隨著人們不斷地提高筆記本電腦的安全性和集成度，筆記本電腦的功能已經(jīng)足夠強(qiáng)大。那么，如今涌入產(chǎn)業(yè)界的下一代網(wǎng)絡(luò)終端設(shè)備的性能又如何呢？平板電腦現(xiàn)在在業(yè)界正炙手可熱，其中的佼佼者便是蘋果的iPad。毫無疑問，在接下來的幾個(gè)月里，iPad在企業(yè)中的應(yīng)用將會增加。

要高效地使用這款流行的平板電腦，工人需要訪問企業(yè)的應(yīng)用程序和數(shù)據(jù)，但這也意味著企業(yè)的程序和數(shù)據(jù)等資源不能違反相關(guān)政策，并且不能對iPad進(jìn)行“越獄”。接下來讓我們討論討論，對于那些想要將iPad作為其企業(yè)網(wǎng)絡(luò)終端的人們來說，集成iPad都有哪些方法。

方法1：來賓終端（Guest endpoints）

作為一款支持Wi-Fi的設(shè)備，iPad能夠接入任何開放的無線局域網(wǎng)（WLAN），包括來賓式無線局域網(wǎng)(guest WLANs)。因此，一種在網(wǎng)絡(luò)中集成iPad的方式就是默認(rèn)將員工擁有的iPad當(dāng)做來賓終端，就像對待其他無法管理的來賓終端一樣。

網(wǎng)絡(luò)訪問控制（NAC）產(chǎn)品通常用于控制來賓對網(wǎng)絡(luò)的訪問，如對來賓接入網(wǎng)絡(luò)的時(shí)間進(jìn)行限制，或者在接入前對其進(jìn)行安全掃描。但是，NAC服務(wù)器無法持續(xù)地為iPad布置NAC客戶端，也不能強(qiáng)制iPad運(yùn)行基于瀏覽器的安全掃描。因此，我們只應(yīng)給予iPad基于Web或因特網(wǎng)方式的接入權(quán)限。

在這種方法中，網(wǎng)絡(luò)訪問控制器和網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)可配合使用，用于識別iPad、監(jiān)測終端接入系統(tǒng)后的活動以及斷開“不守規(guī)矩”的設(shè)備。雖然這兩種技術(shù)能夠提供可視化功能，并且也能夠保護(hù)網(wǎng)絡(luò)，但是僅對iPad設(shè)備提供普通的來賓訪問權(quán)限并不能使其成為一個(gè)（真正意義上的）企業(yè)用網(wǎng)絡(luò)終端，相反還會限制該設(shè)備的能力。

方法2：遠(yuǎn)程終端（Remote endpoints）

另外一種方法是將iPad當(dāng)做遠(yuǎn)程終端來使用，即便是在本地?zé)o線局域網(wǎng)內(nèi)也可以這樣做。例如，已接入英特網(wǎng)的iPad可以通過Exchange ActiveSync（交流同步）檢索公司郵件，或者使用由思科系統(tǒng)公司或Juniper網(wǎng)絡(luò)公司提供的VPN客戶端來獲得比來賓賬戶更大的網(wǎng)絡(luò)接入權(quán)限。

我們可以要求iPad的使用者瀏覽預(yù)提供的網(wǎng)絡(luò)地址，安裝配置檔案進(jìn)行批量系統(tǒng)設(shè)置，這些設(shè)置包括設(shè)備的加密和密碼要求、數(shù)字證書、VPN和Exchange的使用參數(shù)及使用限制（如禁用攝像頭）。配置檔案能夠被鎖定并加密，以防止共享或者篡改，但關(guān)鍵還是在于強(qiáng)制執(zhí)行配置檔案；安裝配置檔案也不能夠確保每一臺iPad都兼容。

要解決這個(gè)問題，一個(gè)辦法是每當(dāng)電子郵件被閱讀時(shí)，使用Exchange ActiveSync檢測被選擇的iPad的配置情況，剔除不兼容的終端。例如，在Exchange ActiveSync的政策設(shè)置里我們可以阻止未簽名的應(yīng)用程序閱讀公司郵件。同樣地，它也能夠?qū)⒄咴O(shè)置傳遞給那些擁有Exchange訪問權(quán)限的iPad，iPad還可以被設(shè)置為定期刷新這些政策設(shè)置。

另一種辦法是安裝與iOS兼容并具有整體系統(tǒng)評估能力的VPN客戶端。例如，Juniper公司的Junos Pulse Mobile Security Suite，該套件結(jié)合了SSL VPN技術(shù)與終端安全措施，如反病毒、反垃圾郵件以及接入企業(yè)網(wǎng)絡(luò)所必需的應(yīng)用程序控制等。該VPN客戶端甚至可以在受理相同的身份認(rèn)證、整體監(jiān)測或授權(quán)策略時(shí)自由地在Wi-Fi網(wǎng)絡(luò)和移動通信網(wǎng)絡(luò)之間漫游。我們還可以選擇使用思科的與iOS兼容的AnyConnect。

方法3：受控終端（Managed endpoints）

最后，我們來討論控制式的終端。許多企業(yè)通過采取某些移動設(shè)備管理（MDM）控制措施來實(shí)現(xiàn)對iPad的完整集成。這可以在如今運(yùn)行iOS4的iPad上面實(shí)現(xiàn)。

在iOS4中，蘋果為供應(yīng)商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了遠(yuǎn)程訪問接口。通過這種方法，使用者通過瀏覽預(yù)提供的網(wǎng)絡(luò)地址在公司的MDM服務(wù)器和iPad之間建立連接。然后，MDM的請求和響應(yīng)由蘋果的推進(jìn)通知服務(wù)（Push Notification Service）轉(zhuǎn)發(fā)。通過這種渠道，配置檔案和企業(yè)應(yīng)用程序?qū)⑼ㄟ^無線網(wǎng)絡(luò)被發(fā)送至受控制的iPad，同時(shí)終端配置和應(yīng)用事件也可以發(fā)送回MDM服務(wù)器。

這些技術(shù)能夠?yàn)橄到y(tǒng)提供近乎實(shí)時(shí)的完整評估和執(zhí)行能力。例如，配置檔案可被用于配置企業(yè)的VPM或者Exchange訪問權(quán)限。如果訪問權(quán)限之后被吊銷，MDM可以移除配置檔案，刪除所有相關(guān)的企業(yè)數(shù)據(jù)，包括電子郵件信息、聯(lián)系人和日歷條目。同樣地，如果MDM檢測到某一iPad被“越獄”了，那么該iPad與MDM服務(wù)器之間的協(xié)作關(guān)系可被解除，之前iPad上所安裝的企業(yè)應(yīng)用程序也可以被禁用。

蘋果限制了iOS4 MDM能控制的配置以及可執(zhí)行的命令。具體而言，你不能強(qiáng)制安裝受推薦的蘋果商店應(yīng)用，這會使得你可以很方便地安裝安全程序如VPN客戶端或惡意軟件掃描程序。雖然iOS4的版本可以被檢測到，但目前還無法通過無線網(wǎng)絡(luò)進(jìn)行iOS4的更新；更新仍然必須通過iTunes進(jìn)行。

然而，MDM產(chǎn)品目前已經(jīng)開始使用這些接口在iPad上評估和執(zhí)行某些特定規(guī)范。例如，AirWatch能夠根據(jù)預(yù)先提供的黑名單，檢查安裝在任何iPad商店應(yīng)用程序，從而采取相應(yīng)的措施，如警告用戶或者遠(yuǎn)程卸載iPad上的違規(guī)程序。MobileIron可以（當(dāng)然它的功能不止于此）在任何擁有過期的管理策略、被禁用的加密、未授權(quán)硬件版本等的iPad上刪除Exchange、VPN或者WLAN配置檔案。

總結(jié)

像iPad這樣的平板電腦需要新的工具去實(shí)現(xiàn)、評估和執(zhí)行終端集成。但是，同筆記本電腦和上網(wǎng)本一樣，iPad的安全策略控制方法繁多，有高度可視化/觸摸類的工具，也有可提供廣泛控制的高度集成工具。有些企業(yè)可能會根據(jù)需要同時(shí)采取多種方法，例如，控制管理那些裝有企業(yè)程序的iPad，同時(shí)將那些沒有安裝企業(yè)程序的當(dāng)做普通來賓。

【編輯推薦】

1. 想采用iPhone，iPad？請先考慮網(wǎng)絡(luò)安全
2. 任子行企業(yè)單位終端安全解決方案
3. 2011年終端管理系統(tǒng)市場預(yù)測
4. 和信創(chuàng)天：解讀終端管理誤區(qū)