隨著人們不斷地提高筆記本電腦的安全性和集成度，筆記本電腦的功能已經(jīng)足夠強大。那么，如今涌入產(chǎn)業(yè)界的下一代網(wǎng)絡終端設備的性能又如何呢？平板電腦現(xiàn)在在業(yè)界正炙手可熱，其中的佼佼者便是蘋果的iPad。毫無疑問，在接下來的幾個月里，iPad在企業(yè)中的應用將會增加。

要高效地使用這款流行的平板電腦，工人需要訪問企業(yè)的應用程序和數(shù)據(jù)，但這也意味著企業(yè)的程序和數(shù)據(jù)等資源不能違反相關政策，并且不能對iPad進行“越獄”。接下來讓我們討論討論，對于那些想要將iPad作為其企業(yè)網(wǎng)絡終端的人們來說，集成iPad都有哪些方法。

方法1：來賓終端（Guest endpoints）

作為一款支持Wi-Fi的設備，iPad能夠接入任何開放的無線局域網(wǎng)（WLAN），包括來賓式無線局域網(wǎng)(guest WLANs)。因此，一種在網(wǎng)絡中集成iPad的方式就是默認將員工擁有的iPad當做來賓終端，就像對待其他無法管理的來賓終端一樣。

網(wǎng)絡訪問控制（NAC）產(chǎn)品通常用于控制來賓對網(wǎng)絡的訪問，如對來賓接入網(wǎng)絡的時間進行限制，或者在接入前對其進行安全掃描。但是，NAC服務器無法持續(xù)地為iPad布置NAC客戶端，也不能強制iPad運行基于瀏覽器的安全掃描。因此，我們只應給予iPad基于Web或因特網(wǎng)方式的接入權限。

在這種方法中，網(wǎng)絡訪問控制器和網(wǎng)絡入侵監(jiān)測系統(tǒng)可配合使用，用于識別iPad、監(jiān)測終端接入系統(tǒng)后的活動以及斷開“不守規(guī)矩”的設備。雖然這兩種技術能夠提供可視化功能，并且也能夠保護網(wǎng)絡，但是僅對iPad設備提供普通的來賓訪問權限并不能使其成為一個（真正意義上的）企業(yè)用網(wǎng)絡終端，相反還會限制該設備的能力。

方法2：遠程終端（Remote endpoints）

另外一種方法是將iPad當做遠程終端來使用，即便是在本地無線局域網(wǎng)內(nèi)也可以這樣做。例如，已接入英特網(wǎng)的iPad可以通過Exchange ActiveSync（交流同步）檢索公司郵件，或者使用由思科系統(tǒng)公司或Juniper網(wǎng)絡公司提供的VPN客戶端來獲得比來賓賬戶更大的網(wǎng)絡接入權限。

我們可以要求iPad的使用者瀏覽預提供的網(wǎng)絡地址，安裝配置檔案進行批量系統(tǒng)設置，這些設置包括設備的加密和密碼要求、數(shù)字證書、VPN和Exchange的使用參數(shù)及使用限制（如禁用攝像頭）。配置檔案能夠被鎖定并加密，以防止共享或者篡改，但關鍵還是在于強制執(zhí)行配置檔案；安裝配置檔案也不能夠確保每一臺iPad都兼容。

要解決這個問題，一個辦法是每當電子郵件被閱讀時，使用Exchange ActiveSync檢測被選擇的iPad的配置情況，剔除不兼容的終端。例如，在Exchange ActiveSync的政策設置里我們可以阻止未簽名的應用程序閱讀公司郵件。同樣地，它也能夠將政策設置傳遞給那些擁有Exchange訪問權限的iPad，iPad還可以被設置為定期刷新這些政策設置。

另一種辦法是安裝與iOS兼容并具有整體系統(tǒng)評估能力的VPN客戶端。例如，Juniper公司的Junos Pulse Mobile Security Suite，該套件結合了SSL VPN技術與終端安全措施，如反病毒、反垃圾郵件以及接入企業(yè)網(wǎng)絡所必需的應用程序控制等。該VPN客戶端甚至可以在受理相同的身份認證、整體監(jiān)測或授權策略時自由地在Wi-Fi網(wǎng)絡和移動通信網(wǎng)絡之間漫游。我們還可以選擇使用思科的與iOS兼容的AnyConnect。

方法3：受控終端（Managed endpoints）

最后，我們來討論控制式的終端。許多企業(yè)通過采取某些移動設備管理（MDM）控制措施來實現(xiàn)對iPad的完整集成。這可以在如今運行iOS4的iPad上面實現(xiàn)。

在iOS4中，蘋果為供應商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了遠程訪問接口。通過這種方法，使用者通過瀏覽預提供的網(wǎng)絡地址在公司的MDM服務器和iPad之間建立連接。然后，MDM的請求和響應由蘋果的推進通知服務（Push Notification Service）轉發(fā)。通過這種渠道，配置檔案和企業(yè)應用程序將通過無線網(wǎng)絡被發(fā)送至受控制的iPad，同時終端配置和應用事件也可以發(fā)送回MDM服務器。

這些技術能夠為系統(tǒng)提供近乎實時的完整評估和執(zhí)行能力。例如，配置檔案可被用于配置企業(yè)的VPM或者Exchange訪問權限。如果訪問權限之后被吊銷，MDM可以移除配置檔案，刪除所有相關的企業(yè)數(shù)據(jù)，包括電子郵件信息、聯(lián)系人和日歷條目。同樣地，如果MDM檢測到某一iPad被“越獄”了，那么該iPad與MDM服務器之間的協(xié)作關系可被解除，之前iPad上所安裝的企業(yè)應用程序也可以被禁用。

蘋果限制了iOS4 MDM能控制的配置以及可執(zhí)行的命令。具體而言，你不能強制安裝受推薦的蘋果商店應用，這會使得你可以很方便地安裝安全程序如VPN客戶端或惡意軟件掃描程序。雖然iOS4的版本可以被檢測到，但目前還無法通過無線網(wǎng)絡進行iOS4的更新；更新仍然必須通過iTunes進行。

然而，MDM產(chǎn)品目前已經(jīng)開始使用這些接口在iPad上評估和執(zhí)行某些特定規(guī)范。例如，AirWatch能夠根據(jù)預先提供的黑名單，檢查安裝在任何iPad商店應用程序，從而采取相應的措施，如警告用戶或者遠程卸載iPad上的違規(guī)程序。MobileIron可以（當然它的功能不止于此）在任何擁有過期的管理策略、被禁用的加密、未授權硬件版本等的iPad上刪除Exchange、VPN或者WLAN配置檔案。

總結

像iPad這樣的平板電腦需要新的工具去實現(xiàn)、評估和執(zhí)行終端集成。但是，同筆記本電腦和上網(wǎng)本一樣，iPad的安全策略控制方法繁多，有高度可視化/觸摸類的工具，也有可提供廣泛控制的高度集成工具。有些企業(yè)可能會根據(jù)需要同時采取多種方法，例如，控制管理那些裝有企業(yè)程序的iPad，同時將那些沒有安裝企業(yè)程序的當做普通來賓。

【編輯推薦】

1. 想采用iPhone，iPad？請先考慮網(wǎng)絡安全
2. 任子行企業(yè)單位終端安全解決方案
3. 2011年終端管理系統(tǒng)市場預測
4. 和信創(chuàng)天：解讀終端管理誤區(qū)