【51CTO譯文】從iOS 4開始，后續(xù)操作系統(tǒng)為iPad、iPhone以及iPod Touch大家族提供了強有力的安全性及管理功能支持，這使得iOS產(chǎn)品線一舉成為僅次于黑莓（在某些標(biāo)準(zhǔn)下也略遜于Windows Mobile）的可靠BYOD方案。

[[98725]]

“企業(yè)顯然很享受黑莓與Windows Mobile所帶來的業(yè)務(wù)體驗與安全性能，但從iOS 4發(fā)布以來，越來越多的業(yè)務(wù)管理者開始感受到蘋果所創(chuàng)造出的獨特魅力，”Forrester研究公司分析師Andrew Jaquith指出。

原因何在？因為這三款移動系統(tǒng)都采用了移動管理服務(wù)器方案，IT部門能夠在它的幫助下制定并貫徹自己的政策理念。事實上，蘋果公司在2010年夏季發(fā)布iOS 4時就已經(jīng)將這套功能納入其中。大多數(shù)管理工具都能支持多種設(shè)備類型；當(dāng)然，黑莓企業(yè)級服務(wù)器（簡稱BES）例外，它只能支持RIM公司自家產(chǎn)品。

[[98726]]

但其它移動設(shè)備是否值得信賴？谷歌的Android發(fā)展迅速，目前在總銷量方面已經(jīng)分別擊敗了蘋果與RIM。其后還有來自微軟的Windows Phone 7，我們能安心把它納入企業(yè)環(huán)境當(dāng)中嗎？

【51CTO.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請發(fā)轉(zhuǎn)載郵件至zhousn#51CTO.com】#p#

下面我們就逐一分析目前常見的六大移動系統(tǒng)平臺，看看它們能否滿足企業(yè)級安全管理需求。而在這部分內(nèi)容結(jié)尾，我會附上一份對照表格，大家可以從中看到各移動平臺解決常見安全及管理問題的能力。

我們首先來聊聊Exchange ActiveSync（簡稱EAS）政策。作為微軟專門針對移動安全及設(shè)備管理工作所擬定的協(xié)議，EAS已經(jīng)迅速崛起為移動設(shè)備管理領(lǐng)域中的普遍標(biāo)準(zhǔn)，不僅得到蘋果公司的廣泛支持（包括iOS與Mac OS X兩大平臺），也贏得了谷歌（少數(shù)Android OS 2設(shè)備、所有Android OS 3、Android OS 4設(shè)備以及企業(yè)級Gmail）、IBM（最新版本的Lotus Notes）、諾基亞（某些塞班系統(tǒng)）、Novell（作為GroupWise的服務(wù)器插件出現(xiàn)）以及微軟自己（Windows、Windows Mobile以及Windows Phone 7）的高度信賴。只有RIM公司始終試圖繞開EAS，而堅持貫徹自己打造的BES。另外值得注意的是，盡管EAS中包含有29項主要政策，但其中某些在大部分移動設(shè)備上都無法實現(xiàn)——例如禁用紅外裝置或是禁用缺少簽名的CAB文件（Windows系統(tǒng)中的一種特殊應(yīng)用文件）。

其次，大家需要注意的是企業(yè)郵件、日程表及聯(lián)系人信息的存儲方案：任何一款支持微軟Exchange、IBM Lotus Notes或者Novell GroupWise的設(shè)備都將在訪問服務(wù)器時要求驗證。如果驗證無法通過，根據(jù)管理政策的不同，服務(wù)器會自動遠(yuǎn)程清除移動設(shè)備中的郵件及聯(lián)系人信息。而在iOS系統(tǒng)平臺上，我們還能夠選擇中斷連接——這一功能是依靠LDAP這類協(xié)議實現(xiàn)的。換言之，管理服務(wù)器已經(jīng)有能力像對待PC機那樣對移動設(shè)備實施嚴(yán)格監(jiān)控。

RIM的黑莓OS

保護(hù)黑莓設(shè)備安全的關(guān)鍵在于使用BES 5.0，新系統(tǒng)為IT管理者提供了四百多項安全及管理政策，從密碼保護(hù)到遠(yuǎn)程數(shù)據(jù)清除一應(yīng)俱全。

RIM公司照例推出了BES的免費版本，但它只能支持微軟Exchange及IBM Lotus Notes環(huán)境；只有需要付費的完全版才能支持Novell的GroupWise。

而BES 5.03則引入了可選數(shù)據(jù)清除功能，管理者能夠在不影響用戶個人信息的情況下，將對方黑莓設(shè)備中的業(yè)務(wù)數(shù)據(jù)及應(yīng)用清理于無形（前提是用戶設(shè)備必須使用黑莓OS 6或7版本）。

某些黑莓機型還支持RSA的SecurID雙重硬件驗證工具，這是為了滿足軍事領(lǐng)域中的特殊需求.

RIM黑莓平板OS

RIM公司在以PlayBook為代表的黑莓平板產(chǎn)品線上采用的安全策略與智能手機一致，仍然圍繞著BES展開。不過這是由于PlayBook必須以無線連接的形式與手機橋接，然后才能訪問企業(yè)資源；而BES為手機提供的保護(hù)也就等于變相解決了PlayBook的安全問題。（RIM公司正在努力讓BES能夠直接管理PlayBook，這就免去了沒手機就用不了平板的尷尬局面。）另外我要提醒大家，如果沒有BES的安全管理功能，那么無論是黑莓智能手機還是平板設(shè)備都毫無安全性可言——千萬別一聽到黑莓就以為萬事大吉了。

蘋果iOS

iOS 4甫一推出，旋即引發(fā)了次世代移動管理方案的重大變革——支持審計功能、對接應(yīng)用EAS政策、內(nèi)置iOS本地管理、無線下載更新，每一條都堪稱劃時代創(chuàng)舉。它允許管理者有選擇地清除目標(biāo)設(shè)備中的業(yè)務(wù)數(shù)據(jù)與應(yīng)用、支持高強度密碼、搭載加密機制及遠(yuǎn)程數(shù)據(jù)清除功能。

iOS支持Exchange所提供的14種EAS管理政策，有效負(fù)載配置能夠以郵件形式、網(wǎng)絡(luò)連接或通過Mac OS X獅子及美洲獅 Server系統(tǒng)發(fā)送給用戶。如果大家使用來自AirWatch、Boxtone、Good Technology、MobileIron、賽門鐵克、Sybase Afaria、Tangoe、Zenprise等主流軟件供應(yīng)商的移動設(shè)備管理工具，也能同樣以無線方式監(jiān)督并保障工具確實付諸使用。AirWatch與MobileIron甚至允許用戶以這種方式管理Mac設(shè)備。

iOS 5在此基礎(chǔ)上又針對MDM工具添加了多項新政策：開啟或關(guān)閉iCloud同步、為iTunes設(shè)定訪問密碼、禁用郵件轉(zhuǎn)發(fā)、禁止訪問甚至刪除指定應(yīng)用（包括個人應(yīng)用及各類企業(yè)業(yè)務(wù)應(yīng)用）、禁用漫游狀態(tài)下的通話及數(shù)據(jù)交互、為不受信證書設(shè)定管理政策、檢測并恢復(fù)被用戶刪除的MDM配置文件、設(shè)定Web代理、設(shè)定Wi-Fi訪問點自動登錄、發(fā)送損壞數(shù)據(jù)以及監(jiān)控電池容量。

微軟Windows Mobile

盡管這款移動操作系統(tǒng)在三年前就已經(jīng)壽終正寢，但它仍然作為遺留應(yīng)用廣泛存在于許多業(yè)務(wù)環(huán)境——尤其是政府機關(guān)當(dāng)中。在使用微軟System Center Mobile Device Manager（系統(tǒng)中心移動設(shè)備管理器）企業(yè)版的前提下，Windows Mobile 6.x系列能夠支持全部29項EAS管理政策；即使就系統(tǒng)本身而言，也已經(jīng)能夠支持14項EAS管理政策。

Windows Mobile當(dāng)然也支持各種常見的移動管理工具，某些Windows Mobile機型甚至支持SecurID驗證機制，并借此達(dá)到了幾乎能夠與黑莓比肩的安全高度。

微軟Windows Phone 7

這款新生代微軟移動操作系統(tǒng)與其前輩Windows Mobile相比，在安全及管理功能方面可謂差距巨大——雖然它也使用了同樣的Exchange或者說EAS兼容服務(wù)器端作為管理控制臺，卻依然無法重現(xiàn)當(dāng)年的可靠性。其中最大的問題在于，新系統(tǒng)沒有內(nèi)置加密支持、無法強制用戶設(shè)定高強度密碼，這就使其難以符合大多數(shù)企業(yè)級ActiveSync政策的要求。（微軟已經(jīng)聲明將在未來加入這些支持）

Windows Phone 7——包括去年秋季發(fā)布的7.5“Mongo”——在EAS政策支持?jǐn)?shù)量上明顯遜色于Windows Mobile以及iOS。而它所無法支持的數(shù)項政策正是企業(yè)級安全的關(guān)鍵所在：禁用攝像頭、禁止應(yīng)用程序下載。它甚至還不支持VPN，這種致命的功能性缺失導(dǎo)致了Windows Phone 7幾乎無法進(jìn)入企業(yè)級應(yīng)用領(lǐng)域。

谷歌Android系統(tǒng)

雖然頭頂高超占有率最高的移動操作系統(tǒng)皇冠，但Android仍然是六大競爭者中安全性最差的產(chǎn)品。在Android 2.2及其它早期版本中，谷歌根本沒有為用戶提供內(nèi)置加密、高強度密碼支持等實用功能。“企業(yè)管理現(xiàn)在可以說是一聽見Android就頭痛，這一方面是因為企業(yè)級安全路線圖中還沒有對Android提出明確定位，另一方面則是因為成百上千的不同機型令安全專家很難弄清哪些管理政策能夠生效、而哪些不能，”Forrester公司的Jaquith無奈地指出。“Andoird OS的文件系統(tǒng)缺乏加密機制也是它飽受詬病的主要原因之一。”

但同狂熱的iPhone用戶令企業(yè)不得不考慮將當(dāng)初尚不夠安全的iOS系統(tǒng)納入業(yè)務(wù)環(huán)境一樣，如今Android產(chǎn)品的龐大消費群體也讓管理者感受到了民意的壓力。“許多消費者都希望以Good Technology為首的一系列管理工具能夠與Android設(shè)備相契合，這樣他們就可以堂而皇之地把個人設(shè)備帶到日常工作中了，”Jaquith告訴我們。IBM公司的Lotus Notes Traveler應(yīng)用讓Notes用戶首先享受到了安全待遇，NitroDesk公司則緊隨其后，讓Exchange用戶也過上了想用就用的安逸生活。

而摩托羅拉移動公司（谷歌目前正與之洽談收購事宜）與三星電子則推出了“商務(wù)型”Android設(shè)備——其中加入了內(nèi)置加密與EAS政策支持功能，這在一定程度上縮小了與iOS產(chǎn)品之間的差距。

隨著時間的推移，Android系統(tǒng)在安全性方面已經(jīng)取得了顯著進(jìn)步。事實上，專為平板打造的Android 3.0系統(tǒng)能夠支持內(nèi)置加密、高強度密碼、密碼記錄以及密碼周期輪替等多種管理政策。

2011年末，Android “冰淇淋三明治”正式推出。盡管僅能運行在少數(shù)幾款機型上，但新系統(tǒng)終于為Android手機帶來了與平板相同的安全功能。今年年中分布的Android 4.1 “糖豆”則將這一優(yōu)良傳統(tǒng)延續(xù)了下來。

而從短期效應(yīng)看，能夠填補安全性空白的也并非只有谷歌自己。舉例來說，Android 2.2“凍酸奶”和2.3“姜餅”僅僅包含了最基本的VPN功能，但摩托羅拉公司推出的Droid Pro機型卻為其引入了更加安全可靠的AuthenTec IPSec多點VPN方案。與之相似的例子還有摩托羅拉發(fā)布的Atrix、Photon 4G等一系列商務(wù)手機以及三星的“安全”系列產(chǎn)品都以本機支持的形式彌補了Android 2.2及2.3的系統(tǒng)缺陷。

諾基亞Symbian系統(tǒng)

這款曾經(jīng)的智能手機系統(tǒng)王者如今已經(jīng)消失在人們的視線當(dāng)中。在美國，我們幾乎看不到Symbian的身影；統(tǒng)計報告同時指出，目前Symbian系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)流量可謂江河日下——當(dāng)然，這也與諾基亞公司拋棄Symbian、轉(zhuǎn)投Windows Phone 7的懷抱不無關(guān)系。

Symbian系統(tǒng)與Android一樣版本眾多，但大多數(shù)諾基亞產(chǎn)品無法支持企業(yè)級安全及管理需求。其中略具看點的是諾基亞的E系列和N系列產(chǎn)品，它們還是具備基本的內(nèi)置加密、高強度密碼以及遠(yuǎn)程數(shù)據(jù)清除功能。由于諾基亞一直故作神秘，所以我們不清楚這兩大系更的機型能支持多少種EAS管理政策——但可以肯定的是，一定比iOS少就對了。

在iOS與Windows Mobile支持、而Symbian搞不定的常見管理政策中，最典型的例子就是禁用內(nèi)置攝像頭與防止Wi-Fi網(wǎng)絡(luò)訪問兩條。但好消息是諾基亞設(shè)備還是能夠與大多數(shù)移動管理工具相兼容的。

移動安全與管理功能對照表

縮寫詞：EAS-微軟Exchange ActiveSync，BES-黑莓Enterprise Server 5.x，3PS-第三方server，NA-無可用信息

備注：

1. 只限諾基亞E系列及N系列的幾款特定機型。
2. 存儲卡無法加密。
3. 需要使用可選產(chǎn)品蘋果配置單元（無法通過無線配置完成）、Mac OS X 10.7獅子或OS X 10.8美洲獅Server、EAS及3PS實現(xiàn)。
4. 只要求輸入PIN碼。
5. 某些第三方郵件客戶端應(yīng)用自身支持其它EAS政策。
6. 在Exchange Server 企業(yè)級許可下能夠支持全部29項EAS政策，普通許可則只支持15項EAS政策。
7. BES支持RIM自家的超過500項管理政策。
8. 只適用于某些特定機型。
9. 黑莓平板OS 1.0需要以黑莓手機為跳板才能實現(xiàn)除VPN外的所有功能。

【51CTO.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請發(fā)轉(zhuǎn)載郵件至zhousn#51CTO.com】#p#

移動設(shè)備管理供應(yīng)商產(chǎn)品匯總

隨著智能手機與平板設(shè)備的迅速普及，加之員工個人選擇所造成的多樣性狀況，IT部門目前面臨著在多套平臺之間實現(xiàn)訪問、使用以及安全性管理這一嚴(yán)峻挑戰(zhàn)。為了滿足需求，許多供應(yīng)商著手開發(fā)集中式控制臺，希望利用這種方式實現(xiàn)一套方案、全平臺管理的理想效果。在常用政策、強制管理以及審計功能的多重輔助下，許多原本孱弱的移動產(chǎn)品也擁有了值得信賴的優(yōu)秀安全性。

這些工具所使用的方案總體分兩種，當(dāng)然有些工具二者兼有、有些則只選其一：

（1）使用政策配置，尤其是得到廣泛支持的微軟Exchange ActiveSync（簡稱EAS）協(xié)議；

（2）它們都通過客戶端應(yīng)用在受支持上的設(shè)備上深深扎根，進(jìn)而為用戶提供可管理、更安全的業(yè)務(wù)環(huán)境及附加管理政策。而黑莓產(chǎn)品的支持工作則主要依靠RIM公司自家推出的工具，也就是大名鼎鼎的BlackBerry Enterprise Server（簡稱BES）。

AirWtach支持Android、黑莓、iOS以及Windows Mobile。它同時提供面向內(nèi)容的管理政策、具備數(shù)據(jù)漫游控制功能，而且允許用戶在iOS 4及其后續(xù)系統(tǒng)中有選擇地進(jìn)行業(yè)務(wù)數(shù)據(jù)清除（能夠幫助用戶在自有設(shè)備上保護(hù)個人信息的完整性）。它同時還能為使用OS X獅子或OS X美洲獅的Mac設(shè)備提供服務(wù)。

Boxtone支持Android、黑莓、iOS以及Windows Mobile。它同樣為用戶設(shè)備提供故障排查、自助注冊及費用查詢服務(wù)（包括運營商計費）。

Fiberlink的Maas360以政策為基礎(chǔ)實施管理并監(jiān)督整個執(zhí)行過程，并為Android、黑莓及iOS提供應(yīng)用程序管理服務(wù)。除此之外，它還支持采用微軟Exchange或者IBM Lotus Notes的移動設(shè)備以及Windows或OS X系統(tǒng)的個人計算機。

Good Technology的Good for Enterprise以及Good for Government兩款工具支持Android、iOS、塞班和Windows Mobile系統(tǒng)平臺。二者同樣依托于應(yīng)用程序安裝來實現(xiàn)管理功能，為iOS 4及其后續(xù)版本提供選擇性業(yè)務(wù)數(shù)據(jù)清除（能夠幫助用戶在自有設(shè)備上保護(hù)個人信息的完整性），并可以通過設(shè)置保證只有指定設(shè)備或操作系統(tǒng)能與業(yè)務(wù)資源相對接。

McAfee的Trust Digital EMM支持Android、iOS、塞班以及Windows Mobile系統(tǒng)平臺。它同時為用戶設(shè)備提供故障排查及自助注冊功能。

MobileIron的MobileIron Server支持Android、黑莓、iOS、塞班以及Windows Mobile系統(tǒng)平臺。它也需要安裝應(yīng)用才能實現(xiàn)管理功能，為iOS 4及其后續(xù)版本提供選擇性業(yè)務(wù)數(shù)據(jù)清除（能夠幫助用戶在自有設(shè)備上保護(hù)個人信息的完整性），還提供通話費用管理功能。它同時能為使用OS X獅子或OS X美洲獅的Mac設(shè)備提供服務(wù)。

Sybase的Afaria支持Android、黑莓、iOS、塞班以及Windows Mobile系統(tǒng)平臺。它也需要安裝應(yīng)用才能實現(xiàn)管理功能，允許IT部門搭建企業(yè)內(nèi)部的“應(yīng)用程序商店”，還為用戶提供了移動設(shè)備資產(chǎn)追蹤服務(wù)。

Tangoe的MDM支持Android、黑莓、iOS以及Windows Mobile系統(tǒng)平臺。它也需要安裝應(yīng)用才能實現(xiàn)管理功能，同時提供通話費用管理與服務(wù)監(jiān)控功能。

Zenprise的Mobile Manager支持Android、黑莓、iOS以及Windows Mobile系統(tǒng)平臺。它具備通話費用管理與服務(wù)監(jiān)控功能。

 【51CTO.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請發(fā)轉(zhuǎn)載郵件至zhousn#51CTO.com】