10招完成企業移動安全部署

移動技術和自帶設備（BYOD）正在改變人們工作的方式。智能手機和平板電腦不僅像傳統電腦那樣能夠訪問、存儲及傳輸應用程序和數據，還能夠參與幾乎任何一種企業任務。企業移動技術已不僅限于特定的小組和使用場合，它成為了企業IT的一個基本要素。

企業制定企業移動戰略時，需要考慮到普通員工和IT部門的全部需求。員工期望可以無縫便捷地訪問所使用的任何設備上的數據和應用程序，用戶體驗比他們在個人生活中習慣使用的還要出色。IT部門需要能夠為各種類型的數據提供合適的控制、保護和合規級別，又不需要對員工選擇的工作方式施加不必要的限制。

企業在制定企業移動戰略時需要考慮十大關鍵因素，包括安全、用戶體驗、IT運營和BYOD。

招式一

管理和保護重要數據

由于人們訪問多個設備上的數據和應用程序——包括個人擁有的智能手機和平板電腦，IT部門企圖控制和管理IT環境的方方面面已經變得不切合實際。相反，應當關注對企業來說最重要的內容，然后選擇最適合企業和移動使用場合的移動管理模式。有4種模式可供選擇，既可以單獨使用，也可以組合使用。

移動設備管理（MDM）。MDM讓企業可以管理和控制訪問企業資源的移動設備。無論是企業擁有的設備還是個人設備，在訪問企業網絡之前，可以檢查設備是否遭到其他方面的威脅。加密、遠程鎖定及擦除、移動VPN、應用程序黑名單以及選擇性地禁用原生設備功能這種功能，共同提高安全級別。

移動虛擬機管理程序和容器。這種模式特別適用于支持BYOD，讓企業以在設備上的容器里面管理應用程序、數據、策略和設置，不用操心可能含有的任何個人內容。實際上，單單一個移動設備成了兩個單獨的虛擬設備：一個用于工作，另一個用于個人生活。

移動應用程序管理（MAM）。MAM建立在容器方法的基礎上，讓企業可以為任何移動應用程序及作為容器一部分的數據和設置做好集中式管理、安全和控制。應用程序層面的策略可能包括驗證、網絡、位置、密碼和加密。

應用程序和桌面虛擬化。虛擬化技術的固有安全性同樣適用于移動使用場合。企業應用程序可針對移動設備進行優化，并根據需要來交付，而數據在數據中心里面受到保護。

招式二

首先考慮“用戶體驗”

移動設備為員工提供了在個人生活中使用應用程序和信息的新方式，但這給IT部門加大了壓力，IT部門現在必須提供一種自由和便攜都不輸給消費級技術的體驗。企業在努力提供一種出色的用戶體驗時，要想方設法給員工帶去驚喜，并提供他們可能還沒有想到的實用功能。

比如，可允許員工使用自備設備上的應用程序和數據，還要有個性化設置，那樣他們就能馬上開始工作。

借助采用單次登錄技術的企業應用程序商店，讓員工可以實現自助式配置，獲取所需的任何應用程序：托管、移動或SaaS（軟件即服務）等應用程序。

提供共享式瘦客戶機或其他企業級設備，那樣員工發現某些應用程序在消費級設備上出于安全要求而無法使用時，可以輕松換成這些設備。

使數據共享和管理方面的控制實現自動化，比如應用程序之間拷貝數據的功能，那樣員工沒必要記住特定的策略。

如果企業在制定移動戰略時恪守與用戶合作這個理念，就能更好地滿足員工的需求，同時獲得寶貴的機會，設定合理的預期目標，并確保員工明白IT部門自身的需求即確保合規，比如需要保護應用程序和數據、控制網絡訪問以及適當地管理設備。

招式三

避免借道繞開

借道繞開給企業移動技術帶來了最糟糕的情形：BYOD用戶手里的消費級設備含有敏感的企業數據，直接接入到云端。這種做法完全繞開了IT部門的控制和視線，這可怕的一幕在如今的企業中屢見不鮮。當然，這么做有充分的理由。云應用程序能幫助員工節省時間，更容易完成工作，它們還能為企業創造價值。可要是云應用程序濫用企業的敏感數據，危及安全和規定，問題也就接踵而至。

實際上，如果某技術是滿足員工要求的最佳辦法，IT部門又似乎不太可能察覺，那它在員工當中會有市場。因而有必要鼓勵員工與IT部門合作，并使用IT的基礎設施，敏感數據和應用程序更是如此。最好的激勵就是出色的用戶體驗，積極主動地提供，旨在比不受監管的替代方案更好地滿足員工的要求。

招式四

關注服務交付戰略

移動用戶依賴多種多樣的應用程序，不僅有自定義的移動應用程序，還有第三方原生移動應用程序、移動化Windows應用程序和SaaS解決方案。在制定移動戰略時，企業應考慮清楚員工和小組使用的應用程序組合，以及應該如何在移動設備上訪問。

員工訪問移動設備上的應用程序的方式有以下4種。

原生設備體驗。在這種場景下，用戶的設備完全不受管理。員工自行購買應用程序，可隨意將企業數據與個人數據混合起來，通過任何網絡來工作。與前面提到的借道繞開一樣，這種做法面臨高風險，毫無安全性可言，因而絕不允許用于敏感數據。

虛擬化訪問體驗。虛擬桌面、虛擬應用程序和數據托管在數據中心，通過一種遠程顯示協議來呈現。IT部門管理訪問，確保全面安全，同時讓員工可以在移動平臺上運行Windows應用程序。數據絕不會離開數據中心，那樣不需要設備端數據保護。這種方法確實依賴網絡連接，因而限制了離線使用場景。

容器化體驗。企業在設備上建立一個容器，企業的所有移動應用程序（包括自定義和第三方的原生移動應用程序）將與其他內容分隔開來。IT部門可以管理進入容器的應用程序和數據，同時允許用戶通過企業應用程序商店配置自己的應用程序。可以根據IT策略，自動更新、配置和改動應用程序。SSL、加密和針對特定應用程序的VPN等網絡設置同樣可以添加到容器中，讓員工可以在任何環境下以合適的方式輕松連接。萬一設備丟失、被盜、升級或者員工離職，還可以遠程擦除容器中的內容。

全面管理的企業體驗。這種方法方案借助嵌入式策略對移動設備進行全面控制，這些策略涉及遠程擦除、地域限制、數據到期及其他安全措施。所有移動應用程序都由IT部門明確選擇和配置，無法進行個性化。雖然這種方法高度安全，適合一些企業和使用場合，可是帶來了用戶體驗受到限制、與BYOD不兼容等缺點。

對于大多數企業來說，虛擬化訪問和容器化體驗的結合將支持員工依賴的一整套應用程序和使用場合。這讓IT部門可以在提供出色用戶體驗的同時，保持可見度和控制度。員工可以通過統一的企業單次登錄技術，訪問托管的應用程序和原生移動應用程序以及SaaS應用程序，比如Salesforce和NetSuite。員工離開企業后，IT部門立馬就能注銷該員工的帳戶，禁止訪問其設備上使用的所有原生移動應用程序、托管應用程序和SaaS應用程序。

招式五

自動獲得預期結果

自動化不僅可以為IT部門簡化工作，還能提供更出色的體驗。不妨看一看自動化在滿足下列常見的移動要求方面起到的作用：

員工更換丟失的設備或者升級成新設備。只要點擊一個URL，該員工的所有企業應用程序和工作信息都出現在新設備上，全面進行了配置和個性化，可準備隨時工作。新員工或合同工可以同樣輕松地上崗，所有的企業移動應用程序被配置到任何個人或企業擁有的設備上的容器中。單次登錄（SSO）能夠順暢地訪問托管應用程序和SaaS應用程序。

員工從一個地方移到另一個地方、從一個網絡移到另一個網絡時，可感知環境的自適應訪問控制機制可自動重新配置應用程序，確保適當的安全性。

董事會成員手持平板電腦來開會。會議需要的所有文檔都自動裝入到設備上，設備由IT部門做了選擇性配置，以便只能讀取文檔，需要的話只能訪問容器中的應用程序。特別敏感的文檔可以設置成董事會成員一離開會議室，就自動從設備上消失。

員工在企業的角色發生變化后，當前崗位所需的相關應用程序就會自動到位，而不再需要的應用程序就會消失。第三方SaaS許可證將立即收回，用于再次分配。

執行這種自動化的方法之一是借助活動目錄。首先，將特定角色與相應容器關聯起來。任何被賦予該角色的員工都將自動獲得容器及與之相關的所有應用程序、數據、設置和權限。而在設備本身上面，可以根據需要，使用MDM來集中設置無線PIN和密碼、用戶證書、雙因子驗證以及其他安全機制，以便支持這些自動化流程。

招式六

明確定義網絡

不同的應用程序和使用場合對網絡可能會有不同的要求，從內聯網或微軟SharePoint站點，到外部合作伙伴的門戶網站，再到需要相互SSL驗證的敏感應用程序，不一而足。在設備層面執行最高級別的安全設置會給用戶體驗造成不必要的負面影響;另一方面，要求員工為每個應用程序選擇不同的設置甚至更招人討厭。

通過將網絡鎖定在特定的容器或應用程序，并為每個容器或應用程序定義不同的設置，就能讓網絡滿足每個用戶的特定需要，又不要求用戶采取額外的步驟。員工只要點擊應用程序，就可以開始工作，而登錄、接受證書或打開針對特定應用程序的VPN等任務則在后臺自動執行。

招式七

優先保護敏感數據

在許多企業，IT部門不知道最敏感的數據位于何處，只好將所有數據都當作同等重要的對象來保護。這種作法效率低、成本高。移動技術提供了一種機會，讓企業可以根據一種滿足該企業獨特情況和安全要求的分類模式，更有選擇性地保護數據。

許多公司采用一種相對簡單的分類模式，將數據分成三類：公開數據、機密數據和受限制數據。

對于不涉及機密、隱私或合規等影響的公開數據，具有不受限制的數據移動性，可在任何地方、任何設備上不受限制地使用。員工不需要通過企業基礎設施來工作，企業可以配置針對特定應用程序的網絡設置，允許員工以最方便的方式進行連接。

機密數據本身就不公開，但萬一泄密，會帶來一定的風險，需要較高的保護級別。這種情況下，可以通過企業網絡，在BYOD或消費級設備上提供虛擬化訪問，同時只允許全面的數據移動性適用于擁有加密和遠程擦除等MDM功能的企業級設備，或者為了在兇險的環境下保護數據而專門設計的任務級設備。

受限制數據泄露會帶來違規、聲譽受損、業務損失及其他重大影響，應該引起最大關注。全面的數據移動性應局限于任務級數據，允許企業級設備上有虛擬化訪問。BYOD及其他消費級設備根本不應該被授予訪問權，或者予以認真審查和考慮，以便在某些情況下使用虛擬化和基于容器的方法。

除了數據分類和設備類型。企業在制定安全策略時還要考慮另外的問題，比如設備平臺、位置和用戶角色。

招式八

明確角色和所有權

企業中誰將擁有企業移動技術？在大多數公司，移動技術繼續通過臨時的方法來予以處理，常常由監管基礎設施、網絡和應用程序等IT職能的委員會負責處理?？紤]到移動技術在企業中的戰略性角色，以及復雜的用戶和IT需求需要處理，明確定義移動技術方面的組織結構、角色和流程顯得至關重要。員工應了解誰為移動技術負責，他們將如何跨不同的IT職能部門全面管理移動技術。

說到移動設備本身，所有權也同樣需要明確，在移動技術與BYOD相輔相成的企業尤為如此。企業的BYOD政策應處理好全面管理、企業擁有的企業與完全供個人使用的用戶擁有的設備之間的灰色地帶，比如：誰為自帶設備的備份負責？誰為該設備提供支持和維護，費用由誰掏？如果司法機構要求從個人擁有的設備獲取數據或日志，該如何處理證據出示事宜？有人使用同一個設備用于工作時，會給個人內容的隱私帶來什么影響？

用戶和IT部門都應該明白自身的角色和職責，以免誤解。明確定義BYOD計劃，并讓參與者在開始使用個人設備用于工作之前簽字確認。

招式九

讓解決方案考慮到合規要求

縱觀全球，企業面臨300多個與安全和隱私相關的標準、法規和法律，有3500多個具體的控制措施。僅僅滿足這些要求還不夠，企業還要能夠將自己的合規情況記入文檔，以便擁有全面的可審計性。企業最不希望看到的就是任由企業移動技術帶來一個艱巨的新問題有待解決。確保企業制定的的移動設備和平臺解決方案遵守政府規定、行業標準和企業安全政策，從基于政策和基于分類的訪問控制，到安全數據存儲，不一而足。企業的BYOD解決方案應當提供完整的日志和報告功能，幫助迅速、高效、成功地應對審計。

招式十

為物聯網做好準備

不要光為今天制定政策，更要預判企業移動技術在未來幾年會是什么樣。谷歌眼鏡和智能手表等可穿戴式技術會繼續改變人們使用移動技術的方式，提供一種更人性化的、直觀的體驗，同時能支持新的使用場合。聯網汽車（包括無人駕駛汽車）將以新的方式使用數據和云服務，從而幫助人們更輕松、更高效地抵達目的地。工業控制系統（ICS）將在幕后以及作為人類工作流程的一部分，使用和交換企業數據。此類發展會繼續擴大移動技術的潛能，但它們也會給安全、合規、可管理性和用戶體驗帶來新的影響。