移動設備管理

在今天快速移動計算設備的世界里，充斥著無所不在的信息網站入口。市場不久將充滿不同類型的設備。這些利用網路查找信息包括個人數字助理(PDA)，以及更多興起的消費者導向服務應用的設備，例如車內的信息系統、家庭服務網關器、數字機頂盒(Set．top Boxes)。而那些設備會變得更受歡迎並且設計得更錯綜複雜：安裝和重新配置設備，更新軟體的任務，自動註冊新服務等等。對使用者來說，這樣的操作過程將變得更困難。因此，我們需要對移動設備進行管理。況且，要改進用戶體驗並啟用流程化的IT支持，企業必須開發移動設備管理流程，比如故障排除、遠程安裝軟體、更新應用程序及備份和保護移動設備上的數據等。然而，支持移動設備(經常與最近的支持服務部門相距很遠)可能會需要集中大量勞動並且成本會十分昂貴。要解決這個問題，企業可以通過從以下方面來完善移動設備的管理策略：

1、保證移動設備的連通性。及早提出連通性問題將有助於保證移動化方案的成功。

2、隨時掌握應用於移動化業務的工具和應用程序。一旦設備處於活動狀態且處在使用中時，就將新的應用程序發送到設備上。設置管理、遠程軟體分佈、庫存管理以及設備審核，對於提供遠程服務和完美的用戶體驗來說至關重要。

3、關心移動技術的安全性。解決技術和可用性問題，並確保數據安全，這些需要IT人員在現場和遠程支持多個設備進行培訓。

4、將移動設備個性化，使其與移動員工的需求相匹配。保證移動設備在部署前具有正確的功能和位置。移動基礎架構應該包括使IT始終如一地支持移動設備的配置計劃。

對企業來說，將移動設備看作IT資源可能很有意義。如果是這樣，IT部門就會在決定選擇何種移動設備及如何管理它們中起到主要的作用——甚至是主導作用。在移動設備選擇過程中面I臨並解決的一些問題，會為開發最有可能的設備管理實踐提供指導。

智能手機已經廣泛地應用到我們日常的工作和生活中，然而有些CIO在考慮網路的安全管理時把這些移動設備遺忘了。而由於這種管理缺失，導致智能手機和其他移動設備成為了企業網路中最為薄弱的一個環節。

自帶設備辦公（BYOD）讓原本為個人消費者設計的智能手機和平板電腦，不斷被企業用於承載關鍵業務及核心應用。同時，自帶設備辦公（BYOD）的策略也被大量引入企業，傳統的IT管理在針對不斷湧現的自帶設備辦公（BYOD）管理方面受到巨大的挑戰。移動設備管理（Mobile Device Management，簡稱MDM）由此應運而生。主流的移動智能終端操作系統都不同程度的支持移動設備管理。

自帶設備辦公（BYOD）的增長受到平板電腦和智能手機普及的刺激，許多用戶都有樂於使用的設備。例如，有些用戶可能使用MacBook、iPad或智能手機，這些設備將代表主流個人設備。自帶設備辦公（BYOD）可以幫助公司減少IT設備的支出，員工使用自己的個人設備，如此一來，企業設備投入將減少。

企業的目標是在滿足員工自身對於新科技和個性化追求的同時，提高員工的工作效率，降低企業在移動終端上的成本和投入。自帶設備辦公（BYOD）可以讓企業員工在機場、酒店、咖啡廳等，登錄公司郵箱、在線辦公系統，不受時間、地點、設備、人員、網路環境的限制……自帶設備辦公（BYOD）向人們展現了一個美好的未來辦公場景。

自帶設備辦公（BYOD）是IT消費化的一個戲劇性結果。自帶設備辦公（BYOD）的原動力來自於員工而非企業，員工對於新科技的喜好反過來驅動企業變更和適應新技術的變化。然而這些新技術在設計和開發初期並沒有考慮企業的應用環境和要求，因此很多IT支持部門非常擔心自帶設備辦公（BYOD）帶來的安全和支持風險。

自帶設備辦公（BYOD）存在大量與安全相關的問題。惡意軟體和竊聽(使用公共WIFI的情況下)是兩個可能存在的風險。自帶設備辦公（BYOD）不僅僅是簡單的所有權轉移的問題，它包含了非常複雜的，甚至隱藏的問題和風險需要規避和解決。

下面是移動設備管理的兩個關鍵方面：

• 移動設備的升級（及其他變更）部署和管理

• 安全性，或者說對移動設備的全天候安全防護能力

使用移動設備管理的優勢：

對移動性舉措的控制整合

對設備正確配置后才向員工授予訪問許可權

跨各種不同設備人群創造規模經濟

降低每個用戶的支持成本

降低丟失或被盜設備的風險

執行移動安全政策

持續驗證政策合規性

企業只能做少量工作來鎖定設備。設備給企業不斷帶來威脅，包括越獄以及設備不可避免地被偷或者丟失。現在焦點正逐漸從管理設備轉移到管理這些設備上的數據和應用。

對於數據管理，企業有很多選擇。其中容器（或沙盒）技術讓用戶可以在BYOD設置中隔離個人數據和企業數據。例如，電子郵件客戶端的容器可以保持隔離用戶的企業電子郵件與個人電子郵件。

同時，雙重角色採取了類似的做法，IT在設備中配置工作配置文件和個人配置文件。當員工離開公司時，IT可以在雙角色設備擦除工作配置文件內的數據。

移動應用管理（MAM）允許IT控制在受企業控制的移動設備中運行的應用內的訪問許可權和數據。隨著企業更多地了解移動性如何加快業務流程以及讓員工更有效，解鎖移動應用的功能以及管理這些應用的方法成為關鍵。

移動應用並不能簡單地變成採用移動形式的傳統桌面應用。它們必須調整為滿足移動員工的需求以及兼容各種設備和操作系統。

如果你使用了移動設備，那麼很可能是RIM公司的黑莓、蘋果公司的iPhone、Android手機或者微軟的Windows mobile手機。如果你的網路中只有一種移動設備的話，那麼你足夠幸運 – 然而，絕大多數情況下，企業需要同時通過不同的工具來管理多種設備。

RIM公司具有多種設備的管理的豐富經驗，其黑莓企業伺服器（BES）可以讓你通過一個控制台進行管理，而且能便捷地實現黑莓操作系統的升級並從桌面監控整個升級過程。BES已經問世有一段時間了：事實上，當2007年針對夏時制做了改進之後，黑莓管理員就再也不用面對時間變更的夢魘了 – 通過BES伺服器就能實現夏時制補丁在所有移動設備上的升級。因此，如果要管理黑莓設備，BES是最佳選擇。

對於iPhone用戶來說，為了對設備進行軟體升級必須部署iTunes。如果你有多個iPhone設備，則應該考慮把iTunes部署到工作站上以確保所有設備的一致更新。其他手機則通過本地和遠程的方式進行升級。總之，如果需要管理多種智能手機，你就要麼對各類升級進行管理，要麼乾脆改變部署的策略。

安全防護

談到安全性，最基本的就是要對遠程設備擁有控制權。對於黑莓手機，BES可以幫你實現安全策略的控制。對於其他所有設備，Exchange ActiveSync Policies (EAP)是合適的選擇。儘管EAP最初是為Windwos Mobile設計，但是現在已經演化成了各種智能手機的標準控制策略 -- iPhone、Android和微軟的智能手機都通過這些策略實現對設備的控制。無論黑莓抑或是其他智能手機，下列安全特性都能通過EAP實現：

1.密碼和數據安全：對你的移動設備實施較強力度的密碼策略。而且，在一定時間的非活動狀態下鎖定設備，只有用複雜的密碼（字母加數字）才能解鎖。如果設備遺失，要能對其進行遠程擦除。這樣就可以在設備落入不法之徒手中時防止機密信息被竊取。

2.加密：絕大多數設備都有不能被禁止的強加密功能。比如，iPhone上的iOS4使用了256位的Advanced Encryption Standard來進行信息編碼 – 其他設備也使用類似級別的加密措施。必須確保所有設備都用強加密策略鎖定，以便保護數據和機密信息。

3.應用安全性：通過EAPs或者BES伺服器實現與移動設備的連接（注意，EAPs不支持黑莓手機），你可以對應用的設置和可訪問性進行控制。比如，你可以允許或者拒絕在移動設備上使用移動存儲。你也可以只允許有簽名的應用才能安裝在移動設備上，以此來減少服務支持請求和潛在的問題。

4.移動IT安全策略：為移動設備定義強有力和簡潔的安全策略。這可以通過和IT安全策略一起定義，但是如果太過複雜，那麼會帶來很多麻煩。

5.員工的認識：因為幾乎每個員工都有移動設備，所以必須樹立他們的安全意識。比如制定這樣的政策，當員工丟失手機時，必須向你進行通報。

網路帶寬浪費嚴重 工作效率低下

移動設備的監管手段，遠遠落後於移動設備的聯網能力。3G網路、便攜無線路由器，讓網路失去邊界，各種員工行為管理被移動設備輕鬆繞過。

移動設備感染惡意軟體機會增加

員工自帶設備安全投入低微，防護能力很差，同時，員工自帶設備在訪問範圍廣泛，針對移動平台的威脅呈現指數級別的高速增長，自備設備受到威脅。

移動設備丟失更加頻繁威脅數據安全

作為一種便攜設備，員工可以隨身攜帶，發生丟失、被盜的幾率極高，而作為企業的接入終端，自帶設備上有企業的機密數據，設備丟失威脅企業數據安全。

針對移動設備的網路攻擊更加常態

移動設備不同於PC的一個很重要的方面，就是移動設備大都是直接和用戶的金錢、利益相關的，比方說話費、移動銀行等等，這直接導致了移動網路攻擊的爆發。

眾多移動設備間安全策略不一致

移動時代，無線終端多種多樣，更新換代更加頻繁。企業很難做到即時更新設備安全策略的手動更新，這可能會導致安全手段實效，同時，也會給員工帶來工作障礙。

主要功能

移動設備管理，又稱MDM（Mobile Device Management），它提供從設備註冊、激活、使用、淘汰各個環節進行完整的移動設備全生命周期管理。移動設備管理（MDM）能實現用戶及設備管理、配置管理、安全管理、資產管理等功能。移動設備管理（MDM）還能提供全方位安全體系防護，同時在移動設備、移動APP、移動文檔三方面進行管理和防護。

不同點

對於移動設備管理，我們可以這樣認為，容器方法將應用程序、服務、身份驗證、數據等連接在一個被稱為包的容器中。這個容器可能僅僅是一個可以將幾種功能聚集起來的應用程序，或是一個可以聚集不同應用類型（本地的、Web或虛擬的）的更複雜和全面的空間類型，它可以控制信息共享的方式。容器的一個明確特性是，它可以控制哪些可以進出容器。一般來說，IT實施這種控制，即意味著增加安全層。

對於移動設備管理，應用程序的封裝是指給一個獨立的應用程序增加一個安全層和管理功能。從移動設備管理（MDM）或企業移動管理（EMM）廠商的觀點來看，應用程序的封裝可以確保企業內部開發的應用程序與EMM方案正確地交互。這就要求對應用程序原始代碼的訪問，而應用程序的封裝過程要自動地增加需要提升管理和安全性的代碼。

對於移動設備管理，應用容器也可以連接到應用封裝，因而這並不是一個二選一的問題。例如，EMM的應用封裝特性，可以包含在同一家廠商的容器特性中。

移動設備管理（MDM）確保企業移動安全通常涉及四個主要階段。

第一階段，移動設備管理（MDM）配置設備，由負責企業移動的移動IT部門和安全工程師負責決定哪種設備會被保留。這個階段包括利用所有現有的公司網路設施以此幫助避免資源複雜化以及重複化。

第二階段，移動設備管理（MDM）管理所有的設備。筆記本、手機、平板電腦和iPod Touches等等，以此確保原企業人員設備保持不變。在這一點上，使用者被允許訪問企業特定的資源，包括應用程序，電子郵件，確保目錄安全以及基於雲的文件存儲。理論上，IT團隊也可以向移動設備使用者發布相應的“公告”，告知他們什麼是允許的（例如，在設備上運行郵件客戶端）和什麼是不允許的（例如，下載一個帶有病毒的遊戲）。

第三階段，MDM管理使用者的移動應用程序。在這個階段，必須解決的是一個幾乎無限的應用程序管理。設備，人員和操作系統平台都是有限、相對可控的，但是應用數量、種類卻是時刻都在發生變化。MDM可以幫助企業解決一系列相關的問題，包括提供一個私人的，公司特定的應用程序商店等。一個這樣的公司應用程序庫對於整個公司的部門，以及應用程序的保存和發布都是方便有效的，並且提供最嚴格的安全和最佳的最終用戶體驗。

第四階段，移動設備管理（MDM）控制成本。由於移動設備管理（MDM）軟體設計的應用程序介面(APIs)可以監測用戶的通訊情況，這樣企業就可以有效的減少非必要的電話超支，移動設備管理（MDM）持續生命周期可以幫助使用者，在高昂的移動服務投入超支方面起到有效的限制作用。

來自IDC的數據顯示，移動終端將超過PC成為訪問網際網路時使用最多的終端，企業用戶對移動應用的需求也已從收發郵件、辦公自動化，拓展到業務類應用的移動化。企業面臨著大量內部和外部移動應用的管理及分發，由此，從標準化的MDM產品中衍生出了MAM（移動應用管理）功能。

MAM，移動應用管理。針對員工移動設備應用的安全保護、分發、訪問、配置、更新、刪除等策略和流程。通過企業應用商店控制和推送應用，能集中監控應用的使用情況，對應用設置相應策略以滿足企業的規範。

移動設備管理必須要能不干擾員工個人的應用，不觸犯其個人隱私權，卻又能在其存取公司的系統或檔案時予以控管。這種情況下的管理複雜度相當高，員工的移動設備有各式各樣的平台，有各式各樣的應用程序，你的移動設備管理平台要有辦法應付各種平台，甚至，不只是管理或限制設備本身的功能而已，還得進一步延伸到移動應用程序的管理，或是更多內容的管理，這也是移動設備管理未來的一個趨勢，由MDM朝MAM（Mobile Application Management）發展。

移動應用管理（MAM）能夠防止惡意軟體的威脅，並要在企業內部搭建一個應用商店，對企業應用進行管理和分發。