BYOD的盛行使得企業(yè)移動(dòng)應(yīng)用管理已經(jīng)成為企業(yè)CIO、CSO需要高度關(guān)注的一個(gè)問(wèn)題。解決不好這個(gè)問(wèn)題，將會(huì)使得員工工作效率低下，企業(yè)應(yīng)用存在安全隱患或者風(fēng)險(xiǎn)。因此，企業(yè)急需要制定一套企業(yè)移動(dòng)應(yīng)用管理體系，在該體系中，數(shù)據(jù)、應(yīng)用和設(shè)備管理是非常關(guān)鍵的三個(gè)要素。本文將詳細(xì)介紹這方面的安全管理最佳實(shí)踐。

實(shí)踐一：數(shù)據(jù)隔離是核心

企業(yè)移動(dòng)應(yīng)用管理最核心的關(guān)鍵是進(jìn)行數(shù)據(jù)管理。用戶在移動(dòng)設(shè)備中使用的不僅僅是個(gè)人數(shù)據(jù)，還會(huì)大面積地使用企業(yè)數(shù)據(jù)，那么如何進(jìn)行有效的進(jìn)行企業(yè)和用戶的數(shù)據(jù)隔離是非常重要的問(wèn)題。“數(shù)據(jù)隔離”是指用戶在指定的企業(yè)應(yīng)用內(nèi)閱覽和編輯的所有內(nèi)容都不能拷貝到該應(yīng)用外部，也不能把外部的數(shù)據(jù)拷貝到該應(yīng)用里面來(lái)。從企業(yè)的角度看，返種手段既保證企業(yè)數(shù)據(jù)不被外泄，也防范個(gè)人數(shù)據(jù)中可能存在的信息(如新聞、娛樂(lè)信息)以及病毒、木馬等非法程序在企業(yè)內(nèi)部的傳播和感染。從用戶的角度看，用戶個(gè)人數(shù)據(jù)都被隔離在“安全沙箱”之外，因此，不必?fù)?dān)心BYOD設(shè)備中的個(gè)人數(shù)據(jù)會(huì)在移動(dòng)辦公的過(guò)程中流入企業(yè)內(nèi)網(wǎng)而引起個(gè)人隱私的泄露。

當(dāng)然，安全的要求不能夠以犧牲用戶體驗(yàn)和辦公效率為前提。所以為了保證數(shù)據(jù)隔離后的文檔可使用性，企業(yè)移動(dòng)應(yīng)用在文檔辦公方面有一定的要求，企業(yè)應(yīng)用一方面可以通過(guò)文檔轉(zhuǎn)換將主流的Windows Office文檔轉(zhuǎn)換成移動(dòng)終端系統(tǒng)可識(shí)別的格式，并呈現(xiàn)給用戶，譬如，將PowerPoint格式轉(zhuǎn)換為圖片格式;也支持對(duì)ZIP、RAR壓縮包的解壓、PDF文檔的呈現(xiàn)、GIF等圖片格式的呈現(xiàn)。 文檔轉(zhuǎn)換模塊為安全瀏覽器和安全郵件客戶端提供方便快捷的文件在線瀏覽能力，通過(guò)這個(gè)轉(zhuǎn)換，用戶可以用安全瀏覽器直接瀏覽公司文檔，也可用安全郵件客戶端打開(kāi)郵件附件中的各類文檔，而不必?fù)?dān)心手機(jī)或平板不識(shí)別Office文檔的問(wèn)題，也不必安裝第三方的文字處理軟件。

實(shí)踐二：應(yīng)用管理需強(qiáng)化

企業(yè)應(yīng)對(duì)應(yīng)用實(shí)現(xiàn)細(xì)粒度的管理，主要是對(duì)企業(yè)移動(dòng)應(yīng)用的管理。由于實(shí)現(xiàn)了實(shí)踐一中介紹的數(shù)據(jù)隔離，則不需要對(duì)個(gè)人移動(dòng)應(yīng)用實(shí)現(xiàn)太大強(qiáng)度的管理，否則容易造成用戶可用性的喪失，當(dāng)然，對(duì)于安全意識(shí)較好的用戶來(lái)說(shuō)，也可以對(duì)其采取相關(guān)的機(jī)制來(lái)進(jìn)行保障，而在一般情況下，僅對(duì)企業(yè)應(yīng)用進(jìn)行控制也是可行的，畢竟已經(jīng)進(jìn)行了數(shù)據(jù)的隔離，應(yīng)該將安全的力度放在企業(yè)數(shù)據(jù)區(qū)的安全防護(hù)上比較合理。

企業(yè)應(yīng)用管理較常采取黑白名單的方法。其中，黑名單是通過(guò)禁止用戶將黑名單中出現(xiàn)的應(yīng)用安裝在企業(yè)數(shù)據(jù)區(qū)來(lái)實(shí)現(xiàn)安全;而白名單是明確地給出用戶可以將哪些應(yīng)用安裝在企業(yè)數(shù)據(jù)區(qū)。具體黑白名單的定義由企業(yè)根據(jù)實(shí)際情況決定，這個(gè)沒(méi)有統(tǒng)一的規(guī)定。

實(shí)踐三：設(shè)備管理打基礎(chǔ)

設(shè)備管理是移動(dòng)安全方案的一個(gè)核心組件，通過(guò)MDM(移動(dòng)設(shè)備管理，Mobile Device Management)可以避免用戶在移動(dòng)終端上操作可能帶來(lái)的安全隱患，防止移動(dòng)終端不慎丟失后造成數(shù)據(jù)泄露。企業(yè)需要明確使用MDM來(lái)達(dá)到如下安全管控效果：

資產(chǎn)管理和策略管理：在對(duì)BYOD設(shè)備執(zhí)行MDM安全管控前，首先要將用戶的BYOD設(shè)備注冊(cè)到企業(yè)的MDM管理平臺(tái)，可與員工簽署相關(guān)使用協(xié)議，然后將MDM客戶端安裝到BYOD設(shè)備。然后，企業(yè)便可根據(jù)雙方的協(xié)議，通過(guò)管理平臺(tái)對(duì)移動(dòng)終端進(jìn)行狀態(tài)查詢、安全管控策略下發(fā)、應(yīng)用分發(fā)等操作。管理員可據(jù)企業(yè)的實(shí)際情況和協(xié)議要求，通過(guò)MDM策略管理后臺(tái)對(duì)終端進(jìn)行“設(shè)備硬件硬件控制”、“越獄檢測(cè)”、“遠(yuǎn)程鎖定”、“GPS定位”、“遠(yuǎn)程擦除”、“應(yīng)用一鍵配置”等操作。若員工需更換辦公終端或離職，也可將終端仍管理平臺(tái)注銷，脫離企業(yè)的MDM安全管控。

設(shè)備硬件控制：MDM提供對(duì)移動(dòng)終端設(shè)備攝像頭/藍(lán)牙/Wi-Fi/USB網(wǎng)絡(luò)共享/GPS/VPN/藍(lán)牙掃描/熱點(diǎn)功能/USB存儲(chǔ)模式/麥克風(fēng)/云服務(wù)和備份服務(wù)/截屏的控制能力，管理員可根據(jù)企業(yè)的實(shí)際情況下發(fā)策略，在員工使用移動(dòng)終端接入企業(yè)內(nèi)網(wǎng)期間，禁用其中的部分或全部功能。 用戶通過(guò)移動(dòng)客戶端登錄企業(yè)移動(dòng)網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)根據(jù)用戶和設(shè)備信息下發(fā)相應(yīng)的控制策略，客戶端根據(jù)這些策略進(jìn)行控制。移動(dòng)終端會(huì)把這些對(duì)系統(tǒng)硬件接口的修改記錄下來(lái)，在用戶在退出移動(dòng)應(yīng)用時(shí)，根據(jù)記錄自動(dòng)將這些配置恢復(fù)到登錄前的狀態(tài)，不影響用戶在非辦公期間對(duì)BYOD設(shè)備的使用體驗(yàn)。

“越獄”檢測(cè)：越獄會(huì)對(duì)企業(yè)移動(dòng)應(yīng)用帶來(lái)較大的安全威脅。越獄檢測(cè)策略是網(wǎng)關(guān)在用戶登錄時(shí)下發(fā)給移動(dòng)客戶端的，如果檢測(cè)到越獄，移動(dòng)客戶端可根據(jù)策略的指示作出不同級(jí)別的響應(yīng)：審計(jì)、提示、告警或斷網(wǎng)。

設(shè)備遠(yuǎn)程鎖定/GPS定位/遠(yuǎn)程擦除：若終端丟失，員工可以登錄企業(yè)的自助管理Portal或者通過(guò)移動(dòng)設(shè)備管理員下發(fā)控制命令，對(duì)自己的BYOD設(shè)備進(jìn)行遠(yuǎn)程鎖定和GPS定位，若確認(rèn)無(wú)法找回，也可遠(yuǎn)程擦除終端上的數(shù)據(jù)。在員工離職、更換辦公終端等場(chǎng)景下，管理員也可通過(guò)管理后臺(tái)給BYOD終端下發(fā)選擇性數(shù)據(jù)擦除的指令，即僅僅擦除企業(yè)數(shù)據(jù)和卸載企業(yè)移動(dòng)應(yīng)用，而保留BYOD終端上所有的個(gè)人數(shù)據(jù)和個(gè)人應(yīng)用，這樣既保證企業(yè)數(shù)據(jù)不外泄，又不破壞用戶個(gè)人的數(shù)據(jù)和應(yīng)用，用戶完全可以繼續(xù)正常的使用自己的個(gè)人終端。

應(yīng)用一鍵配置：管理員可以通過(guò)MDM管理后臺(tái)為所有員工的移動(dòng)辦公終端下發(fā)統(tǒng)一的應(yīng)用配置，譬如，企業(yè)郵箱、微信、VPN軟件等的配置，這樣既保證所有員工的辦公軟件的配置是安全的、一致的，也免去了每個(gè)員工分別去手工配置應(yīng)用的麻煩。

企業(yè)應(yīng)用商店管理：對(duì)于能夠提供大量企業(yè)移動(dòng)應(yīng)用的企業(yè)，應(yīng)該需要配套提供企業(yè)應(yīng)用的下載、升級(jí)、查詢、搜索等功能，以方便員工使用，并確保該商店的安全性，防止和減少員工從其他渠道下載相關(guān)應(yīng)用進(jìn)行企業(yè)辦公的安全風(fēng)險(xiǎn)。

自助管理Portal：若用戶不希望管理員干涉，則可以登錄自助管理Portal，在終端丟失時(shí)，通過(guò)GPS定位功能，在地圖上直觀地查看終端的物理位置，并進(jìn)行遠(yuǎn)程鎖定、遠(yuǎn)程擦除等操作。