“我們知道，數據可能存放在我們所不能控制的設備上，需要利用類似黑莓的處理方式來管理這些設備，” Tim Mathias說道，他是Thomson Reuters公司的IT安全高級總監。“問題是我們并不擁有設備的所有權，所以我們開始在公司內研究相關技術、策略和標準，并接受挑戰，提出了一些策略，允許個人使用他們所選擇的設備，同時保護公司免于風險。”

這家位于紐約的信息巨人(在全世界100多個國家擁有55,000名員工)正采用一個多層次的方法來處理這個日益嚴重的問題。除了制定政策，它還在調查移動設備管理技術，并與技術伙伴開展合作，從而弄清楚移動應用所帶來的安全風險。

iPhone、iPad以及Android設備在企業里的泛濫正在主導一次重大的轉變，即越來越遠離公司擁有、公司控制計算機系統的標準模式。為了提高生產力，功能強大的便攜式計算系統使得員工可以隨時隨地訪問企業電子郵件。但同時，這個IT消費化使得安全管理者們緊張不安。這些個人移動設備很容易丟失(比如被小偷竊取)，導致保存在它們上面的所有企業敏感數據一起丟失。移動設備惡意軟件以及應用程序也逐漸出現。

專家們表示，這一全新的后PC時代需要公司轉變它們的安全思想，制定新的策略，并在不降低設備用戶使用體驗的情況下實施維持企業安全的技術。毋庸置疑，IT消費化是一個企業不能忽略的趨勢。

“如果你認為你可以禁止員工使用自己的移動設備，那么你是在逃避它，” Philip Cox說道，他是咨詢公司SystemExperts的安全和規則遵從主管。“要么你控制它，要么它將控制你。”

一個成長的浪潮

這可能是許多IT經理都很熟悉的一個場景：一個中意iPhone或iPad的C級果粉主管希望企業可以對此類設備提供支持。這個趨勢是在去年真正確定下來，Ojas Rege說，他是移動設備管理公司MobileIron的產品和市場部副總裁。“這導致了這樣一個概念：IT部門范疇之外的設備正在進入公司，并還需要 IT對其進行支持，”他說道。

Citrix Systems公司的首席安全戰略家Kurt Roemer表示，自從iPad和其它平板電腦出現以后，他被那些充滿擔憂的企業安全經理們的電話所淹沒。他們想要知道如何告訴他們的主管，在公司不能使用這些設備，但是“主管們說，‘如果你不把這個設備放在網絡上，那么我會找到愿意這樣做的人，’”他回憶說。

“越來越多的員工想要把他們的個人設備帶到企業來，而許多企業并不樂意，但是他們正被迫對這種情況妥協，”IT服務和解決方案提供商Dimension Data Americas的一位主要安全顧問Nicholas Arvanitis說道。

看起來，公司正在屈服于這個要求。據Forrester Research今年第一季度對北美和歐洲約1,000家各種規模企業的一項調查來看，大約一半的受訪公司對員工擁有的移動電話和智能手機提供了支持。

在談到公司如何處理個人手機和平板電腦的涌入時，Perimeter E-Security公司的首席技術官Andrew Jaquith把在六個月前，當他還是Forrester公司的分析師時，所看到的情景比作著名的憂傷5階段：拒絕、憤怒、討價還價、沮喪和接受。

“我想說的是，大約一半的公司正處在討價還價階段。他們并沒有完全接受它，但是知道需要做一些事情，并正開始考慮需要制定什么樣的策略以及執行什么方法，”他說道。

消費者移動設備既代表了不幸又代表了機遇，Jaquith說。“你正在使得IT安全重新思考其對移動設備的整個方法，在這個意義上講，它們是一個不幸，”他說道，“但機遇是很明顯的：這些設備給員工帶來了更多的滿足感和工作上的高效率。隨著我們進入后PC時代，企業將被迫以某種方式來適應這些設備。”

移動威脅

對于Thomson Reuters公司招聘新員工來講，支持員工擁有的設備是很重要的，Mathias說。在致力于制定個人移動設備策略的兩年里，可供選擇的技術已經得到了提高，該公司對這些設備所帶來的風險的理解也有所增加，他說道。

“簡而言之，能夠把Android手機連接到我所選擇的任何工作站上，并使用手機存儲器把文件帶出辦公室，可以將這些手機當成一個巨大的USB設備，”他說道。

數據丟失和未授權的安全訪問是個人移動設備對企業最大的安全風險，Matthew Todd說道，他是位于美國加州Palo Alto的獨立投資顧問Financial Engines公司的首席安全官和風險與技術運營部副總裁。

“與筆記本電腦相比，諸如智能手機和iPad等便攜式設備的確更時髦，它們更小，更有趣，但是就像老的ThinkPad一樣充滿了信息，”他說道。 “便攜式設備可以存儲通訊錄、電子郵件、機密附件，甚至是機密的圖片、音頻或視頻。當你的智能設備與公司環境結合在一起，并且你的智能平板或智能手機可以訪問內部系統或網站的時候，所面臨的安全威脅將呈現出一個全新的情況。”

而更嚴重的風險是這些小型便攜式設備很容易落在出租車和餐廳里，以及被小偷竊取。

移動惡意軟件是另一個風險，但是它只是剛剛冒出來。在3月，Google從其Android市場上刪除了20多款免費的應用程序，因為它們包含了隱藏的惡意軟件。名為DroidDream的惡意軟件試圖得到智能手機的root訪問權限，從而查看敏感數據以及下載更多惡意軟件。

DroidDream“表明了惡意軟件對Android的威脅是真實存在的，”Chenxi Wang在最近的報告中寫道，他是Forrester Research公司的副總裁和主要研究員。“可以自由下載任何應用程序的個人設備是一個成熟的感染源。隨著Android超越 iOS成為最暢銷的移動平臺，防御移動惡意軟件將是越來越重要的IT事務。”

應用程序安全公司Veracode的共同創始人和首席技術官Chris Wysopal表示，iPhone對于惡意軟件已經有相當的有抵抗力，“因為這款設備擁有已知應用程序的運行圍墻，或者說白名單，增加了它的安全性。”與 Apple公司的具有更高審查標準的軟件應用商店相比，在Android市場上的應用程序缺乏安全審查，他說道。今年初，Veracode推出了一項移動應用程序驗證服務。

“一個最大的風險是用戶安裝了沒有經過審查的應用程序，”Dimension Data公司的Arvanitis說道。

“我認為移動設備將會是下一個巨大的威脅源，”Ryan Laus說，他是美國密歇根中央大學的網絡管理員。“我們仍然處在學習階段，但是我認為今后它們真的會成為一個巨大的攻擊目標。”