【51CTO译文】从iOS 4开始,后续操作系统为iPad、iPhone以及iPod Touch大家族提供了强有力的安全性及管理功能支持,这使得iOS产品线一举成为仅次于黑莓(在某些标准下也略逊于Windows Mobile)的可靠BYOD方案。
“企业显然很享受黑莓与Windows Mobile所带来的业务体验与安全性能,但从iOS 4发布以来,越来越多的业务管理者开始感受到苹果所创造出的独特魅力,”Forrester研究公司分析师Andrew Jaquith指出。
原因何在?因为这三款移动系统都采用了移动管理服务器方案,IT部门能够在它的帮助下制定并贯彻自己的政策理念。事实上,苹果公司在2010年夏季发布iOS 4时就已经将这套功能纳入其中。大多数管理工具都能支持多种设备类型;当然,黑莓企业级服务器(简称BES)例外,它只能支持RIM公司自家产品。
| 大家在反思现有移动管理策略时,别忘了针对智能手机特性对网站内容进行优化——无论是iPhone、Android还是其它主流设备都是我们要考虑的对象。Dori Smith在指南文章《如何让你的网站走向移动化》中指出。 |
但其它移动设备是否值得信赖?谷歌的Android发展迅速,目前在总销量方面已经分别击败了苹果与RIM。其后还有来自微软的Windows Phone 7,我们能安心把它纳入企业环境当中吗?
【51CTO.com独家特稿,非经授权谢绝转载,合作媒体转载请发转载邮件至zhousn#51CTO.com】#p#
下面我们就逐一分析目前常见的六大移动系统平台,看看它们能否满足企业级安全管理需求。而在这部分内容结尾,我会附上一份对照表格,大家可以从中看到各移动平台解决常见安全及管理问题的能力。
我们首先来聊聊Exchange ActiveSync(简称EAS)政策。作为微软专门针对移动安全及设备管理工作所拟定的协议,EAS已经迅速崛起为移动设备管理领域中的普遍标准,不仅得到苹果公司的广泛支持(包括iOS与Mac OS X两大平台),也赢得了谷歌(少数Android OS 2设备、所有Android OS 3、Android OS 4设备以及企业级Gmail)、IBM(最新版本的Lotus Notes)、诺基亚(某些塞班系统)、Novell(作为GroupWise的服务器插件出现)以及微软自己(Windows、Windows Mobile以及Windows Phone 7)的高度信赖。只有RIM公司始终试图绕开EAS,而坚持贯彻自己打造的BES。另外值得注意的是,尽管EAS中包含有29项主要政策,但其中某些在大部分移动设备上都无法实现——例如禁用红外装置或是禁用缺少签名的CAB文件(Windows系统中的一种特殊应用文件)。
其次,大家需要注意的是企业邮件、日程表及联系人信息的存储方案:任何一款支持微软Exchange、IBM Lotus Notes或者Novell GroupWise的设备都将在访问服务器时要求验证。如果验证无法通过,根据管理政策的不同,服务器会自动远程清除移动设备中的邮件及联系人信息。而在iOS系统平台上,我们还能够选择中断连接——这一功能是依靠LDAP这类协议实现的。换言之,管理服务器已经有能力像对待PC机那样对移动设备实施严格监控。
RIM的黑莓OS
保护黑莓设备安全的关键在于使用BES 5.0,新系统为IT管理者提供了四百多项安全及管理政策,从密码保护到远程数据清除一应俱全。
RIM公司照例推出了BES的免费版本,但它只能支持微软Exchange及IBM Lotus Notes环境;只有需要付费的完全版才能支持Novell的GroupWise。
而BES 5.03则引入了可选数据清除功能,管理者能够在不影响用户个人信息的情况下,将对方黑莓设备中的业务数据及应用清理于无形(前提是用户设备必须使用黑莓OS 6或7版本)。
某些黑莓机型还支持RSA的SecurID双重硬件验证工具,这是为了满足军事领域中的特殊需求.
RIM黑莓平板OS
RIM公司在以PlayBook为代表的黑莓平板产品线上采用的安全策略与智能手机一致,仍然围绕着BES展开。不过这是由于PlayBook必须以无线连接的形式与手机桥接,然后才能访问企业资源;而BES为手机提供的保护也就等于变相解决了PlayBook的安全问题。(RIM公司正在努力让BES能够直接管理PlayBook,这就免去了没手机就用不了平板的尴尬局面。)另外我要提醒大家,如果没有BES的安全管理功能,那么无论是黑莓智能手机还是平板设备都毫无安全性可言——千万别一听到黑莓就以为万事大吉了。
苹果iOS
iOS 4甫一推出,旋即引发了次世代移动管理方案的重大变革——支持审计功能、对接应用EAS政策、内置iOS本地管理、无线下载更新,每一条都堪称划时代创举。它允许管理者有选择地清除目标设备中的业务数据与应用、支持高强度密码、搭载加密机制及远程数据清除功能。
iOS支持Exchange所提供的14种EAS管理政策,有效负载配置能够以邮件形式、网络连接或通过Mac OS X狮子及美洲狮 Server系统发送给用户。如果大家使用来自AirWatch、Boxtone、Good Technology、MobileIron、赛门铁克、Sybase Afaria、Tangoe、Zenprise等主流软件供应商的移动设备管理工具,也能同样以无线方式监督并保障工具确实付诸使用。AirWatch与MobileIron甚至允许用户以这种方式管理Mac设备。
iOS 5在此基础上又针对MDM工具添加了多项新政策:开启或关闭iCloud同步、为iTunes设定访问密码、禁用邮件转发、禁止访问甚至删除指定应用(包括个人应用及各类企业业务应用)、禁用漫游状态下的通话及数据交互、为不受信证书设定管理政策、检测并恢复被用户删除的MDM配置文件、设定Web代理、设定Wi-Fi访问点自动登录、发送损坏数据以及监控电池容量。
微软Windows Mobile
尽管这款移动操作系统在三年前就已经寿终正寝,但它仍然作为遗留应用广泛存在于许多业务环境——尤其是政府机关当中。在使用微软System Center Mobile Device Manager(系统中心移动设备管理器)企业版的前提下,Windows Mobile 6.x系列能够支持全部29项EAS管理政策;即使就系统本身而言,也已经能够支持14项EAS管理政策。
Windows Mobile当然也支持各种常见的移动管理工具,某些Windows Mobile机型甚至支持SecurID验证机制,并借此达到了几乎能够与黑莓比肩的安全高度。
微软Windows Phone 7
这款新生代微软移动操作系统与其前辈Windows Mobile相比,在安全及管理功能方面可谓差距巨大——虽然它也使用了同样的Exchange或者说EAS兼容服务器端作为管理控制台,却依然无法重现当年的可靠性。其中最大的问题在于,新系统没有内置加密支持、无法强制用户设定高强度密码,这就使其难以符合大多数企业级ActiveSync政策的要求。(微软已经声明将在未来加入这些支持)
Windows Phone 7——包括去年秋季发布的7.5“Mongo”——在EAS政策支持数量上明显逊色于Windows Mobile以及iOS。而它所无法支持的数项政策正是企业级安全的关键所在:禁用摄像头、禁止应用程序下载。它甚至还不支持VPN,这种致命的功能性缺失导致了Windows Phone 7几乎无法进入企业级应用领域。
谷歌Android系统
虽然头顶高超占有率最高的移动操作系统皇冠,但Android仍然是六大竞争者中安全性最差的产品。在Android 2.2及其它早期版本中,谷歌根本没有为用户提供内置加密、高强度密码支持等实用功能。“企业管理现在可以说是一听见Android就头痛,这一方面是因为企业级安全路线图中还没有对Android提出明确定位,另一方面则是因为成百上千的不同机型令安全专家很难弄清哪些管理政策能够生效、而哪些不能,”Forrester公司的Jaquith无奈地指出。“Andoird OS的文件系统缺乏加密机制也是它饱受诟病的主要原因之一。”
但同狂热的iPhone用户令企业不得不考虑将当初尚不够安全的iOS系统纳入业务环境一样,如今Android产品的庞大消费群体也让管理者感受到了民意的压力。“许多消费者都希望以Good Technology为首的一系列管理工具能够与Android设备相契合,这样他们就可以堂而皇之地把个人设备带到日常工作中了,”Jaquith告诉我们。IBM公司的Lotus Notes Traveler应用让Notes用户首先享受到了安全待遇,NitroDesk公司则紧随其后,让Exchange用户也过上了想用就用的安逸生活。
而摩托罗拉移动公司(谷歌目前正与之洽谈收购事宜)与三星电子则推出了“商务型”Android设备——其中加入了内置加密与EAS政策支持功能,这在一定程度上缩小了与iOS产品之间的差距。
随着时间的推移,Android系统在安全性方面已经取得了显著进步。事实上,专为平板打造的Android 3.0系统能够支持内置加密、高强度密码、密码记录以及密码周期轮替等多种管理政策。
2011年末,Android “冰淇淋三明治”正式推出。尽管仅能运行在少数几款机型上,但新系统终于为Android手机带来了与平板相同的安全功能。今年年中分布的Android 4.1 “糖豆”则将这一优良传统延续了下来。
而从短期效应看,能够填补安全性空白的也并非只有谷歌自己。举例来说,Android 2.2“冻酸奶”和2.3“姜饼”仅仅包含了最基本的VPN功能,但摩托罗拉公司推出的Droid Pro机型却为其引入了更加安全可靠的AuthenTec IPSec多点VPN方案。与之相似的例子还有摩托罗拉发布的Atrix、Photon 4G等一系列商务手机以及三星的“安全”系列产品都以本机支持的形式弥补了Android 2.2及2.3的系统缺陷。
诺基亚Symbian系统
这款曾经的智能手机系统王者如今已经消失在人们的视线当中。在美国,我们几乎看不到Symbian的身影;统计报告同时指出,目前Symbian系统所产生的网络数据流量可谓江河日下——当然,这也与诺基亚公司抛弃Symbian、转投Windows Phone 7的怀抱不无关系。
Symbian系统与Android一样版本众多,但大多数诺基亚产品无法支持企业级安全及管理需求。其中略具看点的是诺基亚的E系列和N系列产品,它们还是具备基本的内置加密、高强度密码以及远程数据清除功能。由于诺基亚一直故作神秘,所以我们不清楚这两大系更的机型能支持多少种EAS管理政策——但可以肯定的是,一定比iOS少就对了。
在iOS与Windows Mobile支持、而Symbian搞不定的常见管理政策中,最典型的例子就是禁用内置摄像头与防止Wi-Fi网络访问两条。但好消息是诺基亚设备还是能够与大多数移动管理工具相兼容的。
移动安全与管理功能对照表
缩写词:EAS-微软Exchange ActiveSync,BES-黑莓Enterprise Server 5.x,3PS-第三方server,NA-无可用信息
备注:
- 只限诺基亚E系列及N系列的几款特定机型。
- 存储卡无法加密。
- 需要使用可选产品苹果配置单元(无法通过无线配置完成)、Mac OS X 10.7狮子或OS X 10.8美洲狮Server、EAS及3PS实现。
- 只要求输入PIN码。
- 某些第三方邮件客户端应用自身支持其它EAS政策。
- 在Exchange Server 企业级许可下能够支持全部29项EAS政策,普通许可则只支持15项EAS政策。
- BES支持RIM自家的超过500项管理政策。
- 只适用于某些特定机型。
- 黑莓平板OS 1.0需要以黑莓手机为跳板才能实现除VPN外的所有功能。
【51CTO.com独家特稿,非经授权谢绝转载,合作媒体转载请发转载邮件至zhousn#51CTO.com】#p#
移动设备管理供应商产品汇总
随着智能手机与平板设备的迅速普及,加之员工个人选择所造成的多样性状况,IT部门目前面临着在多套平台之间实现访问、使用以及安全性管理这一严峻挑战。为了满足需求,许多供应商着手开发集中式控制台,希望利用这种方式实现一套方案、全平台管理的理想效果。在常用政策、强制管理以及审计功能的多重辅助下,许多原本孱弱的移动产品也拥有了值得信赖的优秀安全性。
这些工具所使用的方案总体分两种,当然有些工具二者兼有、有些则只选其一:
(1)使用政策配置,尤其是得到广泛支持的微软Exchange ActiveSync(简称EAS)协议;
(2)它们都通过客户端应用在受支持上的设备上深深扎根,进而为用户提供可管理、更安全的业务环境及附加管理政策。而黑莓产品的支持工作则主要依靠RIM公司自家推出的工具,也就是大名鼎鼎的BlackBerry Enterprise Server(简称BES)。
AirWtach支持Android、黑莓、iOS以及Windows Mobile。它同时提供面向内容的管理政策、具备数据漫游控制功能,而且允许用户在iOS 4及其后续系统中有选择地进行业务数据清除(能够帮助用户在自有设备上保护个人信息的完整性)。它同时还能为使用OS X狮子或OS X美洲狮的Mac设备提供服务。
Boxtone支持Android、黑莓、iOS以及Windows Mobile。它同样为用户设备提供故障排查、自助注册及费用查询服务(包括运营商计费)。
Fiberlink的Maas360以政策为基础实施管理并监督整个执行过程,并为Android、黑莓及iOS提供应用程序管理服务。除此之外,它还支持采用微软Exchange或者IBM Lotus Notes的移动设备以及Windows或OS X系统的个人计算机。
Good Technology的Good for Enterprise以及Good for Government两款工具支持Android、iOS、塞班和Windows Mobile系统平台。二者同样依托于应用程序安装来实现管理功能,为iOS 4及其后续版本提供选择性业务数据清除(能够帮助用户在自有设备上保护个人信息的完整性),并可以通过设置保证只有指定设备或操作系统能与业务资源相对接。
McAfee的Trust Digital EMM支持Android、iOS、塞班以及Windows Mobile系统平台。它同时为用户设备提供故障排查及自助注册功能。
MobileIron的MobileIron Server支持Android、黑莓、iOS、塞班以及Windows Mobile系统平台。它也需要安装应用才能实现管理功能,为iOS 4及其后续版本提供选择性业务数据清除(能够帮助用户在自有设备上保护个人信息的完整性),还提供通话费用管理功能。它同时能为使用OS X狮子或OS X美洲狮的Mac设备提供服务。
Sybase的Afaria支持Android、黑莓、iOS、塞班以及Windows Mobile系统平台。它也需要安装应用才能实现管理功能,允许IT部门搭建企业内部的“应用程序商店”,还为用户提供了移动设备资产追踪服务。
Tangoe的MDM支持Android、黑莓、iOS以及Windows Mobile系统平台。它也需要安装应用才能实现管理功能,同时提供通话费用管理与服务监控功能。
Zenprise的Mobile Manager支持Android、黑莓、iOS以及Windows Mobile系统平台。它具备通话费用管理与服务监控功能。
【51CTO.com独家特稿,非经授权谢绝转载,合作媒体转载请发转载邮件至zhousn#51CTO.com】
