少非必要的电话超支,移动设备管理(MDM)持续生命周期可以帮助使用者,在高昂的移动服务投入超支方面起到有效的限制作用。
管理的延伸
来自IDC的数据显示,移动终端将超过PC成为访问网际网路时使用最多的终端,企业用户对移动套用的需求也已从收发邮件、办公自动化,拓展到业务类套用的移动化。企业面临着大量内部和外部移动套用的管理及分发,由此,从标準化的MDM产品中衍生出了MAM(移动套用管理)功能。
MAM,移动套用管理。针对员工移动设备套用的安全保护、分发、访问、配置、更新、删除等策略和流程。通过企业套用商店控制和推送套用, 能集中监控套用的使用情况,对套用设定相应策略以满足企业的规范。
移动设备管理必须要能不干扰员工个人的套用,不触犯其个人隐私权,却又能在其存取公司的系统或档案时予以控管。这种情况下的管理複杂度相当高,员工的移动设备有各式各样的平台,有各式各样的应用程式,你的移动设备管理平台要有办法应付各种平台,甚至,不只是管理或限制设备本身的功能而已,还得进一步延伸到移动应用程式的管理,或是更多内容的管理,这也是移动设备管理未来的一个趋势,由MDM朝MAM(Mobile Application Management)发展。
移动套用管理(MAM)能够防止恶意软体的威胁,并要在企业内部搭建一个套用商店,对企业套用进行管理和分发。