智能手機、平板電腦、社交網絡和云服務目前非常流行，并且用處很大，同時它們也存在著安全風險。目前安全焦點在移動設備上，隨著這些設備被大量地用于處理公司信息，IT部門已經無法再用管理公司PC的方式管理這些移動設備。因為，這些移動設備使用了不同的平臺，它們的安全能力也不盡相同，同時許多移動設備都是員工自己的。

問題不在于頻繁受到的黑客攻擊，以及安卓市場中泛濫的惡意軟件，在抵御黑客方面，移動設備的安全性要高于PC。問題在于不適當的信息使用，員工有時會在無意中泄漏聯系人信息，無意中讓人們感到尷尬，無意中違反隱私規(guī)定，無意中忽略了自己的法規(guī)遵從性義務。盡管部分人會小心謹慎地使用它們，但是大部分人會不恰當地使用它們，關鍵是有人使用了它們。

這讓公司陷入到了一個不安的處境中。調查顯示，獲得技術授權的員工心情更為愉悅，工作效率更高，因此公司希望能夠從中獲得好處。不過，這些員工必須要保護他們的秘密，遵守相關規(guī)定。好消息是，雖然這些做法和工具剛剛出現不久，但是我們已經找到了一些經過驗證過的，并且行之有效的管理方法，這些方法可以在不損害消費化所帶來的優(yōu)勢的情況下降低這些做法和工具的風險。

對于移動設備，這些工具可以分為以下三大類：數據泄露防護、移動數據管理、移動應用管理。以下我們將為您詳細介紹這些工具的功能和提供商。

數據泄露防護

許多公司已經在數據泄露防護(DLP)工具上投資了數百萬美元。這些工具可以通過文本分析和元標記對數據訪問權進行分類，然后監(jiān)視信息流(如電子郵件內容)以查找有問題的數據類型。例如，社會保險號或被標記為公司秘密的文件。DLP工具通常被設置用于警告IT部門或用戶可能存在的問題，但是它們也可以設置為先阻止信息，然后再進行詢問。

DLP工具需要公司制定信息安全規(guī)定(通常與用戶角色相關)，然后對進出企業(yè)的信息進行標記。DLP還需要將所有的信息流都匯聚至DLP服務器以確保這些信息都能夠被分析。

DLP工具并不是新東西，但是將它們應用于移動信息流中的這種作法卻是新的。以下幾種移動DLP方法。

讓所有的移動流量都流經公司的DLP服務器，例如賽門鐵克的解決方案。

提供一個應用以訪問公司的信息庫，例如SharePoint。這一應用可以識別信息庫中文件所設置的訪問權限。Zenprise的解決方案為一個針對SharePoint的工具，當然許多云存儲提供商(如Accellion、Box.net、Dropbox和YouSendIt)均提供了可由IT部門管理的云存儲服務。

利用由Good Technology、MobileIron和SAP Sybase等公司提供的API在應用程序中加入內容管理。目前被稱為移動應用管理的相關技術領域已經延伸至了內容管理。

移動設備管理

如果說2011年是自帶設備(BYOD)現象合法化之年，那么2011年就是移動設備管理(MDM)工具被允許作為BYOD安全防護措施之年。目前有許多廠商提供MDM工具并不讓人感到意外。

目前，MDM工具已經被部署在金融服務、國防、政府和醫(yī)療環(huán)境中。這些領域都十分關注信息安全。不過，MDM并不是新鮮事物，企業(yè)使用多年的黑莓企業(yè)服務器(BES)就是MDM。通過BES，企業(yè)可以管理訪問權和黑莓信息設備的設備許可權。微軟Exchange是使用最為廣泛的電子郵件服務器，其也支持通過Exchange ActiveSync(EAS)協議設置適當的策略。

EAS策略能夠命令設備加密、設置復雜密碼或屏蔽設備攝像頭。IT部門在Exchange或谷歌Apps企業(yè)版中管理這些策略。不久，微軟的System Center 2012也將擁有這種能力。這種電子郵件服務器與企業(yè)識別服務器(通常為微軟的Active Directory)結合可確定哪些策略適用用哪些用戶。如果用戶設備不符合用戶相關規(guī)定，那么設備被拒絕部分或所有的訪問。這些服務器還可以讓IT部門遠程鎖定或刪除遺失或被竊設備中的內容。

蘋果iOS、已經淘汰的Windows Mobile、部分版本的谷歌安卓、部分版本的諾基亞塞班等移動平臺都支持大量EAS策略。與此同時，Windows PC的微軟Outlook電子郵件客戶端、Mac OS X的Mac和蘋果Mail客戶端也具有這種能力。相反，微軟新推出的Windows Phone 7、部分版本的谷歌安卓和已經淘汰的惠普WebOS等移動平臺僅支持有限的EAS策略。(RIM的黑莓設備通過BES產品和連接器實現這一功能，也可以與微軟Exchange和谷歌Apps在一定程度上實現這一功能。)

大多數MDM廠商的產品在功能上超過了Exchange和其它郵件服務器所能提供的功能，增加了對移動操作系統可能支持的非EAS策略的訪問權。例如，蘋果iOS 5有一個可以讓IT部門退訂其iCloud文件同步服務的策略。

一些MDM廠商除了在多種移動平臺中部署額外的策略外，還進一步開發(fā)出了一些功能，如探測經過修改(“越獄”)的操作系統。這樣，用戶能夠在其中運行他們的移動應用和本地應用。在這個應用“容器”內的任何東西都必須遵守MDM廠商制定的特殊策略，在用戶的設備中為IT部門形成了一個安全區(qū)。(這些應用能夠設置為不與安全區(qū)外共享信息，其實就是將公司信息與設備的其它部分隔離開來。)部分MDM廠商還提供一些功能，這些功能能夠為移動用戶提供桌面支持，控制通信開銷，如在員工的移動設備處于國際漫游狀態(tài)時對員工進行提醒。

MDM廠商和相關的IT部門所面臨的挑戰(zhàn)是因為不同的移動平臺有著不同的功能，不可能通過一個統一的管理方法管理所有的設備。MDM廠商在這些平臺變化時很難時刻跟上它們的功能變化，但是IT部門仍必須要面對一個現實情況，即他們可能需要在策略需求上保持一定的靈性，以支持最為流行的商業(yè)級設備。在支持iOS設備當中出現了一個解決辦法：蘋果需要公司從蘋果那里得到他們自己的蘋果推送通知服務(APNS)證書，以授權進行MDM管理。這一證書將代你給予MDM工具許可，讓其通過蘋果的通知服務器訪問iOS設備。

一個相關的解決辦法是使用網絡訪問控制探測移動訪問并對該訪問執(zhí)行相關的用戶策略。例如，F5 Networks已經與多家MDM公司(AirWatch、MobileIron、SilverbackMDM和Zenprise)展開合作，讓他們各自的管理工具能夠共同工作。Aruba Networks計劃在3月份推出一款基于移動設備專用網絡控制器的訪問管理產品，其能夠監(jiān)控設備訪問，并對這些訪問執(zhí)行相關的策略。滿足關鍵移動管理需求的主要廠商。(責任編輯：admin)