【51CTO譯文】從iOS 4開始，后續操作系統為iPad、iPhone以及iPod Touch大家族提供了強有力的安全性及管理功能支持，這使得iOS產品線一舉成為僅次于黑莓（在某些標準下也略遜于Windows Mobile）的可靠BYOD方案。

[[98725]]

“企業顯然很享受黑莓與Windows Mobile所帶來的業務體驗與安全性能，但從iOS 4發布以來，越來越多的業務管理者開始感受到蘋果所創造出的獨特魅力，”Forrester研究公司分析師Andrew Jaquith指出。

原因何在？因為這三款移動系統都采用了移動管理服務器方案，IT部門能夠在它的幫助下制定并貫徹自己的政策理念。事實上，蘋果公司在2010年夏季發布iOS 4時就已經將這套功能納入其中。大多數管理工具都能支持多種設備類型；當然，黑莓企業級服務器（簡稱BES）例外，它只能支持RIM公司自家產品。

[[98726]]

但其它移動設備是否值得信賴？谷歌的Android發展迅速，目前在總銷量方面已經分別擊敗了蘋果與RIM。其后還有來自微軟的Windows Phone 7，我們能安心把它納入企業環境當中嗎？

【51CTO.com獨家特稿，非經授權謝絕轉載，合作媒體轉載請發轉載郵件至zhousn#51CTO.com】#p#

下面我們就逐一分析目前常見的六大移動系統平臺，看看它們能否滿足企業級安全管理需求。而在這部分內容結尾，我會附上一份對照表格，大家可以從中看到各移動平臺解決常見安全及管理問題的能力。

我們首先來聊聊Exchange ActiveSync（簡稱EAS）政策。作為微軟專門針對移動安全及設備管理工作所擬定的協議，EAS已經迅速崛起為移動設備管理領域中的普遍標準，不僅得到蘋果公司的廣泛支持（包括iOS與Mac OS X兩大平臺），也贏得了谷歌（少數Android OS 2設備、所有Android OS 3、Android OS 4設備以及企業級Gmail）、IBM（最新版本的Lotus Notes）、諾基亞（某些塞班系統）、Novell（作為GroupWise的服務器插件出現）以及微軟自己（Windows、Windows Mobile以及Windows Phone 7）的高度信賴。只有RIM公司始終試圖繞開EAS，而堅持貫徹自己打造的BES。另外值得注意的是，盡管EAS中包含有29項主要政策，但其中某些在大部分移動設備上都無法實現——例如禁用紅外裝置或是禁用缺少簽名的CAB文件（Windows系統中的一種特殊應用文件）。

其次，大家需要注意的是企業郵件、日程表及聯系人信息的存儲方案：任何一款支持微軟Exchange、IBM Lotus Notes或者Novell GroupWise的設備都將在訪問服務器時要求驗證。如果驗證無法通過，根據管理政策的不同，服務器會自動遠程清除移動設備中的郵件及聯系人信息。而在iOS系統平臺上，我們還能夠選擇中斷連接——這一功能是依靠LDAP這類協議實現的。換言之，管理服務器已經有能力像對待PC機那樣對移動設備實施嚴格監控。

RIM的黑莓OS

保護黑莓設備安全的關鍵在于使用BES 5.0，新系統為IT管理者提供了四百多項安全及管理政策，從密碼保護到遠程數據清除一應俱全。

RIM公司照例推出了BES的免費版本，但它只能支持微軟Exchange及IBM Lotus Notes環境；只有需要付費的完全版才能支持Novell的GroupWise。

而BES 5.03則引入了可選數據清除功能，管理者能夠在不影響用戶個人信息的情況下，將對方黑莓設備中的業務數據及應用清理于無形（前提是用戶設備必須使用黑莓OS 6或7版本）。

某些黑莓機型還支持RSA的SecurID雙重硬件驗證工具，這是為了滿足軍事領域中的特殊需求.

RIM黑莓平板OS

RIM公司在以PlayBook為代表的黑莓平板產品線上采用的安全策略與智能手機一致，仍然圍繞著BES展開。不過這是由于PlayBook必須以無線連接的形式與手機橋接，然后才能訪問企業資源；而BES為手機提供的保護也就等于變相解決了PlayBook的安全問題。（RIM公司正在努力讓BES能夠直接管理PlayBook，這就免去了沒手機就用不了平板的尷尬局面。）另外我要提醒大家，如果沒有BES的安全管理功能，那么無論是黑莓智能手機還是平板設備都毫無安全性可言——千萬別一聽到黑莓就以為萬事大吉了。

蘋果iOS

iOS 4甫一推出，旋即引發了次世代移動管理方案的重大變革——支持審計功能、對接應用EAS政策、內置iOS本地管理、無線下載更新，每一條都堪稱劃時代創舉。它允許管理者有選擇地清除目標設備中的業務數據與應用、支持高強度密碼、搭載加密機制及遠程數據清除功能。

iOS支持Exchange所提供的14種EAS管理政策，有效負載配置能夠以郵件形式、網絡連接或通過Mac OS X獅子及美洲獅 Server系統發送給用戶。如果大家使用來自AirWatch、Boxtone、Good Technology、MobileIron、賽門鐵克、Sybase Afaria、Tangoe、Zenprise等主流軟件供應商的移動設備管理工具，也能同樣以無線方式監督并保障工具確實付諸使用。AirWatch與MobileIron甚至允許用戶以這種方式管理Mac設備。

iOS 5在此基礎上又針對MDM工具添加了多項新政策：開啟或關閉iCloud同步、為iTunes設定訪問密碼、禁用郵件轉發、禁止訪問甚至刪除指定應用（包括個人應用及各類企業業務應用）、禁用漫游狀態下的通話及數據交互、為不受信證書設定管理政策、檢測并恢復被用戶刪除的MDM配置文件、設定Web代理、設定Wi-Fi訪問點自動登錄、發送損壞數據以及監控電池容量。

微軟Windows Mobile

盡管這款移動操作系統在三年前就已經壽終正寢，但它仍然作為遺留應用廣泛存在于許多業務環境——尤其是政府機關當中。在使用微軟System Center Mobile Device Manager（系統中心移動設備管理器）企業版的前提下，Windows Mobile 6.x系列能夠支持全部29項EAS管理政策；即使就系統本身而言，也已經能夠支持14項EAS管理政策。

Windows Mobile當然也支持各種常見的移動管理工具，某些Windows Mobile機型甚至支持SecurID驗證機制，并借此達到了幾乎能夠與黑莓比肩的安全高度。

微軟Windows Phone 7

這款新生代微軟移動操作系統與其前輩Windows Mobile相比，在安全及管理功能方面可謂差距巨大——雖然它也使用了同樣的Exchange或者說EAS兼容服務器端作為管理控制臺，卻依然無法重現當年的可靠性。其中最大的問題在于，新系統沒有內置加密支持、無法強制用戶設定高強度密碼，這就使其難以符合大多數企業級ActiveSync政策的要求。（微軟已經聲明將在未來加入這些支持）

Windows Phone 7——包括去年秋季發布的7.5“Mongo”——在EAS政策支持數量上明顯遜色于Windows Mobile以及iOS。而它所無法支持的數項政策正是企業級安全的關鍵所在：禁用攝像頭、禁止應用程序下載。它甚至還不支持VPN，這種致命的功能性缺失導致了Windows Phone 7幾乎無法進入企業級應用領域。

谷歌Android系統

雖然頭頂高超占有率最高的移動操作系統皇冠，但Android仍然是六大競爭者中安全性最差的產品。在Android 2.2及其它早期版本中，谷歌根本沒有為用戶提供內置加密、高強度密碼支持等實用功能。“企業管理現在可以說是一聽見Android就頭痛，這一方面是因為企業級安全路線圖中還沒有對Android提出明確定位，另一方面則是因為成百上千的不同機型令安全專家很難弄清哪些管理政策能夠生效、而哪些不能，”Forrester公司的Jaquith無奈地指出。“Andoird OS的文件系統缺乏加密機制也是它飽受詬病的主要原因之一。”

但同狂熱的iPhone用戶令企業不得不考慮將當初尚不夠安全的iOS系統納入業務環境一樣，如今Android產品的龐大消費群體也讓管理者感受到了民意的壓力。“許多消費者都希望以Good Technology為首的一系列管理工具能夠與Android設備相契合，這樣他們就可以堂而皇之地把個人設備帶到日常工作中了，”Jaquith告訴我們。IBM公司的Lotus Notes Traveler應用讓Notes用戶首先享受到了安全待遇，NitroDesk公司則緊隨其后，讓Exchange用戶也過上了想用就用的安逸生活。

而摩托羅拉移動公司（谷歌目前正與之洽談收購事宜）與三星電子則推出了“商務型”Android設備——其中加入了內置加密與EAS政策支持功能，這在一定程度上縮小了與iOS產品之間的差距。

隨著時間的推移，Android系統在安全性方面已經取得了顯著進步。事實上，專為平板打造的Android 3.0系統能夠支持內置加密、高強度密碼、密碼記錄以及密碼周期輪替等多種管理政策。

2011年末，Android “冰淇淋三明治”正式推出。盡管僅能運行在少數幾款機型上，但新系統終于為Android手機帶來了與平板相同的安全功能。今年年中分布的Android 4.1 “糖豆”則將這一優良傳統延續了下來。

而從短期效應看，能夠填補安全性空白的也并非只有谷歌自己。舉例來說，Android 2.2“凍酸奶”和2.3“姜餅”僅僅包含了最基本的VPN功能，但摩托羅拉公司推出的Droid Pro機型卻為其引入了更加安全可靠的AuthenTec IPSec多點VPN方案。與之相似的例子還有摩托羅拉發布的Atrix、Photon 4G等一系列商務手機以及三星的“安全”系列產品都以本機支持的形式彌補了Android 2.2及2.3的系統缺陷。

諾基亞Symbian系統

這款曾經的智能手機系統王者如今已經消失在人們的視線當中。在美國，我們幾乎看不到Symbian的身影；統計報告同時指出，目前Symbian系統所產生的網絡數據流量可謂江河日下——當然，這也與諾基亞公司拋棄Symbian、轉投Windows Phone 7的懷抱不無關系。

Symbian系統與Android一樣版本眾多，但大多數諾基亞產品無法支持企業級安全及管理需求。其中略具看點的是諾基亞的E系列和N系列產品，它們還是具備基本的內置加密、高強度密碼以及遠程數據清除功能。由于諾基亞一直故作神秘，所以我們不清楚這兩大系更的機型能支持多少種EAS管理政策——但可以肯定的是，一定比iOS少就對了。

在iOS與Windows Mobile支持、而Symbian搞不定的常見管理政策中，最典型的例子就是禁用內置攝像頭與防止Wi-Fi網絡訪問兩條。但好消息是諾基亞設備還是能夠與大多數移動管理工具相兼容的。

移動安全與管理功能對照表

縮寫詞：EAS-微軟Exchange ActiveSync，BES-黑莓Enterprise Server 5.x，3PS-第三方server，NA-無可用信息

備注：

1. 只限諾基亞E系列及N系列的幾款特定機型。
2. 存儲卡無法加密。
3. 需要使用可選產品蘋果配置單元（無法通過無線配置完成）、Mac OS X 10.7獅子或OS X 10.8美洲獅Server、EAS及3PS實現。
4. 只要求輸入PIN碼。
5. 某些第三方郵件客戶端應用自身支持其它EAS政策。
6. 在Exchange Server 企業級許可下能夠支持全部29項EAS政策，普通許可則只支持15項EAS政策。
7. BES支持RIM自家的超過500項管理政策。
8. 只適用于某些特定機型。
9. 黑莓平板OS 1.0需要以黑莓手機為跳板才能實現除VPN外的所有功能。

【51CTO.com獨家特稿，非經授權謝絕轉載，合作媒體轉載請發轉載郵件至zhousn#51CTO.com】#p#

移動設備管理供應商產品匯總

隨著智能手機與平板設備的迅速普及，加之員工個人選擇所造成的多樣性狀況，IT部門目前面臨著在多套平臺之間實現訪問、使用以及安全性管理這一嚴峻挑戰。為了滿足需求，許多供應商著手開發集中式控制臺，希望利用這種方式實現一套方案、全平臺管理的理想效果。在常用政策、強制管理以及審計功能的多重輔助下，許多原本孱弱的移動產品也擁有了值得信賴的優秀安全性。

這些工具所使用的方案總體分兩種，當然有些工具二者兼有、有些則只選其一：

（1）使用政策配置，尤其是得到廣泛支持的微軟Exchange ActiveSync（簡稱EAS）協議；

（2）它們都通過客戶端應用在受支持上的設備上深深扎根，進而為用戶提供可管理、更安全的業務環境及附加管理政策。而黑莓產品的支持工作則主要依靠RIM公司自家推出的工具，也就是大名鼎鼎的BlackBerry Enterprise Server（簡稱BES）。

AirWtach支持Android、黑莓、iOS以及Windows Mobile。它同時提供面向內容的管理政策、具備數據漫游控制功能，而且允許用戶在iOS 4及其后續系統中有選擇地進行業務數據清除（能夠幫助用戶在自有設備上保護個人信息的完整性）。它同時還能為使用OS X獅子或OS X美洲獅的Mac設備提供服務。

Boxtone支持Android、黑莓、iOS以及Windows Mobile。它同樣為用戶設備提供故障排查、自助注冊及費用查詢服務（包括運營商計費）。

Fiberlink的Maas360以政策為基礎實施管理并監督整個執行過程，并為Android、黑莓及iOS提供應用程序管理服務。除此之外，它還支持采用微軟Exchange或者IBM Lotus Notes的移動設備以及Windows或OS X系統的個人計算機。

Good Technology的Good for Enterprise以及Good for Government兩款工具支持Android、iOS、塞班和Windows Mobile系統平臺。二者同樣依托于應用程序安裝來實現管理功能，為iOS 4及其后續版本提供選擇性業務數據清除（能夠幫助用戶在自有設備上保護個人信息的完整性），并可以通過設置保證只有指定設備或操作系統能與業務資源相對接。

McAfee的Trust Digital EMM支持Android、iOS、塞班以及Windows Mobile系統平臺。它同時為用戶設備提供故障排查及自助注冊功能。

MobileIron的MobileIron Server支持Android、黑莓、iOS、塞班以及Windows Mobile系統平臺。它也需要安裝應用才能實現管理功能，為iOS 4及其后續版本提供選擇性業務數據清除（能夠幫助用戶在自有設備上保護個人信息的完整性），還提供通話費用管理功能。它同時能為使用OS X獅子或OS X美洲獅的Mac設備提供服務。

Sybase的Afaria支持Android、黑莓、iOS、塞班以及Windows Mobile系統平臺。它也需要安裝應用才能實現管理功能，允許IT部門搭建企業內部的“應用程序商店”，還為用戶提供了移動設備資產追蹤服務。

Tangoe的MDM支持Android、黑莓、iOS以及Windows Mobile系統平臺。它也需要安裝應用才能實現管理功能，同時提供通話費用管理與服務監控功能。

Zenprise的Mobile Manager支持Android、黑莓、iOS以及Windows Mobile系統平臺。它具備通話費用管理與服務監控功能。

 【51CTO.com獨家特稿，非經授權謝絕轉載，合作媒體轉載請發轉載郵件至zhousn#51CTO.com】