移动设备管理

背景 自带设备办公（BYOD）的利弊 自带设备办公（BYOD）的增长受到平板电脑和智能手机普及的刺激，许多用户都有乐于使用的设备。例如，有些用户可能使用Mac BookAir、iPad或智能手机，这些设备将代表主流个人设备。自带设备办公（BYOD）可以帮助公司减少IT设备的支出，员工使用自己的个人设备，如此一来，企业设备投入将减少。 企业的目标是在满足员工自身对于新科技和个性化追求的同时，提高员工的工作效率，降低企业在移动终端上的成本和投入。自带设备办公（BYOD）可以让企业员工在机场、酒店、咖啡厅等，登录公司邮箱、在线办公系统，不受时间、地点、设备、人员、网络环境的限制……自带设备办公（BYOD）向人们展现了一个美好的未来办公场景。 自带设备办公（BYOD）是IT消费化的一个戏剧性结果。自带设备办公（BYOD）的原动力来自于员工而非企业，员工对于新科技的喜好反过来驱动企业变更和适应新技术的变化。然而这些新技术在设计和开发初期并没有考虑企业的应用环境和要求，因此很多IT支持部门非常担心自带设备办公（BYOD）带来的安全和支持风险。 自带设备办公（BYOD）存在大量与安全相关的问题。恶意软件和窃听(使用公共WIFI的情况下)是两个可能存在的风险。自带设备办公（BYOD）不仅仅是简单的所有权转移的问题， 它包含了非常复杂的，甚至隐藏的问题和风险需要规避和解决。  下面是移动设备管理的两个关键方面： 》 移动设备的升级（及其他变更）部署和管理 》 安全性，或者说对移动设备的全天候安全防护能力 移动设备的变更部署 如果你使用了移动设备，那么很可能是RIM公司的黑莓、苹果公司的iPhone、Android手机或者微软的Windows mobile手机。如果你的网络中只有一种移动设备的话，那么你足够幸运 – 然而，绝大多数情况下，企业需要同时通过不同的工具来管理多种设备 。 RIM公司具有多种设备的管理的丰富经验，其黑莓企业服务器（BES）可以让你通过一个控制台进行管理，而且能便捷地实现黑莓操作系统的升级并从桌面监控整个升级过程。BES已经问世有一段时间了：事实上，当27年针对夏时制做了改进之后，黑莓管理员就再也不用面对时间变更的梦魇了 – 通过BES服务器就能实现夏时制补丁在所有移动设备上的升级。因此，如果要管理黑莓设备，BES是最佳选择。 对于iPhone用户来说，为了对设备进行软件升级必须部署iTunes。如果你有多个iPhone设备，则应该考虑把iTunes部署到工作站上以确保所有设备的一致更新。其他手机则通过本地和远程的方式进行升级。总之，如果需要管理多种智能手机，你就要么对各类升级进行管理，要么干脆改变部署的策略。  移动设备的安全防护 谈到安全性，最基本的就是要对远程设备拥有控制权。对于黑莓手机，BES可以帮你实现安全策略的控制。对于其他所有设备，Exchange ActiveSync Policies (EAP)是合适的选择。尽管EAP最初是为Windwos Mobile设计，但是现在已经演化成了各种智能手机的标准控制策略 -- iPhone、Android和微软的智能手机都通过这些策略实现对设备的控制。无论黑莓抑或是其他智能手机，下列安全特性都能通过EAP实现： 》 密码和数据安全：对你的移动设备实施较强力度的密码策略。而且，在一定时间的非活动状态下锁定设备，只有用复杂的密码（字母加数字）才能解锁。如果设备遗失，要能对其进行远程擦除。这样就可以在设备落入不法之徒手中时防止机密信息被窃取。 》 加密：绝大多数设备都有不能被禁止的强加密功能。比如，iPhone上的iOS4使用了256位的Advanced Encryption Standard来进行信息编码 – 其他设备也使用类似级别的加密措施。必须确保所有设备都用强加密策略锁定，以便保护数据和机密信息。 》 应用安全性：通过EAPs或者BES服务器实现与移动设备的连接（注意，EAPs不支持黑莓手机），你可以对应用的设置和可访问性进行控制。比如，你可以允许或者拒绝在移动设备上使用移动存储。你也可以只允许有签名的应用才能安装在移动设备上，以此来减少服务支持请求和潜在的问题。 》 移动IT安全策略：为移动设备定义强有力和简洁的安全策略。这可以通过和IT安全策略一起定义，但是如果太过复杂，那么会带来很多麻烦。 》 员工的认识：因为几乎每个员工都有移动设备，所以必须树立他们的安全意识。比如制定这样的政策，当员工丢失手机时，必须向你进行通报。  自带设备办公（BYOD）5大安全隐患 网络带宽浪费严重 工作效率低下 移动设备的监管手段，远远落后于移动设备的联网能力。3G网络、便携无线路由器，让网络失去边界，各种员工行为管理被移动设备轻松绕过。 移动设备感染恶意软件机会增加 员工自带设备安全投入低微，防护能力很差，同时，员工自带设备在访问范围广泛，针对移动平台的威胁呈现指数级别的高速增长，自备设备受到威胁。 移动设备丢失更加频繁威胁数据安全 作为一种便携设备，员工可以随身携带，发生丢失、被盗的几率极高，而作为企业的接入终端，自带设备上有企业的机密数据，设备丢失威胁企业数据安全。 针对移动设备的网络攻击更加常态 移动设备不同于PC的一个很重要的方面，就是移动设备大都是直接和用户的金钱、利益相关的，比方说话费、移动银行等等，这直接导致了移动网络攻击的爆发。 众多移动设备间安全策略不一致 移动时代，无线终端多种多样，更新换代更加频繁。企业很难做到即时更新设备安全策略的手动更新，这可能会导致安全手段实效，同时，也会给员工带来工作障碍。  移动设备管理（MDM） 自带设备办公（BYOD）让原本为个人消费者设计的智能手机和平板电脑，不断被企业用于承载关键业务及核心应用。同时，自带设备办公（BYOD）的策略也被大量引入企业，传统的IT管理在针对不断涌现的自带设备办公（BYOD）管理方面受到巨大的挑战。移动设备管理（MDM）由此应运而生，主流的移动智能终端操作系统都不同程度的支持移动设备管理。 主要功能 移动设备管理，又称MDM（Mobile Device Management），它提供从设备注册、激活、使用、淘汰各个环节进行完整的移动设备全生命周期管理。移动设备管理（MDM）能实现用户及设备管理、配置管理、安全管理、资产管理等功能。移动设备管理（MDM）还能提供全方位安全体系防护，同时在移动设备、移动APP、移动文档三方面进行管理和防护。 移动设备管理（MDM）确保企业移动安全通常涉及四个主要阶段。 第一阶段，移动设备管理（MDM）配置设备，由负责企业移动的移动IT部门和安全工程师负责决定哪种设备会被保留。这个阶段包括利用所有现有的公司网络设施以此帮助避免资源复杂化以及重复化。 第二阶段，移动设备管理（MDM）管理所有的设备。笔记本、手机、平板电脑和iPod Touches等等，以此确保原企业人员设备保持不变。在这一点上，使用者被允许访问企业特定的资源，包括应用程序，电子邮件，确保目录安全以及基于云的文件存储。理论上，IT团队也可以向移动设备使用者发布相应的“公告”，告知他们什么是允许的（例如，在设备上运行邮件客户端）和什么是不允许的（例如，下载一个带有病毒的游戏）。 第三阶段，MDM管理使用者的移动应用程序。在这个阶段，必须解决的是一个几乎无限的应用程序管理。设备，人员和操作系统平台都是有限、相对可控的，但是应用数量、种类却是时刻都在发生变化。MDM可以帮助企业解决一系列相关的问题，包括提供一个私人的，公司特定的应用程序商店等。一个这样的公司应用程序库对于整个公司的部门，以及应用程序的保存和发布都是方便有效的，并且提供最严格的安全和最佳的最终用户体验。 第四阶段，移动设备管理（MDM）控制成本。由于移动设备管理（MDM）软件设计的应用程序接口(APIs)可以监测用户的通讯情况，这样企业就可以有效的减少非必要的电话超支，移动设备管理（MDM）持续生命周期可以帮助使用者，在高昂的移动服务投入超支方面起到有效的限制作用。 移动设备管理的延伸 来自IDC的数据显示，移动终端将超过PC成为访问互联网时使用最多的终端，企业用户对移动应用的需求也已从收发邮件、办公自动化，拓展到业务类应用的移动化。企业面临着大量内部和外部移动应用的管理及分发，由此，从标准化的MDM产品中衍生出了MAM（移动应用管理）功能。 MAM，移动应用管理。针对员工移动设备应用的安全保护、分发、访问、配置、更新、删除等策略和流程。通过企业应用商店控制和推送应用， 能集中监控应用的使用情况，对应用设置相应策略以满足企业的规范。 移动设备管理必须要能不干扰员工个人的应用，不触犯其个人隐私权，却又能在其存取公司的系统或档案时予以控管。这种情况下的管理复杂度相当高，员工的移动设备有各式各样的平台，有各式各样的应用程序，你的移动设备管理平台要有办法应付各种平台，甚至，不只是管理或限制设备本身的功能而已，还得进一步延伸到移动应用程序的管理，或是更多内容的管理，这也是移动设备管理未来的一个趋势，由MDM朝MAM（Mobile Application Management）发展。 移动应用管理（MAM）能够防止恶意软件的威胁，并要在企业内部搭建一个应用商店，对企业应用进行管理和分发。 相关厂商产品简介 市场上主流的移动设备管理产品中，国内以烽火星空的MobileArk为首，洋品牌则以AirWatch最能代表。 1、烽火星空MobileArk 南京烽火星空通信发展有限公司（简称烽火星空）是烽火通信科技股份有限公司的下属公司，专业从事移动信息化产品的研发、销售、技术咨询与实施的高科技企业。 目标市场集中于大型央/国企、大型集团型企业，行业偏重于公安、烟草、金融行业。 品牌发展优势： (1)专注于移动信息化领域。纵观烽火星空的发展历程，从移动应用开发平台到MDM，再到EMM，烽火星空不断延伸发展。可以说，比较专注于企业移动信息化，逐步成为国内比较成熟、专业的企业移动应用开发平台、企业移动管理平台及企业移动应用解决方案提供商。 (2)烽火星空在企业移动应用开发和企业跨平台开发工具领域的优势将延伸至移动设备管理(MDM)产品。烽火星空以企业移动应用开发和企业跨平台开发工具在行业内形成了一定的知名度，MobileArk吸收星空的传统优势，将开发利器ExMobi纳入到自身的体系，提供了跨平台的移动应用开发解决方案，同时在管理上予以全面的支持。 (3)在移动设备管理(MDM)产品上有一定的创新。烽火星空的MobileArk产品，依托其传统的开发技术优势，融合了较先进的MAM、MDM管理技术，在设计理念、安全技术、设备和应用管理等方面做出了一定的创新。 (4)产品具有本土化、个性化优势。MobileArK移动管理平台在为企业提供完整的移动设备全生命周期管理、全方位的安全防护体系、便捷的企业移动应用管理的同时，也能根据中国企业特点，量身打造更为个性化的功能，提供更为便捷、完善的移动服务。  2、Airwatch (AirWatch) 该产品支持iOS