【2012年12月13日 51CTO外電頭條】移動(dòng)領(lǐng)域的安全問題倒是跟黑客關(guān)系不大——除了Google Play軟件市場中那些以合法產(chǎn)品自居的惡意軟件之外，移動(dòng)設(shè)備的安全性其實(shí)比普通PC要好一些。真正的挑戰(zhàn)在于，使用者往往在不自覺的情況下把業(yè)務(wù)敏感信息泄露給聯(lián)系人、陌生對象、違反隱私管理規(guī)定或是把合規(guī)性義務(wù)拋諸腦后。大多數(shù)過錯(cuò)屬于無心之失，但也有一些員工會(huì)故意破壞制度——無論如何，事情一旦發(fā)生，造成的后果都是嚴(yán)重甚至是致命的。

這就把企業(yè)逼到了相當(dāng)尷尬的境地。一份又一份調(diào)查報(bào)告不斷提醒我們，能夠?qū)⒆杂屑夹g(shù)帶入日常工作的員工不僅心理更愉悅、生產(chǎn)力也會(huì)切實(shí)得到提高，因此企業(yè)也的確希望移動(dòng)趨勢能給業(yè)務(wù)帶來改善。然而管理者同時(shí)也需要充分利用規(guī)定保護(hù)商業(yè)機(jī)密。好消息是，盡管管理方案與工具還很年輕，但目前我們已經(jīng)擁有不少能夠降低風(fēng)險(xiǎn)、最大程度發(fā)揮消費(fèi)化收益的成熟模式可供借鑒。

對于移動(dòng)設(shè)備而言，這些工具可以分為以下幾大類：數(shù)據(jù)丟失預(yù)防、移動(dòng)數(shù)據(jù)管理以及移動(dòng)應(yīng)用管理。通過分類，我們明確理解了方案的管理對象與核心機(jī)制。

數(shù)據(jù)丟失預(yù)防

已經(jīng)有許多企業(yè)斥資數(shù)百萬美元用于采購數(shù)據(jù)丟失預(yù)防（簡稱DLP）工具。這類工具利用文本分析及元標(biāo)記來修改數(shù)據(jù)訪問權(quán)限，進(jìn)而監(jiān)控信息流（例如郵件中的具體內(nèi)容），尋找可能存在異常的數(shù)據(jù)類型——舉例來說，社保號(hào)碼或者被標(biāo)記為機(jī)密的業(yè)務(wù)文件。DLP工具通常會(huì)把潛在問題以警告方式提醒IT部門或用戶，但也可以通過編程方式直接阻斷信息傳輸、然后再詢問管理意見。

要讓DLP工具順利起效，我們必須首先創(chuàng)建信息管理政策（通常的做法是將用戶劃分成不同角色），然后對企業(yè)中的各類信息進(jìn)行標(biāo)注。另外，我們還需要確保全部信息流經(jīng)由DLP服務(wù)器，這樣才能保證信息內(nèi)容獲得分析整理。

DLP工具不算什么新鮮事物，但它在移動(dòng)信息流方面的應(yīng)用卻絕對屬于剛剛起步。移動(dòng)DLP一般分為以下幾種方案：

1. 將所有移動(dòng)流量送往DLP服務(wù)器，并在分析完成后再分發(fā)到目標(biāo)位置——賽門鐵克的產(chǎn)品采用這種方式。
2. 提供一款移動(dòng)應(yīng)用，專門用于訪問SharePoint等企業(yè)信息存儲(chǔ)體系；應(yīng)用本身嚴(yán)格遵循存儲(chǔ)體系中文件的管理許可。Zenprise公司就為SharePoint推出過這類產(chǎn)品，當(dāng)然很多云存儲(chǔ)供應(yīng)商（例如Accellion、Box、Dropbox以及YouSendIT）也有針對性地開發(fā)出能夠?yàn)镮T部門所管理的云存儲(chǔ)服務(wù)。
3. 通過來自Good Technology、MobileIron以及SAP Sybase等公司的API將內(nèi)容管理機(jī)制嵌入到業(yè)務(wù)應(yīng)用程序當(dāng)中。移動(dòng)應(yīng)用管理在概念上與這種方案比較相近，也能夠深入到內(nèi)容管理的層面展開工作。

移動(dòng)設(shè)備管理：MDM

如果2010年是自帶設(shè)備（BYOD）模式獲得合法化身份的元年，那么2011年則是移動(dòng)設(shè)備管理（MDM）工具正式成為BYOD安全標(biāo)準(zhǔn)化解決方案的又一里程碑。而且不出意外，目前已經(jīng)有十幾家供應(yīng)商開始研發(fā)并推出MDM工具。

時(shí)至今日，MDM工具已經(jīng)被廣泛應(yīng)用于金融服務(wù)、安全保障、政府機(jī)關(guān)以及醫(yī)藥產(chǎn)業(yè)——而這些恰恰是對信息安全性要求最高的商務(wù)領(lǐng)域。不過MDM已經(jīng)不是什么新鮮事物，多年來許多企業(yè)早已利用BlackBerry Enterprise Server（BES）來管理BlackBerry移動(dòng)設(shè)備的訪問權(quán)限及使用許可等工作。目前普及面最廣的郵件服務(wù)器微軟Exchange所內(nèi)置的Exchange ActiveSync（EAS）協(xié)議則成為支持面最廣、也最具次世代氣質(zhì)的管理政策。

EAS政策能夠以強(qiáng)制方式要求設(shè)備進(jìn)行數(shù)據(jù)加密、設(shè)定高強(qiáng)度密碼或是禁用攝像頭，IT部門則能夠在Exchange服務(wù)器或者Google App企業(yè)版本中進(jìn)行政策設(shè)定，所說微軟SYsten Center 2012也將加入上述功能。郵件服務(wù)器與企業(yè)驗(yàn)證服務(wù)器緊密相關(guān)（通常使用微軟的Active Directory），用于檢測特定政策是否正確作用于特定用戶群體。如果某臺(tái)設(shè)備無法實(shí)現(xiàn)政策中對使用者做出的要求，該設(shè)備將的訪問將被全部或部分?jǐn)r截。這些服務(wù)器還允許 IT部門以遠(yuǎn)程方式對丟失或被盜的設(shè)備進(jìn)行鎖定或者數(shù)據(jù)清除。

蘋果的iOS、已經(jīng)過氣的Windows Mobile、某些谷歌Android版本以及同樣日漸消亡的諾基亞塞班移動(dòng)平臺(tái)都支持一定數(shù)量的EAS管理政策，這與Windows PC、Mac機(jī)對微軟Outlook郵件客戶端以及Mac OS X對蘋果Mail客戶端的支持非常類似。根據(jù)官方說明，微軟Windows Phone 7以及某些谷歌Android版本只支持有限的幾項(xiàng)EAS政策。（RIM公司的BlackBerry設(shè)備一般都與其BES產(chǎn)品共同使用，不過在連接工具的幫助下倒也能跟微軟Exchange與谷歌Apps協(xié)作——不過后面這二位在安全功能方面與BES差距巨大，這么做實(shí)在毫無意義。）

大多數(shù)MDM供應(yīng)商的產(chǎn)品都需要在功能方面超越Exchange或其它郵件服務(wù)器，因?yàn)橹挥袨橐苿?dòng)操作系統(tǒng)提供EAS所不具備的EAS政策，這些第三方工具才有存在的價(jià)值。舉例來說，蘋果公司的iOS 5就內(nèi)置了一項(xiàng)新政策，允許IT部門禁用其iCloud文件同步服務(wù)。

某些MDM供應(yīng)商則走得更遠(yuǎn)，他們不滿足于為移動(dòng)平臺(tái)廣泛提供額外政策，更希望能夠在檢測操作系統(tǒng)版本異常（例如揪出已經(jīng)‘越獄’的蘋果產(chǎn)品）方面有所建樹。為了實(shí)現(xiàn)這類高級功能，用戶必須在這類MDM提供的環(huán)境內(nèi)部運(yùn)行移動(dòng)應(yīng)用及其它軟件。任何運(yùn)行于這套“容器”環(huán)境下的應(yīng)用都會(huì)同時(shí)獲得MDM供應(yīng)商所提供的全部特殊政策，這相當(dāng)于讓IT部門在用戶的個(gè)人設(shè)備中擁有了一塊安全區(qū)域。（通過設(shè)置，應(yīng)用所涉及的信息能夠不與任何安全區(qū)域之外的環(huán)境交互，這就從根本上將業(yè)務(wù)數(shù)據(jù)與設(shè)備的其它組件隔離開來。）有些MDM供應(yīng)商還為移動(dòng)用戶提供服務(wù)臺(tái)支持功能甚至控制通話費(fèi)用——也就是在用戶出國時(shí)提醒其注意國際漫游狀態(tài)。

MDM供應(yīng)商所面臨的技術(shù)挑戰(zhàn)與IT部門比較類似，主要在于為不同移動(dòng)平臺(tái)提供有針對性的差異化功能——事實(shí)上我們根本無法為所有設(shè)備創(chuàng)建一套統(tǒng)一的管理方案。MDM供應(yīng)商的辦法是頻繁更新，保證各設(shè)備平臺(tái)在出現(xiàn)系統(tǒng)升級或硬件變更后能快速獲得與之相適應(yīng)的新工具。然而IT部門則非常無力，企業(yè)規(guī)模的限制讓少數(shù)技術(shù)人員不可能以靈活的方式為大部分主流企業(yè)級設(shè)備提供必要政策。有鑒于此，iOS設(shè)備就成了很多管理者的救命稻草：蘋果公司強(qiáng)制要求企業(yè)采用Apple Push Notification Service（蘋果推送通知服務(wù)，簡稱APNS）證書，這就讓蘋果的MDM管理工具能夠真正貫徹到業(yè)務(wù)環(huán)境當(dāng)中。在這套證書的支持下，管理者能夠根據(jù)自身需求為MDM工具設(shè)置權(quán)限，進(jìn)而通過蘋果的通知服務(wù)器訪問iOS設(shè)備。

另一套與此相近的方案是利用網(wǎng)絡(luò)訪問控制器來檢測移動(dòng)訪問活動(dòng)，同時(shí)將用戶管理政策添加到訪問當(dāng)中。舉例來說，F(xiàn)5網(wǎng)絡(luò)公司就與多家MDM企業(yè)建立了合作伙伴關(guān)系（其中包括AirWatch、MobileIron、SilverbackMDM以及Zenprise），并以此為基礎(chǔ)實(shí)現(xiàn)多種工具的順利協(xié)作。Aruba網(wǎng)絡(luò)公司則計(jì)劃通過一套移動(dòng)設(shè)備網(wǎng)絡(luò)控制體系打造出訪問管理工具，用于監(jiān)控設(shè)備訪問并實(shí)施管理政策。

移動(dòng)應(yīng)用管理：MAM

移動(dòng)信息訪問控制領(lǐng)域中年紀(jì)最小的成員就是移動(dòng)應(yīng)用管理（MAM）工具，它目前主要分為以下幾大類：

1. 應(yīng)用發(fā)布——與我們常見的企業(yè)應(yīng)用商店頗為相近。它的主要作用是管理由企業(yè)自主開發(fā)的Web及本機(jī)應(yīng)用并進(jìn)行發(fā)布，但它同時(shí)也能向用戶提供核準(zhǔn)應(yīng)用在公共應(yīng)用商店中的下載鏈接。某些工具甚至可以管理由企業(yè)開發(fā)的、只在內(nèi)部環(huán)境中使用的本機(jī)iOS應(yīng)用。
2. 應(yīng)用開發(fā)安全——為企業(yè)自主開發(fā)的應(yīng)用內(nèi)容及網(wǎng)絡(luò)資源訪問活動(dòng)提供額外的安全與審核機(jī)制。它通過以控制臺(tái)形式出現(xiàn)，允許IT部門以此為平臺(tái)進(jìn)行各類內(nèi)置控制。
3. 應(yīng)用內(nèi)容管理——主要用于約束應(yīng)用與其它軟件共享驗(yàn)證內(nèi)容的權(quán)限。這方面所針對的仍然以企業(yè)自家的應(yīng)用為主，不過某些情況下也能充當(dāng)商業(yè)應(yīng)用開發(fā)者的管理工具。此領(lǐng)域的兩大供應(yīng)商分別是Mocana與賽門鐵克（后者通過收購Nukona才正式上位），他們在應(yīng)用程序權(quán)限許可方案上沒有采取傳統(tǒng)的DLP路線（即通過應(yīng)用內(nèi)部代碼實(shí)現(xiàn)管理政策），而另辟蹊徑、找到了更靈活的解決辦法。除了這兩家領(lǐng)頭羊之外，其它供應(yīng)商仍然在修改應(yīng)用代碼的層面上苦苦掙扎。
4. 安全應(yīng)用容器——它所創(chuàng)建的隔離區(qū)域、應(yīng)用容器或者虛擬環(huán)境能夠?qū)⒋蠖鄶?shù)業(yè)務(wù)應(yīng)用及數(shù)據(jù)與用戶的個(gè)人信息彼此隔絕。這套方案的跳出了原先虛擬桌面基礎(chǔ)設(shè)施（VDI）的思維桎梏，直接實(shí)現(xiàn)了一個(gè)窗口搞定遠(yuǎn)程應(yīng)用管理功能的目標(biāo)。這類應(yīng)用程序（例如Citrix的Receiver以及VMware的View）幾乎不必訪問任何移動(dòng)設(shè)備中的信息或本機(jī)功能，也讓管理者擺脫了沒有鍵盤鼠標(biāo)就無法進(jìn)行操作的窘境。除此之外，還有一類方案專門負(fù)責(zé)在設(shè)備上創(chuàng)建隔離環(huán)境——一套專門承載個(gè)人應(yīng)用與數(shù)據(jù)、另一則容納IT管理下的業(yè)務(wù)應(yīng)用與數(shù)據(jù)。

目前MAM方案所面臨的最大難題在于，大多數(shù)產(chǎn)品都只能作用于特定應(yīng)用。這對于有能力開發(fā)自有業(yè)務(wù)應(yīng)用的企業(yè)而言倒是沒什么大礙，但在商業(yè)開發(fā)人士看來，缺乏廣泛支持能力的管理工具距離完美仍然有很長的路要走。隨著時(shí)間的推移，我們應(yīng)該會(huì)看到更多允許用戶自己安裝、自己操控的應(yīng)用及內(nèi)容管理功能。這些功能只要能與企業(yè)現(xiàn)有MDM或其它工具順利對接，那么移動(dòng)安全的整體布局也就初具規(guī)模了。不過商業(yè)開發(fā)者或供應(yīng)商仍然需要為自己的應(yīng)用產(chǎn)品選擇一款或多款A(yù)PI，并承擔(dān)由此帶來的局限性或復(fù)雜性。

當(dāng)然，目前大家最需要的是一款通用內(nèi)容管理API“大補(bǔ)丸”，這套能夠讓所有應(yīng)用與任何管理工具受益的整合方案可以說是功德無量——一旦出現(xiàn)，這款產(chǎn)品將很快獲得微軟EAS協(xié)議在設(shè)備管理領(lǐng)域相對等的崇高地位，并立即成為行業(yè)標(biāo)準(zhǔn)。在EAS這邊，供應(yīng)商需要做的是針對特定應(yīng)用需求推出核心向政策強(qiáng)化服務(wù)，而商業(yè)開發(fā)者則可以自由選擇支持或放棄這些額外功能。通過這種方式，應(yīng)用程序開發(fā)將真正進(jìn)入安全、開放的新時(shí)代。

主流供應(yīng)商與關(guān)鍵性移動(dòng)管理需求