每一个引入到企业网络中的设备都会产生新的安全问题,从简单到复杂,无处不在。如果设备丢失了怎么办?是否能够让用户只能访问有限的应用程序?
移动设备管理、移动应用管理和移动信息管理代表了移动管理和企业移动安全的演变。该进化过程试图维持为保护企业所作的IT需求控制以及用户移动设备体验之间的平衡。我们在之前的文章中有介绍过企业如何开启移动计划。
关于移动的术语和技术
如果你在评估移动技术上花费了大量的时间,毫无疑问,你遇到的第一个缩写词一定是BYOD,即自带设备。
IT专业人士在开发移动政策和程序之前应该多方面了解移动计算,包括设备、应用程序和数据,以及它们的连接方式。移动设备管理侧重于管理终端,移动应用程序管理侧重于软件,而移动信息管理关注数据访问和安全。
BYOD分摊责任
从企业桌面和笔记本电脑发展到个人智能手机和平板电脑,在移动性管理领域,BYOD已经成为最有名的缩写词。现在个人智能手机和平板电脑无处不在,因为员工很快发现持续性和易访性所带来的优势。企业移动管理需要理解BYOD的风险,部署适当的技术和实践来保护企业信息资产。
BYOD的一个特点是共担责任。移动设备使用者希望有一定程度的自由和隐私,但他们也必须理解保护企业数据、应用程序和网络的需求。其中的关键是让使用者明白清晰和可强制执行的政策。受政府严格管辖的行业,如金融和卫生保健,尤其要注意对敏感数据的保护。
MDM、MAM和MIM是密切相关的技术,旨在通过关注企业移动性的不同方面来实现自由和安全之间的平衡。
MDM政策是安全的但也是严格的
移动设备管理(MDM)最早形式的移动性性管理。它允许管理员为设备设置以下类型的政策:
设备加密需求限制特定应用程序的使用控制设备功能的使用,比如蓝牙和照相机密码保护
MDM已经超越黑莓设备及其相关的管理系统。今天,企业管理有许多第三方选择来管理苹果、Android和Windows设备。
MDM应用程序和桌面管理系统之间有很多的相似之处,尤其是远程管理功能。这些包括推出更新、修改访问控制和删除受管理设备上的数据。
MDM提供了许多帮助,能够让企业完全控制个人设备的管理工具永远不会实现设备拥有者与企业需求之间的平衡。
员工认为对企业自己的智能手机和平板电脑进行管理是合理的。然而,当员工使用个人设备时,他们希望设备得到合理的控制。事实上,许多公司可能不希望广泛控制个人设备,但是他们仍希望保护企业数据。
MAM分离控制
平衡员工与企业之间需求与利益矛盾的一种方式是实现单独的控制区域。设备所有者应该能够在不受企业干涉和监视的情况下使用自己的智能手机和平板电脑。
同时,企业可以控制自己的数据放在个人设备上的位置和时间,是否加密等。
移动应用管理(MAM)就是这样一方法,将注意力从控制设备转移到控制这些设备上的应用。企业不再有员工个人设备根目录访问权限,员工只能访问企业指定的可访问的应用程序和数据。
当应用程序仅限于电子邮件、文件共享和其他常用的应用程序时,这种方式可以很好地运作。应用程序供应商和MAM厂商致力提供这些应用程序的安全版本,但是安全版本通常比其他软件版本提供较少的功能。
使用自定义应用程序带来了另一种问题。例如,如果一个公司想要给主管提供一个自定义商业智能报告系统,它可能需要将使用了MAM提供商方案的应用程序进行打包。打包的应用程序在启动和关闭的过程中使用MAM代码,也可能会改变一个应用程序的功能。包装可能会阻塞网络通信,除非是虚拟专用网。
此外,应用开发商可能会选择一个MAM专业应用程序编程接口(API)来实现安全控制。这可能会增加项目的开发、测试和维护开销。但是,随着移动操作系统支持更多的沙盒和其他安全措施,将会有更少的应用打包需求和MAM专用API。
关注应用程序管理可以使用其他有用的控制。例如,如果用户可以对授权的应用程序进行剪切和粘贴,可以很容易规避防止应用程序数据访问的政策。
MAM产品可以防止将授权应用程序数据复制粘贴到未经批准的应用程序。支持授权清单和禁止的URL来减轻网站的访问、窃取数据或下载恶意软件风险。
随着企业继续采用SaaS作为应用程序的交付模型,控制信息将引来更多的关注,设备和应用程序受到的关注会越来越少。
MIM将焦点转移到数据
在一个理想世界里,对信息资产安全的保护应该专注于数据,而不是应用程序或设备。但应用程序和设备被利用后会造成数据泄露或者为企业网络带来恶意风险。除了标准的恶意软件预防、检测和删除、移动信息管理(MIM)是移动性管理的另一个发展历程。
MIM控制企业数据的运动,受规则允许的应用程序才可以访问。它还包括加密策略。随着越来越多的云存储服务如Dropbox、Box和OneDrive的使用,MIM实践尤为重要。MIM也有移动性管理和跨设备同步数据的作用。
尽管MIM关注数据,应用程序、操作系统和设备必须执行政策。这需要应用程序堆栈层之间做出大量的协调和标准化。
