【2012年12月13日 51CTO外電頭條】移動(dòng)領(lǐng)域的安全問(wèn)題倒是跟黑客關(guān)系不大——除了Google Play軟件市場(chǎng)中那些以合法產(chǎn)品自居的惡意軟件之外，移動(dòng)設(shè)備的安全性其實(shí)比普通PC要好一些。真正的挑戰(zhàn)在于，使用者往往在不自覺(jué)的情況下把業(yè)務(wù)敏感信息泄露給聯(lián)系人、陌生對(duì)象、違反隱私管理規(guī)定或是把合規(guī)性義務(wù)拋諸腦后。大多數(shù)過(guò)錯(cuò)屬于無(wú)心之失，但也有一些員工會(huì)故意破壞制度——無(wú)論如何，事情一旦發(fā)生，造成的后果都是嚴(yán)重甚至是致命的。

這就把企業(yè)逼到了相當(dāng)尷尬的境地。一份又一份調(diào)查報(bào)告不斷提醒我們，能夠?qū)⒆杂屑夹g(shù)帶入日常工作的員工不僅心理更愉悅、生產(chǎn)力也會(huì)切實(shí)得到提高，因此企業(yè)也的確希望移動(dòng)趨勢(shì)能給業(yè)務(wù)帶來(lái)改善。然而管理者同時(shí)也需要充分利用規(guī)定保護(hù)商業(yè)機(jī)密。好消息是，盡管管理方案與工具還很年輕，但目前我們已經(jīng)擁有不少能夠降低風(fēng)險(xiǎn)、最大程度發(fā)揮消費(fèi)化收益的成熟模式可供借鑒。

對(duì)于移動(dòng)設(shè)備而言，這些工具可以分為以下幾大類：數(shù)據(jù)丟失預(yù)防、移動(dòng)數(shù)據(jù)管理以及移動(dòng)應(yīng)用管理。通過(guò)分類，我們明確理解了方案的管理對(duì)象與核心機(jī)制。

數(shù)據(jù)丟失預(yù)防

已經(jīng)有許多企業(yè)斥資數(shù)百萬(wàn)美元用于采購(gòu)數(shù)據(jù)丟失預(yù)防（簡(jiǎn)稱DLP）工具。這類工具利用文本分析及元標(biāo)記來(lái)修改數(shù)據(jù)訪問(wèn)權(quán)限，進(jìn)而監(jiān)控信息流（例如郵件中的具體內(nèi)容），尋找可能存在異常的數(shù)據(jù)類型——舉例來(lái)說(shuō)，社保號(hào)碼或者被標(biāo)記為機(jī)密的業(yè)務(wù)文件。DLP工具通常會(huì)把潛在問(wèn)題以警告方式提醒IT部門或用戶，但也可以通過(guò)編程方式直接阻斷信息傳輸、然后再詢問(wèn)管理意見(jiàn)。

要讓DLP工具順利起效，我們必須首先創(chuàng)建信息管理政策（通常的做法是將用戶劃分成不同角色），然后對(duì)企業(yè)中的各類信息進(jìn)行標(biāo)注。另外，我們還需要確保全部信息流經(jīng)由DLP服務(wù)器，這樣才能保證信息內(nèi)容獲得分析整理。

DLP工具不算什么新鮮事物，但它在移動(dòng)信息流方面的應(yīng)用卻絕對(duì)屬于剛剛起步。移動(dòng)DLP一般分為以下幾種方案：

1. 將所有移動(dòng)流量送往DLP服務(wù)器，并在分析完成后再分發(fā)到目標(biāo)位置——賽門鐵克的產(chǎn)品采用這種方式。
2. 提供一款移動(dòng)應(yīng)用，專門用于訪問(wèn)SharePoint等企業(yè)信息存儲(chǔ)體系；應(yīng)用本身嚴(yán)格遵循存儲(chǔ)體系中文件的管理許可。Zenprise公司就為SharePoint推出過(guò)這類產(chǎn)品，當(dāng)然很多云存儲(chǔ)供應(yīng)商（例如Accellion、Box、Dropbox以及YouSendIT）也有針對(duì)性地開(kāi)發(fā)出能夠?yàn)镮T部門所管理的云存儲(chǔ)服務(wù)。
3. 通過(guò)來(lái)自Good Technology、MobileIron以及SAP Sybase等公司的API將內(nèi)容管理機(jī)制嵌入到業(yè)務(wù)應(yīng)用程序當(dāng)中。移動(dòng)應(yīng)用管理在概念上與這種方案比較相近，也能夠深入到內(nèi)容管理的層面展開(kāi)工作。

移動(dòng)設(shè)備管理：MDM

如果2010年是自帶設(shè)備（BYOD）模式獲得合法化身份的元年，那么2011年則是移動(dòng)設(shè)備管理（MDM）工具正式成為BYOD安全標(biāo)準(zhǔn)化解決方案的又一里程碑。而且不出意外，目前已經(jīng)有十幾家供應(yīng)商開(kāi)始研發(fā)并推出MDM工具。

時(shí)至今日，MDM工具已經(jīng)被廣泛應(yīng)用于金融服務(wù)、安全保障、政府機(jī)關(guān)以及醫(yī)藥產(chǎn)業(yè)——而這些恰恰是對(duì)信息安全性要求最高的商務(wù)領(lǐng)域。不過(guò)MDM已經(jīng)不是什么新鮮事物，多年來(lái)許多企業(yè)早已利用BlackBerry Enterprise Server（BES）來(lái)管理BlackBerry移動(dòng)設(shè)備的訪問(wèn)權(quán)限及使用許可等工作。目前普及面最廣的郵件服務(wù)器微軟Exchange所內(nèi)置的Exchange ActiveSync（EAS）協(xié)議則成為支持面最廣、也最具次世代氣質(zhì)的管理政策。

EAS政策能夠以強(qiáng)制方式要求設(shè)備進(jìn)行數(shù)據(jù)加密、設(shè)定高強(qiáng)度密碼或是禁用攝像頭，IT部門則能夠在Exchange服務(wù)器或者Google App企業(yè)版本中進(jìn)行政策設(shè)定，所說(shuō)微軟SYsten Center 2012也將加入上述功能。郵件服務(wù)器與企業(yè)驗(yàn)證服務(wù)器緊密相關(guān)（通常使用微軟的Active Directory），用于檢測(cè)特定政策是否正確作用于特定用戶群體。如果某臺(tái)設(shè)備無(wú)法實(shí)現(xiàn)政策中對(duì)使用者做出的要求，該設(shè)備將的訪問(wèn)將被全部或部分?jǐn)r截。這些服務(wù)器還允許 IT部門以遠(yuǎn)程方式對(duì)丟失或被盜的設(shè)備進(jìn)行鎖定或者數(shù)據(jù)清除。

蘋果的iOS、已經(jīng)過(guò)氣的Windows Mobile、某些谷歌Android版本以及同樣日漸消亡的諾基亞塞班移動(dòng)平臺(tái)都支持一定數(shù)量的EAS管理政策，這與Windows PC、Mac機(jī)對(duì)微軟Outlook郵件客戶端以及Mac OS X對(duì)蘋果Mail客戶端的支持非常類似。根據(jù)官方說(shuō)明，微軟Windows Phone 7以及某些谷歌Android版本只支持有限的幾項(xiàng)EAS政策。（RIM公司的BlackBerry設(shè)備一般都與其BES產(chǎn)品共同使用，不過(guò)在連接工具的幫助下倒也能跟微軟Exchange與谷歌Apps協(xié)作——不過(guò)后面這二位在安全功能方面與BES差距巨大，這么做實(shí)在毫無(wú)意義。）

大多數(shù)MDM供應(yīng)商的產(chǎn)品都需要在功能方面超越Exchange或其它郵件服務(wù)器，因?yàn)橹挥袨橐苿?dòng)操作系統(tǒng)提供EAS所不具備的EAS政策，這些第三方工具才有存在的價(jià)值。舉例來(lái)說(shuō)，蘋果公司的iOS 5就內(nèi)置了一項(xiàng)新政策，允許IT部門禁用其iCloud文件同步服務(wù)。

某些MDM供應(yīng)商則走得更遠(yuǎn)，他們不滿足于為移動(dòng)平臺(tái)廣泛提供額外政策，更希望能夠在檢測(cè)操作系統(tǒng)版本異常（例如揪出已經(jīng)‘越獄’的蘋果產(chǎn)品）方面有所建樹(shù)。為了實(shí)現(xiàn)這類高級(jí)功能，用戶必須在這類MDM提供的環(huán)境內(nèi)部運(yùn)行移動(dòng)應(yīng)用及其它軟件。任何運(yùn)行于這套“容器”環(huán)境下的應(yīng)用都會(huì)同時(shí)獲得MDM供應(yīng)商所提供的全部特殊政策，這相當(dāng)于讓IT部門在用戶的個(gè)人設(shè)備中擁有了一塊安全區(qū)域。（通過(guò)設(shè)置，應(yīng)用所涉及的信息能夠不與任何安全區(qū)域之外的環(huán)境交互，這就從根本上將業(yè)務(wù)數(shù)據(jù)與設(shè)備的其它組件隔離開(kāi)來(lái)。）有些MDM供應(yīng)商還為移動(dòng)用戶提供服務(wù)臺(tái)支持功能甚至控制通話費(fèi)用——也就是在用戶出國(guó)時(shí)提醒其注意國(guó)際漫游狀態(tài)。

MDM供應(yīng)商所面臨的技術(shù)挑戰(zhàn)與IT部門比較類似，主要在于為不同移動(dòng)平臺(tái)提供有針對(duì)性的差異化功能——事實(shí)上我們根本無(wú)法為所有設(shè)備創(chuàng)建一套統(tǒng)一的管理方案。MDM供應(yīng)商的辦法是頻繁更新，保證各設(shè)備平臺(tái)在出現(xiàn)系統(tǒng)升級(jí)或硬件變更后能快速獲得與之相適應(yīng)的新工具。然而IT部門則非常無(wú)力，企業(yè)規(guī)模的限制讓少數(shù)技術(shù)人員不可能以靈活的方式為大部分主流企業(yè)級(jí)設(shè)備提供必要政策。有鑒于此，iOS設(shè)備就成了很多管理者的救命稻草：蘋果公司強(qiáng)制要求企業(yè)采用Apple Push Notification Service（蘋果推送通知服務(wù)，簡(jiǎn)稱APNS）證書，這就讓蘋果的MDM管理工具能夠真正貫徹到業(yè)務(wù)環(huán)境當(dāng)中。在這套證書的支持下，管理者能夠根據(jù)自身需求為MDM工具設(shè)置權(quán)限，進(jìn)而通過(guò)蘋果的通知服務(wù)器訪問(wèn)iOS設(shè)備。

另一套與此相近的方案是利用網(wǎng)絡(luò)訪問(wèn)控制器來(lái)檢測(cè)移動(dòng)訪問(wèn)活動(dòng)，同時(shí)將用戶管理政策添加到訪問(wèn)當(dāng)中。舉例來(lái)說(shuō)，F(xiàn)5網(wǎng)絡(luò)公司就與多家MDM企業(yè)建立了合作伙伴關(guān)系（其中包括AirWatch、MobileIron、SilverbackMDM以及Zenprise），并以此為基礎(chǔ)實(shí)現(xiàn)多種工具的順利協(xié)作。Aruba網(wǎng)絡(luò)公司則計(jì)劃通過(guò)一套移動(dòng)設(shè)備網(wǎng)絡(luò)控制體系打造出訪問(wèn)管理工具，用于監(jiān)控設(shè)備訪問(wèn)并實(shí)施管理政策。

移動(dòng)應(yīng)用管理：MAM

移動(dòng)信息訪問(wèn)控制領(lǐng)域中年紀(jì)最小的成員就是移動(dòng)應(yīng)用管理（MAM）工具，它目前主要分為以下幾大類：

1. 應(yīng)用發(fā)布——與我們常見(jiàn)的企業(yè)應(yīng)用商店頗為相近。它的主要作用是管理由企業(yè)自主開(kāi)發(fā)的Web及本機(jī)應(yīng)用并進(jìn)行發(fā)布，但它同時(shí)也能向用戶提供核準(zhǔn)應(yīng)用在公共應(yīng)用商店中的下載鏈接。某些工具甚至可以管理由企業(yè)開(kāi)發(fā)的、只在內(nèi)部環(huán)境中使用的本機(jī)iOS應(yīng)用。
2. 應(yīng)用開(kāi)發(fā)安全——為企業(yè)自主開(kāi)發(fā)的應(yīng)用內(nèi)容及網(wǎng)絡(luò)資源訪問(wèn)活動(dòng)提供額外的安全與審核機(jī)制。它通過(guò)以控制臺(tái)形式出現(xiàn)，允許IT部門以此為平臺(tái)進(jìn)行各類內(nèi)置控制。
3. 應(yīng)用內(nèi)容管理——主要用于約束應(yīng)用與其它軟件共享驗(yàn)證內(nèi)容的權(quán)限。這方面所針對(duì)的仍然以企業(yè)自家的應(yīng)用為主，不過(guò)某些情況下也能充當(dāng)商業(yè)應(yīng)用開(kāi)發(fā)者的管理工具。此領(lǐng)域的兩大供應(yīng)商分別是Mocana與賽門鐵克（后者通過(guò)收購(gòu)Nukona才正式上位），他們?cè)趹?yīng)用程序權(quán)限許可方案上沒(méi)有采取傳統(tǒng)的DLP路線（即通過(guò)應(yīng)用內(nèi)部代碼實(shí)現(xiàn)管理政策），而另辟蹊徑、找到了更靈活的解決辦法。除了這兩家領(lǐng)頭羊之外，其它供應(yīng)商仍然在修改應(yīng)用代碼的層面上苦苦掙扎。
4. 安全應(yīng)用容器——它所創(chuàng)建的隔離區(qū)域、應(yīng)用容器或者虛擬環(huán)境能夠?qū)⒋蠖鄶?shù)業(yè)務(wù)應(yīng)用及數(shù)據(jù)與用戶的個(gè)人信息彼此隔絕。這套方案的跳出了原先虛擬桌面基礎(chǔ)設(shè)施（VDI）的思維桎梏，直接實(shí)現(xiàn)了一個(gè)窗口搞定遠(yuǎn)程應(yīng)用管理功能的目標(biāo)。這類應(yīng)用程序（例如Citrix的Receiver以及VMware的View）幾乎不必訪問(wèn)任何移動(dòng)設(shè)備中的信息或本機(jī)功能，也讓管理者擺脫了沒(méi)有鍵盤鼠標(biāo)就無(wú)法進(jìn)行操作的窘境。除此之外，還有一類方案專門負(fù)責(zé)在設(shè)備上創(chuàng)建隔離環(huán)境——一套專門承載個(gè)人應(yīng)用與數(shù)據(jù)、另一則容納IT管理下的業(yè)務(wù)應(yīng)用與數(shù)據(jù)。

目前MAM方案所面臨的最大難題在于，大多數(shù)產(chǎn)品都只能作用于特定應(yīng)用。這對(duì)于有能力開(kāi)發(fā)自有業(yè)務(wù)應(yīng)用的企業(yè)而言倒是沒(méi)什么大礙，但在商業(yè)開(kāi)發(fā)人士看來(lái)，缺乏廣泛支持能力的管理工具距離完美仍然有很長(zhǎng)的路要走。隨著時(shí)間的推移，我們應(yīng)該會(huì)看到更多允許用戶自己安裝、自己操控的應(yīng)用及內(nèi)容管理功能。這些功能只要能與企業(yè)現(xiàn)有MDM或其它工具順利對(duì)接，那么移動(dòng)安全的整體布局也就初具規(guī)模了。不過(guò)商業(yè)開(kāi)發(fā)者或供應(yīng)商仍然需要為自己的應(yīng)用產(chǎn)品選擇一款或多款A(yù)PI，并承擔(dān)由此帶來(lái)的局限性或復(fù)雜性。

當(dāng)然，目前大家最需要的是一款通用內(nèi)容管理API“大補(bǔ)丸”，這套能夠讓所有應(yīng)用與任何管理工具受益的整合方案可以說(shuō)是功德無(wú)量——一旦出現(xiàn)，這款產(chǎn)品將很快獲得微軟EAS協(xié)議在設(shè)備管理領(lǐng)域相對(duì)等的崇高地位，并立即成為行業(yè)標(biāo)準(zhǔn)。在EAS這邊，供應(yīng)商需要做的是針對(duì)特定應(yīng)用需求推出核心向政策強(qiáng)化服務(wù)，而商業(yè)開(kāi)發(fā)者則可以自由選擇支持或放棄這些額外功能。通過(guò)這種方式，應(yīng)用程序開(kāi)發(fā)將真正進(jìn)入安全、開(kāi)放的新時(shí)代。

主流供應(yīng)商與關(guān)鍵性移動(dòng)管理需求