背景
智慧型手機已經廣泛地套用到我們日常的工作和生活中,然而有些CIO在考慮網路的安全管理時把這些移動設備遺忘了。而由於這種管理缺失,導致智慧型手機和其他移動設備成為了企業網路中最為薄弱的一個環節 。
自帶設備辦公(BYOD)讓原本為個人消費者設計的智慧型手機和平板電腦,不斷被企業用於承載關鍵業務及核心套用。同時,自帶設備辦公(BYOD)的策略也被大量引入企業,傳統的IT管理在針對不斷湧現的自帶設備辦公(BYOD)管理方面受到巨大的挑戰。移動設備管理(Mobile Device Management,簡稱MDM)由此應運而生。主流的移動智慧型終端作業系統都不同程度的支持移動設備管理。
利弊
自帶設備辦公(BYOD)的增長受到平板電腦和智慧型手機普及的刺激,許多用戶都有樂於使用的設備。例如,有些用戶可能使用MacBook、iPad或智慧型手機,這些設備將代表主流個人設備。自帶設備辦公(BYOD)可以幫助公司減少IT設備的支出,員工使用自己的個人設備,如此一來,企業設備投入將減少。
企業的目標是在滿足員工自身對於新科技和個性化追求的同時,提高員工的工作效率,降低企業在移動終端上的成本和投入。自帶設備辦公(BYOD)可以讓企業員工在機場、酒店、咖啡廳等,登錄公司信箱、線上辦公系統,不受時間、地點、設備、人員、網路環境的限制……自帶設備辦公(BYOD)向人們展現了一個美好的未來辦公場景。
自帶設備辦公(BYOD)是IT消費化的一個戲劇性結果。自帶設備辦公(BYOD)的原動力來自於員工而非企業,員工對於新科技的喜好反過來驅動企業變更和適應新技術的變化。然而這些新技術在設計和開發初期並沒有考慮企業的套用環境和要求,因此很多IT支持部門非常擔心自帶設備辦公(BYOD)帶來的安全和支持風險。
自帶設備辦公(BYOD)存在大量與安全相關的問題。惡意軟體和竊聽(使用公共WIFI的情況下)是兩個可能存在的風險。自帶設備辦公(BYOD)不僅僅是簡單的所有權轉移的問題, 它包含了非常複雜的,甚至隱藏的問題和風險需要規避和解決。
下面是移動設備管理的兩個關鍵方面:
•移動設備的升級(及其他變更)部署和管理
•安全性,或者說對移動設備的全天候安全防護能力
使用移動設備管理的優勢:
對移動性舉措的控制整合
對設備正確配置後才向員工授予訪問許可權
跨各種不同設備人群創造規模經濟
降低每個用戶的支持成本
降低丟失或被盜設備的風險
執行移動安全政策
持續驗證政策合規性
轉變管理戰略
企業只能做少量工作來鎖定設備。設備給企業不斷帶來威脅,包括越獄以及設備不可避免地被偷或者丟失。現在焦點正逐漸從管理設備轉移到管理這些設備上的數據和套用。
對於數據管理,企業有很多選擇。其中容器(或沙盒)技術讓用戶可以在BYOD設定中隔離個人數據和企業數據。例如,電子郵件客戶端的容器可以保持隔離用戶的企業電子郵件與個人電子郵件。
同時,雙重角色採取了類似的做法,IT在設備中配置工作配置檔案和個人配置檔案。當員工離開公司時,IT可以在雙角色設備擦除工作配置檔案內的數據。
移動套用管理(MAM)允許IT控制在受企業控制的移動設備中運行的套用內的訪問許可權和數據。隨著企業更多地了解移動性如何加快業務流程以及讓員工更有效,解鎖移動套用的功能以及管理這些套用的方法成為關鍵。
移動套用並不能簡單地變成採用移動形式的傳統桌面套用。它們必須調整為滿足移動員工的需求以及兼容各種設備和作業系統。
變更部署
如果你使用了移動設備,那么很可能是RIM公司的黑莓、蘋果公司的iPhone、Android手機或者微軟的Windows mobile手機。如果你的網路中只有一種移動設備的話,那么你足夠幸運 – 然而,絕大多數情況下,企業需要同時通過不同的工具來管理多種設備 。
RIM公司具有多種設備的管理的豐富經驗,其黑莓企業伺服器(BES)可以讓你通過一個控制台進行管理,而且能便捷地實現黑莓作業系統的升級並從桌面監控整個升級過程。BES已經問世有一段時間了:事實上,當2007年針對夏時製做了改進之後,黑莓管理員就再也不用面對時間變更的夢魘了 – 通過BES伺服器就能實現夏時制補丁在所有移動設備上的升級。因此,如果要管理黑莓設備,BES是最佳選擇。
對於iPhone用戶來說,為了對設備進行軟體升級必須部署iTunes。如果你有多個iPhone設備,則應該考慮把iTunes部署到工作站上以確保所有設備的一致更新。其他手機則通過本地和遠程的方式進行升級。總之,如果需要管理多種智慧型手機,你就要么對各類升級進行管理,要么乾脆改變部署的策略。
安全防護
談到安全性,最基本的就是要對遠程設備擁有控制權。對於黑莓手機,BES可以幫你實現安全策略的控制。對於其他所有設備,Exchange ActiveSync Policies (EAP)是合適的選擇。儘管EAP最初是為Windwos Mobile設計,但是現在已經演化成了各種智慧型手機的標準控制策略 -- iPhone、Android和微軟的智慧型手機都通過這些策略實現對設備的控制。無論黑莓抑或是其他智慧型手機,下列安全特性都能通過EAP實現:
密碼和數據安全:對你的移動設備實施較強力度的密碼策略。而且,在一定時間的非活動狀態下鎖定設備,只有用複雜的密碼(字母加數字)才能解鎖。如果設備遺失,要能對其進行遠程擦除。這樣就可以在設備落入不法之徒手中時防止機密信息被竊取。
加密:絕大多數設備都有不能被禁止的強加密功能。比如,iPhone上的iOS4使用了256位的Advanced Encryption Standard來進行信息編碼 – 其他設備也使用類似級別的加密措施。必須確保所有設備都用強加密策略鎖定,以便保護數據和機密信息。
套用安全性:通過EAPs或者BES伺服器實現與移動設備的連線(注意,EAPs不支持黑莓手機),你可以對套用的設定和可訪問性進行控制。比如,你可以允許或者拒絕在移動設備上使用移動存儲。你也可以只允許有簽名的套用才能安裝在移動設備上,以此來減少服務支持請求和潛在的問題。
移動IT安全策略:為移動設備定義強有力和簡潔的安全策略。這可以通過和IT安全策略一起定義,但是如果太過複雜,那么會帶來很多麻煩。
員工的認識:因為幾乎每個員工都有移動設備,所以必須樹立他們的安全意識。比如制定這樣的政策,當員工丟失手機時,必須向你進行通報。
1.密碼和數據安全:對你的移動設備實施較強力度的密碼策略。而且,在一定時間的非活動狀態下鎖定設備,只有用複雜的密碼(字母加數字)才能解鎖。如果設備遺失,要能對其進行遠程擦除。這樣就可以在設備落入不法之徒手中時防止機密信息被竊取。
2.加密:絕大多數設備都有不能被禁止的強加密功能。比如,iPhone上的iOS4使用了256位的Advanced Encryption Standard來進行信息編碼 – 其他設備也使用類似級別的加密措施。必須確保所有設備都用強加密策略鎖定,以便保護數據和機密信息。
3.套用安全性:通過EAPs或者BES伺服器實現與移動設備的連線(注意,EAPs不支持黑莓手機),你可以對套用的設定和可訪問性進行控制。比如,你可以允許或者拒絕在移動設備上使用移動存儲。你也可以只允許有簽名的套用才能安裝在移動設備上,以此來減少服務支持請求和潛在的問題。
4.移動IT安全策略:為移動設備定義強有力和簡潔的安全策略。這可以通過和IT安全策略一起定義,但是如果太過複雜,那么會帶來很多麻煩。
5.員工的認識:因為幾乎每個員工都有移動設備,所以必須樹立他們的安全意識。比如制定這樣的政策,當員工丟失手機時,必須向你進行通報。
5大安全隱患
網路頻寬浪費嚴重 工作效率低下
移動設備的監管手段,遠遠落後於移動設備的聯網能力。3G網路、便攜無線路由器,讓網路失去邊界,各種員工行為管理被移動設備輕鬆繞過。
移動設備感染惡意軟體機會增加
員工自帶設備安全投入低微,防護能力很差,同時,員工自帶設備在訪問範圍廣泛,針對移動平台的威脅呈現指數級別的高速增長,自備設備受到威脅。
移動設備丟失更加頻繁威脅數據安全
作為一種便攜設備,員工可以隨身攜帶,發生丟失、被盜的幾率極高,而作為企業的接入終端,自帶設備上有企業的機密數據,設備丟失威脅企業數據安全。
針對移動設備的網路攻擊更加常態
移動設備不同於PC的一個很重要的方面,就是移動設備大都是直接和用戶的金錢、利益相關的,比方說話費、移動銀行等等,這直接導致了行動網路攻擊的爆發。
眾多移動設備間安全策略不一致
移動時代,無線終端多種多樣,更新換代更加頻繁。企業很難做到即時更新設備安全策略的手動更新,這可能會導致安全手段實效,同時,也會給員工帶來工作障礙。
移動設備管理
自帶設備辦公(BYOD)讓原本為個人消費者設計的智慧型手機和平板電腦,不斷被企業用於承載關鍵業務及核心套用。同時,自帶設備辦公(BYOD)的策略也被大量引入企業,傳統的IT管理在針對不斷湧現的自帶設備辦公(BYOD)管理方面受到巨大的挑戰。移動設備管理(MDM)由此應運而生,主流的移動智慧型終端作業系統都不同程度的支持移動設備管理。
主要功能
移動設備管理,又稱MDM(Mobile Device Management),它提供從設備註冊、激活、使用、淘汰各個環節進行完整的移動設備全生命周期管理。移動設備管理(MDM)能實現用戶及設備管理、配置管理、安全管理、資產管理等功能。移動設備管理(MDM)還能提供全方位安全體系防護,同時在移動設備、移動APP、移動文檔三方面進行管理和防護。
不同點
對於移動設備管理,我們可以這樣認為,容器方法將應用程式、服務、身份驗證、數據等連線在一個被稱為包的容器中。這個容器可能僅僅是一個可以將幾種功能聚集起來的應用程式,或是一個可以聚集不同套用類型(本地的、Web或虛擬的)的更複雜和全面的空間類型,它可以控制信息共享的方式。容器的一個明確特性是,它可以控制哪些可以進出容器。一般來說,IT實施這種控制,即意味著增加安全層。
對於移動設備管理,應用程式的封裝是指給一個獨立的應用程式增加一個安全層和管理功能。從移動設備管理(MDM)或企業移動管理(EMM)廠商的觀點來看,應用程式的封裝可以確保企業內部開發的應用程式與EMM方案正確地互動。這就要求對應用程式原始代碼的訪問,而應用程式的封裝過程要自動地增加需要提升管理和安全性的代碼。
對於移動設備管理,套用容器也可以連線到套用封裝,因而這並不是一個二選一的問題。例如,EMM的套用封裝特性,可以包含在同一家廠商的容器特性中。
移動設備管理(MDM)確保企業移動安全通常涉及四個主要階段。
第一階段,移動設備管理(MDM)配置設備,由負責企業移動的移動IT部門和安全工程師負責決定哪種設備會被保留。這個階段包括利用所有現有的公司網路設施以此幫助避免資源複雜化以及重複化。
第二階段,移動設備管理(MDM)管理所有的設備。筆記本、手機、平板電腦和iPod Touches等等,以此確保原企業人員設備保持不變。在這一點上,使用者被允許訪問企業特定的資源,包括應用程式,電子郵件,確保目錄安全以及基於雲的檔案存儲。理論上,IT團隊也可以向移動設備使用者發布相應的“公告”,告知他們什麼是允許的(例如,在設備上運行郵件客戶端)和什麼是不允許的(例如,下載一個帶有病毒的遊戲)。
第三階段,MDM管理使用者的移動應用程式。在這個階段,必須解決的是一個幾乎無限的應用程式管理。設備,人員和作業系統平台都是有限、相對可控的,但是套用數量、種類卻是時刻都在發生變化。MDM可以幫助企業解決一系列相關的問題,包括提供一個私人的,公司特定的應用程式商店等。一個這樣的公司應用程式庫對於整個公司的部門,以及應用程式的保存和發布都是方便有效的,並且提供最嚴格的安全和最佳的最終用戶體驗。
第四階段,移動設備管理(MDM)控制成本。由於移動設備管理(MDM)軟體設計的應用程式接口(APIs)可以監測用戶的通訊情況,這樣企業就可以有效的減少非必要的電話超支,移動設備管理(MDM)持續生命周期可以幫助使用者,在高昂的移動服務投入超支方面起到有效的限制作用。
管理的延伸
來自IDC的數據顯示,移動終端將超過PC成為訪問網際網路時使用最多的終端,企業用戶對移動套用的需求也已從收發郵件、辦公自動化,拓展到業務類套用的移動化。企業面臨著大量內部和外部移動套用的管理及分發,由此,從標準化的MDM產品中衍生出了MAM(移動套用管理)功能。
MAM,移動套用管理。針對員工移動設備套用的安全保護、分發、訪問、配置、更新、刪除等策略和流程。通過企業套用商店控制和推送套用, 能集中監控套用的使用情況,對套用設定相應策略以滿足企業的規範。
移動設備管理必須要能不干擾員工個人的套用,不觸犯其個人隱私權,卻又能在其存取公司的系統或檔案時予以控管。這種情況下的管理複雜度相當高,員工的移動設備有各式各樣的平台,有各式各樣的應用程式,你的移動設備管理平台要有辦法應付各種平台,甚至,不只是管理或限制設備本身的功能而已,還得進一步延伸到移動應用程式的管理,或是更多內容的管理,這也是移動設備管理未來的一個趨勢,由MDM朝MAM(Mobile Application Management)發展。
移動套用管理(MAM)能夠防止惡意軟體的威脅,並要在企業內部搭建一個套用商店,對企業套用進行管理和分發。