移动设备管理对企业IT 安全的增强

移动设备管理（MDM）是通过定义策略和部署安全控制（如移动应用程序管理、移动内容管理和条件 Exchange 访问）来管理移动设备的过程。

完整的MDM解决方案可以管理在Android，iOS，Windows，macOS，BlackBerry OS和Chrome OS上运行的设备。随着企业移动性管理的发展，一些 MDM 解决方案还支持 Windows 10 和 IoT 设备。MDM 使管理员能够从一个中心位置管理智能手机、平板电脑、Chromebook、自助服务终端设备等。

什么是移动安全管理

移动安全管理（MSM）是一个术语，指的是为保护移动设备及其包含的数据而采取的措施。MSM 可以是主动的，也可以是被动的，具体取决于操作是在设备或数据被泄露之前还是之后执行的。主动操作包括使用密码、加密和容器化保护数据和设备免遭数据泄露。反应性操作是在设备丢失或被盗或发生数据泄露后执行的操作。这可能包括远程锁定和定位设备，或擦除设备上存在的数据。

使公司数据面临风险的移动设备操作

从未经验证的来源下载应用：添加到 Apple App Store 或 Google Play 商店的应用在可供下载之前会检查是否存在恶意软件等威胁。这在一定程度上向用户保证了这些应用程序可以安全使用。但是，对于从其他未经验证的来源下载的应用程序，情况并非如此，这增加了数据泄露的可能性。
不审核应用权限：大多数应用在首次使用某些设备功能（例如相机、位置信息和联系人）时会请求访问这些功能的权限。其中一些应用权限是正常运行所必需的，而另一些则仅用于改善用户体验。许多用户同意所有权限，而无需检查为什么特定应用程序需要访问其库或联系人。
保持 Wi-Fi 和蓝牙始终处于打开状态：许多用户始终保持 Wi-Fi 和蓝牙处于打开状态，并启用自动连接，以便于使用，这使攻击者有机会连接到设备并访问存储的个人和公司数据。
运行过时的操作系统：每个操作系统更新都会为在以前的操作系统中检测到的漏洞引入安全修复和补丁，运行过时的操作系统会增加使用检测到的漏洞进行网络攻击的可能性。
访问公司数据时不使用虚拟专用网络（VPN）：有时连接到不安全的 Wi-Fi 网络以访问个人数据是不可避免的，在这种情况下，不建议访问公司数据。如果用户在不安全的网络上访问公司数据时连接到 VPN，则可以降低网络攻击的可能性。
越狱或root设备：移动开发人员有一定的安全限制来保护设备和数据，但为了获得对设备的额外控制，许多用户越狱或root设备，这会覆盖安全措施，并使设备和数据面临网络威胁。

在这里插入图片描述

为什么企业需要移动设备管理解决方案

IT 管理员的工作是在其组织的所有网络设备上强制实施适当的安全策略，无论这些设备是公司拥有的还是 BYOD。MDM 解决方案使 IT 管理员能够鸟瞰其网络清单，包括对设备安全策略和应用程序管理的控制。增强了对设备中公司数据的控制，无需管理员处理该个人数据，即可维护数据安全性和用户隐私。

任何在员工日常生活中使用智能手机或平板电脑的行业都可以从 MDM 中受益。 MDM 在零售行业尤其有益。零售供应商经常使用移动设备来接受客户订单、检查库存可用性、查看客户反馈以及确认交货计划。MDM 为零售公司提供了一种经济高效、集中的方式来控制存储在其移动设备上的数据。医疗保健、娱乐、银行、物流、IT 服务和运输等其他行业也需要 MDM 来处理远程移动设备的安全性。

在大多数行业中，移动设备的使用正在增加，这不仅有助于提高生产力，而且还会给移动数据带来更多风险。这种增加的移动性是组织需要实施移动安全程序（如 MDM、移动应用程序管理和移动内容管理）的原因。

移动设备管理如何发挥作用

移动设备管理解决方案提供了大量功能，涵盖从将不需要的应用程序列入黑名单的远程设备管理到用于故障排除和修复远程计算机上问题的远程控制的所有内容。数据管理、内容管理、操作系统更新、设备跟踪和远程擦除是其他重要的 MDM 安全控制。

组织如何保护其移动设备

保护设备的最简单方法是员工教育，但如果没有额外的安全层，将敏感的公司数据留在员工手中并不总是最好的。大多数移动设备管理（MDM）解决方案都提供全面的功能列表，可帮助保护公司数据和设备。

以下功能可帮助组织保护移动设备上的公司数据：

加密公司数据：MDM 解决方案可以使用可用的内置加密协议强制在移动设备上进行加密，或者对于 macOS 和 Windows，可以使用 FileVault 或 BitLocker 远程启用加密。
启用自动操作系统更新：MDM 解决方案使组织能够在操作系统更新可用于设备后延迟、计划或自动执行这些更新，延迟更新使组织能够首先测试更新，计划更新可防止在所有用户同时更新其应用时可能发生的带宽阻塞。
利用容器化：在具有自带设备（BYOD）环境的组织中，用户可以使用个人应用访问公司数据，这会增加数据泄露的可能性。但是，MDM 解决方案使管理员能够在设备上创建虚拟容器，以防止个人和公司应用之间进行任何通信。
在设备上锁定应用：移动设备现在被用作销售点（POS）设备，用户需要在其中访问单个应用或一组应用，在这种情况下，管理员可以使用 MDM 解决方案在设备上仅运行所需的应用，并阻止用户访问其他应用功能和设置。
强制使用 VPN：MDM 解决方案可以为设备预配置 VPN，并允许用户只需单击一下即可在设备上启用 VPN，MDM 解决方案还可以自动为企业应用和 Web 资源启用 VPN。
黑名单应用：虽然企业应用可以静默安装在移动设备上，但 MDM 解决方案还可以阻止用户在设备上安装任何其他应用，或限制安装某些预定义应用。
限制恶意网站：在大多数组织中，无法限制浏览器访问。在这种情况下，MDM 解决方案可以让系统管理员选择可以从公司设备访问和不能访问哪些 Web 资源。
仅从托管设备访问 Exchange：用户知道其公司 Exchange 帐户的凭据后，他或她甚至可以从未经授权的设备访问电子邮件，这可能会导致数据泄露，因为非托管设备与托管设备的安全标准不同，MDM 解决方案使用户只能从托管设备访问公司 Exchange 帐户，从而克服了此问题。
检测并删除越狱和已获得 root 权限的设备：获得 root 权限或已越狱的设备中的公司数据始终存在风险。MDM 解决方案可以检测越狱或获得 root 权限的设备，并将其从网络中删除，以确保不合规的设备无法访问公司数据。
启用地理围栏：组织还可以执行远程操作，例如响铃警报、擦除公司数据或在设备离开预定义区域时重置设备。
跟踪设备位置：跟踪设备位置是开始保护设备的最简单方法之一，MDM 解决方案使 IT 管理员能够随时远程定位设备，或者在设备丢失或被盗时按需定位设备，某些 MDM 解决方案还使系统管理员能够跟踪和维护设备位置的历史记录。
执行远程操作：当设备丢失或被盗时，MDM 解决方案使系统管理员能够根据设备是否可以检索在设备上远程执行各种操作。如果设备放错位置，第一步是使用密码远程锁定并找到它，找到设备后，如果无法检索，则应将其重置为出厂设置，或者擦除公司数据。