【2012年12月13日 51CTO外電頭條】移動領域的安全問題倒是跟黑客關系不大——除了Google Play軟件市場中那些以合法產品自居的惡意軟件之外，移動設備的安全性其實比普通PC要好一些。真正的挑戰在于，使用者往往在不自覺的情況下把業務敏感信息泄露給聯系人、陌生對象、違反隱私管理規定或是把合規性義務拋諸腦后。大多數過錯屬于無心之失，但也有一些員工會故意破壞制度——無論如何，事情一旦發生，造成的后果都是嚴重甚至是致命的。

這就把企業逼到了相當尷尬的境地。一份又一份調查報告不斷提醒我們，能夠將自有技術帶入日常工作的員工不僅心理更愉悅、生產力也會切實得到提高，因此企業也的確希望移動趨勢能給業務帶來改善。然而管理者同時也需要充分利用規定保護商業機密。好消息是，盡管管理方案與工具還很年輕，但目前我們已經擁有不少能夠降低風險、最大程度發揮消費化收益的成熟模式可供借鑒。

對于移動設備而言，這些工具可以分為以下幾大類：數據丟失預防、移動數據管理以及移動應用管理。通過分類，我們明確理解了方案的管理對象與核心機制。

數據丟失預防

已經有許多企業斥資數百萬美元用于采購數據丟失預防（簡稱DLP）工具。這類工具利用文本分析及元標記來修改數據訪問權限，進而監控信息流（例如郵件中的具體內容），尋找可能存在異常的數據類型——舉例來說，社保號碼或者被標記為機密的業務文件。DLP工具通常會把潛在問題以警告方式提醒IT部門或用戶，但也可以通過編程方式直接阻斷信息傳輸、然后再詢問管理意見。

要讓DLP工具順利起效，我們必須首先創建信息管理政策（通常的做法是將用戶劃分成不同角色），然后對企業中的各類信息進行標注。另外，我們還需要確保全部信息流經由DLP服務器，這樣才能保證信息內容獲得分析整理。

DLP工具不算什么新鮮事物，但它在移動信息流方面的應用卻絕對屬于剛剛起步。移動DLP一般分為以下幾種方案：

1. 將所有移動流量送往DLP服務器，并在分析完成后再分發到目標位置——賽門鐵克的產品采用這種方式。
2. 提供一款移動應用，專門用于訪問SharePoint等企業信息存儲體系；應用本身嚴格遵循存儲體系中文件的管理許可。Zenprise公司就為SharePoint推出過這類產品，當然很多云存儲供應商（例如Accellion、Box、Dropbox以及YouSendIT）也有針對性地開發出能夠為IT部門所管理的云存儲服務。
3. 通過來自Good Technology、MobileIron以及SAP Sybase等公司的API將內容管理機制嵌入到業務應用程序當中。移動應用管理在概念上與這種方案比較相近，也能夠深入到內容管理的層面展開工作。

移動設備管理：MDM

如果2010年是自帶設備（BYOD）模式獲得合法化身份的元年，那么2011年則是移動設備管理（MDM）工具正式成為BYOD安全標準化解決方案的又一里程碑。而且不出意外，目前已經有十幾家供應商開始研發并推出MDM工具。

時至今日，MDM工具已經被廣泛應用于金融服務、安全保障、政府機關以及醫藥產業——而這些恰恰是對信息安全性要求最高的商務領域。不過MDM已經不是什么新鮮事物，多年來許多企業早已利用BlackBerry Enterprise Server（BES）來管理BlackBerry移動設備的訪問權限及使用許可等工作。目前普及面最廣的郵件服務器微軟Exchange所內置的Exchange ActiveSync（EAS）協議則成為支持面最廣、也最具次世代氣質的管理政策。

EAS政策能夠以強制方式要求設備進行數據加密、設定高強度密碼或是禁用攝像頭，IT部門則能夠在Exchange服務器或者Google App企業版本中進行政策設定，所說微軟SYsten Center 2012也將加入上述功能。郵件服務器與企業驗證服務器緊密相關（通常使用微軟的Active Directory），用于檢測特定政策是否正確作用于特定用戶群體。如果某臺設備無法實現政策中對使用者做出的要求，該設備將的訪問將被全部或部分攔截。這些服務器還允許 IT部門以遠程方式對丟失或被盜的設備進行鎖定或者數據清除。

蘋果的iOS、已經過氣的Windows Mobile、某些谷歌Android版本以及同樣日漸消亡的諾基亞塞班移動平臺都支持一定數量的EAS管理政策，這與Windows PC、Mac機對微軟Outlook郵件客戶端以及Mac OS X對蘋果Mail客戶端的支持非常類似。根據官方說明，微軟Windows Phone 7以及某些谷歌Android版本只支持有限的幾項EAS政策。（RIM公司的BlackBerry設備一般都與其BES產品共同使用，不過在連接工具的幫助下倒也能跟微軟Exchange與谷歌Apps協作——不過后面這二位在安全功能方面與BES差距巨大，這么做實在毫無意義。）

大多數MDM供應商的產品都需要在功能方面超越Exchange或其它郵件服務器，因為只有為移動操作系統提供EAS所不具備的EAS政策，這些第三方工具才有存在的價值。舉例來說，蘋果公司的iOS 5就內置了一項新政策，允許IT部門禁用其iCloud文件同步服務。

某些MDM供應商則走得更遠，他們不滿足于為移動平臺廣泛提供額外政策，更希望能夠在檢測操作系統版本異常（例如揪出已經‘越獄’的蘋果產品）方面有所建樹。為了實現這類高級功能，用戶必須在這類MDM提供的環境內部運行移動應用及其它軟件。任何運行于這套“容器”環境下的應用都會同時獲得MDM供應商所提供的全部特殊政策，這相當于讓IT部門在用戶的個人設備中擁有了一塊安全區域。（通過設置，應用所涉及的信息能夠不與任何安全區域之外的環境交互，這就從根本上將業務數據與設備的其它組件隔離開來。）有些MDM供應商還為移動用戶提供服務臺支持功能甚至控制通話費用——也就是在用戶出國時提醒其注意國際漫游狀態。

MDM供應商所面臨的技術挑戰與IT部門比較類似，主要在于為不同移動平臺提供有針對性的差異化功能——事實上我們根本無法為所有設備創建一套統一的管理方案。MDM供應商的辦法是頻繁更新，保證各設備平臺在出現系統升級或硬件變更后能快速獲得與之相適應的新工具。然而IT部門則非常無力，企業規模的限制讓少數技術人員不可能以靈活的方式為大部分主流企業級設備提供必要政策。有鑒于此，iOS設備就成了很多管理者的救命稻草：蘋果公司強制要求企業采用Apple Push Notification Service（蘋果推送通知服務，簡稱APNS）證書，這就讓蘋果的MDM管理工具能夠真正貫徹到業務環境當中。在這套證書的支持下，管理者能夠根據自身需求為MDM工具設置權限，進而通過蘋果的通知服務器訪問iOS設備。

另一套與此相近的方案是利用網絡訪問控制器來檢測移動訪問活動，同時將用戶管理政策添加到訪問當中。舉例來說，F5網絡公司就與多家MDM企業建立了合作伙伴關系（其中包括AirWatch、MobileIron、SilverbackMDM以及Zenprise），并以此為基礎實現多種工具的順利協作。Aruba網絡公司則計劃通過一套移動設備網絡控制體系打造出訪問管理工具，用于監控設備訪問并實施管理政策。

移動應用管理：MAM

移動信息訪問控制領域中年紀最小的成員就是移動應用管理（MAM）工具，它目前主要分為以下幾大類：

1. 應用發布——與我們常見的企業應用商店頗為相近。它的主要作用是管理由企業自主開發的Web及本機應用并進行發布，但它同時也能向用戶提供核準應用在公共應用商店中的下載鏈接。某些工具甚至可以管理由企業開發的、只在內部環境中使用的本機iOS應用。
2. 應用開發安全——為企業自主開發的應用內容及網絡資源訪問活動提供額外的安全與審核機制。它通過以控制臺形式出現，允許IT部門以此為平臺進行各類內置控制。
3. 應用內容管理——主要用于約束應用與其它軟件共享驗證內容的權限。這方面所針對的仍然以企業自家的應用為主，不過某些情況下也能充當商業應用開發者的管理工具。此領域的兩大供應商分別是Mocana與賽門鐵克（后者通過收購Nukona才正式上位），他們在應用程序權限許可方案上沒有采取傳統的DLP路線（即通過應用內部代碼實現管理政策），而另辟蹊徑、找到了更靈活的解決辦法。除了這兩家領頭羊之外，其它供應商仍然在修改應用代碼的層面上苦苦掙扎。
4. 安全應用容器——它所創建的隔離區域、應用容器或者虛擬環境能夠將大多數業務應用及數據與用戶的個人信息彼此隔絕。這套方案的跳出了原先虛擬桌面基礎設施（VDI）的思維桎梏，直接實現了一個窗口搞定遠程應用管理功能的目標。這類應用程序（例如Citrix的Receiver以及VMware的View）幾乎不必訪問任何移動設備中的信息或本機功能，也讓管理者擺脫了沒有鍵盤鼠標就無法進行操作的窘境。除此之外，還有一類方案專門負責在設備上創建隔離環境——一套專門承載個人應用與數據、另一則容納IT管理下的業務應用與數據。

目前MAM方案所面臨的最大難題在于，大多數產品都只能作用于特定應用。這對于有能力開發自有業務應用的企業而言倒是沒什么大礙，但在商業開發人士看來，缺乏廣泛支持能力的管理工具距離完美仍然有很長的路要走。隨著時間的推移，我們應該會看到更多允許用戶自己安裝、自己操控的應用及內容管理功能。這些功能只要能與企業現有MDM或其它工具順利對接，那么移動安全的整體布局也就初具規模了。不過商業開發者或供應商仍然需要為自己的應用產品選擇一款或多款API，并承擔由此帶來的局限性或復雜性。

當然，目前大家最需要的是一款通用內容管理API“大補丸”，這套能夠讓所有應用與任何管理工具受益的整合方案可以說是功德無量——一旦出現，這款產品將很快獲得微軟EAS協議在設備管理領域相對等的崇高地位，并立即成為行業標準。在EAS這邊，供應商需要做的是針對特定應用需求推出核心向政策強化服務，而商業開發者則可以自由選擇支持或放棄這些額外功能。通過這種方式，應用程序開發將真正進入安全、開放的新時代。

主流供應商與關鍵性移動管理需求