[科普中国]-移动设备管理

智能手机已经广泛地应用到我们日常的工作和生活中，然而有些CIO在考虑网络的安全管理时把这些移动设备遗忘了。而由于这种管理缺失，导致智能手机和其他移动设备成为了企业网络中最为薄弱的一个环节。

自带设备办公（BYOD）让原本为个人消费者设计的智能手机和平板电脑，不断被企业用于承载关键业务及核心应用。同时，自带设备办公（BYOD）的策略也被大量引入企业，传统的IT管理在针对不断涌现的自带设备办公（BYOD）管理方面受到巨大的挑战。移动设备管理（Mobile Device Management，简称MDM）由此应运而生。主流的移动智能终端操作系统都不同程度的支持移动设备管理。

简介在今天快速移动计算设备的世界里，充斥着无所不在的信息网站入口。市场不久将充满不同类型的设备。这些利用网络查找信息包括个人数字助理(PDA)，以及更多兴起的消费者导向服务应用的设备，例如车内的信息系统、家庭服务网关器、数字机顶盒(Set．top Boxes)。而那些设备会变得更受欢迎并且设计得更错综复杂：安装和重新配置设备，更新软件的任务，自动注册新服务等等。对使用者来说，这样的操作过程将变得更困难。因此，我们需要对移动设备进行管理。况且，要改进用户体验并启用流程化的IT支持，企业必须开发移动设备管理流程，比如故障排除、远程安装软件、更新应用程序及备份和保护移动设备上的数据等。然而，支持移动设备(经常与最近的支持服务部门相距很远)可能会需要集中大量劳动并且成本会十分昂贵。要解决这个问题，企业可以通过从以下方面来完善移动设备的管理策略：1

(1)保证移动设备的连通性。及早提出连通性问题将有助于保证移动化方案的成功。1

(2)随时掌握应用于移动化业务的工具和应用程序。一旦设备处于活动状态且处在使用中时，就将新的应用程序发送到设备上。设置管理、远程软件分布、库存管理以及设备审核，对于提供远程服务和完美的用户体验来说至关重要。1

(3)关心移动技术的安全性。解决技术和可用性问题，并确保数据安全，这些需要IT人员在现场和远程支持多个设备进行培训。1

(4)将移动设备个性化，使其与移动员工的需求相匹配。保证移动设备在部署前具有正确的功能和位置。移动基础架构应该包括使IT始终如一地支持移动设备的配置计划。1

对企业来说，将移动设备看作IT资源可能很有意义。如果是这样，IT部门就会在决定选择何种移动设备及如何管理它们中起到主要的作用——甚至是主导作用。在移动设备选择过程中面I临并解决的一些问题，会为开发最有可能的设备管理实践提供指导。1

主要功能移动设备管理，又称MDM（Mobile Device Management），它提供从设备注册、激活、使用、淘汰各个环节进行完整的移动设备全生命周期管理。移动设备管理（MDM）能实现用户及设备管理、配置管理、安全管理、资产管理等功能。移动设备管理（MDM）还能提供全方位安全体系防护，同时在移动设备、移动APP、移动文档三方面进行管理和防护。

对于移动设备管理，我们可以这样认为，容器方法将应用程序、服务、身份验证、数据等连接在一个被称为包的容器中。这个容器可能仅仅是一个可以将几种功能聚集起来的应用程序，或是一个可以聚集不同应用类型（本地的、Web或虚拟的）的更复杂和全面的空间类型，它可以控制信息共享的方式。容器的一个明确特性是，它可以控制哪些可以进出容器。一般来说，IT实施这种控制，即意味着增加安全层。

对于移动设备管理，应用程序的封装是指给一个独立的应用程序增加一个安全层和管理功能。从移动设备管理（MDM）或企业移动管理（EMM）厂商的观点来看，应用程序的封装可以确保企业内部开发的应用程序与EMM方案正确地交互。这就要求对应用程序原始代码的访问，而应用程序的封装过程要自动地增加需要提升管理和安全性的代码。

对于移动设备管理，应用容器也可以连接到应用封装，因而这并不是一个二选一的问题。例如，EMM的应用封装特性，可以包含在同一家厂商的容器特性中。

涉及内容移动设备管理（MDM）确保企业移动安全通常涉及四个主要阶段。

**第一阶段，**移动设备管理（MDM）配置设备，由负责企业移动的移动IT部门和安全工程师负责决定哪种设备会被保留。这个阶段包括利用所有现有的公司网络设施以此帮助避免资源复杂化以及重复化。

**第二阶段，**移动设备管理（MDM）管理所有的设备。笔记本、手机、平板电脑和iPod Touches等等，以此确保原企业人员设备保持不变。在这一点上，使用者被允许访问企业特定的资源，包括应用程序，电子邮件，确保目录安全以及基于云的文件存储。理论上，IT团队也可以向移动设备使用者发布相应的“公告”，告知他们什么是允许的（例如，在设备上运行邮件客户端）和什么是不允许的（例如，下载一个带有病毒的游戏）。

**第三阶段，**MDM管理使用者的移动应用程序。在这个阶段，必须解决的是一个几乎无限的应用程序管理。设备，人员和操作系统平台都是有限、相对可控的，但是应用数量、种类却是时刻都在发生变化。MDM可以帮助企业解决一系列相关的问题，包括提供一个私人的，公司特定的应用程序商店等。一个这样的公司应用程序库对于整个公司的部门，以及应用程序的保存和发布都是方便有效的，并且提供最严格的安全和最佳的最终用户体验。

**第四阶段，**移动设备管理（MDM）控制成本。由于移动设备管理（MDM）软件设计的应用程序接口(APIs)可以监测用户的通讯情况，这样企业就可以有效的减少非必要的电话超支，移动设备管理（MDM）持续生命周期可以帮助使用者，在高昂的移动服务投入超支方面起到有效的限制作用。

安全隐患1、网络带宽浪费严重 工作效率低下

移动设备的监管手段，远远落后于移动设备的联网能力。3G网络、便携无线路由器，让网络失去边界，各种员工行为管理被移动设备轻松绕过。

2、移动设备感染恶意软件机会增加

员工自带设备安全投入低微，防护能力很差，同时，员工自带设备在访问范围广泛，针对移动平台的威胁呈现指数级别的高速增长，自备设备受到威胁。

3、移动设备丢失更加频繁威胁数据安全

作为一种便携设备，员工可以随身携带，发生丢失、被盗的几率极高，而作为企业的接入终端，自带设备上有企业的机密数据，设备丢失威胁企业数据安全。

4、针对移动设备的网络攻击更加常态

移动设备不同于PC的一个很重要的方面，就是移动设备大都是直接和用户的金钱、利益相关的，比方说话费、移动银行等等，这直接导致了移动网络攻击的爆发。

5、众多移动设备间安全策略不一致

移动时代，无线终端多种多样，更新换代更加频繁。企业很难做到即时更新设备安全策略的手动更新，这可能会导致安全手段实效，同时，也会给员工带来工作障碍。

安全策略MDM在最初设想的方案只是针对企业所分配给员工的设备管理。如今当员工普遍把自己的设备用来处理办一些公事务时，企业数据安全又成为了一道需要翻越的门槛，这就要考虑到以下几点安全策略：

设备安全管理；

数据安全管理；

数据加密管理；

补丁分发管理；

数据接入管理。

把这些设备统一管理起来具有以下功能：可查询的硬件资产管理；系统和软件的兼容支持；状态监控和后台服务支持；数据备份和配置功能管理；能有效地节约管理成本。2

安全防护谈到安全性，最基本的就是要对远程设备拥有控制权。对于黑莓手机，BES可以帮你实现安全策略的控制。对于其他所有设备，Exchange ActiveSync Policies (EAP)是合适的选择。尽管EAP最初是为Windwos Mobile设计，但是现在已经演化成了各种智能手机的标准控制策略 -- iPhone、Android和微软的智能手机都通过这些策略实现对设备的控制。无论黑莓抑或是其他智能手机，下列安全特性都能通过EAP实现：

密码和数据安全：对你的移动设备实施较强力度的密码策略。而且，在一定时间的非活动状态下锁定设备，只有用复杂的密码（字母加数字）才能解锁。如果设备遗失，要能对其进行远程擦除。这样就可以在设备落入不法之徒手中时防止机密信息被窃取。

加密：绝大多数设备都有不能被禁止的强加密功能。比如，iPhone上的iOS4使用了256位的Advanced Encryption Standard来进行信息编码 – 其他设备也使用类似级别的加密措施。必须确保所有设备都用强加密策略锁定，以便保护数据和机密信息。

应用安全性：通过EAPs或者BES服务器实现与移动设备的连接（注意，EAPs不支持黑莓手机），你可以对应用的设置和可访问性进行控制。比如，你可以允许或者拒绝在移动设备上使用移动存储。你也可以只允许有签名的应用才能安装在移动设备上，以此来减少服务支持请求和潜在的问题。

移动IT安全策略：为移动设备定义强有力和简洁的安全策略。这可以通过和IT安全策略一起定义，但是如果太过复杂，那么会带来很多麻烦。

员工的认识：因为几乎每个员工都有移动设备，所以必须树立他们的安全意识。比如制定这样的政策，当员工丢失手机时，必须向你进行通报。

本词条内容贡献者为:

闫晓东 - 副教授 - 中央民族大学信息工程学院