無論管理者如何掙扎，iPhone已經成功贏得了世界上大多數用戶的心。即使大家投入重金、為企業構建起氣勢奪人的保護體系，總有一天以iPhone為代表的新型智能手機也必將破門而入、進入業務環境并與IT系統相連——谷歌Android陣營中的Galaxy系列產品也將緊隨其后。事實上，許多CIO與CSO都已經放棄了抵抗的念頭，開始探討移動設備的介入能夠帶來何種程度的生產力提升：客觀條件證明，智能手機有理由迅速成為新時代下的關鍵性業務工具，而管理者的工作是如何安全高效地為這種趨勢保駕護航。

當然，像iPhone這樣的民用級設備對于個人用戶有著強大的吸引力與號召力，但它們也已經具備越來越多足以完成企業安全及管理需要的新功能。25年前PC產業迎來的重大變革徹底打破了“業務”與“個人”之間的區分界限，而如今移動設備在與IT規范相對接的道路上也在高歌猛進，逐漸打破了“個人設備效能低下”的桎梏。目前，歷史的方向盤掌握在每一位技術領導者手中，智能手機的革命將何去何從取決于我們的理智引導。

從這個角度分析，相信大家已經找到了向移動設備敞開懷抱、了解移動安全功能的理由，大多數企業也已經將其視為發展過程中的核心關注對象。為了解決這一問題，我提出一套四級分層理論，借以涵蓋大多數企業的安全需求。在說明中，我解釋了如何確保每套移動設備使用模式與企業級安全規范間的契合，明確指出哪些特定設備可能給業務環境帶來危害。雖然要做的工作還很多，但我們已經能夠從細致分類著手，為自己的智能手機戰略做出合理調整。

為了真正給實際生產力帶來改善，我將把討論重點放在蘋果iPhone（包括iPod Touch與iPad）、谷歌Android系統設備、微軟Windows Mobile及Windows Phone 7、諾基亞塞班設備中的商務機型（例如S60與E71等）以及RIM公司的黑莓系列身上。很遺憾，我不得不把惠普公司的WebOS設備排除在外，因為生產商自己已經宣判了該系列產品的死刑。

有鑒于郵件系統在移動設備上的使用頻率與重要作用，我會同時談到各類主流業務郵件平臺——IBM的Lotus Domino/Notes、微軟的Exchange以及Novell的GroupWise——并解釋第三方移動管理產品如何與這些強勢平臺聯手協作。請注意，前面提到的許多產品并不具備真正的安全功能。某些產品能夠簡化設備本機自帶的安全功能，但大多數僅僅是對通話費用、設備資產及運行狀態等信息進行收集整理，作為IT部門服務臺的技術參考數據。比起額外添加管理工具，大家可能更希望利用智能手機本身的功能輔助業務，這種成本更低的移動設備引進方案相信更容易受到企業決策層的青睞與重視。

請注意，移動技術領域仍然處于發展當中，下面我們將提到的許多建議只適合當前情況，（希望）供應商們會堅持不懈地在產品功能提升方面付出努力。

哪種安全方案分類最適合你的需求？

盡管智能手機安全問題就像恐怖故事那樣嚇退了不少軍方及金融服務企業，但大多數公司對于安全性的要求并沒有那么嚴苛。另外，許多安保及金融服務機構已經找到了在高度戒備的狀態下引入iPhone與iPad的方法。美國銀行、花旗集團、全美互惠保險公司以及渣打銀行就是其中最典型的例子。

許多企業的實際需求可能同時涵蓋了以下四大分類，畢竟每一位管理者都希望自己能嚴密監控員工與敏感事務的接受、甚至完全遠離企業數據。但一旦選擇這種思路，大家對移動設備“敞開懷抱”的戰略方針也就無處存身了。認清風險、分析風險并勇于承擔風險，這才是開拓型管理者的必備素養。而且放之四海而皆準的道理在移動設備領域也同樣有效：沒有哪種方案能通吃天下。

最后一項說明：如果大家對于PC機及筆記本用戶的使用狀態與安全考量跟移動設備不同，那就說明你還沒找到正確的思維方式。只有做到統一要求，移動管理戰略才有可能真正接近PC級別。

分類一：日常業務信息。卡車司機、推銷員、售貨員、平面設計人士、Web開發者、維修人員、私人教練、餐廳老板——這些領域的用戶一方面接觸大量日常信息、另一方面卻很少產生個人或法律層面的敏感數據。

一旦智能手機發生丟失或被盜，必須會產生一系列麻煩——數據恢復、取消通信服務、購買并配置新設備，管理者必須為這一切提前做好準備。除此之外，盜竊犯還可能訪問原始用戶的郵件賬戶，這就要求我們第一時間在服務器端變更密碼。

最初級的安全機制要求用戶正確輸入PIN碼后才能使用設備。到這里已經不錯了，但還沒有萬無一失。要實現真正的可靠性、安全性與管理功能，他們還需要實現密碼定期輪換、強制使用高強度密碼、遠程數據清除、郵件及其它數據傳輸SSL加密，并在登錄密碼錯誤數次后清除內容。沒有這樣嚴格的管理政策，移動設備根本沒有資格進入業務環境。

分類二：重要業務信息。營銷經理、獸醫、私人助理、管理顧問、IT管理者、教師、編輯、攝像師、程序員、大多數中層管理人士——從事這些行業或者身處上述地位的人們不可避免會使用移動設備訪問個人與財務信息。也許這種訪問對于企業而言還構不成威脅，但卻可能帶來一定程度的經濟或公共關系損失，換方之用戶已經需要引起警惕。此外，由于他們一般都掌握著內部系統的密碼與操作權限，因此惡意人士很可能以此為跳板實施犯罪活動。

一旦這些用戶的智能手機丟失或被盜，應對機制中就不僅僅包括個人賬戶信息的修改、還可能涉及到某些共享口令更換、通知業務伙伴，并準備承擔由此引發的短期績效影響。

對于這個群體，管理者在安全與管理功能方面需要做出如下約束：在設備中使用復雜密碼、采用密碼定期輪換機制、遠程數據清除、郵件及其它數據傳輸SSL加密、并在登錄密碼錯誤數次后清除內容。到這里已經不錯了，但還沒有萬無一失。要實現真正的可靠性、安全性與管理功能，他們還需要在敏感系統及數據訪問中引入VPN及/或雙重因素驗證，同時保證設備擁有內置加密。

分類三：第三業務信息。財務人員、審計員、銀行職員、醫藥專家、人力資源主管、律師、技術人員、產品經理、研究員、部門經理、IT主管、市場營銷負責人、大多數企業高管及其助理——這些崗位的從業者一般會涉及大量機密信息（包括法律、財務、產品及私人層面），而且經常訪問內部數據庫及核心系統。

一旦他們的智能手機丟失或被盜，很可能引發嚴重的財務損失——例如個人敏感信息未受保護造成的通告成本、商務談判細節導致的競爭力喪失以及員工薪酬曝光等等。

對于這個群體，管理者在安全與管理功能方面需要做出如下約束：在設備中使用復雜密碼、采用密碼定期辦的機制、遠程數據清除、郵件及其它數據傳輸SSL加密、在登錄密碼錯誤數次后清除內容、在敏感系統及數據訪問中引入VPN與/或雙重因素驗證、并保證設備擁有內置加密。到這里已經不錯了，但還沒有萬無一失。要實現真正的可靠性、安全性與管理功能，他們還需要針對特定網絡部署訪問控制機制、禁用內置攝像頭并實施應用程序安裝規范。

分類四：機密信息。軍事項目分包商、間諜、警察、高級外交官、軍方人事主管、國會官員及其助理——這些崗位的從業者一般會涉及大量機密信息，數據泄露很可能造成人員傷亡甚至公共事業混亂等嚴重后果。

對于這個群體，管理者在安全與管理功能方面需要做出如下約束：在設備中使用復雜密碼、采用密碼定期辦的機制、遠程數據清除、在郵件及其它數據傳輸中引入軍用級加密機制、在登錄密碼錯誤數次以軍用級要求清除內容、利用VPN進行敏感系統及數據訪問、采取物理層面的雙重因素驗證支持、軍用級內置加密、支持S/MIME及FIPS 140標準并對所有能夠訪問網絡的應用進行獨立控制。

業務類型一：日常信息中的安全需求

如果大家的企業只需要處理日常信息，那么主流手機替代黑莓產品的目標其實很容易實現。

蘋果iOS。iOS作為iPhone、iPad以及iPod Touch系列產品的系統平臺，能夠為這類安全需求提供PIN碼支持，方案本身的各項標準也足以滿足需求。（順帶一提，郵件加密一般是由設備內置加密機制實現，但僅限于iPhone 3GS、iPhone 4、iPhone 4S、第三、四代iPod Touch、iPad以及iPad 2。）SSL信息傳輸加密也屬于iOS的本機功能范疇。

另一大問題就是如何確保上述要求與方案得以強制執行。如果大家不放心讓用戶自己打理設備維護工作，那不妨考慮利用蘋果配置單元（最初定名為iPhone配置單元）創建適合需要的安全政策配置文件。不過用戶是否確實安裝了這些配置文件也是個問題，我們必須手動將文件從U盤同步到PC機當中。如果大家對普通員工信心滿滿，那就直接把文件發給他們或者在郵件中發布下載地址。再說一套既能實現無線交付、又能確保配置文件得到安裝的辦法，那就是使用Mac OS X 10.7獅子或者OS X 10.8美洲獅中的政策管理工具。

除此之外，第三方移動管理工具同樣不可或缺。目前主流的安全產品供應商包括AirWatch、Boxtone、Good Technology、MobileIron、賽門鐵克、Sybase的Afaria項目、Tangoe以及Zenprise等等。它們同樣支持無線管理、合規性與部署審查以及其它一些蘋果配置單元所不具備的安全控制內容。其功能之多樣連獅子或美洲獅Server都無法望其項背。

如果大家使用的是微軟Exchange 2007或者2010，就可以利用其提供的EAS政策強制用戶使用PIN碼鎖定設備并實施密碼周期輪換方案。在EAS的幫助下，遠程數據清除功能也完全能夠實現。

以Lotus Notes為管理基礎的企業還能通過引入Domino 8.5.1或更高版本與Lotus Notes Traveler應用（iTunes App Store上直接下載）的組合在郵件訪問中實現密碼保護。Notes Traveler還為郵件、日程表及聯系人數據提供了遠程清除功能。雖然Domino與Notes的組合無法強制iPhone及iPad用戶執行管理政策，但倒是能實現iOS設備的遠程鎖定操作。如果上述政策還不夠全面，大家不妨考慮借助第三方移動管理工具實現配置文件核準、設備鎖定及訪問控制功能。

如果大家使用谷歌公司的Gmail郵件系統，那么EAS管理政策將受到很大限制。

如果大家使用Novell公司的GroupWise，則可以利用GroupWise 8中的數據同步移動包插件將EAS政策與iPhone順利對接。此外，GW Mail iPhone應用也能與GroupWise 6及更新版本一道帶來安全的郵件客戶端——不過GW Mail同樣無法將政策推廣到設備全局、而只在客戶端內部生效。

谷歌Android。通過設置，Android設備能夠實現PIN碼或者圖形滑動解鎖。而且在Android 2.2及更新版本中，用戶還可以為設備設定使用密碼，并以遠程方式清除密碼。另外，它支持SSL傳輸加密，但并不支持設備內置加密。面向平板設備的Android 3.0則支持內置加密，并能在EAS政策的輔助下實現密碼周期輪換、密碼歷史記錄以及高強度密碼支持等功能。具備上述功能的機型還包括使用Andoird 4.x系統的智能手機與平板，以及摩托羅拉公司圍繞Andoird 2.x推出的智能手機系列。

目前，Android平臺所擁有的安全提升方案只有兩套，主要作用是為3.0及更早設備提供郵件數據存儲加密功能。一套是由NitroDesk出品的TouchDown應用，它能夠與Exchange 2003及2007協作、同時允許用戶實現EAS政策中的PIN碼解鎖與遠程數據清除。這款應用可以說是每位Android用戶的必備軟件。另外需要強調一點，大多數Android手機所宣傳的Exchange兼容性（例如摩托羅拉Droid及HTC Droid Eris系列）其實并不支持本機EAS政策，而只是采取了安全性較低的Exchange同步機制。因此，它們內置的郵件客戶端將無法連接到采用EAS政策的Exchange服務器端。Android 2.2系統更新為這些設備帶來了一部分EAS政策支持能力，但仍然非常有限，只包括強制使用密碼等基本機制。

另一套方案則是在設備中部署第三方管理工具客戶端，其中最知名的當數Good for Android應用。它能夠支持郵件、日程表及聯系人與Exchange及Notes兩種服務器端的順利對接。這款應用還可以強制設定密碼、對消息及其它數據加密、遠程清理消息及其它應用中所保存的信息。當然，要讓這款應用真正起效，企業用戶需要先部署Good for Enterprise服務器。MobileIron及其它主流供應商的產品也能達到同樣的效果。

對于Lotus Notes環境，IBM公司專門推出了Android版本的Lotus Notes Traveler應用。它的作用是安全地訪問來自Notes服務器端的數據，同時支持遠程數據清除功能。

微軟Windows Phone。微軟公司的這款最新移動系統在安全支持方面遠遜于Windows Mobile。而在這類安全要求不高的業務環境中，它能夠支持PIN碼解鎖及其它一系列實用功能，包括SSL數據傳輸加密及遠程數據清除。不過遺憾的是，它并不支持設備內置加密或者高強度密碼政策。

在使用微軟Exchange、谷歌企業Gmail或者安裝了數據同步移動包的GroupWise 8等與EAS相兼容的服務器時，我們可以通過強制手段執行政策支持。

但目前Windows Phone還無法與Lotus Notes協作。

諾基亞塞班。大多數諾基亞設備還是能夠支持這一類業務環境所需要的PIN碼解鎖及其它常見安全功能的。

對于Exchange用戶而言，諾基亞設備雖然能夠支持一部分EAS政策及管理功能，但官方拒絕透露具體支持哪些種類。根據我的調查，諾基亞設備所能支持的政策數量遠低于iOS 4及其更新版本。

對于Notes用戶，IBM公司專門提供了Lotus Notes Traveler應用，借以保護Notes郵件、日程表以及聯系人信息，同時支持遠程數據清除功能。如果大家打算對諾基亞設備進行統一管理，那么在使用Exchange或Notes/Domino組合的前提下，Good for Enterprise服務器中內置的某些功能模塊還是能夠發揮作用的——但僅限于少數機型，例如S60。

而在Novell公司的GroupWise方面，用戶只能通過陳舊設備、利用早已過時的諾基亞智能同步技能與之相對接，同時需要企業部署GroupWise移動服務器。

RIM黑莓。黑莓設備能夠支持這類業務環境所需要的PIN碼解鎖及其它常見安全功能——但前提是企業已經事先完成了BES或BES Express服務器以及Exchange、Notes或者GroupWise服務器的部署工作。

新的免費版BES Express服務器軟件令使用微軟Exchange或者Lotus Notes的小型企業獲得了相當強勁的安全管理方案。在缺乏BES支持的情況下，黑莓設備本身也能夠完成PIN碼解鎖及傳輸信息加密。

如果大家希望利用微軟Exchange代替RIM自家的BES（例如企業打算為黑莓之外的設備同時提供安全支持），那就只能選擇第三方工具了。這些工具能夠讓黑莓支持包括AstraSync及NotifySync在內的多項EAS政策。

請注意，黑莓PlayBook平板在1.0系統版本下不具備任何本機安全功能（相信即將發布的2.0版本會扭轉這一局面）。不過這款平板也不可能直接訪問BES保護下的業務數據，除非我們將黑莓智能手機作為跳板、構建出一套橋接機制。在這種情況下，平板設備本身只相當于一個顯示窗口，所有數據與應用都處于智能手機的保護之下。

業務類型二：重要信息中的安全需求

如果大家所在的企業常常涉及重要信息，那么要找到比黑莓更為可靠的移動設備就有點難度了。不過在這方面，iOS、Windows Mobile以及諾基亞塞班系統平臺在細心調教下還是能夠有所作為。

蘋果iOS。iOS支持這類業務環境中的所有需求，同時也引入了VPN這類多多益善的附加功能。事實上第二類使用者在信息保護方面與前一類基本相同。

如果要說區別，那么第二類情況的問題在于支持思科網絡設施的VPN機制往往無法與思科配置文件發布系統相兼容；我們需要手動輸入VPN配置文件、或者利用蘋果配置單元、Mac OS X獅子Server或者OS X美洲獅Server、甚至是第三方管理工具來實現。從這個角度看，IT部門需要在VPN訪問工作上投入更多精力。

谷歌Android。Android 2.x系列操作系統缺乏對這類業務環境的必要支持，其中最典型的功能缺失就是設備內置加密與密碼周期輪換功能。系統雖然支持Open VPN及PPTP/IPsec VPN，但卻仍然無法實現各種機型的通行通用（具體支持情況由設備制造商把握）。Android 3.x及4.x倒是填補了加密及密碼輪換機制的空白。

如果大家關注郵件、日程表及聯系人數據的保護工作——同時也使用與系統相兼容的VPN——那么不妨向Android用戶稍稍做出妥協。安全機制雖然不一定能做到固若金湯，但關鍵性原則還是得毫不放松。

微軟Windows Mobile。Windows Mobile支持這類業務環境中的全部需求，同時也提供了VPN等額外功能。在Windows Mobile環境下，第二類使用者的安全強度與第一類基本一致。

不過對于以微軟技術為基礎的大型企業而言，我們可能需要使用微軟系統中心移動設備管理器2008，它允許用戶以自助形式實現密碼重置，并能夠同時為上千位同設備用戶解決跨Active Directory控制器問題。

微軟Windows Phone。這款由微軟推出的系統支持此類業務環境中的大部分安全需求，并配備了值得稱道的高強度密碼政策，不過卻不具備任何改善性附加功能。Windows Phone在第二類情況下的工作狀態與前一類基本一致。

諾基亞塞班。諾基亞支持此類業務環境中的全部需求，同時也提供了VPN等額外功能。塞班系統在第二類情況下的工作狀態與前一類基本一致。

RIM黑莓。黑莓設備支持此類業務環境中的全部需求，同時也提供了VPN等額外功能。黑莓設備在第二類情況下的工作狀態與前一類基本一致。

業務類型三：敏感信息中的安全需求

在這個級別的業務工作中——例如金融服務、法律事務、人力資源以及醫療保健——企業需要開始將安全關注程度提高上來，在必要時犧牲一部分員工的工作樂趣。

蘋果iOS。iPhone與iPad支持此類業務環境中的全部安全需求。iOS在第三類情況下的工作狀態與前一類基本一致。

但iOS的不足之處表現在改善性安全功能的缺失上。但這倒并非無法彌補，通過蘋果配置單元、獅子Server或者美洲獅Server的配置文件及其它第三方管理工具，用戶仍然可以實現攝像頭禁用與特定SSID無線網絡訪問限制。

與此類似，我們也可以利用第三方管理工具限制用戶使用特定應用。而在蘋果配置單元、獅子Server或者美洲獅Server的配置文件及其它第三方管理工具的幫助下，大家還可以禁止設備對App Store、Safari及iTunes的使用。但一旦采取這類較為嚴苛的管理手段，iPhone自身的固有功能及吸引力也會受到很大影響。

谷歌Android。2.x版本的Android系統缺乏這類業務環境所必需的大部分安全服務，所以我們不建議大家在自己的企業中使用該設備。Android 3.x及4.x系統則能夠滿足基本安全需求，但仍然缺乏改善性功能。

微軟Windows Mobile。Windows Mobile支持此類業務環境中的全部需求，但要求用戶使用微軟系統中心移動設備管理器2008、Good for Enterprise或者MobileIron等產品來實現改善性安全功能。缺乏以上三者的支持，Windows Mobile的工作狀態與前一類基本一致。

微軟Windows Phone。Windows Phone 7系統缺乏此類業務環境中必需的大部分安全功能，所以我們不建議大家在自己的企業中使用該設備。Windows Phone 8版本則有望改寫這一局勢，但結果如何我們還需耐心等待。

諾基亞塞班。諾基亞設備支持此類業務環境中需要的全部安全功能，其實際工作狀態與前一類基本一致。而在改善性安全功能方面，我目前找不到任何針對諾基亞設備開發的第三方管理工具。

RIM黑莓。黑莓設備支持此類業務環境中需要的全部安全功能——但前提是用戶必須部署配備了Notes或GroupWise的完全版BES、免費版Express或者付費完全版BES for Exchange。要在三大主流郵件平臺上實現改善性安全功能，用戶還是要使用付費的完全版BES。在滿足上述條件的情況下，黑莓設備的工作狀態與前一類基本一致。

業務類型四：機密信息中的安全需求

如果大家的企業需要涉及性命攸關的機密級信息，例如安保工作，那么足以完成工作的移動設備方案只有兩種：黑莓與Windows Mobile。

蘋果iOS。iOS無法滿足軍用級加密（FIPS）需求（但iOS 5及更新版本加入了S/MIME支持，這就讓蘋果的新設備達到了軍用級的安全高度），也無法為應用程序及網絡訪問提供必要的安全控制強度。另外，它也不支持物理因素身份驗證。這倒不是說軍事機構中完全不能采用iOS設備，但建議大家只允許那些級別較低、不會接觸到真正關鍵性信息的用戶使用。

谷歌Android。Android操作系統缺乏此類業務環境所必要的大部分安全服務，因此我們不建議大家在自己的機構中使用該產品。

微軟Windows Mobile。就設備本身而言，Windows Mobile無法滿足軍用級安全要求，例如物理雙重因素身份驗證以及軍用級（FIPS）加密，但Good for Government產品的幫助令微軟的這套“古董級”系統成功滿足了國防安全的嚴苛需要。

微軟Windows Phone。Windows Phone 7系統缺乏此類業務環境所必要的大部分安全服務，因此我們不建議大家在自己的機構中使用該產品。

諾基亞塞班。諾基亞設備缺乏軍用級（FIPS）加密功能，也無法提供必要的應用程序及網絡訪問控制強度。雖然我們仍然可以在軍事機構中使用諾基亞設備，但建議大家只允許那些級別較低、不會接觸到真正關鍵性信息的用戶使用。

RIM黑莓。在使用完全版BES及黑莓智能讀卡器的前提下，特定黑莓機型能夠滿足此類業務環境中的安全需求。

底線：大多數情況下，移動設備還是OK的

說到這里，我想大家已經看到，大部分企業還是有條件將移動設備引入業務環境的。

即使是安全性最差的Windows Phone 7與Android 2.x系統也基本能夠滿足第一類業務環境的要求，而iOS與Android 3.x、4.x則可以搞定第二、三類業務環境，更不用說傳統安全強手黑莓、Windows Mobile以及諾基亞塞班設備了。

因此，大家就沒必要再糾結于企業是否應該向移動設備敞開懷抱了，真正的問題是手機與平板的介入到底能帶來哪些附加價值。這個問題所蘊含的積極意義足以為每一家企業指明未來生產力擴展的方向。

移動平臺安全性能對照表：

（點擊看大圖）