移动信息化安全解决方案VMI、MDM剖析

背景：

在移动互联的浪潮中，手机移动办公凭借其便捷性成为时代的潮流和趋势，但是在实施过程中却面临诸多信息安全问题，让很多企业望而却步。与PC办公相比，其安全威胁主要来自以下几个方面：

首先是网络安全问题;移动设施连接的网络不像PC设备相对固定，其连接网络却是五花八门，可能是移动运营商的3G、4G网络，也可能是公司、家里、公共场合的WIFI网络，还可能是一些钓鱼WIFI、伪基站网络，这其中危机四伏，黑客们可以轻易的通过DNS域名解析或ARP欺骗等手段轻易地获取涉密信息。近几年公安部侦破的网络诈骗案，诈骗团伙大都是通过网络得手的。

其次是用户手机丢失、更换、被偷窥导致的泄密;

再次是用户主动泄密。移动设备用户随身携带，想窃取其中的文件，公司无法控制。

最后是后门软件，这一点PC也存在，但是手机不像PC，公司可以通过网络安全设备、杀毒软件等手段对PC上的恶意软件予以限制、清除，对于手机这个威胁就严重多了。

解决方案剖析：

面对上述移动信息安全隐患，目前应对的技术解决方案也有很多，主要有：MDM(Mobile Device Manager)方案、虚拟移动设施(VMI)等，作为企业信息安全管理的技术人员，可以通过了解产品的安全防范原理来选择合适的产品。下面我们将介绍各种解决方案的防范原理和代表产品。

MDM的全称是移动设备管理，通常还包含MAM(移动应用管理)和MCM(移动内容管理)。该方案的思想是通过管控移动设备、以及设备上的应用和内容的方式来进行信息安全管控。

在实现上，就是在移动终端(手机、平板)上安装一个超级“木马”的客户端程序，通过该客户端程序，管理员可以在管理后台对用户的手机进行控制，比如：远程锁屏、修改手机密码、手机回复出厂设置、收集通话记录、短信、位置信息、应用远程安装卸载以及外设(USB、蓝牙、照相机、网络等)开启禁用等。其实现原理实际是管理员在管理后台发送控制指令到设备终端的MDM客户端程序，MDM客户端程序再通过设备操作系统的MDM编程接口控制终端设备。该方案是从黑莓手机逐步发展演变而来，相对比较成熟，已在广泛应用。该方案还存在以下不足：

对设备依赖较大，兼容性不足。很多功能在IOS上无法实现;在一些深度定制的Android手机上，很多功能也无法实现。经常会出现有的控制功能在有的手机上行，有的手机上不行。

侵犯用户隐私。MDM的远程控制功能非常强大，管理员在后台可做的远程操作远超过用户拿着手机可做的直接操作。相当于用户手机上的个人隐私完全暴露给公司管理员。在BYOD的场景项目推动会有阻力。

存在较大的安全漏洞，如员工想窃取公司机密MDM很难防范，在Android手机上MDM的实现依赖于Android操作系统，Android手机的厂商众多，从业者良莠不齐。

用户很容易通过修改Android操作系统代码让MDM彻底失效，重新刷机安装做过手脚的Android系统让MDM彻底失效。

目前比较典型的MDM方案主要包含：AirWatch(WMWare收购)、思可信的MobileIron、思捷的XenMobile、华为的Anyoffice、国信灵通的NQSky EMM、天畅的ZIYA EMM。这些方案在组织形式和细节功能上有所差异，但整体功能和结构上大致相同。主要功能集中在移动设备的生命周期管理和安全管理。

VMI(Virtual mobile infrastructure)就是虚拟移动设施，通俗讲就是Android远程桌面，是一个新生事物，方案类似PC云桌面办公，即在公司的内网服务器上部署大量运行Android系统的虚拟机，用户通过自己的移动设备远程登录Android系统，象Windows远程桌面一样操作远程的虚拟Android手机。按照该方案，公司的各类移动办公软件只需在内网Android虚拟机中安装运行，无需在用户手机中安装。用户手机上只需安装一个远程Android系统的登录软件，该软件以图片的形式展示远程Android系统操作界面。目前中兴通讯的子公司中兴网信推出了一款叫做“云盾”的Android远程桌面产品，该产品和MDM相比有以下优势：

1、安全性高，应用运行在云端、手机端只是展示画面，网络传输的也只是一些图元绘制命令，因此在网络传输和移动终端基本不涉及业务数据，安全性非常高。也不存在通过对Android操作系统做文章窃取数据的问题。

3、设备兼容性、用户个人隐私保护方面优势明显，无需对用户的移动设备进行严格管控，对移动的操作系统也没有特别的依赖，完全兼容主流的Android、IOS设备。

3、可以减少企业后续移动信息化成本。企业上了VMI后，所有移动应用都放在云端，因此企业的移动应用只要做Android客户端即可，无需再做IOS客户端。另外后续的移动应用也无需再考虑安全问题，软件的发布、更新等也更方便，直接在云盾控制。研发成本、后期管理成本都可大大降低。

VMI基本上解决了MDM方案的不足，但是其本身也还存在以下不足：

1、 对网络带宽消耗较高，目前几款VMI产品的带宽占用差不多在300bps左右，实际的流量消耗与所做的操作有关，会有偏差，在不操作远程界面时不会产生流量。从实际体验来看，在3G网络环境信号不大稳定的情况下，界面操作会有卡顿，但是在4G网络、正常WIFI网络下，与操作本地手机基本无异，用户体验完全可以接受。这个网络要求也许对于企业的管理层不是问题，但对于普通员工要求还是比较高的。

2、 虚拟机端的服务器资源消耗较大，基本上一个虚拟机要分担100元左右的服务器硬件成本。

VMI的代表产品除了中兴网信的云盾外，还有国外的Hypori、Nubo 、remotium、sierraware等，这项技术在国外，以及在国内的政府、金融、司法、大企业等领域已有大量应用。

综上所述，MDM相对成熟，成本低廉，但是存在安全漏洞、侵犯用户隐私、设备兼容性差等缺陷;VMI相对MDM优势明显，代表的是技术发展趋势，但现段对网络要求高、实施成本高。对于信息安全要求高的企业可以考虑对管理干部或对信息安全敏感的员工实施VMI。对于广大普通员工实施MDM，这样既能做到安全合规又能尊重用户隐私，也能兼顾实施成本。

本文转自d1net（原创）