智能手機(jī)、平板電腦、社交網(wǎng)絡(luò)和云服務(wù)目前非常流行，并且用處很大，同時(shí)它們也存在著安全風(fēng)險(xiǎn)。目前安全焦點(diǎn)在移動設(shè)備上，隨著這些設(shè)備被大量地用于處理公司信息，IT部門已經(jīng)無法再用管理公司PC的方式管理這些移動設(shè)備。因?yàn)?，這些移動設(shè)備使用了不同的平臺，它們的安全能力也不盡相同，同時(shí)許多移動設(shè)備都是員工自己的。

問題不在于頻繁受到的黑客攻擊，以及安卓市場中泛濫的惡意軟件，在抵御黑客方面，移動設(shè)備的安全性要高于PC。問題在于不適當(dāng)?shù)男畔⑹褂茫瑔T工有時(shí)會在無意中泄漏聯(lián)系人信息，無意中讓人們感到尷尬，無意中違反隱私規(guī)定，無意中忽略了自己的法規(guī)遵從性義務(wù)。盡管部分人會小心謹(jǐn)慎地使用它們，但是大部分人會不恰當(dāng)?shù)厥褂盟鼈?，關(guān)鍵是有人使用了它們。

這讓公司陷入到了一個(gè)不安的處境中。調(diào)查顯示，獲得技術(shù)授權(quán)的員工心情更為愉悅，工作效率更高，因此公司希望能夠從中獲得好處。不過，這些員工必須要保護(hù)他們的秘密，遵守相關(guān)規(guī)定。好消息是，雖然這些做法和工具剛剛出現(xiàn)不久，但是我們已經(jīng)找到了一些經(jīng)過驗(yàn)證過的，并且行之有效的管理方法，這些方法可以在不損害消費(fèi)化所帶來的優(yōu)勢的情況下降低這些做法和工具的風(fēng)險(xiǎn)。

對于移動設(shè)備，這些工具可以分為以下三大類：數(shù)據(jù)泄露防護(hù)、移動數(shù)據(jù)管理、移動應(yīng)用管理。以下我們將為您詳細(xì)介紹這些工具的功能和提供商。

數(shù)據(jù)泄露防護(hù)

許多公司已經(jīng)在數(shù)據(jù)泄露防護(hù)(DLP)工具上投資了數(shù)百萬美元。這些工具可以通過文本分析和元標(biāo)記對數(shù)據(jù)訪問權(quán)進(jìn)行分類，然后監(jiān)視信息流(如電子郵件內(nèi)容)以查找有問題的數(shù)據(jù)類型。例如，社會保險(xiǎn)號或被標(biāo)記為公司秘密的文件。DLP工具通常被設(shè)置用于警告IT部門或用戶可能存在的問題，但是它們也可以設(shè)置為先阻止信息，然后再進(jìn)行詢問。

DLP工具需要公司制定信息安全規(guī)定(通常與用戶角色相關(guān))，然后對進(jìn)出企業(yè)的信息進(jìn)行標(biāo)記。DLP還需要將所有的信息流都匯聚至DLP服務(wù)器以確保這些信息都能夠被分析。

DLP工具并不是新東西，但是將它們應(yīng)用于移動信息流中的這種作法卻是新的。以下幾種移動DLP方法。

讓所有的移動流量都流經(jīng)公司的DLP服務(wù)器，例如賽門鐵克的解決方案。

提供一個(gè)應(yīng)用以訪問公司的信息庫，例如SharePoint。這一應(yīng)用可以識別信息庫中文件所設(shè)置的訪問權(quán)限。Zenprise的解決方案為一個(gè)針對SharePoint的工具，當(dāng)然許多云存儲提供商(如Accellion、Box.net、Dropbox和YouSendIt)均提供了可由 IT部門管理的云存儲服務(wù)。

利用由Good Technology、MobileIron和SAP Sybase等公司提供的API在應(yīng)用程序中加入內(nèi)容管理。目前被稱為移動應(yīng)用管理的相關(guān)技術(shù)領(lǐng)域已經(jīng)延伸至了內(nèi)容管理。

移動設(shè)備管理

如果說2011年是自帶設(shè)備(BYOD)現(xiàn)象合法化之年，那么2011年就是移動設(shè)備管理(MDM)工具被允許作為BYOD安全防護(hù)措施之年。目前有許多廠商提供MDM工具并不讓人感到意外。

目前，MDM工具已經(jīng)被部署在金融服務(wù)、國防、政府和醫(yī)療環(huán)境中。這些領(lǐng)域都十分關(guān)注信息安全。不過，MDM并不是新鮮事物，企業(yè)使用多年的黑莓企業(yè)服務(wù)器(BES)就是MDM。通過BES，企業(yè)可以管理訪問權(quán)和黑莓信息設(shè)備的設(shè)備許可權(quán)。微軟Exchange是使用最為廣泛的電子郵件服務(wù)器，其也支持通過Exchange ActiveSync(EAS)協(xié)議設(shè)置適當(dāng)?shù)牟呗浴?/p>

EAS策略能夠命令設(shè)備加密、設(shè)置復(fù)雜密碼或屏蔽設(shè)備攝像頭。IT部門在Exchange或谷歌Apps企業(yè)版中管理這些策略。不久，微軟的 System Center 2012也將擁有這種能力。這種電子郵件服務(wù)器與企業(yè)識別服務(wù)器(通常為微軟的Active Directory)結(jié)合可確定哪些策略適用用哪些用戶。如果用戶設(shè)備不符合用戶相關(guān)規(guī)定，那么設(shè)備被拒絕部分或所有的訪問。這些服務(wù)器還可以讓IT部門遠(yuǎn)程鎖定或刪除遺失或被竊設(shè)備中的內(nèi)容。

蘋果iOS、已經(jīng)淘汰的Windows Mobile、部分版本的谷歌安卓、部分版本的諾基亞塞班等移動平臺都支持大量EAS策略。與此同時(shí)，Windows PC的微軟Outlook電子郵件客戶端、Mac OS X的Mac和蘋果Mail客戶端也具有這種能力。相反，微軟新推出的Windows Phone 7、部分版本的谷歌安卓和已經(jīng)淘汰的惠普WebOS等移動平臺僅支持有限的EAS策略。(RIM的黑莓設(shè)備通過BES產(chǎn)品和連接器實(shí)現(xiàn)這一功能，也可以與微軟Exchange和谷歌Apps在一定程度上實(shí)現(xiàn)這一功能。)

大多數(shù)MDM廠商的產(chǎn)品在功能上超過了Exchange和其它郵件服務(wù)器所能提供的功能，增加了對移動操作系統(tǒng)可能支持的非EAS策略的訪問權(quán)。例如，蘋果iOS 5有一個(gè)可以讓IT部門退訂其iCloud文件同步服務(wù)的策略。

一些MDM廠商除了在多種移動平臺中部署額外的策略外，還進(jìn)一步開發(fā)出了一些功能，如探測經(jīng)過修改(“越獄”)的操作系統(tǒng)。這樣，用戶能夠在其中運(yùn)行他們的移動應(yīng)用和本地應(yīng)用。在這個(gè)應(yīng)用“容器”內(nèi)的任何東西都必須遵守MDM廠商制定的特殊策略，在用戶的設(shè)備中為IT部門形成了一個(gè)安全區(qū)。(這些應(yīng)用能夠設(shè)置為不與安全區(qū)外共享信息，其實(shí)就是將公司信息與設(shè)備的其它部分隔離開來。)部分MDM廠商還提供一些功能，這些功能能夠?yàn)橐苿佑脩籼峁┳烂嬷С?，控制通信開銷，如在員工的移動設(shè)備處于國際漫游狀態(tài)時(shí)對員工進(jìn)行提醒。

MDM廠商和相關(guān)的IT部門所面臨的挑戰(zhàn)是因?yàn)椴煌囊苿悠脚_有著不同的功能，不可能通過一個(gè)統(tǒng)一的管理方法管理所有的設(shè)備。MDM廠商在這些平臺變化時(shí)很難時(shí)刻跟上它們的功能變化，但是IT部門仍必須要面對一個(gè)現(xiàn)實(shí)情況，即他們可能需要在策略需求上保持一定的靈性，以支持最為流行的商業(yè)級設(shè)備。在支持iOS設(shè)備當(dāng)中出現(xiàn)了一個(gè)解決辦法：蘋果需要公司從蘋果那里得到他們自己的蘋果推送通知服務(wù)(APNS)證書，以授權(quán)進(jìn)行MDM管理。這一證書將代你給予MDM工具許可，讓其通過蘋果的通知服務(wù)器訪問iOS設(shè)備。

一個(gè)相關(guān)的解決辦法是使用網(wǎng)絡(luò)訪問控制探測移動訪問并對該訪問執(zhí)行相關(guān)的用戶策略。例如，F(xiàn)5 Networks已經(jīng)與多家MDM公司(AirWatch、MobileIron、SilverbackMDM和Zenprise)展開合作，讓他們各自的管理工具能夠共同工作。Aruba Networks計(jì)劃在3月份推出一款基于移動設(shè)備專用網(wǎng)絡(luò)控制器的訪問管理產(chǎn)品，其能夠監(jiān)控設(shè)備訪問，并對這些訪問執(zhí)行相關(guān)的策略。滿足關(guān)鍵移動管理需求的主要廠商

移動應(yīng)用管理

在控制移動信息訪問方面，移動應(yīng)用管理(MAM)領(lǐng)域發(fā)展尚不成熟。目前該領(lǐng)域包括多種類型的方案：

應(yīng)用分發(fā)，例如通過公司的應(yīng)用商店。這種方案主要把重點(diǎn)放在了管理本地Web和原生應(yīng)用的分發(fā)和許可上，不過它還能夠?yàn)橛脩籼峁┕矐?yīng)用商店中推薦應(yīng)用的鏈接。部分方案還能夠管理公司為內(nèi)部使用所開發(fā)的原生iOS應(yīng)用。

安全應(yīng)用開發(fā)，為本地應(yīng)用內(nèi)容和公司網(wǎng)絡(luò)資源訪問增加安全與許可控制。該方案通常是一個(gè)管理控制臺，允許IT部門使用內(nèi)置的控制權(quán)。

應(yīng)用內(nèi)容管理，例如限制應(yīng)用與其它應(yīng)用共享授權(quán)的內(nèi)容。盡管在一些案例中，商業(yè)應(yīng)用開發(fā)者也可以使用這種方案與管理工具進(jìn)行協(xié)作，但是這種方案重點(diǎn)還是本地應(yīng)用。 這一領(lǐng)域廠商N(yùn)ukona采用了將權(quán)限設(shè)置在應(yīng)用周邊這種不尋常的解決方案，而不是需要應(yīng)用的內(nèi)部代碼以執(zhí)行相關(guān)策略——這有點(diǎn)類似DLP封裝。其它一些提供商采取的解決方案是依靠在應(yīng)用代碼內(nèi)部明確指定策略。

安全應(yīng)用容器，即創(chuàng)建一個(gè)獨(dú)立的分區(qū)、應(yīng)用容器或虛擬機(jī)將公司應(yīng)用與數(shù)據(jù)與個(gè)人應(yīng)用與數(shù)據(jù)了隔離起來。除了通過技術(shù)確保幾個(gè)特定應(yīng)用中的數(shù)據(jù)安全外，這種方案允許在容器內(nèi)的應(yīng)用之間更為自由的使用數(shù)據(jù)。這一方案不同于使用虛擬桌面基礎(chǔ)設(shè)施(VDI)在窗口中呈現(xiàn)遠(yuǎn)程應(yīng)用。例如，Citrix Receiver 和VMware View等應(yīng)用除了鍵盤和虛擬鼠標(biāo)外，幾乎沒有訪問移動設(shè)備的信息或功能的權(quán)限。相關(guān)的解決方案是在移動設(shè)備中創(chuàng)建獨(dú)立的分區(qū)——一個(gè)分區(qū)用于存儲個(gè)人應(yīng)用和數(shù)據(jù)，另外的分區(qū)用于存儲可由IT部門管理的業(yè)務(wù)應(yīng)用和數(shù)據(jù)。

目前MAM解決方案面臨的困難是，它們通常都是針對特定的應(yīng)用。這使得它們在本地開發(fā)的應(yīng)用中受到歡迎，不過許多廠商已經(jīng)開始與商業(yè)開發(fā)者共同工作，以內(nèi)置他們的技術(shù)。隨著時(shí)間的發(fā)展，我們可能會看到更多用戶安裝程序支持這類應(yīng)用和內(nèi)容管理。商業(yè)開發(fā)者仍然需要選取一個(gè)API和一個(gè)廠商，或在他們的應(yīng)用中使用多個(gè)API，不過這將增加了方案的復(fù)雜性。

真正需要的當(dāng)然是一套常用的內(nèi)容管理API，所有的應(yīng)用都能夠使用任何管理工具，類似于目前設(shè)備管理中的微軟EAS協(xié)議。在EAS中，廠商能夠通過增強(qiáng)功能為獨(dú)立的應(yīng)用需求增加核心策略，商業(yè)開發(fā)者能夠決定使用這些增強(qiáng)功能的時(shí)機(jī)，例如訪問高安全性市場。