当涉及安全问题时，你不能像对待桌面一样对待移动设备。

自带设备办公（BYOD）引发了一场革新，关于雇主如何启用安全而富有成效的移动性，这迫使以硬件为中心的移动设备管理（MDM）产品发展成为企业移动管理（EMM）套件。随着BYOD接受度的发展，移动安全挑战以及EMM市场也在增长。根据技术研究公司Radicati Group Inc.，今年全球EMM市场收入将达到14亿美元，到2018年将超过57亿美元。为了理解EMM如何应对BYOD风险，让我们来考虑是什么力量驱动了这种演变。

MDM不足之处

十多年前，MDM出现在管理Windows CE及黑莓手机的产品中。当iPhone启动BYOD的采用时，MDM产品对苹果和安卓手机进行了支持，但仍然主要侧重于以设备为中心的目标：硬件资产管理、OS配置以及远程发现和擦除功能。总之，MDM提供针对整体设备的管理功能，协助IT部门控制员工自带的个人设备。

这种传统的桌面管理方法可能适用于公司配发的手机，但对公私混用的设备就捉襟见肘了；员工们顾虑个人隐私，而这种方法也将IT部门置于因处理个人应用和数据而不受欢迎的处境。此外，MobileIron的战略副总裁Ojas Rege认为，设备管理关注错了攻击向量。

Rege说，“架构驱动攻击向量。”

Rege认为，在Windows桌面世界，攻击主要利用开放文件系统以及内核态的应用程序。但iOS、Windows Phone以及（在较小程度上）安卓通过严格的用户空间分离以及应用沙箱技术消除了这些向量。而事实上移动设备面临的威胁包括越狱、间谍软件、无线辐射以及用户行为—需要不同方法的架构差异。

因此EMM转移了IT的关注重点，从保护设备转移到保护数据以及控制企业数据如何在应用间流动，从而保障数据处于静止和移动状态的安全。这种EMM方法不仅能更好处理移动威胁，也使得IT部门可以只管理每部智能手机或平板电脑的“业务部分”。

应用EMM来加强安全策略

根据Gartner评估标准，EMM产品必须包括如下功能：硬件和应用清单，OS配置管理，移动应用部署、更新、移除以及配置和策略管理，远程故障诊断和行动，还有移动内容管理。许多这些功能由MDM产品开创，并继续作为EMM的竞争筹码。MDM产品发展成为EMM套件的EMM引爆点附带有内容和应用管理功能，使得IT部门有能力提供、监测和加强更细粒度的安全策略。

EMM转移了IT的关注重点，由保护设备到保护数据以及控制企业数据如何在应用间流动，以保障数据处于静止和移动状态的安全。

AirWatch by VMware（VMware于2014年1月收购了MDM提供商AirWatch）的首席方案工程师Blake Brannon认为，围绕移动安全的需求通常会引发客户采用EMM。他说：“采用BYOD的厂商、承包商以及员工—所有这些用例分享围绕容器化的更多控制需求，特别是应用和数据。例如，许多设备都支持加密，但某些设备处理得比其他的更妥善。在某些情况下，你不想强制所有BYOD设备加密。而其他情况下，也许会要求FIPS级别的加密，或者仅仅是比原生更强壮的加密。容器这种方案允许更细粒度的加密策略，胜过任何给定设备在硬件级别进行支持的方案。”

Fiberlink（IBM的一个公司）的高级产品经理John Nielsen，描述了应用上的类似趋势。“在BYOD设备上，不仅仅要确保静止内容的安全性，还需要具备擦除（仅企业）内容以及控制容器间内容流的能力。EMM能设置应用白名单，确定数据被允许流向何处，包括第三方应用、存储以及云。EMM提供的策略控制可以简单如阻断拷贝/粘贴或截屏或打印敏感内容，也可以更高级，如一个文件只被允许在企业版Box.net中打开而不能在iCloud或者Google Drive中打开。”

Rege认为，善意的用户持续唾手可得。“用户收到一封邮件，并打开DropBox中的一份附件—那么现在你有公司数据置于不受控制的公有云中了。该威胁存在于传统设备中，但对于移动设备更为严重，这是因为云是如此紧密地集成于移动设备中。由于数据在设备间移动，[EMM]必须确保数据始终是加密的。”这就是为什么移动应用管理（MAM）在EMM中扮演如此重要的角色。

例如，当有人在智能手机或平板电脑上运行商业应用程序时，企业必须识别该应用的用户（也许使用企业认证或者单点登录），也必须对应用执行进行授权（基于设备完整性甚至还有地理位置）。必须正确安装与配置应用自身，必须将应用相关的数据加密到要求级别，而且还必须应用数据防泄漏机制。后者也许包括限制应用至应用的数据流，调用受信任的应用程序（“开放”策略）或者强制数据通过安全的会话与网关。如果设备丢失或者员工出国，就破坏了应用完整性，必须隔离或被擦除这个应用以缓解业务风险，且不影响设备的其他应用或工作人员的个人数据与应用。

企业如何使用EMM应对BYOD业务风险

EMM具备所有这些能力，针对个人设备中的安全容器提供全生命周期管理。然而，EMM套件趋于包含相当广泛的能力，其中很多是单独定价模块。安全团队必须调整他们的需求与MIS部门一致，确保任何EMM产品采购都将成本最优地满足这两个群体的目标。为此，让我们考虑EMM采用的当前状态。

在过去一年，根据Nielsen的看法，有更多Fiberlink的客户已在寻求容器化的解决方案。“但对于容器化的主要需求还是围绕电子邮件，这仍然是移动设备上最重要的效率工具。”Nielsen说，“安全的邮件比以往任何时候都更受欢迎，但更多客户正朝着应用的容器化迁移，确保第三方应用可以分享我们容器化的环境并启用带有SDK的私有应用。”

换句话说，高效、易用的容器不能是孤岛；它们必须允许安全的、且基于策略的数据在可信应用间流动，由这些可信应用共同在设备上创建安全移动的工作环境。

Brannon注意到，除了安全邮件和安全内容外， 一些AirWatch的客户还需要安全浏览器应用。“每个企业都有某种形式的企业内网—也许是一个SharePoint站点或者帮助中心。我们的安全浏览器使得员工无需连接VPN即能安全访问内网；也使得IT部门能确保数据安全地移动以及数据防泄露。”他这样说。

Rege说，更多的MobileIron客户正基于用户身份以及设备状态来决定应提供给每个用户和设备的访问级别。“有一些技术在移动世界变得重要得多—PKI和NAC是其中两项这样的技术。”这就是为什么在选择一个EMM套件时，EMM与企业身份管理与网络基础设施集成的能力会如此重要，从而汇集分别管理的安全策略并提供更为健壮的移动威胁防护方案与更为无缝的用户体验。

例如，一个企业的无线局域网（WLAN）可以自动检测一部新的个人设备，将它重定向到EMM系统进行注册、证书安装以及容器部署。此后，WLAN 在授权这部设备网络访问前，会咨询 EMM以确认其完整性；EMM还扮演隔离不合规设备的角色。

在选择EMM时思考这些场景并考虑自动化，会有助于企业不仅仅是容忍而是很大程度完全接受个人设备，这通过使用更细粒度的安全策略、功能更丰富的管理套件以及更佳的一体化来实现安全移动。