智能手機、平板電腦、社交網(wǎng)絡(luò)和云服務(wù)目前非常流行，并且用處很大，同時它們也存在著安全風(fēng)險。目前安全焦點在移動設(shè)備上，隨著這些設(shè)備被大量地用于處理公司信息，IT部門已經(jīng)無法再用管理公司PC的方式管理這些移動設(shè)備。因為，這些移動設(shè)備使用了不同的平臺，它們的安全能力也不盡相同，同時許多移動設(shè)備都是員工自己的。

問題不在于頻繁受到的黑客攻擊，以及安卓市場中泛濫的惡意軟件，在抵御黑客方面，移動設(shè)備的安全性要高于PC。問題在于不適當(dāng)?shù)男畔⑹褂?，員工有時會在無意中泄漏聯(lián)系人信息，無意中讓人們感到尷尬，無意中違反隱私規(guī)定，無意中忽略了自己的法規(guī)遵從性義務(wù)。盡管部分人會小心謹(jǐn)慎地使用它們，但是大部分人會不恰當(dāng)?shù)厥褂盟鼈?，關(guān)鍵是有人使用了它們。

這讓公司陷入到了一個不安的處境中。調(diào)查顯示，獲得技術(shù)授權(quán)的員工心情更為愉悅，工作效率更高，因此公司希望能夠從中獲得好處。不過，這些員工必須要保護他們的秘密，遵守相關(guān)規(guī)定。好消息是，雖然這些做法和工具剛剛出現(xiàn)不久，但是我們已經(jīng)找到了一些經(jīng)過驗證過的，并且行之有效的管理方法，這些方法可以在不損害消費化所帶來的優(yōu)勢的情況下降低這些做法和工具的風(fēng)險。

對于移動設(shè)備，這些工具可以分為以下三大類：數(shù)據(jù)泄露防護、移動數(shù)據(jù)管理、移動應(yīng)用管理。以下我們將為您詳細(xì)介紹這些工具的功能和提供商。

數(shù)據(jù)泄露防護

許多公司已經(jīng)在數(shù)據(jù)泄露防護(DLP)工具上投資了數(shù)百萬美元。這些工具可以通過文本分析和元標(biāo)記對數(shù)據(jù)訪問權(quán)進行分類，然后監(jiān)視信息流(如電子郵件內(nèi)容)以查找有問題的數(shù)據(jù)類型。例如，社會保險號或被標(biāo)記為公司秘密的文件。DLP工具通常被設(shè)置用于警告IT部門或用戶可能存在的問題，但是它們也可以設(shè)置為先阻止信息，然后再進行詢問。

DLP工具需要公司制定信息安全規(guī)定(通常與用戶角色相關(guān))，然后對進出企業(yè)的信息進行標(biāo)記。DLP還需要將所有的信息流都匯聚至DLP服務(wù)器以確保這些信息都能夠被分析。

DLP工具并不是新東西，但是將它們應(yīng)用于移動信息流中的這種作法卻是新的。以下幾種移動DLP方法。

讓所有的移動流量都流經(jīng)公司的DLP服務(wù)器，例如賽門鐵克的解決方案。

提供一個應(yīng)用以訪問公司的信息庫，例如SharePoint。這一應(yīng)用可以識別信息庫中文件所設(shè)置的訪問權(quán)限。Zenprise的解決方案為一個針對SharePoint的工具，當(dāng)然許多云存儲提供商(如Accellion、Box.net、Dropbox和YouSendIt)均提供了可由 IT部門管理的云存儲服務(wù)。

利用由Good Technology、MobileIron和SAP Sybase等公司提供的API在應(yīng)用程序中加入內(nèi)容管理。目前被稱為移動應(yīng)用管理的相關(guān)技術(shù)領(lǐng)域已經(jīng)延伸至了內(nèi)容管理。

移動設(shè)備管理

如果說2011年是自帶設(shè)備(BYOD)現(xiàn)象合法化之年，那么2011年就是移動設(shè)備管理(MDM)工具被允許作為BYOD安全防護措施之年。目前有許多廠商提供MDM工具并不讓人感到意外。

目前，MDM工具已經(jīng)被部署在金融服務(wù)、國防、政府和醫(yī)療環(huán)境中。這些領(lǐng)域都十分關(guān)注信息安全。不過，MDM并不是新鮮事物，企業(yè)使用多年的黑莓企業(yè)服務(wù)器(BES)就是MDM。通過BES，企業(yè)可以管理訪問權(quán)和黑莓信息設(shè)備的設(shè)備許可權(quán)。微軟Exchange是使用最為廣泛的電子郵件服務(wù)器，其也支持通過Exchange ActiveSync(EAS)協(xié)議設(shè)置適當(dāng)?shù)牟呗浴?/p>

EAS策略能夠命令設(shè)備加密、設(shè)置復(fù)雜密碼或屏蔽設(shè)備攝像頭。IT部門在Exchange或谷歌Apps企業(yè)版中管理這些策略。不久，微軟的 System Center 2012也將擁有這種能力。這種電子郵件服務(wù)器與企業(yè)識別服務(wù)器(通常為微軟的Active Directory)結(jié)合可確定哪些策略適用用哪些用戶。如果用戶設(shè)備不符合用戶相關(guān)規(guī)定，那么設(shè)備被拒絕部分或所有的訪問。這些服務(wù)器還可以讓IT部門遠程鎖定或刪除遺失或被竊設(shè)備中的內(nèi)容。

蘋果iOS、已經(jīng)淘汰的Windows Mobile、部分版本的谷歌安卓、部分版本的諾基亞塞班等移動平臺都支持大量EAS策略。與此同時，Windows PC的微軟Outlook電子郵件客戶端、Mac OS X的Mac和蘋果Mail客戶端也具有這種能力。相反，微軟新推出的Windows Phone 7、部分版本的谷歌安卓和已經(jīng)淘汰的惠普WebOS等移動平臺僅支持有限的EAS策略。(RIM的黑莓設(shè)備通過BES產(chǎn)品和連接器實現(xiàn)這一功能，也可以與微軟Exchange和谷歌Apps在一定程度上實現(xiàn)這一功能。)

大多數(shù)MDM廠商的產(chǎn)品在功能上超過了Exchange和其它郵件服務(wù)器所能提供的功能，增加了對移動操作系統(tǒng)可能支持的非EAS策略的訪問權(quán)。例如，蘋果iOS 5有一個可以讓IT部門退訂其iCloud文件同步服務(wù)的策略。

一些MDM廠商除了在多種移動平臺中部署額外的策略外，還進一步開發(fā)出了一些功能，如探測經(jīng)過修改(“越獄”)的操作系統(tǒng)。這樣，用戶能夠在其中運行他們的移動應(yīng)用和本地應(yīng)用。在這個應(yīng)用“容器”內(nèi)的任何東西都必須遵守MDM廠商制定的特殊策略，在用戶的設(shè)備中為IT部門形成了一個安全區(qū)。(這些應(yīng)用能夠設(shè)置為不與安全區(qū)外共享信息，其實就是將公司信息與設(shè)備的其它部分隔離開來。)部分MDM廠商還提供一些功能，這些功能能夠為移動用戶提供桌面支持，控制通信開銷，如在員工的移動設(shè)備處于國際漫游狀態(tài)時對員工進行提醒。

MDM廠商和相關(guān)的IT部門所面臨的挑戰(zhàn)是因為不同的移動平臺有著不同的功能，不可能通過一個統(tǒng)一的管理方法管理所有的設(shè)備。MDM廠商在這些平臺變化時很難時刻跟上它們的功能變化，但是IT部門仍必須要面對一個現(xiàn)實情況，即他們可能需要在策略需求上保持一定的靈性，以支持最為流行的商業(yè)級設(shè)備。在支持iOS設(shè)備當(dāng)中出現(xiàn)了一個解決辦法：蘋果需要公司從蘋果那里得到他們自己的蘋果推送通知服務(wù)(APNS)證書，以授權(quán)進行MDM管理。這一證書將代你給予MDM工具許可，讓其通過蘋果的通知服務(wù)器訪問iOS設(shè)備。

一個相關(guān)的解決辦法是使用網(wǎng)絡(luò)訪問控制探測移動訪問并對該訪問執(zhí)行相關(guān)的用戶策略。例如，F(xiàn)5 Networks已經(jīng)與多家MDM公司(AirWatch、MobileIron、SilverbackMDM和Zenprise)展開合作，讓他們各自的管理工具能夠共同工作。Aruba Networks計劃在3月份推出一款基于移動設(shè)備專用網(wǎng)絡(luò)控制器的訪問管理產(chǎn)品，其能夠監(jiān)控設(shè)備訪問，并對這些訪問執(zhí)行相關(guān)的策略。滿足關(guān)鍵移動管理需求的主要廠商

移動應(yīng)用管理

在控制移動信息訪問方面，移動應(yīng)用管理(MAM)領(lǐng)域發(fā)展尚不成熟。目前該領(lǐng)域包括多種類型的方案：

應(yīng)用分發(fā)，例如通過公司的應(yīng)用商店。這種方案主要把重點放在了管理本地Web和原生應(yīng)用的分發(fā)和許可上，不過它還能夠為用戶提供公共應(yīng)用商店中推薦應(yīng)用的鏈接。部分方案還能夠管理公司為內(nèi)部使用所開發(fā)的原生iOS應(yīng)用。

安全應(yīng)用開發(fā)，為本地應(yīng)用內(nèi)容和公司網(wǎng)絡(luò)資源訪問增加安全與許可控制。該方案通常是一個管理控制臺，允許IT部門使用內(nèi)置的控制權(quán)。

應(yīng)用內(nèi)容管理，例如限制應(yīng)用與其它應(yīng)用共享授權(quán)的內(nèi)容。盡管在一些案例中，商業(yè)應(yīng)用開發(fā)者也可以使用這種方案與管理工具進行協(xié)作，但是這種方案重點還是本地應(yīng)用。 這一領(lǐng)域廠商Nukona采用了將權(quán)限設(shè)置在應(yīng)用周邊這種不尋常的解決方案，而不是需要應(yīng)用的內(nèi)部代碼以執(zhí)行相關(guān)策略——這有點類似DLP封裝。其它一些提供商采取的解決方案是依靠在應(yīng)用代碼內(nèi)部明確指定策略。

安全應(yīng)用容器，即創(chuàng)建一個獨立的分區(qū)、應(yīng)用容器或虛擬機將公司應(yīng)用與數(shù)據(jù)與個人應(yīng)用與數(shù)據(jù)了隔離起來。除了通過技術(shù)確保幾個特定應(yīng)用中的數(shù)據(jù)安全外，這種方案允許在容器內(nèi)的應(yīng)用之間更為自由的使用數(shù)據(jù)。這一方案不同于使用虛擬桌面基礎(chǔ)設(shè)施(VDI)在窗口中呈現(xiàn)遠程應(yīng)用。例如，Citrix Receiver 和VMware View等應(yīng)用除了鍵盤和虛擬鼠標(biāo)外，幾乎沒有訪問移動設(shè)備的信息或功能的權(quán)限。相關(guān)的解決方案是在移動設(shè)備中創(chuàng)建獨立的分區(qū)——一個分區(qū)用于存儲個人應(yīng)用和數(shù)據(jù)，另外的分區(qū)用于存儲可由IT部門管理的業(yè)務(wù)應(yīng)用和數(shù)據(jù)。

目前MAM解決方案面臨的困難是，它們通常都是針對特定的應(yīng)用。這使得它們在本地開發(fā)的應(yīng)用中受到歡迎，不過許多廠商已經(jīng)開始與商業(yè)開發(fā)者共同工作，以內(nèi)置他們的技術(shù)。隨著時間的發(fā)展，我們可能會看到更多用戶安裝程序支持這類應(yīng)用和內(nèi)容管理。商業(yè)開發(fā)者仍然需要選取一個API和一個廠商，或在他們的應(yīng)用中使用多個API，不過這將增加了方案的復(fù)雜性。

真正需要的當(dāng)然是一套常用的內(nèi)容管理API，所有的應(yīng)用都能夠使用任何管理工具，類似于目前設(shè)備管理中的微軟EAS協(xié)議。在EAS中，廠商能夠通過增強功能為獨立的應(yīng)用需求增加核心策略，商業(yè)開發(fā)者能夠決定使用這些增強功能的時機，例如訪問高安全性市場。