3.1MDM向EMM的演變勢在必行

3.2移動設備管理策略

1.把公司與家劃清界線

移動技術的發展，使我們很難區分哪里是辦公室，哪里是家。IT團隊應該劃分或隔離公司的數據，以為員工提供流暢的移動體驗。員工可能會使用同一個移動設備訪問個人和公司數據，但在后端必須將兩者明確區分。如果員工離職，IT團隊應該能夠刪除公司的數據。如果員工丟失設備，IT團隊刪除設備上的所有數據。

2.保證可穿戴設備的安全

在不久的將來，員工可能會廣泛使用可穿戴設備。例如一個銷售人員在客戶現場，使用智能手表聯系公司領導，與了解產品最低的價格折扣，從而盡快簽下訂單。這種情況下，就要求IT團隊保證可穿戴設備的安全，確保數據不被他人獲取。未來的移動設備管理解決方案將能夠為IT管理員提供可穿戴設備使用的準確地點、時間以及使用者。

3.集中管理所有資產

智能手機、平板電腦、筆記本電腦以及桌面PC之間需要無縫連接，最大化提高工作效率。IT團隊可以從中央控制臺連接到任何設備，跟蹤分配人員的資產、管理數據訪問和密碼、創建用戶或部門。

4.部署和掃描app

若一位員工通過家庭網絡下載一個公司禁止安裝的app，當他進入公司網絡時應立即休眠應用。IT團隊應該了解所有設備安裝的應用，阻止某些應用，例如內置攝像功能的app。還可以向公司所有移動設備或指定設置統一部署所需的應用。

5.從云端進行管理

與公司數據存儲在云端一樣，移動設備管理操作也應該可以從云端進行。云端管理允許IT團隊從遠程位置記錄、鎖定和管理設備。

6.防止病毒攻擊

移動終端很容易成為病毒攻擊的目標。企業IT團隊應該實時監控設備、記錄所有用戶的行為。當發現異常威脅行為時，第一時間產生告警通知。自動更新病毒庫，修復安全漏洞。

3.3 企業移動化策略

隨著技術的不斷發展，和移動辦公相關的術語也在不斷增加。從之前的MDM、MAD、MIM到現在的EMM：企業移動辦公管理。

這些術語可能產生混淆的部分在于它們的目標都是構建一個更加安全的企業移動辦公環境，但實現方式不同。移動設備管理(MDM)、移動應用管理(MAM)和移動信息管理(MIM)針對從物理設備到應用和數據等移動辦公的不同層面來加強安全性。除了這些之外，還有一種方式就是企業移動辦公管理(EMM)。盡管MDM、MAM和MIM的使用情況不盡相同，但是它們仍然有著重合和協作的部分，它們都應該成為移動安全策略的一部分。

Palador移動咨詢公司的聯合創始人Benjamin Robbins嘗試理清了MDM、MAM和MIM之間的差異，解釋了它們如何協同工作來改善企業移動辦公管理。

通常使用MDM的目的?

Benjamin Robbins：將設備管理作為第一線。你想要擦除設備中的數據、鎖定設備，想要在設備層面追蹤設備的運行情況。但是實現移動安全的最佳實踐在不斷發展的過程中，MDM只能作為大策略中的一部分，不能依靠它來解決所有問題。

MDM中最有用的特性是什么?

Robbins： 如果設備不在我手中了，并且沒有機會再將它找回來了，你想要通過一切方式保證設備上的數據不會丟失。除了郵件、日歷和聯系人，存儲在設備的文檔也含有私有信息。所以我認為短時間內，設備仍會具備鎖定和擦除數據的功能。

MDM不能做什么?

Robbins：這依賴于你對MDM的定義。有很多MDM供應商現在可以提供應用程序管理特性，甚至可能包含信息管理特性。MDM不能在應用程序層做任何事情。通常情況下它是一個底層的解決方案，只關注于設備管理和操作系統層面的特性。所以MDM不能在信息管理層做任何事情。

管理員需要使用MDM來處理攜帶私人設備(BYOD)嗎?

Robbins：相比于企業擁有的設備，BYOD在安全方面還需要實際擁有者進行更多的配置。不論你使用的是企業的設備還是私人設備，你都會希望安全策略可以同時涵蓋這兩方面。

對于簡化BYOD方面，MDM平臺可以幫助進行設備登記、在這些設備上設定安全策略、將這些安全策略和所有其他的基礎特性通知給用戶。MDM并不是必需的，但是如果你需要更加全面的移動安全策略來滿足需要，那么它會是其中的一個組成部分。

MDM和MAM的區別是什么?它們和MIM又有哪些不同?

Robbins：我們稱這些為“字母湯”。所有這些都只是企業移動管理中的特性集。MAM可以管理設備允許運行哪些應用、不允許運行哪些，哪些應用需要讓用戶使用或者限制用戶使用。

MIM看起來只能加強信息的安全性。所以忽略了設備，忽略了應用。如果真的將信息鎖定，那么將不得不擔心一切事情：是否可以控制誰可以進行訪問、什么時間進行訪問、從哪些地方進行訪問。使用MIM最大的挑戰在于其還處于起步階段，所以它聽起來像一顆銀色子彈，現在還并不是必須的。

看起來MDM、MAM和MIM的管理有重合部分。你覺得他們中的重合部分在哪里?

Robbins：這依賴于你的定義有多大的靈活性。在一些平臺中，MAM可以完成MIM的功能，或者MDM可以完成MAM的功能。但是只要你看見組織中的真實使用情況，我認為這和定義的關系并不大，因為這只能給你帶來困惑。

這些管理的最終目標是確保信息安全，確保設備是安全的。實現這個目標的最佳方法是什么?你想要尋找一些可以滿足需求的方法，在組織不斷發展的特殊平臺上實現安全性。設備將會不斷發展，以后的設備將會和現在有所不同，你需要確保不局限于目前的情況來加強安全性，那將會是MDM的一種倒退。

3.4MDM的是針對BYOD安全威脅的有效手段

通過MDM解決BYOD風險

部署異構MDM產品允許企業保護和控制移動訪問。在Aberdeen Group對移動性的研究中，受訪者列出這些具體優勢：

對移動性舉措的控制整合

對設備正確配置后才向員工授予訪問權限

跨各種不同設備人群創造規模經濟

降低每個用戶的支持成本

降低丟失或被盜設備的風險

執行移動安全政策

持續驗證政策合規性

移動設備對IT安全影響的具體例子發生在蘋果iPhone最早進入市場隨后進入工作環境的時候。最初，IT部門缺乏工具來在其整個生命周期內對其進行管理。 通常情況下，IT安全部門對通過這些iOS設備提供有限的移動訪問。然后，他們開發了專門的設備管理流程來填補這個空白。當谷歌Android設備在消費者間流行時也出現了類似的現象。隨著業務部門要求靈活性和支持，IT部門開始失去對移動性舉措的控制。

而MDM產品能夠管理所有設備，不受所有權的限制，并橫跨所有移動操作系統，這打破了這些壁壘，讓IT再次獲得掌控權。現在IT不再是一味地選擇每個支持的設備，同時，異構MDM產品幫助IT確保所有這些設備的安全性。

此外，現在的MDM產品并沒有止步于經典的設備管理—即操縱設備設置和追蹤其情況。相反地，這些產品提供廣泛的基本和高級功能，包括從安全政策執行到移動應 用管理。雖然每個MDM產品提供的功能各不相同，大多數產品提供工具來幫助IT滿足業務需求以及減少移動性帶來的風險。

例如，在2013 年LinkedIn對信息安全社區成員的調查中，72%的受訪者表示他們在去年體驗了BYOD帶來的不利影響，包括惡意軟件清理成本、維修時間、業務中斷、生產效率降低、額外付費服務和監管罰款。或許這解釋了為什么70%的受訪者提出安全是成功BYOD部署的首要標準。

使用MDM執行企業和合規要求

MDM技術可以幫助IT配置安全設置符合企業政策要求，以及防止這些設置被修改—無論是有意、無意還是作為惡意軟件感染的副產品。此外，MDM產品可以幫助IT自動應用不同安全政策到各種類型或各組設備，以同時支持企業和BYOD用例。

當設備不符合要求時，MDM產品可以為IT提供可視性，并提供接近實時的路徑以便采取手動或自動操作。例如，MDM產品可用于隔離受感染的設備以防止對企業資產的進一步移動訪問，或者擦除設備以防止未來企業數據滲出或溢價服務費用。

MDM產品是功能強大的工具，IT可以用來開發和自動化新的移動管理流程。然而，實現這些優勢需要編排流程來滿足業務。在Aberdeen的調查中，73%的最佳受訪者使用移動管理來為停用丟失、被盜或報廢的設備制定正式流程。三分之二的受訪者已經制定了流程來管理BYOD的企業使用，或者使用全面的生命周期管 理來確保安全政策合規性。

生命周期的詳細信息在不同公司可能有所不同，或者在給定公司的不同用戶、角色和設備也不同。然而，部署完全生命 周期管理的業務和技術優勢非常明顯。通過最小化IT人員參與，移動性可以以更低成本擴展到更大的勞動力。通過支持自主注冊和全自動化配置BYOD，員工可 以更快速度提高生產力。當自動注冊的BYOD設備丟失或被盜，MDM控制可以快速安全地停用該設備，而員工已經同意可接受使用政策，授權IT權限來采取行動。

事實上，在選擇正確的MDM技術時，評估員工的移動需求和設計生命周期管理流程來滿足員工需求是關鍵。在之后的文章中，我們將陸續探討你應該知道的MDM技術，以及你應該準備好要提出的問題，以最大限度地挖掘你采購的異構MDM產品的優勢。

3.5MDM的同構和異構技術

十年前，MDM產品管理著整齊劃一的企業采購的黑莓手機或Windows手持設備。但每個這些產品都處理單一的移動操作系統，這種同構產品無法擴大到包含蘋果和谷歌推出的新的消費級手機。

因此，MDM行業進行調整而創造了下一代技術，提供“單窗格”控制來應對現在日益廣泛和多樣化的智能手機、平板電腦、超極本和其他移動設備。

這些異構MDM技術運行作為通用翻譯器，傳輸IT查詢和命令到各種移動設備，使用每個移動操作系統的生態系統提供的通知服務。通過異構技術，IT得到了單個統一的系統，能夠快速擴展來擁抱新的移動設備類型和OS版本。

3.6MDM軟件/應用是最便捷(容易部署和使用)的移動設備安全控制手段

MDM軟件已經成為移動設備的首選基本安全控制，在部署你的MDM戰略時必須要考慮它。

它為移動設備安全提供了集中管理，可以保護存儲在移動設備上的和由移動設備訪問的敏感數據。它可以“照顧”所有基本操作系統安全控制，例如安全地安裝補丁和配置操作系統。

它還添加了不同的數據安全控制，包括存儲加密、設備控制和數據丟失防護(DLP)技術。對于企業控制的移動設備(包括筆記本)而言，MDM軟件是最容易部署和使用的軟件，但MDM也可以為有限數量的BYOD設備部署和使用。

3.7三個MDM可以采用的安全策略

1)專注于數據 而不是操作系統

盡管移動操作系統帶來了很大的安全挑戰，企業已經能夠相對較好地保護它們，當然，這主要歸功于MDM軟件的崛起。同時，數據已變得更有價值，特別是財務數據和個人身份信息。毫不奇怪，攻擊者已經將其重點從利用操作系統漏洞轉變為獲取數據。單個數據泄露事故可能讓企業損失數百萬美元，而單個移動設備的丟失或被盜就可能導致這種事故。

企業需要考慮其數據可能的位置，并保護這些數據，抵御多種威脅。DLP技術和介質加密(包括內置和可移動介質)已成為關鍵。幸運的是，移動操作系統已經開始提供介質加密，而DLP技術和介質加密都可通過MDM技術提供。

2)讓敏感數據遠離移動設備

這個規則可能看起來很簡單，但企業通常會因為沒有堅持這個規則而遭受重大泄露事故：確保企業敏感數據遠離用戶的移動設備。如果敏感數據從來沒有駐留在移動設備上，這些設備的丟失或被盜對企業的影響要小得多。企業不應該將敏感數據存儲在移動設備上，而應該集中存儲敏感數據，并僅為移動設備用戶提供必要的數據，最好是該數據的圖像。這最大限度地減少了數據暴露風險。

3)阻止基于Web的惡意軟件

惡意軟件的威脅逐漸成為移動設備的噩夢，特別是對于基于web的惡意軟件。企業通常會依賴web安全網關來檢測和阻止這種惡意軟件。不幸的是，隨著移動性的增加，這些網關并沒有什么用，因為移動設備通常在外部網絡，并且通常不使用這些網關。我們有兩個辦法來解決這個問題：為移動設備部署web安全控制(可能通過MDM策略)或者強迫企業的移動設備通過中央代理服務器“路由”流量，這可能包括網絡安全控制，例如web安全網關。雖然后面這種方法可以提供很高的安全性，通過對所有移動設備流量部署企業級網絡安全控制，但這也會帶來顯著的成本和性能問題，因此，企業在部署這種解決方案之前需要進行仔細評估。