當前位置：安全 → 企業動態 → 正文

移動信息化安全解決方案VMI、MDM剖析

責任編輯：jackye |來源：企業網D1Net 2016-04-12 15:47:44 原創文章企業網D1Net

背景：

在移動互聯的浪潮中，手機移動辦公憑借其便捷性成為時代的潮流和趨勢，但是在實施過程中卻面臨諸多信息安全問題，讓很多企業望而卻步。與PC辦公相比，其安全威脅主要來自以下幾個方面：

首先是網絡安全問題;移動設施連接的網絡不像PC設備相對固定，其連接網絡卻是五花八門，可能是移動運營商的3G、4G網絡，也可能是公司、家里、公共場合的WIFI網絡，還可能是一些釣魚WIFI、偽基站網絡，這其中危機四伏，黑客們可以輕易的通過DNS域名解析或ARP欺騙等手段輕易地獲取涉密信息。近幾年公安部偵破的網絡詐騙案，詐騙團伙大都是通過網絡得手的。

其次是用戶手機丟失、更換、被偷窺導致的泄密;

再次是用戶主動泄密。移動設備用戶隨身攜帶，想竊取其中的文件，公司無法控制。

最后是后門軟件，這一點PC也存在，但是手機不像PC，公司可以通過網絡安全設備、殺毒軟件等手段對PC上的惡意軟件予以限制、清除，對于手機這個威脅就嚴重多了。

解決方案剖析：

面對上述移動信息安全隱患，目前應對的技術解決方案也有很多，主要有：MDM(Mobile Device Manager)方案、虛擬移動設施(VMI)等，作為企業信息安全管理的技術人員，可以通過了解產品的安全防范原理來選擇合適的產品。下面我們將介紹各種解決方案的防范原理和代表產品。

MDM的全稱是移動設備管理，通常還包含MAM(移動應用管理)和MCM(移動內容管理)。該方案的思想是通過管控移動設備、以及設備上的應用和內容的方式來進行信息安全管控。

在實現上，就是在移動終端(手機、平板)上安裝一個超級“木馬”的客戶端程序，通過該客戶端程序，管理員可以在管理后臺對用戶的手機進行控制，比如：遠程鎖屏、修改手機密碼、手機回復出廠設置、收集通話記錄、短信、位置信息、應用遠程安裝卸載以及外設(USB、藍牙、照相機、網絡等)開啟禁用等。其實現原理實際是管理員在管理后臺發送控制指令到設備終端的MDM客戶端程序，MDM客戶端程序再通過設備操作系統的MDM編程接口控制終端設備。該方案是從黑莓手機逐步發展演變而來，相對比較成熟，已在廣泛應用。該方案還存在以下不足：

對設備依賴較大，兼容性不足。很多功能在IOS上無法實現;在一些深度定制的Android手機上，很多功能也無法實現。經常會出現有的控制功能在有的手機上行，有的手機上不行。

侵犯用戶隱私。MDM的遠程控制功能非常強大，管理員在后臺可做的遠程操作遠超過用戶拿著手機可做的直接操作。相當于用戶手機上的個人隱私完全暴露給公司管理員。在BYOD的場景項目推動會有阻力。

存在較大的安全漏洞，如員工想竊取公司機密MDM很難防范，在Android手機上MDM的實現依賴于Android操作系統，Android手機的廠商眾多，從業者良莠不齊。

用戶很容易通過修改Android操作系統代碼讓MDM徹底失效，重新刷機安裝做過手腳的Android系統讓MDM徹底失效。

目前比較典型的MDM方案主要包含：AirWatch(WMWare收購)、思可信的MobileIron、思捷的XenMobile、華為的Anyoffice、國信靈通的NQSky EMM、天暢的ZIYA EMM。這些方案在組織形式和細節功能上有所差異，但整體功能和結構上大致相同。主要功能集中在移動設備的生命周期管理和安全管理。

VMI(Virtual mobile infrastructure)就是虛擬移動設施，通俗講就是Android遠程桌面，是一個新生事物，方案類似PC云桌面辦公，即在公司的內網服務器上部署大量運行Android系統的虛擬機，用戶通過自己的移動設備遠程登錄Android系統，象Windows遠程桌面一樣操作遠程的虛擬Android手機。按照該方案，公司的各類移動辦公軟件只需在內網Android虛擬機中安裝運行，無需在用戶手機中安裝。用戶手機上只需安裝一個遠程Android系統的登錄軟件，該軟件以圖片的形式展示遠程Android系統操作界面。目前中興通訊的子公司中興網信推出了一款叫做“云盾”的Android遠程桌面產品，該產品和MDM相比有以下優勢：

1、安全性高，應用運行在云端、手機端只是展示畫面，網絡傳輸的也只是一些圖元繪制命令，因此在網絡傳輸和移動終端基本不涉及業務數據，安全性非常高。也不存在通過對Android操作系統做文章竊取數據的問題。

3、設備兼容性、用戶個人隱私保護方面優勢明顯，無需對用戶的移動設備進行嚴格管控，對移動的操作系統也沒有特別的依賴，完全兼容主流的Android、IOS設備。

3、可以減少企業后續移動信息化成本。企業上了VMI后，所有移動應用都放在云端，因此企業的移動應用只要做Android客戶端即可，無需再做IOS客戶端。另外后續的移動應用也無需再考慮安全問題，軟件的發布、更新等也更方便，直接在云盾控制。研發成本、后期管理成本都可大大降低。

VMI基本上解決了MDM方案的不足，但是其本身也還存在以下不足：

1、對網絡帶寬消耗較高，目前幾款VMI產品的帶寬占用差不多在300bps左右，實際的流量消耗與所做的操作有關，會有偏差，在不操作遠程界面時不會產生流量。從實際體驗來看，在3G網絡環境信號不大穩定的情況下，界面操作會有卡頓，但是在4G網絡、正常WIFI網絡下，與操作本地手機基本無異，用戶體驗完全可以接受。這個網絡要求也許對于企業的管理層不是問題，但對于普通員工要求還是比較高的。

2、虛擬機端的服務器資源消耗較大，基本上一個虛擬機要分擔100元左右的服務器硬件成本。

VMI的代表產品除了中興網信的云盾外，還有國外的Hypori、Nubo 、remotium、sierraware等，這項技術在國外，以及在國內的政府、金融、司法、大企業等領域已有大量應用。

綜上所述，MDM相對成熟，成本低廉，但是存在安全漏洞、侵犯用戶隱私、設備兼容性差等缺陷;VMI相對MDM優勢明顯，代表的是技術發展趨勢，但現段對網絡要求高、實施成本高。對于信息安全要求高的企業可以考慮對管理干部或對信息安全敏感的員工實施VMI。對于廣大普通員工實施MDM，這樣既能做到安全合規又能尊重用戶隱私，也能兼顧實施成本。

關鍵字：解決方案安全