隨著人們不斷地提高筆記本電腦的安全性和集成度，筆記本電腦的功能已經足夠強大。那么，如今涌入產業界的下一代網絡終端設備的性能又如何呢？平板電腦現在在業界正炙手可熱，其中的佼佼者便是蘋果的iPad。毫無疑問，在接下來的幾個月里，iPad在企業中的應用將會增加。

要高效地使用這款流行的平板電腦，工人需要訪問企業的應用程序和數據，但這也意味著企業的程序和數據等資源不能違反相關政策，并且不能對iPad進行“越獄”。接下來讓我們討論討論，對于那些想要將iPad作為其企業網絡終端的人們來說，集成iPad都有哪些方法。

方法1：來賓終端（Guest endpoints）

作為一款支持Wi-Fi的設備，iPad能夠接入任何開放的無線局域網（WLAN），包括來賓式無線局域網(guest WLANs)。因此，一種在網絡中集成iPad的方式就是默認將員工擁有的iPad當做來賓終端，就像對待其他無法管理的來賓終端一樣。

網絡訪問控制（NAC）產品通常用于控制來賓對網絡的訪問，如對來賓接入網絡的時間進行限制，或者在接入前對其進行安全掃描。但是，NAC服務器無法持續地為iPad布置NAC客戶端，也不能強制iPad運行基于瀏覽器的安全掃描。因此，我們只應給予iPad基于Web或因特網方式的接入權限。

在這種方法中，網絡訪問控制器和網絡入侵監測系統可配合使用，用于識別iPad、監測終端接入系統后的活動以及斷開“不守規矩”的設備。雖然這兩種技術能夠提供可視化功能，并且也能夠保護網絡，但是僅對iPad設備提供普通的來賓訪問權限并不能使其成為一個（真正意義上的）企業用網絡終端，相反還會限制該設備的能力。

方法2：遠程終端（Remote endpoints）

另外一種方法是將iPad當做遠程終端來使用，即便是在本地無線局域網內也可以這樣做。例如，已接入英特網的iPad可以通過Exchange ActiveSync（交流同步）檢索公司郵件，或者使用由思科系統公司或Juniper網絡公司提供的VPN客戶端來獲得比來賓賬戶更大的網絡接入權限。

我們可以要求iPad的使用者瀏覽預提供的網絡地址，安裝配置檔案進行批量系統設置，這些設置包括設備的加密和密碼要求、數字證書、VPN和Exchange的使用參數及使用限制（如禁用攝像頭）。配置檔案能夠被鎖定并加密，以防止共享或者篡改，但關鍵還是在于強制執行配置檔案；安裝配置檔案也不能夠確保每一臺iPad都兼容。

要解決這個問題，一個辦法是每當電子郵件被閱讀時，使用Exchange ActiveSync檢測被選擇的iPad的配置情況，剔除不兼容的終端。例如，在Exchange ActiveSync的政策設置里我們可以阻止未簽名的應用程序閱讀公司郵件。同樣地，它也能夠將政策設置傳遞給那些擁有Exchange訪問權限的iPad，iPad還可以被設置為定期刷新這些政策設置。

另一種辦法是安裝與iOS兼容并具有整體系統評估能力的VPN客戶端。例如，Juniper公司的Junos Pulse Mobile Security Suite，該套件結合了SSL VPN技術與終端安全措施，如反病毒、反垃圾郵件以及接入企業網絡所必需的應用程序控制等。該VPN客戶端甚至可以在受理相同的身份認證、整體監測或授權策略時自由地在Wi-Fi網絡和移動通信網絡之間漫游。我們還可以選擇使用思科的與iOS兼容的AnyConnect。

方法3：受控終端（Managed endpoints）

最后，我們來討論控制式的終端。許多企業通過采取某些移動設備管理（MDM）控制措施來實現對iPad的完整集成。這可以在如今運行iOS4的iPad上面實現。

在iOS4中，蘋果為供應商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了遠程訪問接口。通過這種方法，使用者通過瀏覽預提供的網絡地址在公司的MDM服務器和iPad之間建立連接。然后，MDM的請求和響應由蘋果的推進通知服務（Push Notification Service）轉發。通過這種渠道，配置檔案和企業應用程序將通過無線網絡被發送至受控制的iPad，同時終端配置和應用事件也可以發送回MDM服務器。

這些技術能夠為系統提供近乎實時的完整評估和執行能力。例如，配置檔案可被用于配置企業的VPM或者Exchange訪問權限。如果訪問權限之后被吊銷，MDM可以移除配置檔案，刪除所有相關的企業數據，包括電子郵件信息、聯系人和日歷條目。同樣地，如果MDM檢測到某一iPad被“越獄”了，那么該iPad與MDM服務器之間的協作關系可被解除，之前iPad上所安裝的企業應用程序也可以被禁用。

蘋果限制了iOS4 MDM能控制的配置以及可執行的命令。具體而言，你不能強制安裝受推薦的蘋果商店應用，這會使得你可以很方便地安裝安全程序如VPN客戶端或惡意軟件掃描程序。雖然iOS4的版本可以被檢測到，但目前還無法通過無線網絡進行iOS4的更新；更新仍然必須通過iTunes進行。

然而，MDM產品目前已經開始使用這些接口在iPad上評估和執行某些特定規范。例如，AirWatch能夠根據預先提供的黑名單，檢查安裝在任何iPad商店應用程序，從而采取相應的措施，如警告用戶或者遠程卸載iPad上的違規程序。MobileIron可以（當然它的功能不止于此）在任何擁有過期的管理策略、被禁用的加密、未授權硬件版本等的iPad上刪除Exchange、VPN或者WLAN配置檔案。

總結

像iPad這樣的平板電腦需要新的工具去實現、評估和執行終端集成。但是，同筆記本電腦和上網本一樣，iPad的安全策略控制方法繁多，有高度可視化/觸摸類的工具，也有可提供廣泛控制的高度集成工具。有些企業可能會根據需要同時采取多種方法，例如，控制管理那些裝有企業程序的iPad，同時將那些沒有安裝企業程序的當做普通來賓。

【編輯推薦】

1. 想采用iPhone，iPad？請先考慮網絡安全
2. 任子行企業單位終端安全解決方案
3. 2011年終端管理系統市場預測
4. 和信創天：解讀終端管理誤區