【2011年12月8日 51CTO外電頭條】IT專家們對iPhone的未來充滿擔憂，因為不久之后缺乏必要安全補丁的Anroid產(chǎn)品將使業(yè)務流程中充斥著惡意軟件。

基于Android系統(tǒng)的設備在智能手機市場中已經(jīng)占據(jù)了半壁江山（44%），研究公司ComScore指出，緊隨其后的是擁有27%份額的蘋果 iPhone以及掌控20%份額的Motion BlackBerry手機。但在商務領域中，iPhone才是當之無愧的領導者，占整體智能手機使用比例的 45%；ComScore的調(diào)查顯示，其后為BlackBerry的32%和Android的21%。

我相信到2012年7月，Android在業(yè)務處理方面的應用比例將超過BlackBerry，甚至可能在2013年從iPhone手中奪過第一的寶座。而且無論屆時實際應用比例怎樣，Android企業(yè)級移動開發(fā)產(chǎn)品在訪問企業(yè)網(wǎng)絡及相關數(shù)據(jù)設備方面的增長速度是毋庸置疑的——這同時也構(gòu)成了巨大的商業(yè)風險并給IT部門帶來前所未有的挑戰(zhàn)。

在過去的08年到10年這段時間內(nèi)，IT人士普遍憂心iPhone的參與會提升企業(yè)的日常安全維護成本。但蘋果公司適時在iOS 4系統(tǒng)中使用 Exchange ActiveSync（簡稱EAS）安全策略，并為各類第三方設備管理MDM（即移動設備管理）工具提供必要的API，這就使得iPhone對于絕大多數(shù) 企業(yè)而言成為一種安全設備；其在商務范疇中的應用也由此激增。

為什么Android會成為IT人士的噩夢

但Android的情況則完全不同。它同樣由員工的個人喜好為契機向企業(yè)商務進發(fā)，但從安全及管理的角度來看，Android是一款相當危險的操作系統(tǒng)。它給商務流程帶來了不容忽視的安全威脅，甚至比Windows系統(tǒng)給IT部門帶來的麻煩更糟。具體原因如下所述：

Android簡直是吸引惡意軟件的磁鐵。Android軟件市場中充斥著各種偽裝成合法應用程序的惡意軟件，不僅竊取信息、還給機主帶來高額的短信與通話費用。根據(jù)安全廠商McAfee的報告，為Android系統(tǒng)開發(fā)惡意軟件非常簡單，因此所有新型移動設備惡意軟件都出現(xiàn)在Android上；也就是說，盡管iOS市場占有率遙遙領先，但犯罪分子并沒有打它的主意，甚至連長期維持不變的BlackBerry OS都比Android難攻破。不過希望大家不要把惡意軟件與病毒（病毒是一種會感染其它設備及個人電腦的應用程序）混為一談——Android感染其它設備的機率其實很低，在這一點上我得說，卡巴斯基實驗室、McAfee公司以及賽門鐵克等以利己主義為優(yōu)先進行宣傳的公司實在是言過其實了。

Android系統(tǒng)的版本之多簡直要人老命。Android系統(tǒng)的構(gòu)成體系可以說是散漫而毫無規(guī)律可言的，每個階段都有好幾個操作系統(tǒng)版本供用戶使用。當下正在發(fā)售的智能手機可以運行Android “Froyo” 2.2、“姜餅” 2.3或者是——本月剛剛放出的—— “冰淇淋三明治” 4.0。平板設備則可以運行Android 2.2、2.3或者“ 蜂窩 ”3.0、3.1以及3.2，連才出襁褓的Android 4.0也能夠插進一腳來。比起一款平臺，Android更像是眾多一次性產(chǎn)品的集合體。相比之下，蘋果公司同時只銷售一個版本的iOS系統(tǒng)，而RIM公司基本上也對自己的BlackBerry OS采取同樣的戰(zhàn)略。

Android總是缺乏必要的補丁。更糟糕的是，這些錯綜復雜的版本帶來了 紛亂難理的補丁機制——從一家運營商、制造商或者二者的結(jié)合體處我們可能會獲得一套補?。ó斎灰部赡芨纱嗑蜎]有），而到了別家補丁內(nèi)容就不一樣了。相比之下，蘋果公 司會同時向所有運營商管理的所有設備發(fā)布操作系統(tǒng)更新及補丁程序，而且通常會包含在過去兩年之內(nèi)發(fā)布的每一款機型。RIM公司的產(chǎn)品組合策略則介于二者之 間，即為不同的硬件配備不同的操作系統(tǒng)，而補丁發(fā)布也隨之變化，但總體來說還是要好過Android系統(tǒng)。

對于IT部門而言，最大的困擾在于根本沒有一套完整的所謂“Android企業(yè)級移動開發(fā)平臺”讓他們管理。盡管Windows系統(tǒng)也同Android一樣始終飽 受惡意軟件的侵襲，但IT部門至少清楚所有由微軟發(fā)布的操作系統(tǒng)補丁都適用于全部硬件供應商所提供的個人電腦產(chǎn)品——這樣IT部門也就有了將這些補丁整合 并一次推出的能力。而在Android方面就不是這么回事兒了，IT部門此時不要說控制力、就連補丁內(nèi)容的一致性都無法把握。

但這一切對用戶來說都不構(gòu)成影響，因為這壓根不是用戶該操心的事情；而隨著自帶設備辦公逐漸成為大多數(shù)企業(yè)的正常規(guī)范，那么在歡迎iPhone與BlackBerry的同時抵觸Android產(chǎn)品無疑算得上一種失策（全盤否定也不明智，畢竟納入iPhone與BlackBerry設備對企業(yè)業(yè)務的確有很大提升）。#p#

IT部門要如何減少此類負面因素帶來的影響

鑒于上述情況，在這里我建議大家做到以下幾點：

堅持基本的EAS支持。 Android 3.x平板設備與4.0設備（同時包括智能手機與平板）支持EAS策略中的密碼與設備加密部分，這與iOS系統(tǒng)所做的比較接近；擁有此類能力的機型包括由摩托羅拉出品的2011款Android 2.3智能手機與三星Galaxy II S以及Galaxy Note智能手機。大家不妨建議用戶優(yōu)先使用這些產(chǎn)品。此外，幫助大家了解哪些設備雖然支持Android 4.0系統(tǒng)，卻由于本身的硬件限制而不支持加密功能，以此來確保他們選擇能夠滿足我們自身安全要求的硬件設備（在企業(yè)中搞個專門的宣傳欄或是搞一次機型推 薦活動也不錯）。必須拒絕那些由不支持我們EAS策略的設備處發(fā)來的訪問。類似最新的MobileIron 4.5這樣的MDM服務工具能夠以一套通用的EAS設置及補充政策為基礎（它同樣適用于iOS系統(tǒng)），幫我們檢測出哪些設備不符合企業(yè)的安全要求，并根據(jù)實際需要適當調(diào)整不合格設備的訪問權(quán)限等。

如果我們對智能手機的主要業(yè)務需求是處理電子郵件，那么不妨勸說那些堅持選擇其它Android設備的用戶使用NitroDesk出品的 TouchDown應用程序，它能夠為企業(yè)郵件、聯(lián)系人以及日程規(guī)劃創(chuàng)建出一套沙箱容器，且與Adnroid 3.x與4.0一樣符合EAS的密碼與加密規(guī)范。某些MDM客戶端，例如AirWatch、MobileIron、Sybase以及即將由 Enterproid推出的Divide應用程序等，都能夠為企業(yè)服務提供類似的沙箱保護機制。

在可能的時候盡量使用反惡意軟件。為iOS系統(tǒng)購買反惡意軟件無疑是錢多了沒處花的行為——但為Android投點資則十分必要。鑒于Android軟件市場中泛濫的惡意軟件之多與設備本身成為攻擊者目標的幾率之高，我相信大家除了按要求使用反惡意軟件之外沒有第二個選擇。但這里我要提醒各位：目前的各大主要供應商幾乎沒 有推出過確切的反惡意軟件，只有McAfee提供了一款客戶端應用程序。賽門鐵克目前還沒有為Android系統(tǒng)打造反惡意軟件，但據(jù)稱正在緊鑼密鼓的籌 備當中。

另一個問題是如何確保反惡意軟件的實際使用。這件事的確有點棘手。舉例來說，McAfee就表示其出品的反惡意軟件只能通過同樣來自他們自家的 MDM工具才能管理。賽門鐵克則聲稱當大家為Android系統(tǒng)部署反惡意軟件之后，應該利用第三方、面向應用程序的MDM服務來檢測某臺設備是否安裝了 這套安全機制，進而以此為標準決定是否允許該設備進行訪問；賽門鐵克自家的MDM工具只能管理Android的EAS策略，其中并不包括應用程序檢測功 能。這么說來，McAfee公司推出的面向應用程序的MDM工具客戶端應該是不錯的選擇嘍？然而該公司拒絕對該工具與其它產(chǎn)品之間的協(xié)作能力發(fā)表評論。大 家都了解這些企業(yè)說行未必行、不說準不行的風格，因此維護移動安全的重任看來也指望不上他們了。

某些面向應用程序的MDM工具，例如MobileIron，讓我們能夠在設置的基礎上更進一步，為應用程序可能訪問的位置信息、NPV、電話撥號器等等實行權(quán)限控制。這當然有助于防止軟件造成的侵害，但同時也可能會限制合法應用程序進行的正當訪問。

既然我們在面向應用程序的MDM工具上沒什么好方案，那么最好的辦法恐怕只有盡力勸說用戶安裝反惡意軟件——并首先取消那些常常帶來惡意軟件的 Android用戶的訪問權(quán)限。我們應該始終——就算做不到，也要清楚這是“應該”做到的——具備修復異常以及處理違規(guī)個例的能力。

強化網(wǎng)絡防御體系。.無論如何，這是非常重要的一步，因為網(wǎng)絡邊界的概念在今天這樣數(shù)據(jù)交互如此發(fā)達的時代背景下簡直是無稽之談。我們應該在流量分 析工具、數(shù)據(jù)丟失防護（簡稱DLP）以及離散訪問驗證方面投資，以使自己能夠監(jiān)視使用任何設備連接到自身網(wǎng)絡的用戶，并進一步了解安全策略的執(zhí)行情況。這 已經(jīng)不僅是移動安全的問題，此類做法應該是長效且廣泛使用的。好消息是，包括Aruba、思科以及Juniper在內(nèi)的諸多網(wǎng)絡巨頭已經(jīng)意識到這一點，并開始重新審視自己的產(chǎn)品。作為直接受益/受害者，我們自己當然也不能松懈。

出了問題，與用戶共同承擔。分擔責任這一概念是IT消費化原則的重要組成部分?；蛘甙阉D(zhuǎn)化為這樣的說法告知用戶：自由源于責任。如果大家選擇了Android設備，那就必須清楚這些設備比起iOS或是BlackBerry，會帶來額外的維護費用，這筆開銷是需要由各位來分攤的。因此，用戶（或是他們的直屬業(yè)務部門）應當為購買反惡意軟件許可以及反惡意軟件服務工具按比例 買單。不過MDM與網(wǎng)絡工具方面的支出不應由他們承擔，而是應該由全體使用者支付。

而用戶們則應該了解到，他們的訪問權(quán)限可能會受到限制，而限制的嚴苛程度與他們選用的設備安全性息息相關：用戶及其設備越受信任，他們能夠獲得的訪 問權(quán)限與操作能力就越多。IT部門應該盡可能合理放開控制力度，但絕對不能超出一定的風險水平，具體做法應該由IT部門與業(yè)務部門共同商定得出。最關鍵的 一點是，決策應該以風險為首要考量，而不是優(yōu)先考慮終端用戶的意見。最終結(jié)果是某些設備可能只獲得了較少甚至完全沒有訪問權(quán)限，但決策并不是根據(jù)設備使用 者的立場制定的；指向任何特定設備的訪問（并帶來相應開支），都只應該被視為全局策略的一項結(jié)果——這就使得我們能夠更加專注于商務風險并規(guī)避由對某些項 目支持能力的缺失而導致的“技術混戰(zhàn)”。