谁更适合BYOD？

　　作为一种潮流和趋势，BYOD（自带设备）如今已经得到了很多企业和组织的支持。对于IT部门来说，这意味着企业可以从策略上对员工的移动设备进行适当的安全控制和管理。2012年，由于较高的用户满意度和出色的安全功能，苹果的iPhone和iPad已成了企业BYOD应用标杆。

　　作为苹果在移动市场上的对手，三星正在不遗余力地推广其基于安卓操作系统的SAFE（Samsung Approved for Enterprise）扩展，使得企业不再顾忌安卓的安全问题，并将安卓系统用于企业应用。

　　除此之外，因为拥有数百项安全功能，黑莓操作系统一度曾经成为IT界的宠儿，其也正在努力凭借BlackBerry 10重获新生。这款操作系统直接支持基本的Exchange ActiveSync（EAS）策略——这对黑莓来说还是头一遭。此外，经过改进的BES 10管理服务器里面也有一系列丰富的安全特性。

　　最后我们不得不提到Windows Phone 8，这是微软在智能手机操作系统历史上所推出的第三款产品。Windows Phone过去对安全问题很少予以关注，但新版本的Windows Phone 8旨在帮助企业打消基本的安全顾虑。

　　EAS策略支持各不同

　　在操作系统层面，移动安全包括了两个部分：微软的EAS策略和原生API。我们首先来比较一下以上四款操作系统在EAS策略方面的不同表现。

　　微软Exchange、微软系统中心2012、Google Docs for Business以及众多第三方管理工具可以直接支持EAS策略。不过，调研机构451 Group的移动分析师Chris Hazelton认为，虽然主要EAS策略可以满足大多数企业的要求，但正如表1显示的那样，各款移动操作系统所支持的EAS策略内容是完全不同的。这意味着，表面上看，大家都支持EAS策略，但是此EAS却非彼EAS。

　　苹果的iOS 4.2是最先支持EAS策略的主流移动操作系统。其帮助苹果迅速将iPhone推到了企业市场霸主的地位。此后，谷歌在每个版本的安卓系统中都在增加EAS覆盖范围，比如说，Android 4.0相比之前的版本就能支持更多的EAS策略。作为领先的安卓设备生产商，除了Android 4.0的API外，三星还专门为其设备增添了策略支持。

　　如果你拿Windows Phone 8的EAS策略支持与Windows Phone 7.5的EAS策略支持作一番比较，就会发现两者区别不大。移动设备管理（MDM）厂商AirWatch的全球研发主管J.P. Halebeed认为：“微软在管理方面其实没有添加太多的特性。”Windows Phone 8所添加的一项重要特性是支持设备端加密（默认情况下其支持内部存储加密，但不支持SD卡加密），以及对EAS加密策略的相关支持。缺少加密支持是Windows Phone不受企业青睐的最大障碍之一。除此之外，微软还在Windows Phone中加入了新的信息版权管理（IRM）EAS策略，这让企业能够对设备上的数据实行版权管理。当然，微软还有一款相应的IRM服务器产品。

　　最后，黑莓为其新的BlackBerry 10操作系统增添了EAS支持，而之前的版本只能通过黑莓企业服务器（BES）来确保安全。

　　安全功能苹果最多

　　另一种确保移动设备可管控的方式，是由移动操作系统里面的API来对管理工具开放接口。各操作系统上的这些API大不一样。如今许多MDM工具都能够支持多款移动操作系统，并且可以为IT管理员提供单一控制台。有些MDM工具还提供了客户端应用程序，以增添原生API所没有的功能，不过这通常迫使用户必须要选择专有的电子邮件及其他应用程序以满足企业用途。表2显示了通常通过API所部署的一些常用的管理功能。

　　苹果的iOS系统中就存在几十个这样的API，通过远程安装的配置文件，管理员不仅可以配置iOS的各项设置（比如预配置VPN或允许接入点），还可以管理应用程序的行为（比如不允许通过邮件应用中的个人帐户转发企业邮件）。iOS 6还添加了几项新的策略，包括防止删除应用程序、将用户锁定到某个应用程序（比如用于自助服务终端或零售场所）、阻止购买收费应用程序等。以上这些都是iOS所谓的受监管环境（supervised environment）中的一部分，iPhone或iPad在这个环境中被当作设备来处理。

　　Windows Phone 8可以实现删除应用程序、限制电子邮件转发、远程添加或剔除设备，以及远程更新企业所专用的应用程序等。MDM厂商Zenprise的市场营销副总裁Ahmed Datoo表示，Windows Phone 8中有一项功能是其他移动操作系统所没有的，那就是其可以与活动目录（Active Directory）集成。这意味着，Zenprise等MDM工具可以访问活动目录群组，然后将策略分配给那些群组，而不是在MDM工具中维护不同活动目录中的各个群组。他强调说，这为IT人员节省了时间，并且减少了访问策略不同所导致的信息泄漏风险。

　　微软和谷歌在API方面提供的安全功能要比苹果少得多。不过三星和谷歌旗下的摩托罗拉移动部门已为其Android 4.0设备添加了各自的安全API。比如说，三星的SAFE API可以让IT管理员可以禁用摄像头、蓝牙、网络共享、语音录制、SD卡和无线功能。

　　微软使用了Windows Phone 8中名为DM Client的一款集中管理器，该管理器含有所有相关的用户和企业配置文件（实际上就像Windows注册表），而不是依赖一组单独的配置文件。

　　黑莓堪称是移动安全和管理领域的开山鼻祖。黑莓BES提供了数百项控制功能，其Balance技术让IT人员可以在黑莓10设备上建立一个分区，将个人与办公的应用程序和数据分开来。不过，由于黑莓操作系统已经完全迁移到了新的平台，因此版本的混乱让其衍生出了一堆让人“犯晕”的MDM产品。

　　谷歌应用市场审核松散

　　MDM厂商MobileIron主管战略的副总裁Ojas Rege提到了IT人员应该考虑的三类管理需求。

　　第一类需求针对丢失或受攻击设备的配置和保护。这通常要求部署密码、加密、远程锁定和清除、远程电子邮件配置、确认身份证书、远程连接配置等操作，并要求管理工具可以检测操作系统的状态，比如操作系统是否被破解、root权限是否被攫取或是否感染恶意软件。

　　第二类需求针对数据丢失预防（DLP），这包括隐私控制（比如用户位置），云使用控制（比如iCloud、SkyDrive和Google Docs），以及电子邮件DLP控制（比如限制电子邮件转发以及保护附件的功能）。Rege特别指出：“很多用户可能都需要对于云端应用进行控制，不过Windows Phone目前在这类控制上还有局限性。”相比之下，苹果iOS、黑莓BlackBerry和谷歌Android早已支持这些需求。不过，像管理电子邮件转发这类功能，目前还是由MDM客户程序来支持的。

　　第三类需求主要针对应用程序，比如应用程序配置和数据安全。Rege表示，虽然苹果和微软都有基本应用程序的管理机制，比如说iOS可以隐藏应用程序，那样用户再也无法使用该应用程序；Windows Phone 8则可以远程更新企业应用程序，但移动应用程序管理功能基本上仍需要移动管理厂商来部署。

　　除谷歌之外，所有移动操作系统的应用程序商店都会受到严格的审查。就各自的移动操作系统而言，微软和黑莓仿照了苹果的审查方法，苹果的这种方法让iOS得以远离恶意软件。不过，Android目前还没有这样严格的控制，虽然谷歌相比以前投入了更大的精力来分析应用程序，但Google Play市场里面还是有大量的恶意软件。联邦特工最近宣布，高级持续威胁中所用到的工业级间谍软件现在已经进入到了Google Play市场。

　　这四款平台都提供了相应机制，让企业可以将各自的应用程序直接部署到用户端，那样企业就能够单独管理企业应用程序，并且将这些应用与用户从应用程序商店获得的那些应用程序分开来。移动管理工具可以把这些机制与群组策略和内容管理控制联系起来。

　　总结一下，iOS和Blackberry 10拥有可以满足几乎任何企业安全要求的功能特性，这是明摆着的事。如果你不担心可能出现的恶意软件，那么安卓是一款相对安全的平台，如果你使用的是三星或者摩托罗拉的设备，那么情况会更好一点。最后，Windows Phone在我们的安全性比较中排名垫底，其适合对安全需求不高的环境。

　　Galen Gruman