移動設備管理(MDM):起航
當企業員工將自己的智能手機、平板電腦和其它移動電子設備帶入工作環境參與企業業務流程中時,這些移動設備特有的靈活性和自由度使得企業員工可以在任何時間任何地點進行工作,但對企業來說,存儲在這些移動設備上的數據也將變得更加難以維護和管控。而移動設備更新換代的趨勢是永無止境的,導致企業在進行移動設備管理時也必須盡量處于創新的前沿。
Netcentric Strategies LLC 公司首席分析師Kevin Benedict認為:“企業必須現在就為未來將要出現的各種移動設備的管理工作做好準備,并不是說現在建立的移動設備管理架構能夠適應任何移動設備,而是說這個架構應該可以隨時插入新的模塊來滿足未來的設備管理需求。”
不過,要實現這個目標并不容易。其中有一種方法可以讓移動設備管理框架實施起來更加容易,或者說是管理上具有一致性,即通過移動設備管理(MDM)策略解決與移動設備相關的問題。
面對移動設備帶來的各種挑戰,MDM能夠幫助企業解決的問題包括:支持哪些類型的移動設備;是否允許員工選擇并攜帶他們的移動設備參與辦公;如何處理移動設備的安全問題,比如當移動設備丟失時,是否有能力進行遠程數據擦除等。
建立企業MDM策略的小貼士
在如何開始建立MDM策略的問題上,那些已經在企業內部完成或即將完成MDM項目的IT項目負責人給我們提供了以下建議:
· 確定員工將使用什么設備辦公,不論是公司統一配發的設備還是員工自己攜帶的設備。
· 確保上一步所確定的設備都能通過某種技術手段達到企業需求的安全等級。
· 建立和部署高安全性的設備使用策略,并確保這個策略能夠順利傳達給員工個人。確保移動設備擁有遠程強制擦除數據功能,并確保當設備遭到入侵或多次嘗試輸入密碼時,能夠自動發送報警信息到企業IT管理員處。
· 要求強制使用健壯的密碼規則,確保員工的密碼不會被盜賊或黑客輕易猜出。
· 不論企業是何種行業,檢視你所建立的MDM條款是否符合當地的法律法規,以及是否與業務涉及地區或國家的法規政策相抵觸。
· 想員工解釋,哪些類型的應用是可以被安裝到移動設備上的。
· 當實施新的MDM策略時,做好被部分員工挑刺兒的準備。確保通過教育、培訓,甚至給予員工獎勵等措施來順利推行MDM策略。
· 別忘了MDM項目永遠沒有結束的時候,隨著員工使用的新設備或新移動技術出現,你都要及時調整MDM策略。
- Todd R. Weiss
#p#
關于設備的策略
建立MDM策略的第一步是確定哪些設備將會被員工帶入工作場合,以及這些設備是公司配發的還是員工私人擁有的。
Edelman是一家位于紐約的公關公司,該公司的信息安全副總裁John Iatonna告訴我,公司的3800多名員工都在使用黑莓手機,當有特殊工作項目時,才會使用其它移動設備。這些特殊的情況是由業務經理個人決定的,涉及的移動設備包括iPhones或iPads ,但是RIM 的黑莓設備是Edelman公司標準的移動辦公設備。
Edelman公司偏愛使用黑莓設備的原因有兩條:第一,借由與企業級電話運營商的合作關系,使得公司采購擁有更強的議價能力,同時能夠比使用其它設備擁有更強的管控能力和安全水平。Iatonna表示:“跟蹤和定位黑莓設備相比于其它智能手機,要更容易。雖然我們也有員工使用蘋果和安卓設備,但是這些設備并不是為企業移動辦公而設計的。”
Iatonna還說:“黑莓企業服務器(BES)相對于其他智能手機的MDM方案商來說,更加強大和成熟。盡管RIM與其它手機廠商相比,市場份額已經大不如前,但是他的產品和企業級的安全性能仍然是Edelman最佳的選擇。”
公關公司 Edelman信息安全副總裁John Iatonna表示,之所以選擇黑莓系統,有兩個主要原因。第一是通過公司的裙帶關系獲得更好的采購價格,其次是可以更好的對移動設備進行管理和安全保障。
位于德國的軟件廠商SAP AG公司全球CIO Oliver Bussmann表示,他們從2010年開始就在實施移動辦公項目。目前SAP公司有14000臺蘋果iPhone和iPad,另外還有500多員工使用自己的iPhone或iPad,所有這些移動辦公用戶,根據項目需要,不論在哪個國家工作,都必須簽署SAP的使用協議。公司首先使用移動設備的員工是開發部門的員工,之后是執行部門,接下來就是全球的銷售團隊。
之所以采用這個順序,Bussman解釋說:“我們首先讓研發部門開發并在部門內部進行測試,接下來將這套方案交給執行部門使用,最后推廣到全球的銷售部門和其它部門資源。”
從2012年1月起,SAP將移動設備管理的范圍擴展到了新購置的500余部三星Galaxy SII 智能手機和 Galaxy Tab 10.1平板電腦上,這些設備基本都配發給了對此設備有需要的業務人員手中。
Bussmann說:“我們的策略考慮到了設備的未知性,IT部門必須掌握企業策略的方向,如果CIO無法接受移動辦公的趨勢,那么業務部門的員工在使用移動設備時,將繞過IT部門的管理,這對于企業來說絕對不是好事。”
Carfax公司在移動設備管理方面采用的是一種混合的方式。有些員工使用企業配發的iPhone和iPad,其它員工則使用自己的安卓設備。公司CIO Phil Matthews說:“我們允許其他員工采用BYOD方式工作,這可以讓他們工作的更順利。”
該公司400多外勤員工所使用的設備都是公司配發或租借給員工的。Phil 說:“我們希望員工在使用移動設備時能有一個持續性的使用體驗,因此我們為員工配備了iPad和iPhone,當然還有一些員工更偏愛安卓設備”,所以公司也允許這也員工使用自己的安卓設備。以前員工都攜帶筆記本、打印機和黑莓手機,而現在攜帶iPad和iPhone似的生產力有所提升,他解釋說:“我們的銷售代表使用iPad和iPhone更順手,而且我們提供的移動應用使得這些外勤人員與內勤人員的協作變得比以前更順暢了。”
Jacobs Engineering Group 公司信息技術高級副總裁Cora Carmody表示,她們公司是從另一個不同的視角來選擇移動設備的,即費用管理。由于經濟不景氣帶來的利潤降低, Jacobs一直在尋找降低MDM管理成本的方法,直到為45000名員工配備移動設備的成本達到她所預期的低位。
該公司曾經收購過一些小公司,隨之加入的新員工所使用的移動設備品牌和型號雜亂。因此企業的IT部門決定從這個問題入手找到更好的MDM方案。
這個問題的答案,按照Jacobs的說法叫做“無線剝奪”即企業為員工購買移動設備,但是需要員工自己支付每月的話費賬單。Carmody解釋說,出差的員工每月都可以獲得電話卡補助,另外如果需要,還可以有額外的補助。她說,通過規范移動設備策略,Jacobs公司每年可以節省1500萬美元經費。
同時Carmody也承認,在策略實施初期,確實有不少抱怨的聲音。但是公司與移動運營商進行了談判,為員工爭取到了更好的服務套餐,因此,由于費用合適,員工的牢騷在一段時間過后就逐漸消失了。
她說:“一開始你肯定會預見到一些抱怨和抵制,但是你也會高興的看到,很多員工能夠意識到,他們只是換了一個不同類型的移動服務套餐而已,并且他們很快就能接受這種狀況。”
Jacobs公司通過與移動設備廠商和運營商的協商,獲得了滿意的折扣金額,使得員工在出差和日常辦公中能夠順利的使用企業所規定的移動設備。Carmody補充說:“最開始,員工會帶兩個移動設備來上班,一個是Jacobs規定辦公所使用的設備,另一個是他們個人使用的設備。要使它們合二為一,移動設備需要足夠簡單易用。”
Jacobs Engineering Group公司高級IT副總裁Cora Carmody表示,Jacobs為員工購買移動設備,但是要求員工自行支付每月的移動數據費用。#p#
確保企業數據安全
Edelman 公司的Iatonna表示,確保數據安全首先需要員工使用足夠強壯的密碼。這意味著所有智能手機和平板電腦必須使用復雜的密碼設置,包括足夠的密碼位數和數字字母混排方式,以及數據加密。當輸入密碼錯誤次數達到一定上限,移動設備會自動復位并刪除內部保存的所有數據。不過Iatonna說這種情況還沒有發生過。
另外Jacobs公司的Carmody給出了另一條建議:事先跟移動設備使用者確認,他們的設備都能同時滿足公司規定的安全級別以及公司的業務需求。她說:“在確保公司數據安全的情況下,員工可以用他們的移動設備做自己想做的事情。這也是BYOD工作方式的一個特點。”
在正常情況下,Jacobs公司允許員工通過個人移動設備隨時隨地訪問企業郵箱,但是企業的關鍵業務應用只能通過Jacobs公司的接入端口。Carmody解釋說:“這使得企業更容易管理數據的安全性,也可以避免員工因為在移動終端上處理大數據出現問題而向IT部門求助的情況出現。當然,我們也采用了嚴格的網絡犯罪預防機制,以避免移動設備被盜或丟失帶來的數據泄露問題。最后,我們還有一個快速有效的機制來報告設備被盜或丟失情況,從而能夠立即實施針對該設備的數據保護應急措施。”
對于Carfax公司,移動設備在訪問企業數據時,需要通過申請特權以及密碼的方式。員工只能根據自己的職位權限訪問企業一定范圍內的數據和應用。Matthews 表示。
遠程刪除策略
在Jacobs公司,員工必須簽署一份協議,同意當自己的手機或其它移動辦公設備在丟失或被盜的情況下,企業有權遠程刪除設備中的全部數據資料,包括員工自己的個人數據,如郵件、照片和游戲等。
Carmody表示,需要遠程刪除數據的情況僅出現過幾次。
她說:“在那種情況下,設備上的全部數據都會被刪除。” Jacobs 公司一直在努力教育員工理解企業的安全策略,并接受自己使用的移動設備處于公司安全策略控制范圍這個現實。她說:“我們還會教給員工安全備份自己個人數據的方法,以防止設備丟失給員工個人帶來的數據損失。”
The 451 Group 分析師 Chris Hazelton 表示,一些MDM工具可以讓設備將其中存儲的關鍵業務數據備份到一個特殊的“容器”中。這個容器中的企業數據不能從外部讀取出來,只能通過一個強壯的密碼外加特殊的訪問協議來讀取,這使得這些數據更加安全。它還可以使得企業在遠程刪除移動設備中的數據時,僅刪除企業數據,而保留員工自己的照片、聯系人和其它個人數據。
Edelman和SAP公司都在使用這種技術。Edelman使用的是AirWatch有選擇性的刪除企業數據。SAP則使用自己開發的Afaria應用,也可以只刪除企業數據,保留個人信息數據。#p#
例舉幾個MDM 廠商
MDM市場上的廠商名錄可以說千變萬化,因為各個廠商都在不斷推出各種新鮮功能和新鮮的產品,這些都可以讓我們管理移動設備的工作更加簡單,同時更加安全。
下面例舉的幾個廠商是在MDM市場上名聲比較大的。
· Apperian Mobile Application Management –手機安全應用程序開發。
· Boxtone Enterprise Mobility Management –承諾可以“集中化、自動化的控制所有手機和平板電腦”
· Citrix Receiver –通過企業應用商店,可以從“任何計算設備上”訪問企業數據。
· Good Technology -- 包括郵件訪問、日程安排、內網應用,以及內部應用商店在內的一個套裝。
· Kaseya Mobile Device Management –針對移動設備(手機和平板)的基于策略的管理工具。
· LANdesk Mobility Management –發現和盤點移動設備,支持遠程刪除設備數據。
· MobileIron –支持多平臺移動設備管理。
· Mocana Mobile App Protection (MAP) –具備防病毒和惡意軟件攻擊能力。
· Novell ZENworks Endpoint Security Management –具有加密和防火墻功能,能夠遠程禁用設備的存儲功能。
· Nukona –目前屬于Symantec旗下,產品支持基于Web和手機本地兩種管理方式。
· PartnerPedia Secure Mobile App Management –允許企業在移動終端安裝和管理應用程序。
- Todd R. Weiss
Edelman公司的Iatonna表示,當員工被允許使用iPhone和iPad辦公后,公司IT團隊將會面臨技術支持方面的挑戰。其中的困難之處在于如何教育員工,讓員工明白一旦移動設備丟失,公司將會遠程刪除設備中的全部數據,這也包括他們個人的照片、電子郵件和其它數據。
Iatonna解釋說:“你必須確保教育的程度足夠深入,以及足夠讓員工都明白,這樣公司才能避免由于刪除員工個人信息導致的責任。一般我們會通過這種方式,即如果你希望Edelman公司的數據存儲在你的手機里,那么就必須同意公司將MDM軟件也安裝在你的手機上,并且你需要簽署相關協議。”
Edelman的員工最初并不習慣這種級別的控制,他們也不喜歡公司的安全措施強加到他們的個人設備上,他說:“有些員工會說‘這是我的手機,你不能強迫我輸入密碼并設置五分鐘后鎖屏之類的功能’。最初公司里很多這樣的聲音。”
這意味著我們首先要讓員工接受他們的手機中存有敏感數據這個事實,他說:“這要在個人隱私和公司數據安全之間取得一個平衡點。目前人們對于手機的安全意識還很淡漠,而黑客、數據盜竊以及其它類型的安全風險此刻正全力瞄準智能手機。人們在使用手機的時候很少會考慮這么多安全問題。”
Matthews 表示,遠程刪除數據或類似的安全機制也被Carfax采用,而員工之前都被告知,一旦手機丟失,其中保存的全部數據包括個人數據將會被刪除。同時,公司還希望在一定程度上給員工使用自己設備的自由。
比如Carfax允許員工將移動設備用于與工作無關的活動,比如上下班路上看視頻。Matthews說:“員工們都會將移動設備用于正常用途,他們不會濫用公司給的權利來做有風險的事情。你只需要告訴員工哪些可以做,哪些是絕對不能用手機做的就可以了。”#p#
變化的目標
SAP的Bussmann表示,在考慮 MDM項目時,最大的一個問題就是時間壓力。因為移動設備,比如手機更新速度相當快,市場總會有新產品出現,而MDM項目很難全面覆蓋這些新設備。這就需要IT部門提供相當多的技術支持。
SAP的MDM項目早在2010年就啟動了,當時員工對于BYOD已經有了相當明顯的需求,項目第一批涉及的移動設備達1500臺。為了應對這么多的設備,公司決定通過Wikis和在線幫助入口等web2.0方式對用戶進行初步的技術幫助。這是一種減少用戶對IT團隊技術支持需求的方法,可以讓用戶自己找到自己問題的解決方法。
事實證明這種方法是有效的。Bussmann說:“由于我們只有兩三個月的時間來搞定這一千多臺設備,所以我們根本不可能依靠傳統的方法對他們進行一對一的技術支持。你看蘋果手機,很少有很長的設置列表,他們的設計都是很直觀的。我們的方法也類似于這樣。”
Bussmann承認,最初他們也不確定員工是否會接受這種非傳統的幫助系統。他說:“坦率講,那時我告訴我的團隊成員,我也不知道用戶會不會接受我們的方案。但是很明顯,用戶的行為必須發生變化。”
Iatonna說,在 Edelman公司的MDM項目中,最大的挑戰之一就是目標設備一直處于變化中。他說:“不可能有一種方案能夠應對所有智能手機,因為市場上的智能手機型號和種類太多了。你不可能有足夠的資源來處理每一個智能手機型號。”后來他們在AirWatch產品中找到了答案,AirWatch覆蓋了市面上絕大多數手機型號,降低了企業在建立MDM項目時處理終端設備的一些風險。
Iatonna說,在選擇AirWatch之前,他們也比較過多家的MDM產品,他從中獲得的最大體會是,MDM市場還處于相對不成熟的階段。他說:“現在有大量企業進入這個市場。很多時候,我發現這些企業所宣傳的與他們的產品實際能做到的之間,存在著很大的差異。也許從這個角度你能看出手機市場的變化有多快。”
當員工帶著他們自己的平板電腦或其他設備來辦公時,很重要的一點是企業的策略能夠如同預期的一樣支持這些設備。但實際上可能用戶會帶來一個企業無法支持的移動設備。因此很多問題要事先討論好。總之,按照Iatonna的說法“這個市場目前還是一灘渾水。”#p#
MDM經驗教訓
Jacobs的Carmody建議,應該在企業業務涉及的所有國家和地區檢驗企業的 MDM使用策略是否能夠順利實施。她解釋說:“如果企業讓員工自行購買手機,或讓員工支付每月的手機費用,這有可能會影響到事先與員工簽訂的勞務合同,需要與工會進行協商。”尤其是在歐洲,修改勞務合同會是個很麻煩的事兒。
Carmody的另一條建議是:在策略中規定哪些應用是可以被安裝到移動設備上的,員工可以就這些應用遇到的問題向TI部門提出支持請求。
Carmody認為,從大環境講,MDM策略的部署可以幫助IT部門向云計算遷移。目前得到的教訓,尤其是在移動安全方面的教訓,將在未來企業向云計算全面邁進時幫助IT部門避免出現更嚴重的危機,所以MDM項目的經驗教訓要及時在IT團隊中分享。
Matthews表示,對Carfax公司來說,越來越多的員工使用移動設備帶來了一個附加的小利益,即很多員工不再使用筆記本電腦和臺式機了。他說:“我估計今年會有一些員工告訴我,他們不再需要筆記本電腦了。”這將大大降低公司在辦公設備維護和IT維護人員方面的成本。
Matthews 還表示,有一個經驗教訓是很明顯的,即“不要讓恐懼成為阻礙”。他說:“如果你不去面對這么多移動設備,你將無法看到它們給企業帶來的商機和利益。”
他舉例說:“我們開發了一套手機銷售和市場應用產品,可以讓門店的銷售和客戶獲得更多更及時的信息,包括客戶個性化定制的數據。這讓我們的分銷商能夠更有效的管理自身的銷售活動,以及維護客戶。”
Netcentric分析師 Benedict表示,在項目啟動前,要確保企業有長期的策略并且明白自身的需求。他說:“如果連移動管理策略都還沒有,就先別考慮實施什么移動技術,這完全是浪費時間和金錢。”
Benedict 表示,要達成MDM項目,首先要考慮到各方面的可能性,他說:“你要去大型的技術會議,瀏覽各種在線研討會,閱讀書籍,了解各種可能性。不要僅靠自己有限的知識建立公司未來的策略。”
分析師: MDM還可以做得更好
451 Group的Hazelton認為,移動管理應用產品在過去一年中取得了長足進步,但是仍有很多值得改進的地方。
他表示,目前企業最大的需求是管理移動設備并推送郵件,但是企業的眼光都放得更長遠,希望通過提供定制化的應用程序和數據給特定人群,實現企業移動環境的安全性和管理便利性。
Hazelton還說,目前看到的企業的另一個需求是建立私有化的應用商店,為企業的移動辦公提供分析應用程序和管理工具。他說:“對于MDM的需求是明顯的,這已經成為了IT部門的最大壓力來源。”但是根據他的調研,美國市場上只有20%到25%的企業擁有針對iOS和安卓設備的管理策略。具備黑莓設備管理策略的公司數量要更多一些,因為RIM的產品在較早時期在企業中的擁有量較大。他說:“這是最令人激動的。企業的各種應用將與手機連接,企業的移動辦公將伴隨你一生。”
Carfax的 Matthews表示:“我們會告訴員工,MDM可以讓他們自己決定如何用手機辦公,以及如何用手機處理個人事務。我認為員工很樂意看到這樣的結果,因為他們并沒有將MDM看做是一種約束,而且他們確實可以用手機做工作以外的其它事情。”
