BYOD的盛行使得企業(yè)移動應(yīng)用管理已經(jīng)成為企業(yè)CIO、CSO需要高度關(guān)注的一個問題。解決不好這個問題，將會使得員工工作效率低下，企業(yè)應(yīng)用存在安全隱患或者風(fēng)險。因此，企業(yè)急需要制定一套企業(yè)移動應(yīng)用管理體系，在該體系中，數(shù)據(jù)、應(yīng)用和設(shè)備管理是非常關(guān)鍵的三個要素。本文將詳細介紹這方面的安全管理最佳實踐。

　　實踐一：數(shù)據(jù)隔離是核心

　　企業(yè)移動應(yīng)用管理最核心的關(guān)鍵是進行數(shù)據(jù)管理。用戶在移動設(shè)備中使用的不僅僅是個人數(shù)據(jù)，還會大面積地使用企業(yè)數(shù)據(jù)，那么如何進行有效的進行企業(yè)和用戶的數(shù)據(jù)隔離是非常重要的問題。“數(shù)據(jù)隔離”是指用戶在指定的企業(yè)應(yīng)用內(nèi)閱覽和編輯的所有內(nèi)容都不能拷貝到該應(yīng)用外部，也不能把外部的數(shù)據(jù)拷貝到該應(yīng)用里面來。從企業(yè)的角度看，返種手段既保證企業(yè)數(shù)據(jù)不被外泄，也防范個人數(shù)據(jù)中可能存在的信息（如新聞、娛樂信息）以及病毒、木馬等非法程序在企業(yè)內(nèi)部的傳播和感染。從用戶的角度看，用戶個人數(shù)據(jù)都被隔離在“安全沙箱”之外，因此，不必擔心BYOD設(shè)備中的個人數(shù)據(jù)會在移動辦公的過程中流入企業(yè)內(nèi)網(wǎng)而引起個人隱私的泄露。

　　當然，安全的要求不能夠以犧牲用戶體驗和辦公效率為前提。所以為了保證數(shù)據(jù)隔離后的文檔可使用性，企業(yè)移動應(yīng)用在文檔辦公方面有一定的要求，企業(yè)應(yīng)用一方面可以通過文檔轉(zhuǎn)換將主流的Windows Office文檔轉(zhuǎn)換成移動終端系統(tǒng)可識別的格式，并呈現(xiàn)給用戶，譬如，將PowERPoint格式轉(zhuǎn)換為圖片格式；也支持對ZIP、RAR壓縮包的解壓、PDF文檔的呈現(xiàn)、GIF等圖片格式的呈現(xiàn)。 文檔轉(zhuǎn)換模塊為安全瀏覽器和安全郵件客戶端提供方便快捷的文件在線瀏覽能力，通過這個轉(zhuǎn)換，用戶可以用安全瀏覽器直接瀏覽公司文檔，也可用安全郵件客戶端打開郵件附件中的各類文檔，而不必擔心手機或平板不識別Office文檔的問題，也不必安裝第三方的文字處理軟件。

　　實踐二：應(yīng)用管理需強化

　　企業(yè)應(yīng)對應(yīng)用實現(xiàn)細粒度的管理，主要是對企業(yè)移動應(yīng)用的管理。由于實現(xiàn)了實踐一中介紹的數(shù)據(jù)隔離，則不需要對個人移動應(yīng)用實現(xiàn)太大強度的管理，否則容易造成用戶可用性的喪失，當然，對于安全意識較好的用戶來說，也可以對其采取相關(guān)的機制來進行保障，而在一般情況下，僅對企業(yè)應(yīng)用進行控制也是可行的，畢竟已經(jīng)進行了數(shù)據(jù)的隔離，應(yīng)該將安全的力度放在企業(yè)數(shù)據(jù)區(qū)的安全防護上比較合理。

　　企業(yè)應(yīng)用管理較常采取黑白名單的方法。其中，黑名單是通過禁止用戶將黑名單中出現(xiàn)的應(yīng)用安裝在企業(yè)數(shù)據(jù)區(qū)來實現(xiàn)安全；而白名單是明確地給出用戶可以將哪些應(yīng)用安裝在企業(yè)數(shù)據(jù)區(qū)。具體黑白名單的定義由企業(yè)根據(jù)實際情況決定，這個沒有統(tǒng)一的規(guī)定。

　　實踐三：設(shè)備管理打基礎(chǔ)

　　設(shè)備管理是移動安全方案的一個核心組件，通過MDM（移動設(shè)備管理，Mobile Device Management）可以避免用戶在移動終端上操作可能帶來的安全隱患，防止移動終端不慎丟失后造成數(shù)據(jù)泄露。企業(yè)需要明確使用MDM來達到如下安全管控效果：

　　資產(chǎn)管理和策略管理：在對BYOD設(shè)備執(zhí)行MDM安全管控前，首先要將用戶的BYOD設(shè)備注冊到企業(yè)的MDM管理平臺，可與員工簽署相關(guān)使用協(xié)議，然后將MDM客戶端安裝到BYOD設(shè)備。然后，企業(yè)便可根據(jù)雙方的協(xié)議，通過管理平臺對移動終端進行狀態(tài)查詢、安全管控策略下發(fā)、應(yīng)用分發(fā)等操作。管理員可據(jù)企業(yè)的實際情況和協(xié)議要求，通過MDM策略管理后臺對終端進行“設(shè)備硬件硬件控制”、“越獄檢測”、“遠程鎖定”、“GPS定位”、“遠程擦除”、“應(yīng)用一鍵配置”等操作。若員工需更換辦公終端或離職，也可將終端仍管理平臺注銷，脫離企業(yè)的MDM安全管控。

　　設(shè)備硬件控制：MDM提供對移動終端設(shè)備攝像頭/藍牙/Wi-Fi/USB網(wǎng)絡(luò)共享/GPS/VPN/藍牙掃描/熱點功能/USB存儲模式/麥克風(fēng)/云服務(wù)和備份服務(wù)/截屏的控制能力，管理員可根據(jù)企業(yè)的實際情況下發(fā)策略，在員工使用移動終端接入企業(yè)內(nèi)網(wǎng)期間，禁用其中的部分或全部功能。 用戶通過移動客戶端登錄企業(yè)移動網(wǎng)關(guān)時，網(wǎng)關(guān)根據(jù)用戶和設(shè)備信息下發(fā)相應(yīng)的控制策略，客戶端根據(jù)這些策略進行控制。移動終端會把這些對系統(tǒng)硬件接口的修改記錄下來，在用戶在退出移動應(yīng)用時，根據(jù)記錄自動將這些配置恢復(fù)到登錄前的狀態(tài)，不影響用戶在非辦公期間對BYOD設(shè)備的使用體驗。

　　“越獄”檢測：越獄會對企業(yè)移動應(yīng)用帶來較大的安全威脅。越獄檢測策略是網(wǎng)關(guān)在用戶登錄時下發(fā)給移動客戶端的，如果檢測到越獄，移動客戶端可根據(jù)策略的指示作出不同級別的響應(yīng)：審計、提示、告警或斷網(wǎng)。

　　設(shè)備遠程鎖定/GPS定位/遠程擦除：若終端丟失，員工可以登錄企業(yè)的自助管理Portal或者通過移動設(shè)備管理員下發(fā)控制命令，對自己的BYOD設(shè)備進行遠程鎖定和GPS定位，若確認無法找回，也可遠程擦除終端上的數(shù)據(jù)。在員工離職、更換辦公終端等場景下，管理員也可通過管理后臺給BYOD終端下發(fā)選擇性數(shù)據(jù)擦除的指令，即僅僅擦除企業(yè)數(shù)據(jù)和卸載企業(yè)移動應(yīng)用，而保留BYOD終端上所有的個人數(shù)據(jù)和個人應(yīng)用，這樣既保證企業(yè)數(shù)據(jù)不外泄，又不破壞用戶個人的數(shù)據(jù)和應(yīng)用，用戶完全可以繼續(xù)正常的使用自己的個人終端。

　　應(yīng)用一鍵配置：管理員可以通過MDM管理后臺為所有員工的移動辦公終端下發(fā)統(tǒng)一的應(yīng)用配置，譬如，企業(yè)郵箱、微信、VPN軟件等的配置，這樣既保證所有員工的辦公軟件的配置是安全的、一致的，也免去了每個員工分別去手工配置應(yīng)用的麻煩。

　　企業(yè)應(yīng)用商店管理：對于能夠提供大量企業(yè)移動應(yīng)用的企業(yè)，應(yīng)該需要配套提供企業(yè)應(yīng)用的下載、升級、查詢、搜索等功能，以方便員工使用，并確保該商店的安全性，防止和減少員工從其他渠道下載相關(guān)應(yīng)用進行企業(yè)辦公的安全風(fēng)險。

　　自助管理Portal：若用戶不希望管理員干涉，則可以登錄自助管理Portal，在終端丟失時，通過GPS定位功能，在地圖上直觀地查看終端的物理位置，并進行遠程鎖定、遠程擦除等操作。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：企業(yè)如何制定一套安全的移動應(yīng)用管理體系

本文網(wǎng)址：http://www.oesoe.com/html/support/11121812293.html