如果没有智能手机技术的支持,中小企业在当今互联时代将无法开展业务。员工普遍使用智能手机收发电子邮件,查看日程,和管理联系人。网上到处都是用户论坛,讨论智能手机各种平台的安全问题,以及是否能用Microsoft Exchange ActiveSync与Exchange服务器同步数据。如同这篇文章所揭示的,重要问题不是企业应该采用什么手机平台,而是:允许用户将企业电子邮件同步到用户的移动设备上,所必须采取的最低的安全控制是什么?
在我们深入讨论各种智能手机平台之前,重要的是先讨论下,要支持邮件同步所必须建立的Microsoft Exchange最低配置的环境。同步PDA和智能手机的最核心服务是AES(Microsoft Exchange ActiveSync)。AES最初是一个免费的基于客户端的应用程序,用于通过有线方式(例如USB)与Outlook同步,现在AES位于服务器端,通过无线方式(OTA,over the air),几乎可以通过任何能与Outlook Web Access(OWA)服务器通讯的网络连接进行同步。
虽然可以通过无线方式,但将Email,日历和联系人同步到手机上,仍然是服务器端-客户端方式。要使Exchange本身的安全控制最大化,需要安装Microsoft Exchange 2003 SP2或更高版本,以及相应的客户端(AES)。虽然在Exchange 2007版和Exchange 2010版中有一些增强的安全控制,2003 SP2版是实现最基本控制的最低版本。参照图一可以迅速了解Exchange最新的三个版本的安全控制功能。
图1–MS Exchange AES安全策略比较
关于智能手机和Exchange邮件系统的最大误解之一是,只有Windows Mobile智能手机能够和Exchange兼容。事实上,只要能兼容Microsoft AES的手机就可以和Exchange兼容。即使这句话也需要推敲一下,因为AES兼容性的实现,绝大部分都是有选择性的,并且依赖于Exchange服务器所使用的版本。换句话说,只有部分的AES功能是在客户端实现。
在智能手机连接到企业的Exchange环境中的早期进化期,微软牢牢斩获Pocket PC及Windows Mobile的领导地位,因为这是唯一的原厂支持的可以与Exchange同步的设备,而且无需额外的昂贵的硬件或中间件(例如RIM公司的黑莓企业服务器)。认识到企业设备用户相关的巨大市场,智能手机操作系统供应商很快便开始支持Microsoft Exchange ActiveSync。
现在,所有主要的智能手机平台都支持不同版本经过改编的AES兼容的客户端,例如,Android使用Droid app: Moxier Mail,Nitro Touchdown,WebOS使用内置的AES,苹果iOS使用内置的AES,RIM使用黑莓ActivSync。因此,现今企业不是要决策采取哪种智能手机平台,而是应该采取什么样的最小,最必要,可接受的的AES安全控制,以降低手机丢失、被盗或受损的损失。
Microsoft Exchange ActiveSync功能
已经在使用Microsoft Exchange,并且非常重视移动设备安全的的企业可以使用Exchange自带的移动安全控件,以满足其业务需求。虽然说移动安全控件在Microsoft-centric enterprise 版中是免费的这种说法并不合理,因为你还是要为Exchange客户端软件许可付费,但是你并不需要额外的基础设施或服务器服务,所以,如果你已经在用Exchange 2007 SP3或2010 SP1了,那么你手边就已经有了一套灵活强大的移动设备控件。
安全控件是通过Exchange ActiveSync邮箱策略设置来实施的。另外,请注意,可用的邮箱安全策略绑定到Exchange客户端访问许可(CAL, Exchange client access license)中的,企业版CAL比标准的CAL有更加丰富的控件,请注意这个关键的区别。
关于Exchange的最大误解之一是,只有Windows Mobile智能手机能够和Exchange兼容。事实上,只要能兼容Microsoft AES的手机就可以和Exchange兼容。—— Gregg Braunton,
Exchange 2007和Exchange 2010提供了极为细致具体的安全策略设置,尽管很多IT和安全专业人士可能没注意到这些。担心通过HTML标记造成的隐藏式威胁或漏洞?要对付这种威胁,可以强制所有被同步的邮件必须是纯文本(plain text)类型。担心保密数据或企业内部信息被拷到外部存储卡上,并且你完全控制不了?简单,把外部存储卡禁掉就行了。担心WiFi热点连接不安全?如果这样,关掉智能手机的WiFi好了。收到报告手机丢了或被偷了?没关系,手机和外部存储都已加密过,再远程擦除手机和外部存储卡,睡个好觉吧。Exchange 2007和Exchange 2010上有40多个邮箱安全策略设置可用,但别忘了手机上的AES 客户端支持的策略设置才是真正强制性的。最后,还请买家注意,即使是微软最新大力宣传推出的Windows Mobile 7也并不完全支持全部的可用安全策略。
【编辑推荐】