移动设备安全管理，保护企业数据安全

移动安全管理（MSM）是一个术语，指的是为保护移动设备及其包含的数据而采取的措施。MSM 可以是主动的，也可以是被动的，具体取决于操作是在设备或数据泄露之前还是之后执行的。主动行动包括使用密码、加密和容器化来保护数据和设备免受数据泄露的影响。反应性操作是在设备丢失或被盗或发生数据泄露后执行的操作。这可能包括远程锁定和定位设备，或擦除设备上存在的数据。

移动安全管理可确保组织内的所有移动终端都受到全面保护，免受安全威胁。这涉及对组织员工使用的手机、平板电脑和笔记本电脑等移动设备实施安全策略、配置和限制，从而在公司数据处于静止、使用和传输过程中有效保护数据。

为什么移动安全管理在组织中很重要

随着移动设备在组织中的使用不断增长，员工通过其移动设备和互联网访问公司资源，导致业务敏感数据离开组织的内部网络，这增加了企业数据被网络犯罪分子泄露、窃取或操纵的机会，网络犯罪分子正在寻找新的方法来利用企业数据，不安全的移动设备对攻击者有利，因此组织必须加倍努力来保护它们。

以下是使公司数据面临风险的其他一些操作：

• 从未经验证的来源下载应用：添加到 Apple App Store 或 Google Play Store 的应用在可供下载之前会进行恶意软件等威胁的检查，这在一定程度上向用户保证了这些应用程序可以安全使用。但是，对于从其他未经验证的来源下载的应用程序，情况并非如此，这增加了数据泄露的可能性。
• 不查看应用权限：大多数应用在首次使用某些设备功能（如相机、位置信息和联系人）时会请求访问这些功能的权限。其中一些应用程序权限是正常运行所必需的，而另一些则仅用于改善用户体验。许多用户同意所有权限，而没有检查为什么特定应用程序需要访问他们的图库或联系人。
• 始终保持 Wi-Fi 和蓝牙打开状态：许多用户始终保持 Wi-Fi 和蓝牙打开状态，并启用自动连接，以便于使用。这使攻击者有机会连接到设备并访问存储的个人和公司数据。
• 运行过时的操作系统：每个操作系统更新都会针对在以前的操作系统中检测到的漏洞引入安全修复和补丁。 运行过时的操作系统会增加使用检测到的漏洞进行网络攻击的可能性。
• 访问公司数据时不使用虚拟专用网络（VPN）：有时连接到不安全的 Wi-Fi 网络以访问个人数据是不可避免的，在这种情况下，不建议访问公司数据。如果用户在不安全的网络上访问公司数据时连接到 VPN，则可以降低网络攻击的可能性。
• 越狱或 root 设备：移动开发人员有一定的安全限制来保护设备和数据，但为了获得对设备的额外控制，许多用户越狱或root设备。这会覆盖安全措施，并使设备和数据暴露在网络威胁之下。

组织如何保护其移动设备

保护设备的最简单方法是对员工进行教育，但在没有额外安全层的情况下，将敏感的公司数据交给员工并不总是最好的。大多数移动设备管理 （MDM） 解决方案都提供了有助于保护公司数据和设备的完整功能列表。

移动安全管理软件允许 IT 管理员强制执行以下操作，从而帮助保护企业移动设备免受安全威胁：

• 积极措施：通过移动安全管理，管理员可以通过强制执行密码策略来确保设备已准备好安全地处理公司数据，从而有效地在设备上构建第一道防线。管理员还可以强制执行安全通信协议、控制应用权限、阻止对恶意应用和内容的访问，并防止公司数据自动备份到云服务或与设备上的其他应用共享。
• 反应措施：移动安全管理工具可以检测不合规的设备，并阻止它们访问公司网络。管理员可以计划、自动执行或延迟设备操作系统更新，并且可以在遇到技术问题时远程排除设备故障。如果设备丢失、被盗或从特定地理边界移走，移动设备安全管理软件可以跟踪它并擦除其上的公司数据。

如何确保员工拥有的移动设备上的公司数据安全

在 BYOD 环境中，通过容器化将企业工作空间与用户自有设备上的用户个人数据分离，将确保企业数据安全，同时确保用户个人数据的隐私。所有公司数据和应用都将托管在设备上的虚拟容器中，管理员可以监视、管理和保护该容器。如果员工离开组织，或者设备丢失或被盗，也可以专门擦除此容器，从而确保对业务敏感信息保密。

移动安全管理（MSM）工具帮助保护企业移动设备，Mobile Device Manager Plus提供各种主动和被动措施，通过以下方式保护公司数据，设备，应用程序和电子邮件：

• 数据安全
• 数据保护
• 应用程序安全
• 网络安全
• 电子邮件安全

数据安全

• 在设备上创建逻辑容器，以确保个人应用程序无法访问企业数据。
• 强制对移动设备上的数据进行加密，以保护静止、使用和传输中的数据。
• 实施更强的密码保护数据免受第三方入侵。
• 启用地理围栏以确保在特定设备离开预定义的地理位置时擦除公司数据。
• 通过启用设备上的丢失模式并执行完整或公司擦除来保护公司数据，从而保护丢失或被盗的设备。

数据保护

• 自动检测并删除任何越狱或已取得 root 权限的设备访问公司数据。
• 自动执行操作系统更新并确保使用所有安全补丁更新设备。
• 监视设备位置以及设备遍历的所有位置的历史记录。
• 远程控制或查看设备屏幕以确保所有设备问题立即得到解决。
• 执行远程命令保护丢失或被盗的设备。

应用程序安全

• 将恶意应用程序或不符合组织合规标准的应用程序列入黑名单。
• 远程配置应用程序，只授予必要的权限给应用程序。
• 使用单一应用程序锁定/Kiosk模式将设备锁定到单个或特定的一组应用程序，也可以在Windows 10设备上启用多应用程序Kiosk模式。
• 自动更新应用程序，以确保应用程序始终运行最新版本。
• 测试和部署企业应用程序，以保护您的生产环境免受关键错误的影响。

网络安全

• 允许已注册的设备仅连接到授权的 Wi-Fi 网络。
• 使用创建和分发特定于设备的证书简单证书注册协议（SCEP）。
• 配置 VPN企业资源和应用程序。
• 防止用户通过以下任一方式访问未经授权的网站将 Web 内容列入黑名单或允许名单。

电子邮件安全

• 使条件访问到公司 Exchange 帐户。
• 允许用户访问公司电子邮件附件仅使用ME MDM应用程序中的受信任应用程序或文档查看器。
• 为用户预配置公司 Exchange 帐户。
• 确保与 S/MIME 的安全通信。

MobileDevice Manager Plus 使管理员能够在运行iOS、Android、Windows、macOS和Chrome OS的设备上执行安全操作等。