智能手機、平板電腦、社交網絡和云服務目前非常流行，并且用處很大，同時它們也存在著安全風險。目前安全焦點在移動設備上，隨著這些設備被大量地用于處理公司信息，IT部門已經無法再用管理公司PC的方式管理這些移動設備。因為，這些移動設備使用了不同的平臺，它們的安全能力也不盡相同，同時許多移動設備都是員工自己的。

問題不在于頻繁受到的黑客攻擊，以及安卓市場中泛濫的惡意軟件，在抵御黑客方面，移動設備的安全性要高于PC。問題在于不適當的信息使用，員工有時會在無意中泄漏聯系人信息，無意中讓人們感到尷尬，無意中違反隱私規定，無意中忽略了自己的法規遵從性義務。盡管部分人會小心謹慎地使用它們，但是大部分人會不恰當地使用它們，關鍵是有人使用了它們。

這讓公司陷入到了一個不安的處境中。調查顯示，獲得技術授權的員工心情更為愉悅，工作效率更高，因此公司希望能夠從中獲得好處。不過，這些員工必須要保護他們的秘密，遵守相關規定。好消息是，雖然這些做法和工具剛剛出現不久，但是我們已經找到了一些經過驗證過的，并且行之有效的管理方法，這些方法可以在不損害消費化所帶來的優勢的情況下降低這些做法和工具的風險。

對于移動設備，這些工具可以分為以下三大類：數據泄露防護、移動數據管理、移動應用管理。以下我們將為您詳細介紹這些工具的功能和提供商。

數據泄露防護

許多公司已經在數據泄露防護(DLP)工具上投資了數百萬美元。這些工具可以通過文本分析和元標記對數據訪問權進行分類，然后監視信息流(如電子郵件內容)以查找有問題的數據類型。例如，社會保險號或被標記為公司秘密的文件。DLP工具通常被設置用于警告IT部門或用戶可能存在的問題，但是它們也可以設置為先阻止信息，然后再進行詢問。

DLP工具需要公司制定信息安全規定(通常與用戶角色相關)，然后對進出企業的信息進行標記。DLP還需要將所有的信息流都匯聚至DLP服務器以確保這些信息都能夠被分析。

DLP工具并不是新東西，但是將它們應用于移動信息流中的這種作法卻是新的。以下幾種移動DLP方法。

讓所有的移動流量都流經公司的DLP服務器，例如賽門鐵克的解決方案。

提供一個應用以訪問公司的信息庫，例如SharePoint。這一應用可以識別信息庫中文件所設置的訪問權限。Zenprise的解決方案為一個針對SharePoint的工具，當然許多云存儲提供商(如Accellion、Box.net、Dropbox和YouSendIt)均提供了可由 IT部門管理的云存儲服務。

利用由Good Technology、MobileIron和SAP Sybase等公司提供的API在應用程序中加入內容管理。目前被稱為移動應用管理的相關技術領域已經延伸至了內容管理。

移動設備管理

如果說2011年是自帶設備(BYOD)現象合法化之年，那么2011年就是移動設備管理(MDM)工具被允許作為BYOD安全防護措施之年。目前有許多廠商提供MDM工具并不讓人感到意外。

目前，MDM工具已經被部署在金融服務、國防、政府和醫療環境中。這些領域都十分關注信息安全。不過，MDM并不是新鮮事物，企業使用多年的黑莓企業服務器(BES)就是MDM。通過BES，企業可以管理訪問權和黑莓信息設備的設備許可權。微軟Exchange是使用最為廣泛的電子郵件服務器，其也支持通過Exchange ActiveSync(EAS)協議設置適當的策略。

EAS策略能夠命令設備加密、設置復雜密碼或屏蔽設備攝像頭。IT部門在Exchange或谷歌Apps企業版中管理這些策略。不久，微軟的 System Center 2012也將擁有這種能力。這種電子郵件服務器與企業識別服務器(通常為微軟的Active Directory)結合可確定哪些策略適用用哪些用戶。如果用戶設備不符合用戶相關規定，那么設備被拒絕部分或所有的訪問。這些服務器還可以讓IT部門遠程鎖定或刪除遺失或被竊設備中的內容。

蘋果iOS、已經淘汰的Windows Mobile、部分版本的谷歌安卓、部分版本的諾基亞塞班等移動平臺都支持大量EAS策略。與此同時，Windows PC的微軟Outlook電子郵件客戶端、Mac OS X的Mac和蘋果Mail客戶端也具有這種能力。相反，微軟新推出的Windows Phone 7、部分版本的谷歌安卓和已經淘汰的惠普WebOS等移動平臺僅支持有限的EAS策略。(RIM的黑莓設備通過BES產品和連接器實現這一功能，也可以與微軟Exchange和谷歌Apps在一定程度上實現這一功能。)

大多數MDM廠商的產品在功能上超過了Exchange和其它郵件服務器所能提供的功能，增加了對移動操作系統可能支持的非EAS策略的訪問權。例如，蘋果iOS 5有一個可以讓IT部門退訂其iCloud文件同步服務的策略。

一些MDM廠商除了在多種移動平臺中部署額外的策略外，還進一步開發出了一些功能，如探測經過修改(“越獄”)的操作系統。這樣，用戶能夠在其中運行他們的移動應用和本地應用。在這個應用“容器”內的任何東西都必須遵守MDM廠商制定的特殊策略，在用戶的設備中為IT部門形成了一個安全區。(這些應用能夠設置為不與安全區外共享信息，其實就是將公司信息與設備的其它部分隔離開來。)部分MDM廠商還提供一些功能，這些功能能夠為移動用戶提供桌面支持，控制通信開銷，如在員工的移動設備處于國際漫游狀態時對員工進行提醒。

MDM廠商和相關的IT部門所面臨的挑戰是因為不同的移動平臺有著不同的功能，不可能通過一個統一的管理方法管理所有的設備。MDM廠商在這些平臺變化時很難時刻跟上它們的功能變化，但是IT部門仍必須要面對一個現實情況，即他們可能需要在策略需求上保持一定的靈性，以支持最為流行的商業級設備。在支持iOS設備當中出現了一個解決辦法：蘋果需要公司從蘋果那里得到他們自己的蘋果推送通知服務(APNS)證書，以授權進行MDM管理。這一證書將代你給予MDM工具許可，讓其通過蘋果的通知服務器訪問iOS設備。

一個相關的解決辦法是使用網絡訪問控制探測移動訪問并對該訪問執行相關的用戶策略。例如，F5 Networks已經與多家MDM公司(AirWatch、MobileIron、SilverbackMDM和Zenprise)展開合作，讓他們各自的管理工具能夠共同工作。Aruba Networks計劃在3月份推出一款基于移動設備專用網絡控制器的訪問管理產品，其能夠監控設備訪問，并對這些訪問執行相關的策略。滿足關鍵移動管理需求的主要廠商

移動應用管理

在控制移動信息訪問方面，移動應用管理(MAM)領域發展尚不成熟。目前該領域包括多種類型的方案：

應用分發，例如通過公司的應用商店。這種方案主要把重點放在了管理本地Web和原生應用的分發和許可上，不過它還能夠為用戶提供公共應用商店中推薦應用的鏈接。部分方案還能夠管理公司為內部使用所開發的原生iOS應用。

安全應用開發，為本地應用內容和公司網絡資源訪問增加安全與許可控制。該方案通常是一個管理控制臺，允許IT部門使用內置的控制權。

應用內容管理，例如限制應用與其它應用共享授權的內容。盡管在一些案例中，商業應用開發者也可以使用這種方案與管理工具進行協作，但是這種方案重點還是本地應用。 這一領域廠商Nukona采用了將權限設置在應用周邊這種不尋常的解決方案，而不是需要應用的內部代碼以執行相關策略——這有點類似DLP封裝。其它一些提供商采取的解決方案是依靠在應用代碼內部明確指定策略。

安全應用容器，即創建一個獨立的分區、應用容器或虛擬機將公司應用與數據與個人應用與數據了隔離起來。除了通過技術確保幾個特定應用中的數據安全外，這種方案允許在容器內的應用之間更為自由的使用數據。這一方案不同于使用虛擬桌面基礎設施(VDI)在窗口中呈現遠程應用。例如，Citrix Receiver 和VMware View等應用除了鍵盤和虛擬鼠標外，幾乎沒有訪問移動設備的信息或功能的權限。相關的解決方案是在移動設備中創建獨立的分區——一個分區用于存儲個人應用和數據，另外的分區用于存儲可由IT部門管理的業務應用和數據。

目前MAM解決方案面臨的困難是，它們通常都是針對特定的應用。這使得它們在本地開發的應用中受到歡迎，不過許多廠商已經開始與商業開發者共同工作，以內置他們的技術。隨著時間的發展，我們可能會看到更多用戶安裝程序支持這類應用和內容管理。商業開發者仍然需要選取一個API和一個廠商，或在他們的應用中使用多個API，不過這將增加了方案的復雜性。

真正需要的當然是一套常用的內容管理API，所有的應用都能夠使用任何管理工具，類似于目前設備管理中的微軟EAS協議。在EAS中，廠商能夠通過增強功能為獨立的應用需求增加核心策略，商業開發者能夠決定使用這些增強功能的時機，例如訪問高安全性市場。