移动设备安全管理基础指南

什么是移动安全管理 （MSM）

移动安全管理是指为保护企业中的移动设备和企业数据而采取的行动。这些操作可以进一步被归类为反应性的或主动的，基于该操作是在数据和设备被破坏之前还是之后执行的。除了管理移动设备外，大多数MDM解决方案还提供移动设备安全性功能。

移动安全管理可确保组织内的所有移动端点都受到全面保护，免受安全威胁。这涉及对组织员工使用的智能手机、平板电脑和笔记本电脑实施安全策略、配置和限制，从而在公司数据处于静态、使用和传输过程中有效保护公司数据。

为什么移动设备安全管理很重要

传统上，员工在本地工作站（如台式机）上完成任务，不需要公司数据离开组织的安全内部网络。现在，远程工作已成为新常态，导致移动设备在工作中的使用激增。分布式员工通过移动设备和互联网访问公司资源，导致业务敏感数据离开组织的内部网络。

这增加了企业数据被网络犯罪分子泄露、窃取或操纵的机会，这些犯罪分子希望利用任何安全漏洞为自己谋取利益。一次成功的数据泄露可能会使组织不符合国际隐私和安全标准，从而导致巨额罚款和对其声誉的不可弥补的损害。因此，保护这些分布式移动端点已成为 IT 管理员最重要的任务。

移动安全管理 （MSM） 工具应满足哪些关键要求

在评估移动安全管理工具时，请确保它保护企业数据的所有三种状态：

• 静态数据：通过将设备上的公司数据与用户的个人数据分开、实施加密标准并对数据共享应用限制，确保设备上的公司数据受到很好的保护，免受数据泄露和安全威胁的影响。
• 使用中的数据：通过受信任的应用促进对公司数据和附件的安全访问，并实施数据丢失防护 （DLP） 策略。
• 传输中的数据：启用设备和公司网络之间的安全通信。

组织如何从移动安全管理 （MSM） 中受益

在工作设备上，全面的移动安全管理可以确保数据安全的三个主要方面：机密性、完整性和可用性。

• 保密性：应用安全限制，阻止恶意应用和内容，并创建安全的虚拟容器来托管公司数据。在设备上实施 DLP 策略，以确保未经授权的用户无法访问设备中的数据，从而防止数据泄露。
• 正直：强制使用安全协议和数据加密标准，以维护传输中公司数据的完整性。
• 可用性：允许按时与设备共享所需的企业应用和内容，并确保用户的安全访问。

移动设备安全管理工具如何工作

移动安全管理软件允许 IT 管理员强制执行：

• 积极措施：通过移动安全管理，管理员可以通过强制密码策略来确保设备准备好安全地处理公司数据，从而有效地在设备上构建第一道防线。管理员还可以强制实施安全通信协议、控制应用权限、阻止对恶意应用和内容的访问，以及防止公司数据自动备份到云服务或与设备上的其他应用共享。
• 反应措施：移动安全管理工具可以检测不合规的设备并阻止它们访问公司网络。管理员可以计划、自动执行或延迟设备操作系统更新，并且可以在设备遇到技术问题时远程排除故障。如果设备丢失、被盗或从特定地理边界移除，移动设备安全管理软件可以跟踪它并擦除其上的公司数据。

如何确保员工自有移动设备上公司数据的安全性

在 BYOD 环境中，通过容器化将公司工作区与用户拥有的设备上的用户个人数据分开，将确保公司数据的安全，同时确保用户个人数据的隐私。所有公司数据和应用都将托管在管理员可以监视、管理和保护的设备上的虚拟容器中。如果员工离开组织或设备丢失或被盗，也可以专门擦除此容器，从而确保对业务敏感信息保密。

移动安全管理 （MSM） 工具的全面保护

有保障的全方位数据保护

• 静态数据：实施限制以确保存储在设备上的数据安全。
• 使用中的数据：使用数据丢失防护策略围绕公司数据创建虚拟围栏。
• 传输中的数据：控制和加密来自设备的网络流量。

在不影响工作效率的情况下保护设备

• 强制实施安全身份验证：配置设备和应用登录策略，例如密码、生物识别和企业单点登录。
• 减少攻击面：阻止不可信的网站、旁加载应用、USB 以及与 Wi-Fi、蓝牙和 VPN 的连接，以确保设备安全。
• 锁定设备：控制用户可以访问哪些应用和设备功能。
• 控制操作系统更新：在移动设备上自动执行、计划或延迟操作系统更新，以满足组织的需求。
• 管理应用权限：为应用商店和内部应用配置应用权限，并在必要时授予用户更改这些权限的灵活性。
• 应用数据丢失防护策略：通过限制数据共享和备份来保护公司数据。还可以执行远程操作，例如在设备丢失时锁定、定位和擦除。
• 提供对业务数据的条件访问：确保只有合规的设备才能访问 Exchange 电子邮件和工作区应用。
• 实现基于位置的合规性：执行补救措施，以便在设备离开批准的地理围栏时保护数据。
• 为受感染的设备建立故障安全：限制越狱或获得 root 权限的设备访问公司数据。

Mobile Device Manager Plus 保护移动安全

Mobile Device Manager Plus提供各种积极和被动的措施，以确保企业数据，设备，应用程序和电子邮件。让我们来看看Mobile Device Manager Plus提供的各种移动安全管理功能：

• 数据安全性
• 设备保护
• 应用程序安全
• 保护公司网络接达
• 安全电子邮件访问

数据安全性

保护公司数据是每个公司的主要优先事项。如果公司已经接受了BYOD，确保用户隐私也是至关重要的。

• 在设备上创建在设备上创建，以确保个人应用程序无法访问公司数据。
• 强制对移动设备上的数据进行加密，以保护静止、使用和运输中的数据。
• 执行更强大的密码来保护数据免受第三方入侵。
• 启用地理防护，以确保在特定设备离开预定义的地域时清除企业数据。
• 通过启用设备上的丢失模式来保护丢失或被盗的设备，并执行完整的或公司清除操作，以保护公司数据。

设备保护

保护数据始于管理访问公司数据的移动设备。管理员还可以自动化设备的入职，并通过以下方式确保其安全：

• 检测并删除访问公司数据的任何越狱或根设备。
• 自动更新操作系统，确保设备与所有安全补丁一起更新。
• 监视设备位置以及设备所经过的所有位置的历史记录。
• 远程控制或查看设备屏幕，以确保所有设备问题立即得到解决。
• 执行远程命令以保护丢失或被盗的设备。

应用程序安全

移动应用是设备上唯一可以访问公司设备的媒介，管理员应该能够使用这些应用程序提供对公司数据的管理访问。

• 黑名单恶意应用程序或应用程序不符合您公司的合规标准。
• 远程配置应用程序，并只向应用程序授予基本权限。
• 将您的设备锁定在一个或一组特定的应用程序上单应用锁定/信息亭模式。您还可以在Windows 10设备上启用多应用程序信息亭模式。
• 自动更新应用程序，以确保应用程序始终运行最新版本。
• 测试和部署企业应用程序，以保护生产环境免受严重错误的影响。

网络访问安全

通过限制未知设备访问您的公司网络来保护公司数据。

• 允许登记的设备只连接到授权的Wi-Fi网络。
• 使用简单证书登记协议（SCEP）创建和分发特定于设备的证书。
• 为企业资源和应用程序配置一个VPN。
• 防止用户访问未经授权的网站，无论是黑名单或白名单网页内容。

安全电子邮件访问

没有电子邮件，企业沟通几乎是不可能的。然而，通过移动设备安全地管理电子邮件对IT管理员来说是一个挑战。通过以下方式确保公司电子邮件安全：

• 启用对公司交易所账户的有条件访问。
• 允许用户访问公司电子邮件附件仅在ME MDM应用程序中使用受信任的应用程序或文档查看器。
• 为用户预先配置企业交易所账户。
• 确保与S/MIME的安全通信。

Mobile Device Manager Plus是一个全面的移动设备管理解决方案，它提供了增强公司中移动设备安全性的综合功能。旨在通过提高员工工作效率，同时不影响企业安全性，增强企业员工的供移动性，它使您可以管理智能手机，平板电脑，笔记本电脑等移动设备以及多种操作系统，例如Android，iOS，iPadOS，tvOS，macOS，Windows和Chrome OS。