每一個(gè)引入到企業(yè)網(wǎng)絡(luò)中的設(shè)備都會(huì)產(chǎn)生新的安全問(wèn)題，從簡(jiǎn)單到復(fù)雜，無(wú)處不在。如果設(shè)備丟失了怎么辦?是否能夠讓用戶(hù)只能訪問(wèn)有限的應(yīng)用程序?

[[129795]]

移動(dòng)設(shè)備管理、移動(dòng)應(yīng)用管理和移動(dòng)信息管理代表了移動(dòng)管理和企業(yè)移動(dòng)安全的演變。該進(jìn)化過(guò)程試圖維持為保護(hù)企業(yè)所作的IT需求控制以及用戶(hù)移動(dòng)設(shè)備體驗(yàn)之間的平衡。我們?cè)谥暗奈恼轮杏薪榻B過(guò)企業(yè)如何開(kāi)啟移動(dòng)計(jì)劃。

關(guān)于移動(dòng)的術(shù)語(yǔ)和技術(shù)

如果你在評(píng)估移動(dòng)技術(shù)上花費(fèi)了大量的時(shí)間，毫無(wú)疑問(wèn)，你遇到的第一個(gè)縮寫(xiě)詞一定是BYOD，即自帶設(shè)備。

IT專(zhuān)業(yè)人士在開(kāi)發(fā)移動(dòng)政策和程序之前應(yīng)該多方面了解移動(dòng)計(jì)算，包括設(shè)備、應(yīng)用程序和數(shù)據(jù)，以及它們的連接方式。移動(dòng)設(shè)備管理側(cè)重于管理終端，移動(dòng)應(yīng)用程序管理側(cè)重于軟件，而移動(dòng)信息管理關(guān)注數(shù)據(jù)訪問(wèn)和安全。

BYOD分?jǐn)傌?zé)任

從企業(yè)桌面和筆記本電腦發(fā)展到個(gè)人智能手機(jī)和平板電腦，在移動(dòng)性管理領(lǐng)域，BYOD已經(jīng)成為最有名的縮寫(xiě)詞?，F(xiàn)在個(gè)人智能手機(jī)和平板電腦無(wú)處不在，因?yàn)閱T工很快發(fā)現(xiàn)持續(xù)性和易訪性所帶來(lái)的優(yōu)勢(shì)。企業(yè)移動(dòng)管理需要理解BYOD的風(fēng)險(xiǎn)，部署適當(dāng)?shù)募夹g(shù)和實(shí)踐來(lái)保護(hù)企業(yè)信息資產(chǎn)。

BYOD的一個(gè)特點(diǎn)是共擔(dān)責(zé)任。移動(dòng)設(shè)備使用者希望有一定程度的自由和隱私，但他們也必須理解保護(hù)企業(yè)數(shù)據(jù)、應(yīng)用程序和網(wǎng)絡(luò)的需求。其中的關(guān)鍵是讓使用者明白清晰和可強(qiáng)制執(zhí)行的政策。受政府嚴(yán)格管轄的行業(yè)，如金融和衛(wèi)生保健，尤其要注意對(duì)敏感數(shù)據(jù)的保護(hù)。

MDM、MAM和MIM是密切相關(guān)的技術(shù)，旨在通過(guò)關(guān)注企業(yè)移動(dòng)性的不同方面來(lái)實(shí)現(xiàn)自由和安全之間的平衡。

MDM政策是安全的但也是嚴(yán)格的

移動(dòng)設(shè)備管理(MDM)最早形式的移動(dòng)性性管理。它允許管理員為設(shè)備設(shè)置以下類(lèi)型的政策：

設(shè)備加密需求
限制特定應(yīng)用程序的使用
控制設(shè)備功能的使用，比如藍(lán)牙和照相機(jī)
密碼保護(hù)

MDM已經(jīng)超越黑莓設(shè)備及其相關(guān)的管理系統(tǒng)。今天，企業(yè)管理有許多第三方選擇來(lái)管理蘋(píng)果、Android和Windows設(shè)備。

MDM應(yīng)用程序和桌面管理系統(tǒng)之間有很多的相似之處，尤其是遠(yuǎn)程管理功能。這些包括推出更新、修改訪問(wèn)控制和刪除受管理設(shè)備上的數(shù)據(jù)。

MDM提供了許多幫助，能夠讓企業(yè)完全控制個(gè)人設(shè)備的管理工具永遠(yuǎn)不會(huì)實(shí)現(xiàn)設(shè)備擁有者與企業(yè)需求之間的平衡。

員工認(rèn)為對(duì)企業(yè)自己的智能手機(jī)和平板電腦進(jìn)行管理是合理的。然而，當(dāng)員工使用個(gè)人設(shè)備時(shí)，他們希望設(shè)備得到合理的控制。事實(shí)上，許多公司可能不希望廣泛控制個(gè)人設(shè)備，但是他們?nèi)韵ＭＷo(hù)企業(yè)數(shù)據(jù)。

MAM分離控制

平衡員工與企業(yè)之間需求與利益矛盾的一種方式是實(shí)現(xiàn)單獨(dú)的控制區(qū)域。設(shè)備所有者應(yīng)該能夠在不受企業(yè)干涉和監(jiān)視的情況下使用自己的智能手機(jī)和平板電腦。

同時(shí)，企業(yè)可以控制自己的數(shù)據(jù)放在個(gè)人設(shè)備上的位置和時(shí)間，是否加密等。

移動(dòng)應(yīng)用管理(MAM)就是這樣一方法，將注意力從控制設(shè)備轉(zhuǎn)移到控制這些設(shè)備上的應(yīng)用。企業(yè)不再有員工個(gè)人設(shè)備根目錄訪問(wèn)權(quán)限，員工只能訪問(wèn)企業(yè)指定的可訪問(wèn)的應(yīng)用程序和數(shù)據(jù)。

當(dāng)應(yīng)用程序僅限于電子郵件、文件共享和其他常用的應(yīng)用程序時(shí)，這種方式可以很好地運(yùn)作。應(yīng)用程序供應(yīng)商和MAM廠商致力提供這些應(yīng)用程序的安全版本，但是安全版本通常比其他軟件版本提供較少的功能。

使用自定義應(yīng)用程序帶來(lái)了另一種問(wèn)題。例如，如果一個(gè)公司想要給主管提供一個(gè)自定義商業(yè)智能報(bào)告系統(tǒng)，它可能需要將使用了MAM提供商方案的應(yīng)用程序進(jìn)行打包。打包的應(yīng)用程序在啟動(dòng)和關(guān)閉的過(guò)程中使用MAM代碼，也可能會(huì)改變一個(gè)應(yīng)用程序的功能。包裝可能會(huì)阻塞網(wǎng)絡(luò)通信，除非是虛擬專(zhuān)用網(wǎng)。

此外，應(yīng)用開(kāi)發(fā)商可能會(huì)選擇一個(gè)MAM專(zhuān)業(yè)應(yīng)用程序編程接口(API)來(lái)實(shí)現(xiàn)安全控制。這可能會(huì)增加項(xiàng)目的開(kāi)發(fā)、測(cè)試和維護(hù)開(kāi)銷(xiāo)。但是，隨著移動(dòng)操作系統(tǒng)支持更多的沙盒和其他安全措施，將會(huì)有更少的應(yīng)用打包需求和MAM專(zhuān)用API。

關(guān)注應(yīng)用程序管理可以使用其他有用的控制。例如，如果用戶(hù)可以對(duì)授權(quán)的應(yīng)用程序進(jìn)行剪切和粘貼，可以很容易規(guī)避防止應(yīng)用程序數(shù)據(jù)訪問(wèn)的政策。

MAM產(chǎn)品可以防止將授權(quán)應(yīng)用程序數(shù)據(jù)復(fù)制粘貼到未經(jīng)批準(zhǔn)的應(yīng)用程序。支持授權(quán)清單和禁止的URL來(lái)減輕網(wǎng)站的訪問(wèn)、竊取數(shù)據(jù)或下載惡意軟件風(fēng)險(xiǎn)。

隨著企業(yè)繼續(xù)采用SaaS作為應(yīng)用程序的交付模型，控制信息將引來(lái)更多的關(guān)注，設(shè)備和應(yīng)用程序受到的關(guān)注會(huì)越來(lái)越少。

MIM將焦點(diǎn)轉(zhuǎn)移到數(shù)據(jù)

在一個(gè)理想世界里，對(duì)信息資產(chǎn)安全的保護(hù)應(yīng)該專(zhuān)注于數(shù)據(jù)，而不是應(yīng)用程序或設(shè)備。但應(yīng)用程序和設(shè)備被利用后會(huì)造成數(shù)據(jù)泄露或者為企業(yè)網(wǎng)絡(luò)帶來(lái)惡意風(fēng)險(xiǎn)。除了標(biāo)準(zhǔn)的惡意軟件預(yù)防、檢測(cè)和刪除、移動(dòng)信息管理(MIM)是移動(dòng)性管理的另一個(gè)發(fā)展歷程。

MIM控制企業(yè)數(shù)據(jù)的運(yùn)動(dòng)，受規(guī)則允許的應(yīng)用程序才可以訪問(wèn)。它還包括加密策略。隨著越來(lái)越多的云存儲(chǔ)服務(wù)如Dropbox、Box和OneDrive的使用，MIM實(shí)踐尤為重要。MIM也有移動(dòng)性管理和跨設(shè)備同步數(shù)據(jù)的作用。

盡管MIM關(guān)注數(shù)據(jù)，應(yīng)用程序、操作系統(tǒng)和設(shè)備必須執(zhí)行政策。這需要應(yīng)用程序堆棧層之間做出大量的協(xié)調(diào)和標(biāo)準(zhǔn)化。