移动设备管理的背景

如题所述

自带设备办公（BYOD）的增长受到平板电脑和智能手机普及的刺激，许多用户都有乐于使用的设备。例如，有些用户可能使用Mac BookAir、iPad或智能手机，这些设备将代表主流个人设备。自带设备办公（BYOD）可以帮助公司减少IT设备的支出，员工使用自己的个人设备，如此一来，企业设备投入将减少。
企业的目标是在满足员工自身对于新科技和个性化追求的同时，提高员工的工作效率，降低企业在移动终端上的成本和投入。自带设备办公（BYOD）可以让企业员工在机场、酒店、咖啡厅等，登录公司邮箱、在线办公系统，不受时间、地点、设备、人员、网络环境的限制……自带设备办公（BYOD）向人们展现了一个美好的未来办公场景。
自带设备办公（BYOD）是IT消费化的一个戏剧性结果。自带设备办公（BYOD）的原动力来自于员工而非企业，员工对于新科技的喜好反过来驱动企业变更和适应新技术的变化。然而这些新技术在设计和开发初期并没有考虑企业的应用环境和要求，因此很多IT支持部门非常担心自带设备办公（BYOD）带来的安全和支持风险。
自带设备办公（BYOD）存在大量与安全相关的问题。恶意软件和窃听(使用公共WIFI的情况下)是两个可能存在的风险。自带设备办公（BYOD）不仅仅是简单的所有权转移的问题， 它包含了非常复杂的，甚至隐藏的问题和风险需要规避和解决。
下面是移动设备管理的两个关键方面： 移动设备的升级（及其他变更）部署和管理 安全性，或者说对移动设备的全天候安全防护能力 使用移动设备管理的优势：
对移动性举措的控制整合　　对设备正确配置后才向员工授予访问权限　　跨各种不同设备人群创造规模经济　　降低每个用户的支持成本　　降低丢失或被盗设备的风险　　执行移动安全政策　　持续验证政策合规性 企业只能做少量工作来锁定设备。设备给企业不断带来威胁，包括越狱以及设备不可避免地被偷或者丢失。现在焦点正逐渐从管理设备转移到管理这些设备上的数据和应用。
对于数据管理，企业有很多选择。其中容器（或沙盒）技术让用户可以在BYOD设置中隔离个人数据和企业数据。例如，电子邮件客户端的容器可以保持隔离用户的企业电子邮件与个人电子邮件。
同时，双重角色采取了类似的做法，IT在设备中配置工作配置文件和个人配置文件。当员工离开公司时，IT可以在双角色设备擦除工作配置文件内的数据。
移动应用管理（MAM）允许IT控制在受企业控制的移动设备中运行的应用内的访问权限和数据。随着企业更多地了解移动性如何加快业务流程以及让员工更有效，解锁移动应用的功能以及管理这些应用的方法成为关键。
移动应用并不能简单地变成采用移动形式的传统桌面应用。它们必须调整为满足移动员工的需求以及兼容各种设备和操作系统。 如果你使用了移动设备，那么很可能是RIM公司的黑莓、苹果公司的iPhone、Android手机或者微软的Windows mobile手机。如果你的网络中只有一种移动设备的话，那么你足够幸运 – 然而，绝大多数情况下，企业需要同时通过不同的工具来管理多种设备 。
RIM公司具有多种设备的管理的丰富经验，其黑莓企业服务器（BES）可以让你通过一个控制台进行管理，而且能便捷地实现黑莓操作系统的升级并从桌面监控整个升级过程。BES已经问世有一段时间了：事实上，当2007年针对夏时制做了改进之后，黑莓管理员就再也不用面对时间变更的梦魇了 – 通过BES服务器就能实现夏时制补丁在所有移动设备上的升级。因此，如果要管理黑莓设备，BES是最佳选择。
对于iPhone用户来说，为了对设备进行软件升级必须部署iTunes。如果你有多个iPhone设备，则应该考虑把iTunes部署到工作站上以确保所有设备的一致更新。其他手机则通过本地和远程的方式进行升级。总之，如果需要管理多种智能手机，你就要么对各类升级进行管理，要么干脆改变部署的策略。
移动设备的安全防护
谈到安全性，最基本的就是要对远程设备拥有控制权。对于黑莓手机，BES可以帮你实现安全策略的控制。对于其他所有设备，Exchange ActiveSync Policies (EAP)是合适的选择。尽管EAP最初是为Windwos Mobile设计，但是现在已经演化成了各种智能手机的标准控制策略 -- iPhone、Android和微软的智能手机都通过这些策略实现对设备的控制。无论黑莓抑或是其他智能手机，下列安全特性都能通过EAP实现： 密码和数据安全：对你的移动设备实施较强力度的密码策略。而且，在一定时间的非活动状态下锁定设备，只有用复杂的密码（字母加数字）才能解锁。如果设备遗失，要能对其进行远程擦除。这样就可以在设备落入不法之徒手中时防止机密信息被窃取。 加密：绝大多数设备都有不能被禁止的强加密功能。比如，iPhone上的iOS4使用了256位的Advanced Encryption Standard来进行信息编码 – 其他设备也使用类似级别的加密措施。必须确保所有设备都用强加密策略锁定，以便保护数据和机密信息。 应用安全性：通过EAPs或者BES服务器实现与移动设备的连接（注意，EAPs不支持黑莓手机），你可以对应用的设置和可访问性进行控制。比如，你可以允许或者拒绝在移动设备上使用移动存储。你也可以只允许有签名的应用才能安装在移动设备上，以此来减少服务支持请求和潜在的问题。 移动IT安全策略：为移动设备定义强有力和简洁的安全策略。这可以通过和IT安全策略一起定义，但是如果太过复杂，那么会带来很多麻烦。 员工的认识：因为几乎每个员工都有移动设备，所以必须树立他们的安全意识。比如制定这样的政策，当员工丢失手机时，必须向你进行通报。 网络带宽浪费严重 工作效率低下
移动设备的监管手段，远远落后于移动设备的联网能力。3G网络、便携无线路由器，让网络失去边界，各种员工行为管理被移动设备轻松绕过。
移动设备感染恶意软件机会增加
员工自带设备安全投入低微，防护能力很差，同时，员工自带设备在访问范围广泛，针对移动平台的威胁呈现指数级别的高速增长，自备设备受到威胁。
移动设备丢失更加频繁威胁数据安全
作为一种便携设备，员工可以随身携带，发生丢失、被盗的几率极高，而作为企业的接入终端，自带设备上有企业的机密数据，设备丢失威胁企业数据安全。
针对移动设备的网络攻击更加常态
移动设备不同于PC的一个很重要的方面，就是移动设备大都是直接和用户的金钱、利益相关的，比方说话费、移动银行等等，这直接导致了移动网络攻击的爆发。
众多移动设备间安全策略不一致
移动时代，无线终端多种多样，更新换代更加频繁。企业很难做到即时更新设备安全策略的手动更新，这可能会导致安全手段实效，同时，也会给员工带来工作障碍。 自带设备办公（BYOD）让原本为个人消费者设计的智能手机和平板电脑，不断被企业用于承载关键业务及核心应用。同时，自带设备办公（BYOD）的策略也被大量引入企业，传统的IT管理在针对不断涌现的自带设备办公（BYOD）管理方面受到巨大的挑战。移动设备管理（MDM）由此应运而生，主流的移动智能终端操作系统都不同程度的支持移动设备管理。
主要功能
移动设备管理，又称MDM（Mobile Device Management），它提供从设备注册、激活、使用、淘汰各个环节进行完整的移动设备全生命周期管理。移动设备管理（MDM）能实现用户及设备管理、配置管理、安全管理、资产管理等功能。移动设备管理（MDM）还能提供全方位安全体系防护，同时在移动设备、移动APP、移动文档三方面进行管理和防护。
不同点
对于移动设备管理，我们可以这样认为，容器方法将应用程序、服务、身份验证、数据等连接在一个被称为包的容器中。这个容器可能仅仅是一个可以将几种功能聚集起来的应用程序，或是一个可以聚集不同应用类型（本地的、Web或虚拟的）的更复杂和全面的空间类型，它可以控制信息共享的方式。容器的一个明确特性是，它可以控制哪些可以进出容器。一般来说，IT实施这种控制，即意味着增加安全层。
对于移动设备管理，应用程序的封装是指给一个独立的应用程序增加一个安全层和管理功能。从移动设备管理（MDM）或企业移动管理（EMM）厂商的观点来看，应用程序的封装可以确保企业内部开发的应用程序与EMM方案正确地交互。这就要求对应用程序原始代码的访问，而应用程序的封装过程要自动地增加需要提升管理和安全性的代码。
对于移动设备管理，应用容器也可以连接到应用封装，因而这并不是一个二选一的问题。例如，EMM的应用封装特性，可以包含在同一家厂商的容器特性中。
移动设备管理（MDM）确保企业移动安全通常涉及四个主要阶段。
第一阶段，移动设备管理（MDM）配置设备，由负责企业移动的移动IT部门和安全工程师负责决定哪种设备会被保留。这个阶段包括利用所有现有的公司网络设施以此帮助避免资源复杂化以及重复化。
第二阶段，移动设备管理（MDM）管理所有的设备。笔记本、手机、平板电脑和iPod Touches等等，以此确保原企业人员设备保持不变。在这一点上，使用者被允许访问企业特定的资源，包括应用程序，电子邮件，确保目录安全以及基于云的文件存储。理论上，IT团队也可以向移动设备使用者发布相应的“公告”，告知他们什么是允许的（例如，在设备上运行邮件客户端）和什么是不允许的（例如，下载一个带有病毒的游戏）。
第三阶段，MDM管理使用者的移动应用程序。在这个阶段，必须解决的是一个几乎无限的应用程序管理。设备，人员和操作系统平台都是有限、相对可控的，但是应用数量、种类却是时刻都在发生变化。MDM可以帮助企业解决一系列相关的问题，包括提供一个私人的，公司特定的应用程序商店等。一个这样的公司应用程序库对于整个公司的部门，以及应用程序的保存和发布都是方便有效的，并且提供最严格的安全和最佳的最终用户体验。
第四阶段，移动设备管理（MDM）控制成本。由于移动设备管理（MDM）软件设计的应用程序接口(APIs)可以监测用户的通讯情况，这样企业就可以有效的减少非必要的电话超支，移动设备管理（MDM）持续生命周期可以帮助使用者，在高昂的移动服务投入超支方面起到有效的限制作用。