Android 設(shè)備管理為員工提供基于 Android 的移動工具、內(nèi)容和應(yīng)用程序，同時確保公司數(shù)據(jù)安全。雖然鴻蒙系統(tǒng)持續(xù)占領(lǐng)市場，不可否認(rèn)安卓系統(tǒng)還占據(jù)大半壁江山，安卓設(shè)備安全對我們很多人依然重要。

Android設(shè)備管理說明全球超過80%的移動設(shè)備運行Android，這是 Google創(chuàng)建的移動操作系統(tǒng)。這一較高的百分比意味著公司員工比其他設(shè)備類型更有可能使用Android進(jìn)行工作和個人使用。

Android設(shè)備在訪問關(guān)鍵業(yè)務(wù)數(shù)據(jù)時，如果遭到黑客攻擊、被盜或丟失，可能會威脅安全。但通過單一ADM平臺，IT和安全部門可以管理公司的所有移動設(shè)備，確保它們的安全以及員工的靈活性和生產(chǎn)力。

Android設(shè)備管理允許IT管理員管理和保護 Android設(shè)備。提供系統(tǒng)可見性、遠(yuǎn)程應(yīng)用程序管理功能、自動安全更新和安裝、信息亭模式、安全警報、地理定位或地理圍欄，可以自動鎖定丟失或被盜的設(shè)備。

Android 的主要安全威脅有哪些？

據(jù)Statista稱，Android操作系統(tǒng)是世界上使用最廣泛的移動操作系統(tǒng)。1 從邏輯上講，與Apple iOS用戶和其他用戶相比，Android用戶會遇到更多的安全問題。Android的兩大安全威脅是惡意軟件和數(shù)據(jù)泄露。

惡意軟件

移動惡意軟件是一種未被檢測到的軟件，其目的是破壞、破壞或非法訪問客戶端、計算機服務(wù)器或計算機網(wǎng)絡(luò)。惡意軟件可以利用操作系統(tǒng)漏洞竊取數(shù)據(jù)、更改設(shè)備配置以引入更多具有附加功能的惡意軟件、提供彈出廣告或觸發(fā)高級短信字符串以實現(xiàn)盈利。某些惡意軟件可能會損壞設(shè)備，使其在一段時間內(nèi)無法使用。

數(shù)據(jù)泄露

數(shù)據(jù)泄露是指通過互聯(lián)網(wǎng)從移動設(shè)備未經(jīng)授權(quán)或無意傳輸敏感信息——有時是由于惡意軟件造成的。應(yīng)用程序泄露是最常見的移動安全風(fēng)險之一。未加密的數(shù)據(jù)使網(wǎng)絡(luò)犯罪分子更容易利用與裝有易受攻擊的應(yīng)用程序的設(shè)備相同的網(wǎng)絡(luò)來獲取數(shù)據(jù)，這種做法稱為中間人 (MitM) 攻擊。 

應(yīng)用程序權(quán)限過多

Google Play商店中有數(shù)百萬個Android應(yīng)用程序。雖然有些是安全的并且會極其謹(jǐn)慎地對待個人數(shù)據(jù)，但許多是不安全的。應(yīng)用程序可能會受到損害。

受損的應(yīng)用程序可能會導(dǎo)致數(shù)據(jù)泄露。個人或公司數(shù)據(jù)可能從不安全的應(yīng)用程序流入不道德的第三方。數(shù)據(jù)泄露的一種方式是通過過多的應(yīng)用程序權(quán)限。應(yīng)用程序權(quán)限決定應(yīng)用程序可以訪問用戶設(shè)備上的哪些功能。某些應(yīng)用程序權(quán)限比其他應(yīng)用程序權(quán)限風(fēng)險更大，因此用戶需要注意他們授予的權(quán)限。

根據(jù)Wandera的研究“了解移動威脅形勢”，Android上請求最多的權(quán)限中有45%被認(rèn)為是高風(fēng)險。但哪些權(quán)限是高風(fēng)險的，又如何呢？以下是Android上經(jīng)常接受的權(quán)限列表，Wandera認(rèn)為這些權(quán)限具有較高風(fēng)險：

– 查找賬戶：允許應(yīng)用程序訪問該手機已知的帳戶列表

– 讀取聯(lián)系人：允許應(yīng)用程序讀取該設(shè)備上存儲的聯(lián)系人數(shù)據(jù)

– 讀取手機狀態(tài)：允許應(yīng)用程序訪問設(shè)備的內(nèi)部功能，例如電話號碼和設(shè)備 ID

– 讀取SD卡：允許應(yīng)用程序讀取 SD 卡的內(nèi)容

– 寫入SD卡：允許應(yīng)用程序修改或刪除 SD 卡的內(nèi)容

– 精確位置：允許應(yīng)用程序使用 GPS 或網(wǎng)絡(luò)位置源獲取精確位置

– 錄制音頻：允許應(yīng)用程序隨時使用麥克風(fēng)錄制音頻

– 拍照和錄像：允許應(yīng)用程序隨時使用相機

過時的操作系統(tǒng)根據(jù)Wandera的研究，“65%的組織至少擁有一臺操作系統(tǒng)過時的設(shè)備”，數(shù)據(jù)顯示“57% 的Android設(shè)備運行的操作系統(tǒng)至少有兩個完整版本”版本落后于當(dāng)前版本。” 更新的操作系統(tǒng)不僅可以提高設(shè)備性能，還包括關(guān)鍵的安全補丁。因此，如果沒有操作系統(tǒng)更新，Android設(shè)備仍然容易受到網(wǎng)絡(luò)攻擊。

側(cè)載應(yīng)用程序側(cè)載Android設(shè)備描述了使用默認(rèn)Google Play商店之外的應(yīng)用程序安裝過程。雖然 Android操作系統(tǒng)默認(rèn)配置不允許從非官方來源下載和安裝旁加載應(yīng)用程序，但可以配置 Android操作系統(tǒng)設(shè)置以允許來自第三方的應(yīng)用程序。用戶可以從網(wǎng)站下載應(yīng)用程序包或從第三方應(yīng)用商店安裝應(yīng)用程序。

Wandera的研究顯示，大約20%的Android設(shè)備啟用了此設(shè)置，這使設(shè)備面臨威脅。側(cè)載應(yīng)用程序的用戶面臨更大的安全風(fēng)險，因為它繞過了蘋果和谷歌官方應(yīng)用程序商店的應(yīng)用程序?qū)彶榱鞒?。因此，設(shè)備對無意安裝的惡意軟件的保護較少。Wandera的研究表明，“35% 的組織至少在一臺設(shè)備上安裝了一個或多個側(cè)載應(yīng)用程序”。

ROOTRoot是允許Android用戶獲得對內(nèi)部操作系統(tǒng)的控制權(quán)的過程。顧名思義，該技術(shù)提供了對設(shè)備的root訪問權(quán)限。獲得root權(quán)限的 Android設(shè)備的用戶可以進(jìn)行重大更改，包括更改設(shè)備的操作系統(tǒng)。獲取Android操作系統(tǒng)的root權(quán)限類似于越獄Apple的iOS。兩者都是權(quán)限提升方法，但root為Android用戶提供了比Apple用戶通過越獄獲得的更多控制權(quán)。

根據(jù)Wandera的研究，“6% 的組織至少擁有一臺已越獄或取得root權(quán)限的設(shè)備?！?nbsp;盡管這些危險的配置在試圖解除設(shè)備運營商鎖定的用戶中很受歡迎，但它們允許他們安裝未經(jīng)授權(quán)的軟件功能和應(yīng)用程序。一些用戶可能會越獄或root其移動設(shè)備來安裝安全增強功能。但大多數(shù)人都在尋求一種更直接的方法來自定義操作系統(tǒng)或安裝官方應(yīng)用商店中未提供的應(yīng)用程序。無論如何，生根都會使設(shè)備面臨網(wǎng)絡(luò)威脅。

Android設(shè)備管理的工作原理

成功的ADM計劃最適合與Android Enterprise配合使用。Android Enterprise 是 Google 主導(dǎo)的一項計劃，支持在工作場所使用Android設(shè)備和應(yīng)用程序。提供了一種快速、簡化的方法來部署企業(yè)擁有的Android設(shè)備，并且它是運行 5.0+ 的Android設(shè)備的默認(rèn)管理解決方案。

該計劃提供API和其他開發(fā)人員工具，以便將 Android支持集成到其企業(yè)移動管理 (EMM) 解決方案中。例如，IBM Security ? MaaS360 with Watson是Android Enterprise 推薦的統(tǒng)一端點管理 (UEM) 平臺，與Android Enterprise 集成以支持Android EMM 解決方案API。它為Android操作系統(tǒng)帶來了統(tǒng)一的管理體驗。

Android Enterprise 集成允許組織：

– 深入了解每個設(shè)備，包括其操作系統(tǒng)和版本號、制造商詳細(xì)信息和根檢測。

– 執(zhí)行操作來定位設(shè)備并鎖定或擦除（全部和選擇性）丟失的設(shè)備。并通過阻止列表、允許列表以及自動安裝或刪除來控制應(yīng)用程序。此外，對相機等硬件功能實施地理圍欄，以保護敏感數(shù)據(jù)。

– 設(shè)置策略以允許訪問從電子郵件到 Wi-Fi 和 VPN 的公司資源。管理密碼更新和長度以滿足不斷發(fā)展的企業(yè)標(biāo)準(zhǔn)，并強制執(zhí)行加密和信息亭模式。

– 禁用相機、USB 存儲和麥克風(fēng)等硬件功能。通過剪貼板、剪切粘貼和屏幕捕獲功能的功能限制來保護數(shù)據(jù)級泄漏。

• 強制執(zhí)行操作系統(tǒng)更新以減少漏洞或暫停更新，直到公司應(yīng)用程序經(jīng)過審查并準(zhǔn)備好部署。
• 使用 OEMConfig 對新的 Android 操作系統(tǒng)版本和設(shè)備提供零日支持。
• 通過開箱即用的配置和一次性設(shè)置實現(xiàn)大規(guī)模部署的零接觸注冊。

BYOD通過屏蔽個人應(yīng)用程序信息、設(shè)備位置、物理地址、SSID和瀏覽歷史記錄來支持隱私和安心。借助Android工作配置文件，個人數(shù)據(jù)可以保持私密性，同時工作數(shù)據(jù)也可以保持安全。用戶可以在工作和個人資料之間切換，而無需在兩者之間共享數(shù)據(jù)。