第四节　移动终端管理

一、移动终端管理的必要性

随着移动终端技术、无线网络技术和标签识别技术在医疗行业的成熟，借助移动推车、PDA、平板电脑等移动终端以及移动医护信息系统实现了医护人员诊疗、护理到床旁的服务模式。目前，市场上可选择的移动终端种类很多，但多数为基于不同的操作系统平台，主流的有iOS、Android及Windows Phone（Win10）等，移动终端承载着医院关键业务及核心应用，需要一款管理软件通过策略对其进行规范管理，移动设备管理概念应运而生。需引进可同时管理多种操作系统的移动终端管理系统，通过统一的管理平台，采用无线方式实现对各种类型、各种系统的移动终端、移动数据和应用程序的集中管理、安全保护和统一配置。

二、移动终端管理的基本要求

为了提高用户工作效率，同时更加安全有效地管理企业移动应用，需要建设功能更为强大的企业移动信息化平台。基于目前企业移动平台的需求，实现统一的移动技术规范、安全规范和UI交互和体验规范，满足开发能力、开发管理、应用管理、应用使用分析、应用安全和接入需求，以满足医院建设移动化信息平台更深层次的要求，打造指尖上的企业应用。

对于医院推出的移动应用，可收集应用使用的相关数据，并提供全面丰富的报表分析。系统要求部署在医院内部，用户数据由医院独立掌握，该系统要求具备以下能力：①按终端型号、操作系统版本、网络接入情况和使用地域进行汇总报表；②按使用时间进行汇总报表；③按业务的模块使用频率和情况进行汇总报表；④应用在不同渠道安装量统计；⑤不同渠道安装用户使用情况统计；⑥渠道推广投入产出数据支持；⑦大数据量和并发用户场景下支持的能力。

移动应用管理平台要求实现对移动应用、数据传输和系统访问的安全控制，主要包括：①需对下载到用户移动设备端的数据进行加密存储（除了支持沙盒加密外），对Html5的本地数据也需要支持独立加密；②在设备丢失的情况下，可以通过服务器指令，对特定设备的特定应用进行远程数据擦除；③能够基于移动设备的唯一标识进行用户授权，对要求授权的移动应用，在非授权状态下无法使用，已授权用户可随时取消授权；④支持应用黑白名单两种名单机制，实现个人-医院场景分离；⑤支持服务端进行远程失效控制，服务端通过对特定用户或设备的状态更改，达到远程失效的目的；⑥支持用户证书的加密传输，以保障数据的传输安全；⑦在无网络条件下，支持用户的离线身份认证和离线信息的加密与解密；⑧基于设备和用户身份的业务权限分配支持：不同用户在同一应用内根据用户角色的不同，动态分配不同功能模块的使用权限。

三、移动终端管理的技术架构

终端管理技术架构（图4-8），从整体上分为：①后台应用层：后台应用层主要是企业现有系统等后台应用系统。②移动平台层：移动平台层主要包括平台数据层和平台应用层。平台数据层用于与后台系统的数据集成和整合；平台应用层主要包括移动业务对象、事务处理、通知与分发等功能。③移动终端层：移动终端层指在各种移动终端运行的移动应用，包括原生应用、混合容器应用和HTML5应用等，还包括SMS/USSD/WAP等多种通道接入方式。此外通过平台的可扩展性，在平台数据层通过相关接口技术实现与医院相关系统的集成。

（一）基础管理

通过管理员手动逐个添加，或表格批量导入的方式，将用户信息加入到管理平台上，并根据不同的分组赋予不同的权限。设备注册时，要选定一个用户作为绑定，建立对应关系。一个用户可以拥有多台设备。系统还可以提供链接LDAP的功能以及API功能，可以从行内其他业务系统自动获取用户信息或用户组信息，方便未来的集成管理。对纳入MDM系统管理的移动智能终端设备进行登记管理；可以通过手动进行设备的注册或是通过导入一个标准的用户信息模版表格注册、登记、管理大量的用户设备。对注册到平台上的设备进行软、硬件的信息采集。硬件信息包括：设备类型、设备型号、制造商品牌、操作系统及版本、MAC地址、内存使用情况、空间大小、运营商、电话号码、屏幕分辨率、电量、IMEI、IMSI、设备ID、序列号等。可以通过表格的形式，导出自定义字段信息。同时，在管理界面一览或查询设备信息，可以根据多种因素进行过滤筛选，如按设备品牌、设备分组、设备OS版本，设备的合规状态等。软件信息包括：已安装软件列表、软件名称、功能描述、软件版本、适合的操作系统、所属分类软件名称、开发厂家、软件文件大小等。

（二）安全管理

1.监控“越狱”或ROOT

能够发现被“越狱”或ROOT的设备，并会自动关联处理的动作，通常为断开企业邮件或APP连接，设备将不再能访问到企业的IT资源。同时远程移除设备上推送的企业APP、各种配置等，达到选择性擦除的状态。系统还会自动以邮件、短信方式发送警告或通知给管理员或用户本人，管理员得知后可酌情进行手动的全部擦除。当设备被检测到“越狱”或ROOT时，还会在一览界面显著标示（一个打开的锁），同时后台可以自动进行警告通知，发送给用户或管理员。设备被“越狱”或ROOT后，根权限就被破解，可以绕开常用的安全防护措施。比如“越狱”的Android设备，只需连接上PC，通过某软件点击一个按钮，几秒钟的时间就能解除锁屏密码的保护，访问到手机内部的数据。这样的设备就会成为企业数据安全的一个致命弱点。特别在iOS设备上，已经发展出一种新的“越狱”伪装技术——xCon，其可以将已经“越狱”的设备伪装成没有“越狱”的状态，从而逃避安全系统的检测。

2.控制设备锁屏口令

能够主动对设备进行锁屏密码管理，包括强制设置、重置锁屏密码；移动设备作为员工日常使用的办公工具，移动终端的锁屏密码是第一道屏障，也是最基本的安全要求。通过远程密码策略，可以向注册设备静默推送密码要求，用户不能选择拒绝。策略抵达设备后，iOS设备会要求在60分钟之内必须设置一个合规的密码；Android设备会每隔3～5分钟弹出提示。当密码设置不合规时，可以设定为隔离企业邮件、WiFi接入等资源，直到密码设置合规达标，由此保证只有受到安全保护的设备才能接入到企业资源。安全策略的内容包括：密码长度、密码复杂度（不限，字母数字）、必须包含标点符号个数、密码寿命、密码重复限制次数、密码最多尝试失败次数、自动锁屏时间。

3.禁用设备指定功能

能够调用苹果和安卓等设备已经开放的接口，禁用或开启相关设备功能，远程推送限定要求，静默生效，用户不能拒绝。在iOS设备上，可以禁用的主要功能包括：摄像头、截屏、安装APP、隐藏所有非企业App、iCloud、Safari、游戏、音乐、语音拨号等。在Android设备上，可以禁用摄像头，基于三星SAFE企业接口，还可以对部分三星设备限定蓝牙、SD卡、截屏、复制粘贴、GPS、麦克风、系统升级、语音数据漫游、USB等。此外，在iOS设备和三星部分设备上，还可以试用“限定APP模式”，是设备只能打开并使用1个或几个APP，不能推出，从而间接限制了多数设备功能，达到严格管控的目的。

4.即时屏幕锁定

管理员可以发送锁定命令，即刻使已经解锁的设备退出到密码锁定界面，需要再次输入密码才能使用设备。特别当企业应用掌上电脑等设备用于展示时，通常自动锁屏时间都会设置的很长，如数小时。此时如果设备遭窃，是没有密码保护的，需要在发现后尽快手动触发锁定命令。同时通过用户自服务界面，用户也可以自己手动锁定自己的设备。解锁功能用于用户忘记密码的情况或者特殊情况下需要访问终端用户的设备，此时管理员可以给用户终端发送解锁命令，终端设备的密码就会被解除。

5.设备数据擦除

可以远程对设备进行选择性擦除或全部擦除。选择性擦除只是将设备上的企业数据清除，个人数据可以保留，如企业的邮件、推送的APP、推送的WiFi配置等会被清除，而个人的短信、通讯录以及自己安装的软件，如微信及其产生的数据如聊天记录等都会保留。此功能通常用在员工离职时。还可以与安全策略关联，当设备出现某些违规情况时，如“越狱”，自动触发选择性擦除，确保企业数据的安全。全部擦除会将设备上的所有使用信息全部清除，使设备回到出厂状态，通常用在设备丢失时。

（三）系统管理

1.自动生成业务数据统计报表

能够对系统后台收集的各类信息进行统计分析，自动、定期生成报表；对平台的各类信息数据进行数据的统计分析并生成统计分析报告，以便管理员能够实时掌握平台的运行数据。

2.安全策略支持分组分发

对纳入管理的移动设备设置的安全策略可以进行分组设置和分发；管理员可在服务器端设定不同的安全配置策略，通过使用Label标签，关联到相应的用户设备分组，可以实现对不同组别用户推送不同的管理设定。常见需要分组的设定包括安全策略、功能限定、邮件配置、APP分发等。

3.管理员权限分级管理

支持后台管理员分级设置，不同级别的管理员仅能够对自己权限范围内的设备进行安全管理。

移动设备管理平台可以自动收集移动终端的软硬件信息，因此终端用户或者管理员可以确切地知道部署了什么设备，它们在什么位置，安装了什么软件。这使医院IT部门可以管理和控制远程设备的资产和软件分发。

（吴庆斌　刘子强）