【2011年12月8日 51CTO外電頭條】IT專家們對(duì)iPhone的未來充滿擔(dān)憂，因?yàn)椴痪弥笕狈Ρ匾踩a(bǔ)丁的Anroid產(chǎn)品將使業(yè)務(wù)流程中充斥著惡意軟件。

基于Android系統(tǒng)的設(shè)備在智能手機(jī)市場(chǎng)中已經(jīng)占據(jù)了半壁江山（44%），研究公司ComScore指出，緊隨其后的是擁有27%份額的蘋果 iPhone以及掌控20%份額的Motion BlackBerry手機(jī)。但在商務(wù)領(lǐng)域中，iPhone才是當(dāng)之無愧的領(lǐng)導(dǎo)者，占整體智能手機(jī)使用比例的 45%；ComScore的調(diào)查顯示，其后為BlackBerry的32%和Android的21%。

我相信到2012年7月，Android在業(yè)務(wù)處理方面的應(yīng)用比例將超過BlackBerry，甚至可能在2013年從iPhone手中奪過第一的寶座。而且無論屆時(shí)實(shí)際應(yīng)用比例怎樣，Android企業(yè)級(jí)移動(dòng)開發(fā)產(chǎn)品在訪問企業(yè)網(wǎng)絡(luò)及相關(guān)數(shù)據(jù)設(shè)備方面的增長(zhǎng)速度是毋庸置疑的——這同時(shí)也構(gòu)成了巨大的商業(yè)風(fēng)險(xiǎn)并給IT部門帶來前所未有的挑戰(zhàn)。

在過去的08年到10年這段時(shí)間內(nèi)，IT人士普遍憂心iPhone的參與會(huì)提升企業(yè)的日常安全維護(hù)成本。但蘋果公司適時(shí)在iOS 4系統(tǒng)中使用 Exchange ActiveSync（簡(jiǎn)稱EAS）安全策略，并為各類第三方設(shè)備管理MDM（即移動(dòng)設(shè)備管理）工具提供必要的API，這就使得iPhone對(duì)于絕大多數(shù) 企業(yè)而言成為一種安全設(shè)備；其在商務(wù)范疇中的應(yīng)用也由此激增。

為什么Android會(huì)成為IT人士的噩夢(mèng)

但Android的情況則完全不同。它同樣由員工的個(gè)人喜好為契機(jī)向企業(yè)商務(wù)進(jìn)發(fā)，但從安全及管理的角度來看，Android是一款相當(dāng)危險(xiǎn)的操作系統(tǒng)。它給商務(wù)流程帶來了不容忽視的安全威脅，甚至比Windows系統(tǒng)給IT部門帶來的麻煩更糟。具體原因如下所述：

Android簡(jiǎn)直是吸引惡意軟件的磁鐵。Android軟件市場(chǎng)中充斥著各種偽裝成合法應(yīng)用程序的惡意軟件，不僅竊取信息、還給機(jī)主帶來高額的短信與通話費(fèi)用。根據(jù)安全廠商McAfee的報(bào)告，為Android系統(tǒng)開發(fā)惡意軟件非常簡(jiǎn)單，因此所有新型移動(dòng)設(shè)備惡意軟件都出現(xiàn)在Android上；也就是說，盡管iOS市場(chǎng)占有率遙遙領(lǐng)先，但犯罪分子并沒有打它的主意，甚至連長(zhǎng)期維持不變的BlackBerry OS都比Android難攻破。不過希望大家不要把惡意軟件與病毒（病毒是一種會(huì)感染其它設(shè)備及個(gè)人電腦的應(yīng)用程序）混為一談——Android感染其它設(shè)備的機(jī)率其實(shí)很低，在這一點(diǎn)上我得說，卡巴斯基實(shí)驗(yàn)室、McAfee公司以及賽門鐵克等以利己主義為優(yōu)先進(jìn)行宣傳的公司實(shí)在是言過其實(shí)了。

Android系統(tǒng)的版本之多簡(jiǎn)直要人老命。Android系統(tǒng)的構(gòu)成體系可以說是散漫而毫無規(guī)律可言的，每個(gè)階段都有好幾個(gè)操作系統(tǒng)版本供用戶使用。當(dāng)下正在發(fā)售的智能手機(jī)可以運(yùn)行Android “Froyo” 2.2、“姜餅” 2.3或者是——本月剛剛放出的—— “冰淇淋三明治” 4.0。平板設(shè)備則可以運(yùn)行Android 2.2、2.3或者“ 蜂窩 ”3.0、3.1以及3.2，連才出襁褓的Android 4.0也能夠插進(jìn)一腳來。比起一款平臺(tái)，Android更像是眾多一次性產(chǎn)品的集合體。相比之下，蘋果公司同時(shí)只銷售一個(gè)版本的iOS系統(tǒng)，而RIM公司基本上也對(duì)自己的BlackBerry OS采取同樣的戰(zhàn)略。

Android總是缺乏必要的補(bǔ)丁。更糟糕的是，這些錯(cuò)綜復(fù)雜的版本帶來了 紛亂難理的補(bǔ)丁機(jī)制——從一家運(yùn)營(yíng)商、制造商或者二者的結(jié)合體處我們可能會(huì)獲得一套補(bǔ)?。ó?dāng)然也可能干脆就沒有），而到了別家補(bǔ)丁內(nèi)容就不一樣了。相比之下，蘋果公 司會(huì)同時(shí)向所有運(yùn)營(yíng)商管理的所有設(shè)備發(fā)布操作系統(tǒng)更新及補(bǔ)丁程序，而且通常會(huì)包含在過去兩年之內(nèi)發(fā)布的每一款機(jī)型。RIM公司的產(chǎn)品組合策略則介于二者之 間，即為不同的硬件配備不同的操作系統(tǒng)，而補(bǔ)丁發(fā)布也隨之變化，但總體來說還是要好過Android系統(tǒng)。

對(duì)于IT部門而言，最大的困擾在于根本沒有一套完整的所謂“Android企業(yè)級(jí)移動(dòng)開發(fā)平臺(tái)”讓他們管理。盡管Windows系統(tǒng)也同Android一樣始終飽 受惡意軟件的侵襲，但I(xiàn)T部門至少清楚所有由微軟發(fā)布的操作系統(tǒng)補(bǔ)丁都適用于全部硬件供應(yīng)商所提供的個(gè)人電腦產(chǎn)品——這樣IT部門也就有了將這些補(bǔ)丁整合 并一次推出的能力。而在Android方面就不是這么回事兒了，IT部門此時(shí)不要說控制力、就連補(bǔ)丁內(nèi)容的一致性都無法把握。

但這一切對(duì)用戶來說都不構(gòu)成影響，因?yàn)檫@壓根不是用戶該操心的事情；而隨著自帶設(shè)備辦公逐漸成為大多數(shù)企業(yè)的正常規(guī)范，那么在歡迎iPhone與BlackBerry的同時(shí)抵觸Android產(chǎn)品無疑算得上一種失策（全盤否定也不明智，畢竟納入iPhone與BlackBerry設(shè)備對(duì)企業(yè)業(yè)務(wù)的確有很大提升）。#p#

IT部門要如何減少此類負(fù)面因素帶來的影響

鑒于上述情況，在這里我建議大家做到以下幾點(diǎn)：

堅(jiān)持基本的EAS支持。 Android 3.x平板設(shè)備與4.0設(shè)備（同時(shí)包括智能手機(jī)與平板）支持EAS策略中的密碼與設(shè)備加密部分，這與iOS系統(tǒng)所做的比較接近；擁有此類能力的機(jī)型包括由摩托羅拉出品的2011款A(yù)ndroid 2.3智能手機(jī)與三星Galaxy II S以及Galaxy Note智能手機(jī)。大家不妨建議用戶優(yōu)先使用這些產(chǎn)品。此外，幫助大家了解哪些設(shè)備雖然支持Android 4.0系統(tǒng)，卻由于本身的硬件限制而不支持加密功能，以此來確保他們選擇能夠滿足我們自身安全要求的硬件設(shè)備（在企業(yè)中搞個(gè)專門的宣傳欄或是搞一次機(jī)型推 薦活動(dòng)也不錯(cuò)）。必須拒絕那些由不支持我們EAS策略的設(shè)備處發(fā)來的訪問。類似最新的MobileIron 4.5這樣的MDM服務(wù)工具能夠以一套通用的EAS設(shè)置及補(bǔ)充政策為基礎(chǔ)（它同樣適用于iOS系統(tǒng)），幫我們檢測(cè)出哪些設(shè)備不符合企業(yè)的安全要求，并根據(jù)實(shí)際需要適當(dāng)調(diào)整不合格設(shè)備的訪問權(quán)限等。

如果我們對(duì)智能手機(jī)的主要業(yè)務(wù)需求是處理電子郵件，那么不妨勸說那些堅(jiān)持選擇其它Android設(shè)備的用戶使用NitroDesk出品的 TouchDown應(yīng)用程序，它能夠?yàn)槠髽I(yè)郵件、聯(lián)系人以及日程規(guī)劃創(chuàng)建出一套沙箱容器，且與Adnroid 3.x與4.0一樣符合EAS的密碼與加密規(guī)范。某些MDM客戶端，例如AirWatch、MobileIron、Sybase以及即將由 Enterproid推出的Divide應(yīng)用程序等，都能夠?yàn)槠髽I(yè)服務(wù)提供類似的沙箱保護(hù)機(jī)制。

在可能的時(shí)候盡量使用反惡意軟件。為iOS系統(tǒng)購買反惡意軟件無疑是錢多了沒處花的行為——但為Android投點(diǎn)資則十分必要。鑒于Android軟件市場(chǎng)中泛濫的惡意軟件之多與設(shè)備本身成為攻擊者目標(biāo)的幾率之高，我相信大家除了按要求使用反惡意軟件之外沒有第二個(gè)選擇。但這里我要提醒各位：目前的各大主要供應(yīng)商幾乎沒 有推出過確切的反惡意軟件，只有McAfee提供了一款客戶端應(yīng)用程序。賽門鐵克目前還沒有為Android系統(tǒng)打造反惡意軟件，但據(jù)稱正在緊鑼密鼓的籌 備當(dāng)中。

另一個(gè)問題是如何確保反惡意軟件的實(shí)際使用。這件事的確有點(diǎn)棘手。舉例來說，McAfee就表示其出品的反惡意軟件只能通過同樣來自他們自家的 MDM工具才能管理。賽門鐵克則聲稱當(dāng)大家為Android系統(tǒng)部署反惡意軟件之后，應(yīng)該利用第三方、面向應(yīng)用程序的MDM服務(wù)來檢測(cè)某臺(tái)設(shè)備是否安裝了 這套安全機(jī)制，進(jìn)而以此為標(biāo)準(zhǔn)決定是否允許該設(shè)備進(jìn)行訪問；賽門鐵克自家的MDM工具只能管理Android的EAS策略，其中并不包括應(yīng)用程序檢測(cè)功 能。這么說來，McAfee公司推出的面向應(yīng)用程序的MDM工具客戶端應(yīng)該是不錯(cuò)的選擇嘍？然而該公司拒絕對(duì)該工具與其它產(chǎn)品之間的協(xié)作能力發(fā)表評(píng)論。大 家都了解這些企業(yè)說行未必行、不說準(zhǔn)不行的風(fēng)格，因此維護(hù)移動(dòng)安全的重任看來也指望不上他們了。

某些面向應(yīng)用程序的MDM工具，例如MobileIron，讓我們能夠在設(shè)置的基礎(chǔ)上更進(jìn)一步，為應(yīng)用程序可能訪問的位置信息、NPV、電話撥號(hào)器等等實(shí)行權(quán)限控制。這當(dāng)然有助于防止軟件造成的侵害，但同時(shí)也可能會(huì)限制合法應(yīng)用程序進(jìn)行的正當(dāng)訪問。

既然我們?cè)诿嫦驊?yīng)用程序的MDM工具上沒什么好方案，那么最好的辦法恐怕只有盡力勸說用戶安裝反惡意軟件——并首先取消那些常常帶來惡意軟件的 Android用戶的訪問權(quán)限。我們應(yīng)該始終——就算做不到，也要清楚這是“應(yīng)該”做到的——具備修復(fù)異常以及處理違規(guī)個(gè)例的能力。

強(qiáng)化網(wǎng)絡(luò)防御體系。.無論如何，這是非常重要的一步，因?yàn)榫W(wǎng)絡(luò)邊界的概念在今天這樣數(shù)據(jù)交互如此發(fā)達(dá)的時(shí)代背景下簡(jiǎn)直是無稽之談。我們應(yīng)該在流量分 析工具、數(shù)據(jù)丟失防護(hù)（簡(jiǎn)稱DLP）以及離散訪問驗(yàn)證方面投資，以使自己能夠監(jiān)視使用任何設(shè)備連接到自身網(wǎng)絡(luò)的用戶，并進(jìn)一步了解安全策略的執(zhí)行情況。這 已經(jīng)不僅是移動(dòng)安全的問題，此類做法應(yīng)該是長(zhǎng)效且廣泛使用的。好消息是，包括Aruba、思科以及Juniper在內(nèi)的諸多網(wǎng)絡(luò)巨頭已經(jīng)意識(shí)到這一點(diǎn)，并開始重新審視自己的產(chǎn)品。作為直接受益/受害者，我們自己當(dāng)然也不能松懈。

出了問題，與用戶共同承擔(dān)。分擔(dān)責(zé)任這一概念是IT消費(fèi)化原則的重要組成部分?；蛘甙阉D(zhuǎn)化為這樣的說法告知用戶：自由源于責(zé)任。如果大家選擇了Android設(shè)備，那就必須清楚這些設(shè)備比起iOS或是BlackBerry，會(huì)帶來額外的維護(hù)費(fèi)用，這筆開銷是需要由各位來分?jǐn)偟?。因此，用戶（或是他們的直屬業(yè)務(wù)部門）應(yīng)當(dāng)為購買反惡意軟件許可以及反惡意軟件服務(wù)工具按比例 買單。不過MDM與網(wǎng)絡(luò)工具方面的支出不應(yīng)由他們承擔(dān)，而是應(yīng)該由全體使用者支付。

而用戶們則應(yīng)該了解到，他們的訪問權(quán)限可能會(huì)受到限制，而限制的嚴(yán)苛程度與他們選用的設(shè)備安全性息息相關(guān)：用戶及其設(shè)備越受信任，他們能夠獲得的訪 問權(quán)限與操作能力就越多。IT部門應(yīng)該盡可能合理放開控制力度，但絕對(duì)不能超出一定的風(fēng)險(xiǎn)水平，具體做法應(yīng)該由IT部門與業(yè)務(wù)部門共同商定得出。最關(guān)鍵的 一點(diǎn)是，決策應(yīng)該以風(fēng)險(xiǎn)為首要考量，而不是優(yōu)先考慮終端用戶的意見。最終結(jié)果是某些設(shè)備可能只獲得了較少甚至完全沒有訪問權(quán)限，但決策并不是根據(jù)設(shè)備使用 者的立場(chǎng)制定的；指向任何特定設(shè)備的訪問（并帶來相應(yīng)開支），都只應(yīng)該被視為全局策略的一項(xiàng)結(jié)果——這就使得我們能夠更加專注于商務(wù)風(fēng)險(xiǎn)并規(guī)避由對(duì)某些項(xiàng) 目支持能力的缺失而導(dǎo)致的“技術(shù)混戰(zhàn)”。