无论管理者如何挣扎,iPhone已经成功赢得了世界上大多数用户的心。即使大家投入重金、为企业构建起气势夺人的保护体系,总有一天以iPhone为代表的新型智能手机也必将破门而入、进入业务环境并与IT系统相连——谷歌Android阵营中的Galaxy系列产品也将紧随其后。事实上,许多CIO与CSO都已经放弃了抵抗的念头,开始探讨移动设备的介入能够带来何种程度的生产力提升:客观条件证明,智能手机有理由迅速成为新时代下的关键性业务工具,而管理者的工作是如何安全高效地为这种趋势保驾护航。
当然,像iPhone这样的民用级设备对于个人用户有着强大的吸引力与号召力,但它们也已经具备越来越多足以完成企业安全及管理需要的新功能。25年前PC产业迎来的重大变革彻底打破了“业务”与“个人”之间的区分界限,而如今移动设备在与IT规范相对接的道路上也在高歌猛进,逐渐打破了“个人设备效能低下”的桎梏。目前,历史的方向盘掌握在每一位技术领导者手中,智能手机的革命将何去何从取决于我们的理智引导。
从这个角度分析,相信大家已经找到了向移动设备敞开怀抱、了解移动安全功能的理由,大多数企业也已经将其视为发展过程中的核心关注对象。为了解决这一问题,我提出一套四级分层理论,借以涵盖大多数企业的安全需求。在说明中,我解释了如何确保每套移动设备使用模式与企业级安全规范间的契合,明确指出哪些特定设备可能给业务环境带来危害。虽然要做的工作还很多,但我们已经能够从细致分类着手,为自己的智能手机战略做出合理调整。
为了真正给实际生产力带来改善,我将把讨论重点放在苹果iPhone(包括iPod Touch与iPad)、谷歌Android系统设备、微软Windows Mobile及Windows Phone 7、诺基亚塞班设备中的商务机型(例如S60与E71等)以及RIM公司的黑莓系列身上。很遗憾,我不得不把惠普公司的WebOS设备排除在外,因为生产商自己已经宣判了该系列产品的死刑。
有鉴于邮件系统在移动设备上的使用频率与重要作用,我会同时谈到各类主流业务邮件平台——IBM的Lotus Domino/Notes、微软的Exchange以及Novell的GroupWise——并解释第三方移动管理产品如何与这些强势平台联手协作。请注意,前面提到的许多产品并不具备真正的安全功能。某些产品能够简化设备本机自带的安全功能,但大多数仅仅是对通话费用、设备资产及运行状态等信息进行收集整理,作为IT部门服务台的技术参考数据。比起额外添加管理工具,大家可能更希望利用智能手机本身的功能辅助业务,这种成本更低的移动设备引进方案相信更容易受到企业决策层的青睐与重视。
请注意,移动技术领域仍然处于发展当中,下面我们将提到的许多建议只适合当前情况,(希望)供应商们会坚持不懈地在产品功能提升方面付出努力。
哪种安全方案分类最适合你的需求?
尽管智能手机安全问题就像恐怖故事那样吓退了不少军方及金融服务企业,但大多数公司对于安全性的要求并没有那么严苛。另外,许多安保及金融服务机构已经找到了在高度戒备的状态下引入iPhone与iPad的方法。美国银行、花旗集团、全美互惠保险公司以及渣打银行就是其中最典型的例子。
许多企业的实际需求可能同时涵盖了以下四大分类,毕竟每一位管理者都希望自己能严密监控员工与敏感事务的接受、甚至完全远离企业数据。但一旦选择这种思路,大家对移动设备“敞开怀抱”的战略方针也就无处存身了。认清风险、分析风险并勇于承担风险,这才是开拓型管理者的必备素养。而且放之四海而皆准的道理在移动设备领域也同样有效:没有哪种方案能通吃天下。
最后一项说明:如果大家对于PC机及笔记本用户的使用状态与安全考量跟移动设备不同,那就说明你还没找到正确的思维方式。只有做到统一要求,移动管理战略才有可能真正接近PC级别。
分类一:日常业务信息。卡车司机、推销员、售货员、平面设计人士、Web开发者、维修人员、私人教练、餐厅老板——这些领域的用户一方面接触大量日常信息、另一方面却很少产生个人或法律层面的敏感数据。
一旦智能手机发生丢失或被盗,必须会产生一系列麻烦——数据恢复、取消通信服务、购买并配置新设备,管理者必须为这一切提前做好准备。除此之外,盗窃犯还可能访问原始用户的邮件账户,这就要求我们第一时间在服务器端变更密码。
最初级的安全机制要求用户正确输入PIN码后才能使用设备。到这里已经不错了,但还没有万无一失。要实现真正的可靠性、安全性与管理功能,他们还需要实现密码定期轮换、强制使用高强度密码、远程数据清除、邮件及其它数据传输SSL加密,并在登录密码错误数次后清除内容。没有这样严格的管理政策,移动设备根本没有资格进入业务环境。
分类二:重要业务信息。营销经理、兽医、私人助理、管理顾问、IT管理者、教师、编辑、摄像师、程序员、大多数中层管理人士——从事这些行业或者身处上述地位的人们不可避免会使用移动设备访问个人与财务信息。也许这种访问对于企业而言还构不成威胁,但却可能带来一定程度的经济或公共关系损失,换方之用户已经需要引起警惕。此外,由于他们一般都掌握着内部系统的密码与操作权限,因此恶意人士很可能以此为跳板实施犯罪活动。
一旦这些用户的智能手机丢失或被盗,应对机制中就不仅仅包括个人账户信息的修改、还可能涉及到某些共享口令更换、通知业务伙伴,并准备承担由此引发的短期绩效影响。
对于这个群体,管理者在安全与管理功能方面需要做出如下约束:在设备中使用复杂密码、采用密码定期轮换机制、远程数据清除、邮件及其它数据传输SSL加密、并在登录密码错误数次后清除内容。到这里已经不错了,但还没有万无一失。要实现真正的可靠性、安全性与管理功能,他们还需要在敏感系统及数据访问中引入VPN及/或双重因素验证,同时保证设备拥有内置加密。
分类三:第三业务信息。财务人员、审计员、银行职员、医药专家、人力资源主管、律师、技术人员、产品经理、研究员、部门经理、IT主管、市场营销负责人、大多数企业高管及其助理——这些岗位的从业者一般会涉及大量机密信息(包括法律、财务、产品及私人层面),而且经常访问内部数据库及核心系统。
一旦他们的智能手机丢失或被盗,很可能引发严重的财务损失——例如个人敏感信息未受保护造成的通告成本、商务谈判细节导致的竞争力丧失以及员工薪酬曝光等等。
对于这个群体,管理者在安全与管理功能方面需要做出如下约束:在设备中使用复杂密码、采用密码定期办的机制、远程数据清除、邮件及其它数据传输SSL加密、在登录密码错误数次后清除内容、在敏感系统及数据访问中引入VPN与/或双重因素验证、并保证设备拥有内置加密。到这里已经不错了,但还没有万无一失。要实现真正的可靠性、安全性与管理功能,他们还需要针对特定网络部署访问控制机制、禁用内置摄像头并实施应用程序安装规范。
分类四:机密信息。军事项目分包商、间谍、警察、高级外交官、军方人事主管、国会官员及其助理——这些岗位的从业者一般会涉及大量机密信息,数据泄露很可能造成人员伤亡甚至公共事业混乱等严重后果。
对于这个群体,管理者在安全与管理功能方面需要做出如下约束:在设备中使用复杂密码、采用密码定期办的机制、远程数据清除、在邮件及其它数据传输中引入军用级加密机制、在登录密码错误数次以军用级要求清除内容、利用VPN进行敏感系统及数据访问、采取物理层面的双重因素验证支持、军用级内置加密、支持S/MIME及FIPS 140标准并对所有能够访问网络的应用进行独立控制。
业务类型一:日常信息中的安全需求
如果大家的企业只需要处理日常信息,那么主流手机替代黑莓产品的目标其实很容易实现。
苹果iOS。iOS作为iPhone、iPad以及iPod Touch系列产品的系统平台,能够为这类安全需求提供PIN码支持,方案本身的各项标准也足以满足需求。(顺带一提,邮件加密一般是由设备内置加密机制实现,但仅限于iPhone 3GS、iPhone 4、iPhone 4S、第三、四代iPod Touch、iPad以及iPad 2。)SSL信息传输加密也属于iOS的本机功能范畴。
另一大问题就是如何确保上述要求与方案得以强制执行。如果大家不放心让用户自己打理设备维护工作,那不妨考虑利用苹果配置单元(最初定名为iPhone配置单元)创建适合需要的安全政策配置文件。不过用户是否确实安装了这些配置文件也是个问题,我们必须手动将文件从U盘同步到PC机当中。如果大家对普通员工信心满满,那就直接把文件发给他们或者在邮件中发布下载地址。再说一套既能实现无线交付、又能确保配置文件得到安装的办法,那就是使用Mac OS X 10.7狮子或者OS X 10.8美洲狮中的政策管理工具。
除此之外,第三方移动管理工具同样不可或缺。目前主流的安全产品供应商包括AirWatch、Boxtone、Good Technology、MobileIron、赛门铁克、Sybase的Afaria项目、Tangoe以及Zenprise等等。它们同样支持无线管理、合规性与部署审查以及其它一些苹果配置单元所不具备的安全控制内容。其功能之多样连狮子或美洲狮Server都无法望其项背。
如果大家使用的是微软Exchange 2007或者2010,就可以利用其提供的EAS政策强制用户使用PIN码锁定设备并实施密码周期轮换方案。在EAS的帮助下,远程数据清除功能也完全能够实现。
以Lotus Notes为管理基础的企业还能通过引入Domino 8.5.1或更高版本与Lotus Notes Traveler应用(iTunes App Store上直接下载)的组合在邮件访问中实现密码保护。Notes Traveler还为邮件、日程表及联系人数据提供了远程清除功能。虽然Domino与Notes的组合无法强制iPhone及iPad用户执行管理政策,但倒是能实现iOS设备的远程锁定操作。如果上述政策还不够全面,大家不妨考虑借助第三方移动管理工具实现配置文件核准、设备锁定及访问控制功能。
如果大家使用谷歌公司的Gmail邮件系统,那么EAS管理政策将受到很大限制。
如果大家使用Novell公司的GroupWise,则可以利用GroupWise 8中的数据同步移动包插件将EAS政策与iPhone顺利对接。此外,GW Mail iPhone应用也能与GroupWise 6及更新版本一道带来安全的邮件客户端——不过GW Mail同样无法将政策推广到设备全局、而只在客户端内部生效。
谷歌Android。通过设置,Android设备能够实现PIN码或者图形滑动解锁。而且在Android 2.2及更新版本中,用户还可以为设备设定使用密码,并以远程方式清除密码。另外,它支持SSL传输加密,但并不支持设备内置加密。面向平板设备的Android 3.0则支持内置加密,并能在EAS政策的辅助下实现密码周期轮换、密码历史记录以及高强度密码支持等功能。具备上述功能的机型还包括使用Andoird 4.x系统的智能手机与平板,以及摩托罗拉公司围绕Andoird 2.x推出的智能手机系列。
目前,Android平台所拥有的安全提升方案只有两套,主要作用是为3.0及更早设备提供邮件数据存储加密功能。一套是由NitroDesk出品的TouchDown应用,它能够与Exchange 2003及2007协作、同时允许用户实现EAS政策中的PIN码解锁与远程数据清除。这款应用可以说是每位Android用户的必备软件。另外需要强调一点,大多数Android手机所宣传的Exchange兼容性(例如摩托罗拉Droid及HTC Droid Eris系列)其实并不支持本机EAS政策,而只是采取了安全性较低的Exchange同步机制。因此,它们内置的邮件客户端将无法连接到采用EAS政策的Exchange服务器端。Android 2.2系统更新为这些设备带来了一部分EAS政策支持能力,但仍然非常有限,只包括强制使用密码等基本机制。
另一套方案则是在设备中部署第三方管理工具客户端,其中最知名的当数Good for Android应用。它能够支持邮件、日程表及联系人与Exchange及Notes两种服务器端的顺利对接。这款应用还可以强制设定密码、对消息及其它数据加密、远程清理消息及其它应用中所保存的信息。当然,要让这款应用真正起效,企业用户需要先部署Good for Enterprise服务器。MobileIron及其它主流供应商的产品也能达到同样的效果。
对于Lotus Notes环境,IBM公司专门推出了Android版本的Lotus Notes Traveler应用。它的作用是安全地访问来自Notes服务器端的数据,同时支持远程数据清除功能。
微软Windows Phone。微软公司的这款最新移动系统在安全支持方面远逊于Windows Mobile。而在这类安全要求不高的业务环境中,它能够支持PIN码解锁及其它一系列实用功能,包括SSL数据传输加密及远程数据清除。不过遗憾的是,它并不支持设备内置加密或者高强度密码政策。
在使用微软Exchange、谷歌企业Gmail或者安装了数据同步移动包的GroupWise 8等与EAS相兼容的服务器时,我们可以通过强制手段执行政策支持。
但目前Windows Phone还无法与Lotus Notes协作。
诺基亚塞班。大多数诺基亚设备还是能够支持这一类业务环境所需要的PIN码解锁及其它常见安全功能的。
对于Exchange用户而言,诺基亚设备虽然能够支持一部分EAS政策及管理功能,但官方拒绝透露具体支持哪些种类。根据我的调查,诺基亚设备所能支持的政策数量远低于iOS 4及其更新版本。
对于Notes用户,IBM公司专门提供了Lotus Notes Traveler应用,借以保护Notes邮件、日程表以及联系人信息,同时支持远程数据清除功能。如果大家打算对诺基亚设备进行统一管理,那么在使用Exchange或Notes/Domino组合的前提下,Good for Enterprise服务器中内置的某些功能模块还是能够发挥作用的——但仅限于少数机型,例如S60。
而在Novell公司的GroupWise方面,用户只能通过陈旧设备、利用早已过时的诺基亚智能同步技能与之相对接,同时需要企业部署GroupWise移动服务器。
RIM黑莓。黑莓设备能够支持这类业务环境所需要的PIN码解锁及其它常见安全功能——但前提是企业已经事先完成了BES或BES Express服务器以及Exchange、Notes或者GroupWise服务器的部署工作。
新的免费版BES Express服务器软件令使用微软Exchange或者Lotus Notes的小型企业获得了相当强劲的安全管理方案。在缺乏BES支持的情况下,黑莓设备本身也能够完成PIN码解锁及传输信息加密。
如果大家希望利用微软Exchange代替RIM自家的BES(例如企业打算为黑莓之外的设备同时提供安全支持),那就只能选择第三方工具了。这些工具能够让黑莓支持包括AstraSync及NotifySync在内的多项EAS政策。
请注意,黑莓PlayBook平板在1.0系统版本下不具备任何本机安全功能(相信即将发布的2.0版本会扭转这一局面)。不过这款平板也不可能直接访问BES保护下的业务数据,除非我们将黑莓智能手机作为跳板、构建出一套桥接机制。在这种情况下,平板设备本身只相当于一个显示窗口,所有数据与应用都处于智能手机的保护之下。
业务类型二:重要信息中的安全需求
如果大家所在的企业常常涉及重要信息,那么要找到比黑莓更为可靠的移动设备就有点难度了。不过在这方面,iOS、Windows Mobile以及诺基亚塞班系统平台在细心调教下还是能够有所作为。
苹果iOS。iOS支持这类业务环境中的所有需求,同时也引入了VPN这类多多益善的附加功能。事实上第二类使用者在信息保护方面与前一类基本相同。
如果要说区别,那么第二类情况的问题在于支持思科网络设施的VPN机制往往无法与思科配置文件发布系统相兼容;我们需要手动输入VPN配置文件、或者利用苹果配置单元、Mac OS X狮子Server或者OS X美洲狮Server、甚至是第三方管理工具来实现。从这个角度看,IT部门需要在VPN访问工作上投入更多精力。
谷歌Android。Android 2.x系列操作系统缺乏对这类业务环境的必要支持,其中最典型的功能缺失就是设备内置加密与密码周期轮换功能。系统虽然支持Open VPN及PPTP/IPsec VPN,但却仍然无法实现各种机型的通行通用(具体支持情况由设备制造商把握)。Android 3.x及4.x倒是填补了加密及密码轮换机制的空白。
如果大家关注邮件、日程表及联系人数据的保护工作——同时也使用与系统相兼容的VPN——那么不妨向Android用户稍稍做出妥协。安全机制虽然不一定能做到固若金汤,但关键性原则还是得毫不放松。
微软Windows Mobile。Windows Mobile支持这类业务环境中的全部需求,同时也提供了VPN等额外功能。在Windows Mobile环境下,第二类使用者的安全强度与第一类基本一致。
不过对于以微软技术为基础的大型企业而言,我们可能需要使用微软系统中心移动设备管理器2008,它允许用户以自助形式实现密码重置,并能够同时为上千位同设备用户解决跨Active Directory控制器问题。
微软Windows Phone。这款由微软推出的系统支持此类业务环境中的大部分安全需求,并配备了值得称道的高强度密码政策,不过却不具备任何改善性附加功能。Windows Phone在第二类情况下的工作状态与前一类基本一致。
诺基亚塞班。诺基亚支持此类业务环境中的全部需求,同时也提供了VPN等额外功能。塞班系统在第二类情况下的工作状态与前一类基本一致。
RIM黑莓。黑莓设备支持此类业务环境中的全部需求,同时也提供了VPN等额外功能。黑莓设备在第二类情况下的工作状态与前一类基本一致。
业务类型三:敏感信息中的安全需求
在这个级别的业务工作中——例如金融服务、法律事务、人力资源以及医疗保健——企业需要开始将安全关注程度提高上来,在必要时牺牲一部分员工的工作乐趣。
苹果iOS。iPhone与iPad支持此类业务环境中的全部安全需求。iOS在第三类情况下的工作状态与前一类基本一致。
但iOS的不足之处表现在改善性安全功能的缺失上。但这倒并非无法弥补,通过苹果配置单元、狮子Server或者美洲狮Server的配置文件及其它第三方管理工具,用户仍然可以实现摄像头禁用与特定SSID无线网络访问限制。
与此类似,我们也可以利用第三方管理工具限制用户使用特定应用。而在苹果配置单元、狮子Server或者美洲狮Server的配置文件及其它第三方管理工具的帮助下,大家还可以禁止设备对App Store、Safari及iTunes的使用。但一旦采取这类较为严苛的管理手段,iPhone自身的固有功能及吸引力也会受到很大影响。
谷歌Android。2.x版本的Android系统缺乏这类业务环境所必需的大部分安全服务,所以我们不建议大家在自己的企业中使用该设备。Android 3.x及4.x系统则能够满足基本安全需求,但仍然缺乏改善性功能。
微软Windows Mobile。Windows Mobile支持此类业务环境中的全部需求,但要求用户使用微软系统中心移动设备管理器2008、Good for Enterprise或者MobileIron等产品来实现改善性安全功能。缺乏以上三者的支持,Windows Mobile的工作状态与前一类基本一致。
微软Windows Phone。Windows Phone 7系统缺乏此类业务环境中必需的大部分安全功能,所以我们不建议大家在自己的企业中使用该设备。Windows Phone 8版本则有望改写这一局势,但结果如何我们还需耐心等待。
诺基亚塞班。诺基亚设备支持此类业务环境中需要的全部安全功能,其实际工作状态与前一类基本一致。而在改善性安全功能方面,我目前找不到任何针对诺基亚设备开发的第三方管理工具。
RIM黑莓。黑莓设备支持此类业务环境中需要的全部安全功能——但前提是用户必须部署配备了Notes或GroupWise的完全版BES、免费版Express或者付费完全版BES for Exchange。要在三大主流邮件平台上实现改善性安全功能,用户还是要使用付费的完全版BES。在满足上述条件的情况下,黑莓设备的工作状态与前一类基本一致。
业务类型四:机密信息中的安全需求
如果大家的企业需要涉及性命攸关的机密级信息,例如安保工作,那么足以完成工作的移动设备方案只有两种:黑莓与Windows Mobile。
苹果iOS。iOS无法满足军用级加密(FIPS)需求(但iOS 5及更新版本加入了S/MIME支持,这就让苹果的新设备达到了军用级的安全高度),也无法为应用程序及网络访问提供必要的安全控制强度。另外,它也不支持物理因素身份验证。这倒不是说军事机构中完全不能采用iOS设备,但建议大家只允许那些级别较低、不会接触到真正关键性信息的用户使用。
谷歌Android。Android操作系统缺乏此类业务环境所必要的大部分安全服务,因此我们不建议大家在自己的机构中使用该产品。
微软Windows Mobile。就设备本身而言,Windows Mobile无法满足军用级安全要求,例如物理双重因素身份验证以及军用级(FIPS)加密,但Good for Government产品的帮助令微软的这套“古董级”系统成功满足了国防安全的严苛需要。
微软Windows Phone。Windows Phone 7系统缺乏此类业务环境所必要的大部分安全服务,因此我们不建议大家在自己的机构中使用该产品。
诺基亚塞班。诺基亚设备缺乏军用级(FIPS)加密功能,也无法提供必要的应用程序及网络访问控制强度。虽然我们仍然可以在军事机构中使用诺基亚设备,但建议大家只允许那些级别较低、不会接触到真正关键性信息的用户使用。
RIM黑莓。在使用完全版BES及黑莓智能读卡器的前提下,特定黑莓机型能够满足此类业务环境中的安全需求。
底线:大多数情况下,移动设备还是OK的
说到这里,我想大家已经看到,大部分企业还是有条件将移动设备引入业务环境的。
即使是安全性最差的Windows Phone 7与Android 2.x系统也基本能够满足第一类业务环境的要求,而iOS与Android 3.x、4.x则可以搞定第二、三类业务环境,更不用说传统安全强手黑莓、Windows Mobile以及诺基亚塞班设备了。
因此,大家就没必要再纠结于企业是否应该向移动设备敞开怀抱了,真正的问题是手机与平板的介入到底能带来哪些附加价值。这个问题所蕴含的积极意义足以为每一家企业指明未来生产力扩展的方向。
移动平台安全性能对照表: