這個話題看似沒什么新奇的，但是需要著重指出的是：為移動設備建立安全策略是首要的工作。沒有相應的策略，你面對的將是一個亂七八糟的環境和潛在的損失責任，同時員工以各自不同的方式來解決問題。比如，一些人為了解決電話簿的遠程訪問問題，把公司和其電話上的通訊名錄進行同步，這樣的話如果這個沒有防護措施的電話遺失了，就可能導致公司信息的外泄。

于是，我們建議在以下幾方面關注移動設備的安全策略：

1.設備選擇和服務提供：將預期所支持的設備明示，并明確進行相關設置的責任人。如果只想支持黑莓，那么就把這一點在策略里明確告知;如果有軟件支持Symbian的手機，那么公告之以防有人使用Palm的電話;如果只想支持特定的幾款設備，那么就需要有相應的行政力量為支撐，以防某些人對原有設備(iPhone/BlackBerry/Android/Symbian)的依賴性阻礙政策的執行。對于所提供的服務，要有明確具體的條文。比如想把公辦室的VoIP網絡服務擴展到智能手機上以簡化呼叫轉移、接入和狀態呈現服務，那么就必須將其在策略中寫明。

2.設備部署和配置：明確規定設備的安裝方法以及所允許的配置和應用。這其中一個常規的設置就是密碼保護，此外還應規定哪些應用是被允許或禁止的。對允許哪些即時通訊軟件也要作出規定(只能連接到企業內部經過加密的即時通訊服務器)。關于部署流程方面的規定決定了由誰以及怎么獲取設備。如果要允許員工購買自己的手機，要明示其哪些廠商的設備是支持或禁止的，以及員工是否能將其連接到企業內部網絡。許多和配置、服務相關的內容依賴于具體技術實現，就拿設備的管理工具來說，可能決定采用Windows Mobile和微軟內嵌在Exchange里的管理工具來進行常規配置、設備鎖定、數據擦除和應用管理等。雖然為特定工具制定策略的方法不是很理想，但是籠統且不具可執行性的策略肯定是糟糕的。所以，要注意確保工具選擇和相關策略的一致性，在充分利用工具的特性的同時規劃切實可行的策略。此外，對工具的使用方式也要制定明確的條例。

3.設備的使用、維護以及遺失后的應對：因為移動設備用于為企業服務，所以必須明確地界定出其用途范圍。不能僅僅用些模棱兩可的聲明來規定，應該通過教育讓最終用戶真正理解并執行。具體來說可以通過可接受使用策略(AUP)的形式讓員工簽署，但是注意要基于“閱讀、理解并支持”的前提，而不是草草走個過場簽名了事。因為設備損壞或丟失的可能性，應該在策略中明確有相應的舉措：是否需要存有備件?員工是不是要馬上到最近的手機商店買個兼容的替代品?或者員工需要自己解決遺失問題?這些都需要在維護策略、更換策略以及其他預防性要求中體現。而另一個移動設備特有的問題是電池的替換，在策略中需要涵蓋這一方面：誰為電池付費以及需要多久更換一次電池等。

4.設備恢復和處理：可移動設備相比其他IT資產來說壽命較短，在兩到三年的使用之后通常需要進行更換。必須明確相關的規定，比如替換的年限、誰保管舊設備(包括在什么樣的情況下)以及更換流程。其中特別重要的一點是對設備進行數據擦除(無論是否為敏感數據)。

關于移動設備安全性方面的策略看起來的確很麻煩，但是可以先回避大量艱難地討論而首先搞清楚一個關鍵問題：“這些設備歸屬于誰?”這里不是談論誰來出錢購買，而是指誰對設備具有控制權，即誰對于配置和應用具有決定權。如果決定是由企業來主導的話，那就要明確規定誰來具體負責以下內容：采用哪種設備、如何設置、連接指向(網絡和應用等)。無論是你或者你的老板，總之是由企業中某個明確的人員來主導。

如果設備是由員工來實際控制，就必須明確規定出那些被禁止的用法：比如不能存儲企業的敏感數據(甚至幾乎所有的企業信息)，包括電子郵件和通訊錄;不能連接到企業內網，設備不是作為企業資產(比如筆記本電腦)的替代物。

我在這方面有大量的實際經驗，而從中得到的最重要的教訓就是不能二者皆有：要么企業控制設備以確保安全地使用，要么員工控制設備但是無法接觸企業信息。對于后一種方式，務必不要對設備有任何安全性方面的假定。