這個話題看似沒什么新奇的，但是需要著重指出的是：為移動設(shè)備建立安全策略是首要的工作。沒有相應(yīng)的策略，你面對的將是一個亂七八糟的環(huán)境和潛在的損失責任，同時員工以各自不同的方式來解決問題。比如，一些人為了解決電話簿的遠程訪問問題，把公司和其電話上的通訊名錄進行同步，這樣的話如果這個沒有防護措施的電話遺失了，就可能導致公司信息的外泄。

于是，我們建議在以下幾方面關(guān)注移動設(shè)備的安全策略：

1.設(shè)備選擇和服務(wù)提供：將預(yù)期所支持的設(shè)備明示，并明確進行相關(guān)設(shè)置的責任人。如果只想支持黑莓，那么就把這一點在策略里明確告知;如果有軟件支持Symbian的手機，那么公告之以防有人使用Palm的電話;如果只想支持特定的幾款設(shè)備，那么就需要有相應(yīng)的行政力量為支撐，以防某些人對原有設(shè)備(iPhone/BlackBerry/Android/Symbian)的依賴性阻礙政策的執(zhí)行。對于所提供的服務(wù)，要有明確具體的條文。比如想把公辦室的VoIP網(wǎng)絡(luò)服務(wù)擴展到智能手機上以簡化呼叫轉(zhuǎn)移、接入和狀態(tài)呈現(xiàn)服務(wù)，那么就必須將其在策略中寫明。

2.設(shè)備部署和配置：明確規(guī)定設(shè)備的安裝方法以及所允許的配置和應(yīng)用。這其中一個常規(guī)的設(shè)置就是密碼保護，此外還應(yīng)規(guī)定哪些應(yīng)用是被允許或禁止的。對允許哪些即時通訊軟件也要作出規(guī)定(只能連接到企業(yè)內(nèi)部經(jīng)過加密的即時通訊服務(wù)器)。關(guān)于部署流程方面的規(guī)定決定了由誰以及怎么獲取設(shè)備。如果要允許員工購買自己的手機，要明示其哪些廠商的設(shè)備是支持或禁止的，以及員工是否能將其連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。許多和配置、服務(wù)相關(guān)的內(nèi)容依賴于具體技術(shù)實現(xiàn)，就拿設(shè)備的管理工具來說，可能決定采用Windows Mobile和微軟內(nèi)嵌在Exchange里的管理工具來進行常規(guī)配置、設(shè)備鎖定、數(shù)據(jù)擦除和應(yīng)用管理等。雖然為特定工具制定策略的方法不是很理想，但是籠統(tǒng)且不具可執(zhí)行性的策略肯定是糟糕的。所以，要注意確保工具選擇和相關(guān)策略的一致性，在充分利用工具的特性的同時規(guī)劃切實可行的策略。此外，對工具的使用方式也要制定明確的條例。

3.設(shè)備的使用、維護以及遺失后的應(yīng)對：因為移動設(shè)備用于為企業(yè)服務(wù)，所以必須明確地界定出其用途范圍。不能僅僅用些模棱兩可的聲明來規(guī)定，應(yīng)該通過教育讓最終用戶真正理解并執(zhí)行。具體來說可以通過可接受使用策略(AUP)的形式讓員工簽署，但是注意要基于“閱讀、理解并支持”的前提，而不是草草走個過場簽名了事。因為設(shè)備損壞或丟失的可能性，應(yīng)該在策略中明確有相應(yīng)的舉措：是否需要存有備件?員工是不是要馬上到最近的手機商店買個兼容的替代品?或者員工需要自己解決遺失問題?這些都需要在維護策略、更換策略以及其他預(yù)防性要求中體現(xiàn)。而另一個移動設(shè)備特有的問題是電池的替換，在策略中需要涵蓋這一方面：誰為電池付費以及需要多久更換一次電池等。

4.設(shè)備恢復(fù)和處理：可移動設(shè)備相比其他IT資產(chǎn)來說壽命較短，在兩到三年的使用之后通常需要進行更換。必須明確相關(guān)的規(guī)定，比如替換的年限、誰保管舊設(shè)備(包括在什么樣的情況下)以及更換流程。其中特別重要的一點是對設(shè)備進行數(shù)據(jù)擦除(無論是否為敏感數(shù)據(jù))。

關(guān)于移動設(shè)備安全性方面的策略看起來的確很麻煩，但是可以先回避大量艱難地討論而首先搞清楚一個關(guān)鍵問題：“這些設(shè)備歸屬于誰?”這里不是談?wù)撜l來出錢購買，而是指誰對設(shè)備具有控制權(quán)，即誰對于配置和應(yīng)用具有決定權(quán)。如果決定是由企業(yè)來主導的話，那就要明確規(guī)定誰來具體負責以下內(nèi)容：采用哪種設(shè)備、如何設(shè)置、連接指向(網(wǎng)絡(luò)和應(yīng)用等)。無論是你或者你的老板，總之是由企業(yè)中某個明確的人員來主導。

如果設(shè)備是由員工來實際控制，就必須明確規(guī)定出那些被禁止的用法：比如不能存儲企業(yè)的敏感數(shù)據(jù)(甚至幾乎所有的企業(yè)信息)，包括電子郵件和通訊錄;不能連接到企業(yè)內(nèi)網(wǎng)，設(shè)備不是作為企業(yè)資產(chǎn)(比如筆記本電腦)的替代物。

我在這方面有大量的實際經(jīng)驗，而從中得到的最重要的教訓就是不能二者皆有：要么企業(yè)控制設(shè)備以確保安全地使用，要么員工控制設(shè)備但是無法接觸企業(yè)信息。對于后一種方式，務(wù)必不要對設(shè)備有任何安全性方面的假定。