在移動(dòng)互聯(lián)的浪潮中，手機(jī)移動(dòng)辦公憑借其便捷性成為時(shí)代的潮流和趨勢(shì)，但是在實(shí)施過(guò)程中卻面臨諸多信息安全問(wèn)題，讓很多企業(yè)望而卻步。與PC辦公相比，其安全威脅主要來(lái)自以下幾個(gè)方面：

　　首先是網(wǎng)絡(luò)安全問(wèn)題；移動(dòng)設(shè)施連接的網(wǎng)絡(luò)不像PC設(shè)備相對(duì)固定，其連接網(wǎng)絡(luò)卻是五花八門(mén)，可能是移動(dòng)運(yùn)營(yíng)商的3G、4G網(wǎng)絡(luò)，也可能是公司、家里、公共場(chǎng)合的WIFI網(wǎng)絡(luò)，還可能是一些釣魚(yú)WIFI、偽基站網(wǎng)絡(luò)，這其中危機(jī)四伏，黑客們可以輕易的通過(guò)DNS域名解析或ARP欺騙等手段輕易地獲取涉密信息。近幾年公安部偵破的網(wǎng)絡(luò)詐騙案，詐騙團(tuán)伙大都是通過(guò)網(wǎng)絡(luò)得手的。

　　其次是用戶手機(jī)丟失、更換、被偷窺導(dǎo)致的泄密；

　　再次是用戶主動(dòng)泄密。移動(dòng)設(shè)備用戶隨身攜帶，想竊取其中的文件，公司無(wú)法控制。

　　最后是后門(mén)軟件，這一點(diǎn)PC也存在，但是手機(jī)不像PC，公司可以通過(guò)網(wǎng)絡(luò)安全設(shè)備、殺毒軟件等手段對(duì)PC上的惡意軟件予以限制、清除，對(duì)于手機(jī)這個(gè)威脅就嚴(yán)重多了。

　　面對(duì)上述移動(dòng)信息安全隱患，目前應(yīng)對(duì)的技術(shù)解決方案也有很多，主要有：MDM(Mobile Device Manager)方案、虛擬移動(dòng)設(shè)施(VMI)等，作為企業(yè)信息安全管理的技術(shù)人員，可以通過(guò)了解產(chǎn)品的安全防范原理來(lái)選擇合適的產(chǎn)品。下面我們將介紹各種解決方案的防范原理和代表產(chǎn)品。

　　MDM的全稱是移動(dòng)設(shè)備管理，通常還包含MAM(移動(dòng)應(yīng)用管理)和MCM(移動(dòng)內(nèi)容管理)。該方案的思想是通過(guò)管控移動(dòng)設(shè)備、以及設(shè)備上的應(yīng)用和內(nèi)容的方式來(lái)進(jìn)行信息安全管控。

　　在實(shí)現(xiàn)上，就是在移動(dòng)終端(手機(jī)、平板)上安裝一個(gè)超級(jí)“木馬”的客戶端程序，通過(guò)該客戶端程序，管理員可以在管理后臺(tái)對(duì)用戶的手機(jī)進(jìn)行控制，比如：遠(yuǎn)程鎖屏、修改手機(jī)密碼、手機(jī)回復(fù)出廠設(shè)置、收集通話記錄、短信、位置信息、應(yīng)用遠(yuǎn)程安裝卸載以及外設(shè)(USB、藍(lán)牙、照相機(jī)、網(wǎng)絡(luò)等)開(kāi)啟禁用等。其實(shí)現(xiàn)原理實(shí)際是管理員在管理后臺(tái)發(fā)送控制指令到設(shè)備終端的MDM客戶端程序，MDM客戶端程序再通過(guò)設(shè)備操作系統(tǒng)的MDM編程接口控制終端設(shè)備。該方案是從黑莓手機(jī)逐步發(fā)展演變而來(lái)，相對(duì)比較成熟，已在廣泛應(yīng)用。該方案還存在以下不足：

　　對(duì)設(shè)備依賴較大，兼容性不足。很多功能在IOS上無(wú)法實(shí)現(xiàn)；在一些深度定制的Android手機(jī)上，很多功能也無(wú)法實(shí)現(xiàn)。經(jīng)常會(huì)出現(xiàn)有的控制功能在有的手機(jī)上行，有的手機(jī)上不行。

　　侵犯用戶隱私。MDM的遠(yuǎn)程控制功能非常強(qiáng)大，管理員在后臺(tái)可做的遠(yuǎn)程操作遠(yuǎn)超過(guò)用戶拿著手機(jī)可做的直接操作。相當(dāng)于用戶手機(jī)上的個(gè)人隱私完全暴露給公司管理員。在BYOD的場(chǎng)景項(xiàng)目推動(dòng)會(huì)有阻力。

　　存在較大的安全漏洞，如員工想竊取公司機(jī)密MDM很難防范，在Android手機(jī)上MDM的實(shí)現(xiàn)依賴于Android操作系統(tǒng)，Android手機(jī)的廠商眾多，從業(yè)者良莠不齊。

　　用戶很容易通過(guò)修改Android操作系統(tǒng)代碼讓MDM徹底失效，重新刷機(jī)安裝做過(guò)手腳的Android系統(tǒng)讓MDM徹底失效。

　　目前比較典型的MDM方案主要包含：AirWatch(WMWare收購(gòu))、思可信的MobileIron、思捷的XenMobile、華為的Anyoffice、國(guó)信靈通的NQSky EMM、天暢的ZIYA EMM。這些方案在組織形式和細(xì)節(jié)功能上有所差異，但整體功能和結(jié)構(gòu)上大致相同。主要功能集中在移動(dòng)設(shè)備的生命周期管理和安全管理。

　　VMI(Virtual mobile infrastructure)就是虛擬移動(dòng)設(shè)施，通俗講就是Android遠(yuǎn)程桌面，是一個(gè)新生事物，方案類似PC云桌面辦公，即在公司的內(nèi)網(wǎng)服務(wù)器上部署大量運(yùn)行Android系統(tǒng)的虛擬機(jī)，用戶通過(guò)自己的移動(dòng)設(shè)備遠(yuǎn)程登錄Android系統(tǒng)，象Windows遠(yuǎn)程桌面一樣操作遠(yuǎn)程的虛擬Android手機(jī)。按照該方案，公司的各類移動(dòng)辦公軟件只需在內(nèi)網(wǎng)Android虛擬機(jī)中安裝運(yùn)行，無(wú)需在用戶手機(jī)中安裝。用戶手機(jī)上只需安裝一個(gè)遠(yuǎn)程Android系統(tǒng)的登錄軟件，該軟件以圖片的形式展示遠(yuǎn)程Android系統(tǒng)操作界面。目前中興通訊的子公司中興網(wǎng)信推出了一款叫做“云盾”的Android遠(yuǎn)程桌面產(chǎn)品，該產(chǎn)品和MDM相比有以下優(yōu)勢(shì)：

　　1、安全性高，應(yīng)用運(yùn)行在云端、手機(jī)端只是展示畫(huà)面，網(wǎng)絡(luò)傳輸?shù)囊仓皇且恍﹫D元繪制命令，因此在網(wǎng)絡(luò)傳輸和移動(dòng)終端基本不涉及業(yè)務(wù)數(shù)據(jù)，安全性非常高。也不存在通過(guò)對(duì)Android操作系統(tǒng)做文章竊取數(shù)據(jù)的問(wèn)題。

　　3、設(shè)備兼容性、用戶個(gè)人隱私保護(hù)方面優(yōu)勢(shì)明顯，無(wú)需對(duì)用戶的移動(dòng)設(shè)備進(jìn)行嚴(yán)格管控，對(duì)移動(dòng)的操作系統(tǒng)也沒(méi)有特別的依賴，完全兼容主流的Android、IOS設(shè)備。

　　3、可以減少企業(yè)后續(xù)移動(dòng)信息化成本。企業(yè)上了VMI后，所有移動(dòng)應(yīng)用都放在云端，因此企業(yè)的移動(dòng)應(yīng)用只要做Android客戶端即可，無(wú)需再做IOS客戶端。另外后續(xù)的移動(dòng)應(yīng)用也無(wú)需再考慮安全問(wèn)題，軟件的發(fā)布、更新等也更方便，直接在云盾控制。研發(fā)成本、后期管理成本都可大大降低。

　　VMI基本上解決了MDM方案的不足，但是其本身也還存在以下不足：

　　1、 對(duì)網(wǎng)絡(luò)帶寬消耗較高，目前幾款VMI產(chǎn)品的帶寬占用差不多在300bps左右，實(shí)際的流量消耗與所做的操作有關(guān)，會(huì)有偏差，在不操作遠(yuǎn)程界面時(shí)不會(huì)產(chǎn)生流量。從實(shí)際體驗(yàn)來(lái)看，在3G網(wǎng)絡(luò)環(huán)境信號(hào)不大穩(wěn)定的情況下，界面操作會(huì)有卡頓，但是在4G網(wǎng)絡(luò)、正常WIFI網(wǎng)絡(luò)下，與操作本地手機(jī)基本無(wú)異，用戶體驗(yàn)完全可以接受。這個(gè)網(wǎng)絡(luò)要求也許對(duì)于企業(yè)的管理層不是問(wèn)題，但對(duì)于普通員工要求還是比較高的。

　　2、 虛擬機(jī)端的服務(wù)器資源消耗較大，基本上一個(gè)虛擬機(jī)要分擔(dān)100元左右的服務(wù)器硬件成本。

　　VMI的代表產(chǎn)品除了中興網(wǎng)信的云盾外，還有國(guó)外的Hypori、Nubo 、remotium、sierraware等，這項(xiàng)技術(shù)在國(guó)外，以及在國(guó)內(nèi)的政府、金融、司法、大企業(yè)等領(lǐng)域已有大量應(yīng)用。

　　綜上所述，MDM相對(duì)成熟，成本低廉，但是存在安全漏洞、侵犯用戶隱私、設(shè)備兼容性差等缺陷；VMI相對(duì)MDM優(yōu)勢(shì)明顯，代表的是技術(shù)發(fā)展趨勢(shì)，但現(xiàn)段對(duì)網(wǎng)絡(luò)要求高、實(shí)施成本高。對(duì)于信息安全要求高的企業(yè)可以考慮對(duì)管理干部或?qū)π畔�安全敏感的員工實(shí)施VMI。對(duì)于廣大普通員工實(shí)施MDM，這樣既能做到安全合規(guī)又能尊重用戶隱私，也能兼顧實(shí)施成本。