BYOD的盛行使得企业移动应用管理已经成为企业CIO、CSO需要高度关注的一个问题。解决不好这个问题，将会使得员工工作效率低下，企业应用存在安全隐患或者风险。因此，企业急需要制定一套企业移动应用管理体系，在该体系中，数据、应用和设备管理是非常关键的三个要素。本文将详细介绍这方面的安全管理最佳实践。

实践一：数据隔离是核心

企业移动应用管理最核心的关键是进行数据管理。用户在移动设备中使用的不仅仅是个人数据，还会大面积地使用企业数据，那么如何进行有效的进行企业和用户的数据隔离是非常重要的问题。“数据隔离”是指用户在指定的企业应用内阅览和编辑的所有内容都不能拷贝到该应用外部，也不能把外部的数据拷贝到该应用里面来。从企业的角度看，返种手段既保证企业数据不被外泄，也防范个人数据中可能存在的信息（如新闻、娱乐信息）以及病毒、木马等非法程序在企业内部的传播和感染。从用户的角度看，用户个人数据都被隔离在“安全沙箱”之外，因此，不必担心BYOD设备中的个人数据会在移动办公的过程中流入企业内网而引起个人隐私的泄露。

当然，安全的要求不能够以牺牲用户体验和办公效率为前提。所以为了保证数据隔离后的文档可使用性，企业移动应用在文档办公方面有一定的要求，企业应用一方面可以通过文档转换将主流的Windows Office文档转换成移动终端系统可识别的格式，并呈现给用户，譬如，将PowerPoint格式转换为图片格式；也支持对ZIP、RAR压缩包的解压、PDF文档的呈现、GIF等图片格式的呈现。 文档转换模块为安全浏览器和安全邮件客户端提供方便快捷的文件在线浏览能力，通过这个转换，用户可以用安全浏览器直接浏览公司文档，也可用安全邮件客户端打开邮件附件中的各类文档，而不必担心手机或平板不识别Office文档的问题，也不必安装第三方的文字处理软件。

实践二：应用管理需强化

企业应对应用实现细粒度的管理，主要是对企业移动应用的管理。由于实现了实践一中介绍的数据隔离，则不需要对个人移动应用实现太大强度的管理，否则容易造成用户可用性的丧失，当然，对于安全意识较好的用户来说，也可以对其采取相关的机制来进行保障，而在一般情况下，仅对企业应用进行控制也是可行的，毕竟已经进行了数据的隔离，应该将安全的力度放在企业数据区的安全防护上比较合理。
企业应用管理较常采取黑白名单的方法。其中，黑名单是通过禁止用户将黑名单中出现的应用安装在企业数据区来实现安全；而白名单是明确地给出用户可以将哪些应用安装在企业数据区。具体黑白名单的定义由企业根据实际情况决定，这个没有统一的规定。

实践三：设备管理打基础

设备管理是移动安全方案的一个核心组件，通过MDM（移动设备管理，Mobile Device Management）可以避免用户在移动终端上操作可能带来的安全隐患，防止移动终端不慎丢失后造成数据泄露。企业需要明确使用MDM来达到如下安全管控效果：

• 资产管理和策略管理：在对BYOD设备执行MDM安全管控前，首先要将用户的BYOD设备注册到企业的MDM管理平台，可与员工签署相关使用协议，然后将MDM客户端安装到BYOD设备。然后，企业便可根据双方的协议，通过管理平台对移动终端进行状态查询、安全管控策略下发、应用分发等操作。管理员可据企业的实际情况和协议要求，通过MDM策略管理后台对终端进行“设备硬件硬件控制”、“越狱检测”、“远程锁定”、“GPS定位”、“远程擦除”、“应用一键配置”等操作。若员工需更换办公终端或离职，也可将终端仍管理平台注销，脱离企业的MDM安全管控。
• 设备硬件控制：MDM提供对移动终端设备摄像头/蓝牙/Wi-Fi/USB网络共享/GPS/VPN/蓝牙扫描/热点功能/USB存储模式/麦克风/云服务和备份服务/截屏的控制能力，管理员可根据企业的实际情况下发策略，在员工使用移动终端接入企业内网期间，禁用其中的部分或全部功能。 用户通过移动客户端登录企业移动网关时，网关根据用户和设备信息下发相应的控制策略，客户端根据这些策略进行控制。移动终端会把这些对系统硬件接口的修改记录下来，在用户在退出移动应用时，根据记录自动将这些配置恢复到登录前的状态，不影响用户在非办公期间对BYOD设备的使用体验。
• “越狱”检测：越狱会对企业移动应用带来较大的安全威胁。越狱检测策略是网关在用户登录时下发给移动客户端的，如果检测到越狱，移动客户端可根据策略的指示作出不同级别的响应：审计、提示、告警或断网。
• 设备远程锁定/GPS定位/远程擦除：若终端丢失，员工可以登录企业的自助管理Portal或者通过移动设备管理员下发控制命令，对自己的BYOD设备进行远程锁定和GPS定位，若确认无法找回，也可远程擦除终端上的数据。在员工离职、更换办公终端等场景下，管理员也可通过管理后台给BYOD终端下发选择性数据擦除的指令，即仅仅擦除企业数据和卸载企业移动应用，而保留BYOD终端上所有的个人数据和个人应用，这样既保证企业数据不外泄，又不破坏用户个人的数据和应用，用户完全可以继续正常的使用自己的个人终端。
• 应用一键配置：管理员可以通过MDM管理后台为所有员工的移动办公终端下发统一的应用配置，譬如，企业邮箱、微信、VPN软件等的配置，这样既保证所有员工的办公软件的配置是安全的、一致的，也免去了每个员工分别去手工配置应用的麻烦。
• 企业应用商店管理：对于能够提供大量企业移动应用的企业，应该需要配套提供企业应用的下载、升级、查询、搜索等功能，以方便员工使用，并确保该商店的安全性，防止和减少员工从其他渠道下载相关应用进行企业办公的安全风险。
• 自助管理Portal：若用户不希望管理员干涉，则可以登录自助管理Portal，在终端丢失时，通过GPS定位功能，在地图上直观地查看终端的物理位置，并进行远程锁定、远程擦除等操作。