無(wú)論管理者如何掙扎，iPhone已經(jīng)成功贏得了世界上大多數(shù)用戶的心。即使大家投入重金、為企業(yè)構(gòu)建起氣勢(shì)奪人的保護(hù)體系，總有一天以iPhone為代表的新型智能手機(jī)也必將破門而入、進(jìn)入業(yè)務(wù)環(huán)境并與IT系統(tǒng)相連——谷歌Android陣營(yíng)中的Galaxy系列產(chǎn)品也將緊隨其后。事實(shí)上，許多CIO與CSO都已經(jīng)放棄了抵抗的念頭，開始探討移動(dòng)設(shè)備的介入能夠帶來何種程度的生產(chǎn)力提升：客觀條件證明，智能手機(jī)有理由迅速成為新時(shí)代下的關(guān)鍵性業(yè)務(wù)工具，而管理者的工作是如何安全高效地為這種趨勢(shì)保駕護(hù)航。

當(dāng)然，像iPhone這樣的民用級(jí)設(shè)備對(duì)于個(gè)人用戶有著強(qiáng)大的吸引力與號(hào)召力，但它們也已經(jīng)具備越來越多足以完成企業(yè)安全及管理需要的新功能。25年前PC產(chǎn)業(yè)迎來的重大變革徹底打破了“業(yè)務(wù)”與“個(gè)人”之間的區(qū)分界限，而如今移動(dòng)設(shè)備在與IT規(guī)范相對(duì)接的道路上也在高歌猛進(jìn)，逐漸打破了“個(gè)人設(shè)備效能低下”的桎梏。目前，歷史的方向盤掌握在每一位技術(shù)領(lǐng)導(dǎo)者手中，智能手機(jī)的革命將何去何從取決于我們的理智引導(dǎo)。

從這個(gè)角度分析，相信大家已經(jīng)找到了向移動(dòng)設(shè)備敞開懷抱、了解移動(dòng)安全功能的理由，大多數(shù)企業(yè)也已經(jīng)將其視為發(fā)展過程中的核心關(guān)注對(duì)象。為了解決這一問題，我提出一套四級(jí)分層理論，借以涵蓋大多數(shù)企業(yè)的安全需求。在說明中，我解釋了如何確保每套移動(dòng)設(shè)備使用模式與企業(yè)級(jí)安全規(guī)范間的契合，明確指出哪些特定設(shè)備可能給業(yè)務(wù)環(huán)境帶來危害。雖然要做的工作還很多，但我們已經(jīng)能夠從細(xì)致分類著手，為自己的智能手機(jī)戰(zhàn)略做出合理調(diào)整。

為了真正給實(shí)際生產(chǎn)力帶來改善，我將把討論重點(diǎn)放在蘋果iPhone（包括iPod Touch與iPad）、谷歌Android系統(tǒng)設(shè)備、微軟Windows Mobile及Windows Phone 7、諾基亞塞班設(shè)備中的商務(wù)機(jī)型（例如S60與E71等）以及RIM公司的黑莓系列身上。很遺憾，我不得不把惠普公司的WebOS設(shè)備排除在外，因?yàn)樯a(chǎn)商自己已經(jīng)宣判了該系列產(chǎn)品的死刑。

有鑒于郵件系統(tǒng)在移動(dòng)設(shè)備上的使用頻率與重要作用，我會(huì)同時(shí)談到各類主流業(yè)務(wù)郵件平臺(tái)——IBM的Lotus Domino/Notes、微軟的Exchange以及Novell的GroupWise——并解釋第三方移動(dòng)管理產(chǎn)品如何與這些強(qiáng)勢(shì)平臺(tái)聯(lián)手協(xié)作。請(qǐng)注意，前面提到的許多產(chǎn)品并不具備真正的安全功能。某些產(chǎn)品能夠簡(jiǎn)化設(shè)備本機(jī)自帶的安全功能，但大多數(shù)僅僅是對(duì)通話費(fèi)用、設(shè)備資產(chǎn)及運(yùn)行狀態(tài)等信息進(jìn)行收集整理，作為IT部門服務(wù)臺(tái)的技術(shù)參考數(shù)據(jù)。比起額外添加管理工具，大家可能更希望利用智能手機(jī)本身的功能輔助業(yè)務(wù)，這種成本更低的移動(dòng)設(shè)備引進(jìn)方案相信更容易受到企業(yè)決策層的青睞與重視。

請(qǐng)注意，移動(dòng)技術(shù)領(lǐng)域仍然處于發(fā)展當(dāng)中，下面我們將提到的許多建議只適合當(dāng)前情況，（希望）供應(yīng)商們會(huì)堅(jiān)持不懈地在產(chǎn)品功能提升方面付出努力。

哪種安全方案分類最適合你的需求？

盡管智能手機(jī)安全問題就像恐怖故事那樣嚇退了不少軍方及金融服務(wù)企業(yè)，但大多數(shù)公司對(duì)于安全性的要求并沒有那么嚴(yán)苛。另外，許多安保及金融服務(wù)機(jī)構(gòu)已經(jīng)找到了在高度戒備的狀態(tài)下引入iPhone與iPad的方法。美國(guó)銀行、花旗集團(tuán)、全美互惠保險(xiǎn)公司以及渣打銀行就是其中最典型的例子。

許多企業(yè)的實(shí)際需求可能同時(shí)涵蓋了以下四大分類，畢竟每一位管理者都希望自己能嚴(yán)密監(jiān)控員工與敏感事務(wù)的接受、甚至完全遠(yuǎn)離企業(yè)數(shù)據(jù)。但一旦選擇這種思路，大家對(duì)移動(dòng)設(shè)備“敞開懷抱”的戰(zhàn)略方針也就無(wú)處存身了。認(rèn)清風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)并勇于承擔(dān)風(fēng)險(xiǎn)，這才是開拓型管理者的必備素養(yǎng)。而且放之四海而皆準(zhǔn)的道理在移動(dòng)設(shè)備領(lǐng)域也同樣有效：沒有哪種方案能通吃天下。

最后一項(xiàng)說明：如果大家對(duì)于PC機(jī)及筆記本用戶的使用狀態(tài)與安全考量跟移動(dòng)設(shè)備不同，那就說明你還沒找到正確的思維方式。只有做到統(tǒng)一要求，移動(dòng)管理戰(zhàn)略才有可能真正接近PC級(jí)別。

分類一：日常業(yè)務(wù)信息。卡車司機(jī)、推銷員、售貨員、平面設(shè)計(jì)人士、Web開發(fā)者、維修人員、私人教練、餐廳老板——這些領(lǐng)域的用戶一方面接觸大量日常信息、另一方面卻很少產(chǎn)生個(gè)人或法律層面的敏感數(shù)據(jù)。

一旦智能手機(jī)發(fā)生丟失或被盜，必須會(huì)產(chǎn)生一系列麻煩——數(shù)據(jù)恢復(fù)、取消通信服務(wù)、購(gòu)買并配置新設(shè)備，管理者必須為這一切提前做好準(zhǔn)備。除此之外，盜竊犯還可能訪問原始用戶的郵件賬戶，這就要求我們第一時(shí)間在服務(wù)器端變更密碼。

最初級(jí)的安全機(jī)制要求用戶正確輸入PIN碼后才能使用設(shè)備。到這里已經(jīng)不錯(cuò)了，但還沒有萬(wàn)無(wú)一失。要實(shí)現(xiàn)真正的可靠性、安全性與管理功能，他們還需要實(shí)現(xiàn)密碼定期輪換、強(qiáng)制使用高強(qiáng)度密碼、遠(yuǎn)程數(shù)據(jù)清除、郵件及其它數(shù)據(jù)傳輸SSL加密，并在登錄密碼錯(cuò)誤數(shù)次后清除內(nèi)容。沒有這樣嚴(yán)格的管理政策，移動(dòng)設(shè)備根本沒有資格進(jìn)入業(yè)務(wù)環(huán)境。

分類二：重要業(yè)務(wù)信息。營(yíng)銷經(jīng)理、獸醫(yī)、私人助理、管理顧問、IT管理者、教師、編輯、攝像師、程序員、大多數(shù)中層管理人士——從事這些行業(yè)或者身處上述地位的人們不可避免會(huì)使用移動(dòng)設(shè)備訪問個(gè)人與財(cái)務(wù)信息。也許這種訪問對(duì)于企業(yè)而言還構(gòu)不成威脅，但卻可能帶來一定程度的經(jīng)濟(jì)或公共關(guān)系損失，換方之用戶已經(jīng)需要引起警惕。此外，由于他們一般都掌握著內(nèi)部系統(tǒng)的密碼與操作權(quán)限，因此惡意人士很可能以此為跳板實(shí)施犯罪活動(dòng)。

一旦這些用戶的智能手機(jī)丟失或被盜，應(yīng)對(duì)機(jī)制中就不僅僅包括個(gè)人賬戶信息的修改、還可能涉及到某些共享口令更換、通知業(yè)務(wù)伙伴，并準(zhǔn)備承擔(dān)由此引發(fā)的短期績(jī)效影響。

對(duì)于這個(gè)群體，管理者在安全與管理功能方面需要做出如下約束：在設(shè)備中使用復(fù)雜密碼、采用密碼定期輪換機(jī)制、遠(yuǎn)程數(shù)據(jù)清除、郵件及其它數(shù)據(jù)傳輸SSL加密、并在登錄密碼錯(cuò)誤數(shù)次后清除內(nèi)容。到這里已經(jīng)不錯(cuò)了，但還沒有萬(wàn)無(wú)一失。要實(shí)現(xiàn)真正的可靠性、安全性與管理功能，他們還需要在敏感系統(tǒng)及數(shù)據(jù)訪問中引入VPN及/或雙重因素驗(yàn)證，同時(shí)保證設(shè)備擁有內(nèi)置加密。

分類三：第三業(yè)務(wù)信息。財(cái)務(wù)人員、審計(jì)員、銀行職員、醫(yī)藥專家、人力資源主管、律師、技術(shù)人員、產(chǎn)品經(jīng)理、研究員、部門經(jīng)理、IT主管、市場(chǎng)營(yíng)銷負(fù)責(zé)人、大多數(shù)企業(yè)高管及其助理——這些崗位的從業(yè)者一般會(huì)涉及大量機(jī)密信息（包括法律、財(cái)務(wù)、產(chǎn)品及私人層面），而且經(jīng)常訪問內(nèi)部數(shù)據(jù)庫(kù)及核心系統(tǒng)。

一旦他們的智能手機(jī)丟失或被盜，很可能引發(fā)嚴(yán)重的財(cái)務(wù)損失——例如個(gè)人敏感信息未受保護(hù)造成的通告成本、商務(wù)談判細(xì)節(jié)導(dǎo)致的競(jìng)爭(zhēng)力喪失以及員工薪酬曝光等等。

對(duì)于這個(gè)群體，管理者在安全與管理功能方面需要做出如下約束：在設(shè)備中使用復(fù)雜密碼、采用密碼定期辦的機(jī)制、遠(yuǎn)程數(shù)據(jù)清除、郵件及其它數(shù)據(jù)傳輸SSL加密、在登錄密碼錯(cuò)誤數(shù)次后清除內(nèi)容、在敏感系統(tǒng)及數(shù)據(jù)訪問中引入VPN與/或雙重因素驗(yàn)證、并保證設(shè)備擁有內(nèi)置加密。到這里已經(jīng)不錯(cuò)了，但還沒有萬(wàn)無(wú)一失。要實(shí)現(xiàn)真正的可靠性、安全性與管理功能，他們還需要針對(duì)特定網(wǎng)絡(luò)部署訪問控制機(jī)制、禁用內(nèi)置攝像頭并實(shí)施應(yīng)用程序安裝規(guī)范。

分類四：機(jī)密信息。軍事項(xiàng)目分包商、間諜、警察、高級(jí)外交官、軍方人事主管、國(guó)會(huì)官員及其助理——這些崗位的從業(yè)者一般會(huì)涉及大量機(jī)密信息，數(shù)據(jù)泄露很可能造成人員傷亡甚至公共事業(yè)混亂等嚴(yán)重后果。

對(duì)于這個(gè)群體，管理者在安全與管理功能方面需要做出如下約束：在設(shè)備中使用復(fù)雜密碼、采用密碼定期辦的機(jī)制、遠(yuǎn)程數(shù)據(jù)清除、在郵件及其它數(shù)據(jù)傳輸中引入軍用級(jí)加密機(jī)制、在登錄密碼錯(cuò)誤數(shù)次以軍用級(jí)要求清除內(nèi)容、利用VPN進(jìn)行敏感系統(tǒng)及數(shù)據(jù)訪問、采取物理層面的雙重因素驗(yàn)證支持、軍用級(jí)內(nèi)置加密、支持S/MIME及FIPS 140標(biāo)準(zhǔn)并對(duì)所有能夠訪問網(wǎng)絡(luò)的應(yīng)用進(jìn)行獨(dú)立控制。

業(yè)務(wù)類型一：日常信息中的安全需求

如果大家的企業(yè)只需要處理日常信息，那么主流手機(jī)替代黑莓產(chǎn)品的目標(biāo)其實(shí)很容易實(shí)現(xiàn)。

蘋果iOS。iOS作為iPhone、iPad以及iPod Touch系列產(chǎn)品的系統(tǒng)平臺(tái)，能夠?yàn)檫@類安全需求提供PIN碼支持，方案本身的各項(xiàng)標(biāo)準(zhǔn)也足以滿足需求。（順帶一提，郵件加密一般是由設(shè)備內(nèi)置加密機(jī)制實(shí)現(xiàn)，但僅限于iPhone 3GS、iPhone 4、iPhone 4S、第三、四代iPod Touch、iPad以及iPad 2。）SSL信息傳輸加密也屬于iOS的本機(jī)功能范疇。

另一大問題就是如何確保上述要求與方案得以強(qiáng)制執(zhí)行。如果大家不放心讓用戶自己打理設(shè)備維護(hù)工作，那不妨考慮利用蘋果配置單元（最初定名為iPhone配置單元）創(chuàng)建適合需要的安全政策配置文件。不過用戶是否確實(shí)安裝了這些配置文件也是個(gè)問題，我們必須手動(dòng)將文件從U盤同步到PC機(jī)當(dāng)中。如果大家對(duì)普通員工信心滿滿，那就直接把文件發(fā)給他們或者在郵件中發(fā)布下載地址。再說一套既能實(shí)現(xiàn)無(wú)線交付、又能確保配置文件得到安裝的辦法，那就是使用Mac OS X 10.7獅子或者OS X 10.8美洲獅中的政策管理工具。

除此之外，第三方移動(dòng)管理工具同樣不可或缺。目前主流的安全產(chǎn)品供應(yīng)商包括AirWatch、Boxtone、Good Technology、MobileIron、賽門鐵克、Sybase的Afaria項(xiàng)目、Tangoe以及Zenprise等等。它們同樣支持無(wú)線管理、合規(guī)性與部署審查以及其它一些蘋果配置單元所不具備的安全控制內(nèi)容。其功能之多樣連獅子或美洲獅Server都無(wú)法望其項(xiàng)背。

如果大家使用的是微軟Exchange 2007或者2010，就可以利用其提供的EAS政策強(qiáng)制用戶使用PIN碼鎖定設(shè)備并實(shí)施密碼周期輪換方案。在EAS的幫助下，遠(yuǎn)程數(shù)據(jù)清除功能也完全能夠?qū)崿F(xiàn)。

以Lotus Notes為管理基礎(chǔ)的企業(yè)還能通過引入Domino 8.5.1或更高版本與Lotus Notes Traveler應(yīng)用（iTunes App Store上直接下載）的組合在郵件訪問中實(shí)現(xiàn)密碼保護(hù)。Notes Traveler還為郵件、日程表及聯(lián)系人數(shù)據(jù)提供了遠(yuǎn)程清除功能。雖然Domino與Notes的組合無(wú)法強(qiáng)制iPhone及iPad用戶執(zhí)行管理政策，但倒是能實(shí)現(xiàn)iOS設(shè)備的遠(yuǎn)程鎖定操作。如果上述政策還不夠全面，大家不妨考慮借助第三方移動(dòng)管理工具實(shí)現(xiàn)配置文件核準(zhǔn)、設(shè)備鎖定及訪問控制功能。

如果大家使用谷歌公司的Gmail郵件系統(tǒng)，那么EAS管理政策將受到很大限制。

如果大家使用Novell公司的GroupWise，則可以利用GroupWise 8中的數(shù)據(jù)同步移動(dòng)包插件將EAS政策與iPhone順利對(duì)接。此外，GW Mail iPhone應(yīng)用也能與GroupWise 6及更新版本一道帶來安全的郵件客戶端——不過GW Mail同樣無(wú)法將政策推廣到設(shè)備全局、而只在客戶端內(nèi)部生效。

谷歌Android。通過設(shè)置，Android設(shè)備能夠?qū)崿F(xiàn)PIN碼或者圖形滑動(dòng)解鎖。而且在Android 2.2及更新版本中，用戶還可以為設(shè)備設(shè)定使用密碼，并以遠(yuǎn)程方式清除密碼。另外，它支持SSL傳輸加密，但并不支持設(shè)備內(nèi)置加密。面向平板設(shè)備的Android 3.0則支持內(nèi)置加密，并能在EAS政策的輔助下實(shí)現(xiàn)密碼周期輪換、密碼歷史記錄以及高強(qiáng)度密碼支持等功能。具備上述功能的機(jī)型還包括使用Andoird 4.x系統(tǒng)的智能手機(jī)與平板，以及摩托羅拉公司圍繞Andoird 2.x推出的智能手機(jī)系列。

目前，Android平臺(tái)所擁有的安全提升方案只有兩套，主要作用是為3.0及更早設(shè)備提供郵件數(shù)據(jù)存儲(chǔ)加密功能。一套是由NitroDesk出品的TouchDown應(yīng)用，它能夠與Exchange 2003及2007協(xié)作、同時(shí)允許用戶實(shí)現(xiàn)EAS政策中的PIN碼解鎖與遠(yuǎn)程數(shù)據(jù)清除。這款應(yīng)用可以說是每位Android用戶的必備軟件。另外需要強(qiáng)調(diào)一點(diǎn)，大多數(shù)Android手機(jī)所宣傳的Exchange兼容性（例如摩托羅拉Droid及HTC Droid Eris系列）其實(shí)并不支持本機(jī)EAS政策，而只是采取了安全性較低的Exchange同步機(jī)制。因此，它們內(nèi)置的郵件客戶端將無(wú)法連接到采用EAS政策的Exchange服務(wù)器端。Android 2.2系統(tǒng)更新為這些設(shè)備帶來了一部分EAS政策支持能力，但仍然非常有限，只包括強(qiáng)制使用密碼等基本機(jī)制。

另一套方案則是在設(shè)備中部署第三方管理工具客戶端，其中最知名的當(dāng)數(shù)Good for Android應(yīng)用。它能夠支持郵件、日程表及聯(lián)系人與Exchange及Notes兩種服務(wù)器端的順利對(duì)接。這款應(yīng)用還可以強(qiáng)制設(shè)定密碼、對(duì)消息及其它數(shù)據(jù)加密、遠(yuǎn)程清理消息及其它應(yīng)用中所保存的信息。當(dāng)然，要讓這款應(yīng)用真正起效，企業(yè)用戶需要先部署Good for Enterprise服務(wù)器。MobileIron及其它主流供應(yīng)商的產(chǎn)品也能達(dá)到同樣的效果。

對(duì)于Lotus Notes環(huán)境，IBM公司專門推出了Android版本的Lotus Notes Traveler應(yīng)用。它的作用是安全地訪問來自Notes服務(wù)器端的數(shù)據(jù)，同時(shí)支持遠(yuǎn)程數(shù)據(jù)清除功能。

微軟Windows Phone。微軟公司的這款最新移動(dòng)系統(tǒng)在安全支持方面遠(yuǎn)遜于Windows Mobile。而在這類安全要求不高的業(yè)務(wù)環(huán)境中，它能夠支持PIN碼解鎖及其它一系列實(shí)用功能，包括SSL數(shù)據(jù)傳輸加密及遠(yuǎn)程數(shù)據(jù)清除。不過遺憾的是，它并不支持設(shè)備內(nèi)置加密或者高強(qiáng)度密碼政策。

在使用微軟Exchange、谷歌企業(yè)Gmail或者安裝了數(shù)據(jù)同步移動(dòng)包的GroupWise 8等與EAS相兼容的服務(wù)器時(shí)，我們可以通過強(qiáng)制手段執(zhí)行政策支持。

但目前Windows Phone還無(wú)法與Lotus Notes協(xié)作。

諾基亞塞班。大多數(shù)諾基亞設(shè)備還是能夠支持這一類業(yè)務(wù)環(huán)境所需要的PIN碼解鎖及其它常見安全功能的。

對(duì)于Exchange用戶而言，諾基亞設(shè)備雖然能夠支持一部分EAS政策及管理功能，但官方拒絕透露具體支持哪些種類。根據(jù)我的調(diào)查，諾基亞設(shè)備所能支持的政策數(shù)量遠(yuǎn)低于iOS 4及其更新版本。

對(duì)于Notes用戶，IBM公司專門提供了Lotus Notes Traveler應(yīng)用，借以保護(hù)Notes郵件、日程表以及聯(lián)系人信息，同時(shí)支持遠(yuǎn)程數(shù)據(jù)清除功能。如果大家打算對(duì)諾基亞設(shè)備進(jìn)行統(tǒng)一管理，那么在使用Exchange或Notes/Domino組合的前提下，Good for Enterprise服務(wù)器中內(nèi)置的某些功能模塊還是能夠發(fā)揮作用的——但僅限于少數(shù)機(jī)型，例如S60。

而在Novell公司的GroupWise方面，用戶只能通過陳舊設(shè)備、利用早已過時(shí)的諾基亞智能同步技能與之相對(duì)接，同時(shí)需要企業(yè)部署GroupWise移動(dòng)服務(wù)器。

RIM黑莓。黑莓設(shè)備能夠支持這類業(yè)務(wù)環(huán)境所需要的PIN碼解鎖及其它常見安全功能——但前提是企業(yè)已經(jīng)事先完成了BES或BES Express服務(wù)器以及Exchange、Notes或者GroupWise服務(wù)器的部署工作。

新的免費(fèi)版BES Express服務(wù)器軟件令使用微軟Exchange或者Lotus Notes的小型企業(yè)獲得了相當(dāng)強(qiáng)勁的安全管理方案。在缺乏BES支持的情況下，黑莓設(shè)備本身也能夠完成PIN碼解鎖及傳輸信息加密。

如果大家希望利用微軟Exchange代替RIM自家的BES（例如企業(yè)打算為黑莓之外的設(shè)備同時(shí)提供安全支持），那就只能選擇第三方工具了。這些工具能夠讓黑莓支持包括AstraSync及NotifySync在內(nèi)的多項(xiàng)EAS政策。

請(qǐng)注意，黑莓PlayBook平板在1.0系統(tǒng)版本下不具備任何本機(jī)安全功能（相信即將發(fā)布的2.0版本會(huì)扭轉(zhuǎn)這一局面）。不過這款平板也不可能直接訪問BES保護(hù)下的業(yè)務(wù)數(shù)據(jù)，除非我們將黑莓智能手機(jī)作為跳板、構(gòu)建出一套橋接機(jī)制。在這種情況下，平板設(shè)備本身只相當(dāng)于一個(gè)顯示窗口，所有數(shù)據(jù)與應(yīng)用都處于智能手機(jī)的保護(hù)之下。

業(yè)務(wù)類型二：重要信息中的安全需求

如果大家所在的企業(yè)常常涉及重要信息，那么要找到比黑莓更為可靠的移動(dòng)設(shè)備就有點(diǎn)難度了。不過在這方面，iOS、Windows Mobile以及諾基亞塞班系統(tǒng)平臺(tái)在細(xì)心調(diào)教下還是能夠有所作為。

蘋果iOS。iOS支持這類業(yè)務(wù)環(huán)境中的所有需求，同時(shí)也引入了VPN這類多多益善的附加功能。事實(shí)上第二類使用者在信息保護(hù)方面與前一類基本相同。

如果要說區(qū)別，那么第二類情況的問題在于支持思科網(wǎng)絡(luò)設(shè)施的VPN機(jī)制往往無(wú)法與思科配置文件發(fā)布系統(tǒng)相兼容；我們需要手動(dòng)輸入VPN配置文件、或者利用蘋果配置單元、Mac OS X獅子Server或者OS X美洲獅Server、甚至是第三方管理工具來實(shí)現(xiàn)。從這個(gè)角度看，IT部門需要在VPN訪問工作上投入更多精力。

谷歌Android。Android 2.x系列操作系統(tǒng)缺乏對(duì)這類業(yè)務(wù)環(huán)境的必要支持，其中最典型的功能缺失就是設(shè)備內(nèi)置加密與密碼周期輪換功能。系統(tǒng)雖然支持Open VPN及PPTP/IPsec VPN，但卻仍然無(wú)法實(shí)現(xiàn)各種機(jī)型的通行通用（具體支持情況由設(shè)備制造商把握）。Android 3.x及4.x倒是填補(bǔ)了加密及密碼輪換機(jī)制的空白。

如果大家關(guān)注郵件、日程表及聯(lián)系人數(shù)據(jù)的保護(hù)工作——同時(shí)也使用與系統(tǒng)相兼容的VPN——那么不妨向Android用戶稍稍做出妥協(xié)。安全機(jī)制雖然不一定能做到固若金湯，但關(guān)鍵性原則還是得毫不放松。

微軟Windows Mobile。Windows Mobile支持這類業(yè)務(wù)環(huán)境中的全部需求，同時(shí)也提供了VPN等額外功能。在Windows Mobile環(huán)境下，第二類使用者的安全強(qiáng)度與第一類基本一致。

不過對(duì)于以微軟技術(shù)為基礎(chǔ)的大型企業(yè)而言，我們可能需要使用微軟系統(tǒng)中心移動(dòng)設(shè)備管理器2008，它允許用戶以自助形式實(shí)現(xiàn)密碼重置，并能夠同時(shí)為上千位同設(shè)備用戶解決跨Active Directory控制器問題。

微軟Windows Phone。這款由微軟推出的系統(tǒng)支持此類業(yè)務(wù)環(huán)境中的大部分安全需求，并配備了值得稱道的高強(qiáng)度密碼政策，不過卻不具備任何改善性附加功能。Windows Phone在第二類情況下的工作狀態(tài)與前一類基本一致。

諾基亞塞班。諾基亞支持此類業(yè)務(wù)環(huán)境中的全部需求，同時(shí)也提供了VPN等額外功能。塞班系統(tǒng)在第二類情況下的工作狀態(tài)與前一類基本一致。

RIM黑莓。黑莓設(shè)備支持此類業(yè)務(wù)環(huán)境中的全部需求，同時(shí)也提供了VPN等額外功能。黑莓設(shè)備在第二類情況下的工作狀態(tài)與前一類基本一致。

業(yè)務(wù)類型三：敏感信息中的安全需求

在這個(gè)級(jí)別的業(yè)務(wù)工作中——例如金融服務(wù)、法律事務(wù)、人力資源以及醫(yī)療保健——企業(yè)需要開始將安全關(guān)注程度提高上來，在必要時(shí)犧牲一部分員工的工作樂趣。

蘋果iOS。iPhone與iPad支持此類業(yè)務(wù)環(huán)境中的全部安全需求。iOS在第三類情況下的工作狀態(tài)與前一類基本一致。

但iOS的不足之處表現(xiàn)在改善性安全功能的缺失上。但這倒并非無(wú)法彌補(bǔ)，通過蘋果配置單元、獅子Server或者美洲獅Server的配置文件及其它第三方管理工具，用戶仍然可以實(shí)現(xiàn)攝像頭禁用與特定SSID無(wú)線網(wǎng)絡(luò)訪問限制。

與此類似，我們也可以利用第三方管理工具限制用戶使用特定應(yīng)用。而在蘋果配置單元、獅子Server或者美洲獅Server的配置文件及其它第三方管理工具的幫助下，大家還可以禁止設(shè)備對(duì)App Store、Safari及iTunes的使用。但一旦采取這類較為嚴(yán)苛的管理手段，iPhone自身的固有功能及吸引力也會(huì)受到很大影響。

谷歌Android。2.x版本的Android系統(tǒng)缺乏這類業(yè)務(wù)環(huán)境所必需的大部分安全服務(wù)，所以我們不建議大家在自己的企業(yè)中使用該設(shè)備。Android 3.x及4.x系統(tǒng)則能夠滿足基本安全需求，但仍然缺乏改善性功能。

微軟Windows Mobile。Windows Mobile支持此類業(yè)務(wù)環(huán)境中的全部需求，但要求用戶使用微軟系統(tǒng)中心移動(dòng)設(shè)備管理器2008、Good for Enterprise或者M(jìn)obileIron等產(chǎn)品來實(shí)現(xiàn)改善性安全功能。缺乏以上三者的支持，Windows Mobile的工作狀態(tài)與前一類基本一致。

微軟Windows Phone。Windows Phone 7系統(tǒng)缺乏此類業(yè)務(wù)環(huán)境中必需的大部分安全功能，所以我們不建議大家在自己的企業(yè)中使用該設(shè)備。Windows Phone 8版本則有望改寫這一局勢(shì)，但結(jié)果如何我們還需耐心等待。

諾基亞塞班。諾基亞設(shè)備支持此類業(yè)務(wù)環(huán)境中需要的全部安全功能，其實(shí)際工作狀態(tài)與前一類基本一致。而在改善性安全功能方面，我目前找不到任何針對(duì)諾基亞設(shè)備開發(fā)的第三方管理工具。

RIM黑莓。黑莓設(shè)備支持此類業(yè)務(wù)環(huán)境中需要的全部安全功能——但前提是用戶必須部署配備了Notes或GroupWise的完全版BES、免費(fèi)版Express或者付費(fèi)完全版BES for Exchange。要在三大主流郵件平臺(tái)上實(shí)現(xiàn)改善性安全功能，用戶還是要使用付費(fèi)的完全版BES。在滿足上述條件的情況下，黑莓設(shè)備的工作狀態(tài)與前一類基本一致。

業(yè)務(wù)類型四：機(jī)密信息中的安全需求

如果大家的企業(yè)需要涉及性命攸關(guān)的機(jī)密級(jí)信息，例如安保工作，那么足以完成工作的移動(dòng)設(shè)備方案只有兩種：黑莓與Windows Mobile。

蘋果iOS。iOS無(wú)法滿足軍用級(jí)加密（FIPS）需求（但iOS 5及更新版本加入了S/MIME支持，這就讓蘋果的新設(shè)備達(dá)到了軍用級(jí)的安全高度），也無(wú)法為應(yīng)用程序及網(wǎng)絡(luò)訪問提供必要的安全控制強(qiáng)度。另外，它也不支持物理因素身份驗(yàn)證。這倒不是說軍事機(jī)構(gòu)中完全不能采用iOS設(shè)備，但建議大家只允許那些級(jí)別較低、不會(huì)接觸到真正關(guān)鍵性信息的用戶使用。

谷歌Android。Android操作系統(tǒng)缺乏此類業(yè)務(wù)環(huán)境所必要的大部分安全服務(wù)，因此我們不建議大家在自己的機(jī)構(gòu)中使用該產(chǎn)品。

微軟Windows Mobile。就設(shè)備本身而言，Windows Mobile無(wú)法滿足軍用級(jí)安全要求，例如物理雙重因素身份驗(yàn)證以及軍用級(jí)（FIPS）加密，但Good for Government產(chǎn)品的幫助令微軟的這套“古董級(jí)”系統(tǒng)成功滿足了國(guó)防安全的嚴(yán)苛需要。

微軟Windows Phone。Windows Phone 7系統(tǒng)缺乏此類業(yè)務(wù)環(huán)境所必要的大部分安全服務(wù)，因此我們不建議大家在自己的機(jī)構(gòu)中使用該產(chǎn)品。

諾基亞塞班。諾基亞設(shè)備缺乏軍用級(jí)（FIPS）加密功能，也無(wú)法提供必要的應(yīng)用程序及網(wǎng)絡(luò)訪問控制強(qiáng)度。雖然我們?nèi)匀豢梢栽谲娛聶C(jī)構(gòu)中使用諾基亞設(shè)備，但建議大家只允許那些級(jí)別較低、不會(huì)接觸到真正關(guān)鍵性信息的用戶使用。

RIM黑莓。在使用完全版BES及黑莓智能讀卡器的前提下，特定黑莓機(jī)型能夠滿足此類業(yè)務(wù)環(huán)境中的安全需求。

底線：大多數(shù)情況下，移動(dòng)設(shè)備還是OK的

說到這里，我想大家已經(jīng)看到，大部分企業(yè)還是有條件將移動(dòng)設(shè)備引入業(yè)務(wù)環(huán)境的。

即使是安全性最差的Windows Phone 7與Android 2.x系統(tǒng)也基本能夠滿足第一類業(yè)務(wù)環(huán)境的要求，而iOS與Android 3.x、4.x則可以搞定第二、三類業(yè)務(wù)環(huán)境，更不用說傳統(tǒng)安全強(qiáng)手黑莓、Windows Mobile以及諾基亞塞班設(shè)備了。

因此，大家就沒必要再糾結(jié)于企業(yè)是否應(yīng)該向移動(dòng)設(shè)備敞開懷抱了，真正的問題是手機(jī)與平板的介入到底能帶來哪些附加價(jià)值。這個(gè)問題所蘊(yùn)含的積極意義足以為每一家企業(yè)指明未來生產(chǎn)力擴(kuò)展的方向。

移動(dòng)平臺(tái)安全性能對(duì)照表：

（點(diǎn)擊看大圖）