如果沒有智能手機技術的支持，中小企業在當今互聯時代將無法開展業務。員工普遍使用智能手機收發電子郵件，查看日程，和管理聯系人。網上到處都是用戶論壇，討論智能手機各種平臺的安全問題，以及是否能用Microsoft Exchange ActiveSync與Exchange服務器同步數據。如同這篇文章所揭示的，重要問題不是企業應該采用什么手機平臺，而是：允許用戶將企業電子郵件同步到用戶的移動設備上，所必須采取的最低的安全控制是什么？

在我們深入討論各種智能手機平臺之前，重要的是先討論下，要支持郵件同步所必須建立的Microsoft Exchange最低配置的環境。同步PDA和智能手機的最核心服務是AES（Microsoft  Exchange ActiveSync）。AES最初是一個免費的基于客戶端的應用程序，用于通過有線方式（例如USB）與Outlook同步，現在AES位于服務器端，通過無線方式（OTA，over the air），幾乎可以通過任何能與Outlook Web Access（OWA）服務器通訊的網絡連接進行同步。

雖然可以通過無線方式，但將Email，日歷和聯系人同步到手機上，仍然是服務器端-客戶端方式。要使Exchange本身的安全控制最大化，需要安裝Microsoft Exchange 2003 SP2或更高版本，以及相應的客戶端（AES）。雖然在Exchange 2007版和Exchange 2010版中有一些增強的安全控制，2003 SP2版是實現最基本控制的最低版本。參照圖一可以迅速了解Exchange最新的三個版本的安全控制功能。
 

圖1–MS Exchange AES安全策略比較

關于智能手機和Exchange郵件系統的最大誤解之一是，只有Windows Mobile智能手機能夠和Exchange兼容。事實上，只要能兼容Microsoft AES的手機就可以和Exchange兼容。即使這句話也需要推敲一下，因為AES兼容性的實現，絕大部分都是有選擇性的，并且依賴于Exchange服務器所使用的版本。換句話說，只有部分的AES功能是在客戶端實現。

在智能手機連接到企業的Exchange環境中的早期進化期，微軟牢牢斬獲Pocket PC及Windows Mobile的領導地位，因為這是唯一的原廠支持的可以與Exchange同步的設備，而且無需額外的昂貴的硬件或中間件（例如RIM公司的黑莓企業服務器）。認識到企業設備用戶相關的巨大市場，智能手機操作系統供應商很快便開始支持Microsoft Exchange ActiveSync。

現在，所有主要的智能手機平臺都支持不同版本經過改編的AES兼容的客戶端，例如，Android使用Droid app: Moxier Mail，Nitro Touchdown，WebOS使用內置的AES，蘋果iOS使用內置的AES，RIM使用黑莓ActivSync。因此，現今企業不是要決策采取哪種智能手機平臺，而是應該采取什么樣的最小，最必要，可接受的的AES安全控制，以降低手機丟失、被盜或受損的損失。

Microsoft Exchange ActiveSync功能

已經在使用Microsoft Exchange，并且非常重視移動設備安全的的企業可以使用Exchange自帶的移動安全控件，以滿足其業務需求。雖然說移動安全控件在Microsoft-centric enterprise 版中是免費的這種說法并不合理，因為你還是要為Exchange客戶端軟件許可付費，但是你并不需要額外的基礎設施或服務器服務，所以，如果你已經在用Exchange 2007 SP3或2010 SP1了，那么你手邊就已經有了一套靈活強大的移動設備控件。

安全控件是通過Exchange ActiveSync郵箱策略設置來實施的。另外，請注意，可用的郵箱安全策略綁定到Exchange客戶端訪問許可（CAL， Exchange client access license）中的，企業版CAL比標準的CAL有更加豐富的控件，請注意這個關鍵的區別。

關于Exchange的最大誤解之一是，只有Windows Mobile智能手機能夠和Exchange兼容。事實上，只要能兼容Microsoft AES的手機就可以和Exchange兼容。—— Gregg Braunton,

Exchange 2007和Exchange 2010提供了極為細致具體的安全策略設置，盡管很多IT和安全專業人士可能沒注意到這些。擔心通過HTML標記造成的隱藏式威脅或漏洞？要對付這種威脅，可以強制所有被同步的郵件必須是純文本（plain text）類型。擔心保密數據或企業內部信息被拷到外部存儲卡上，并且你完全控制不了？簡單，把外部存儲卡禁掉就行了。擔心WiFi熱點連接不安全？如果這樣，關掉智能手機的WiFi好了。收到報告手機丟了或被偷了？沒關系，手機和外部存儲都已加密過，再遠程擦除手機和外部存儲卡，睡個好覺吧。Exchange 2007和Exchange 2010上有40多個郵箱安全策略設置可用，但別忘了手機上的AES 客戶端支持的策略設置才是真正強制性的。最后，還請買家注意，即使是微軟最新大力宣傳推出的Windows Mobile 7也并不完全支持全部的可用安全策略。

【編輯推薦】

1. 中國智能手機用戶需要害怕Carrier IQ嗎？
2. 賽門鐵克揭露針對智能手機的網絡“騙中騙”
3. 網絡訪問控制保護智能手機上網安全
4. 手機病毒種類增多 智能手機用戶需謹慎
5. 保證4G智能手機安全