如果沒有智能手機(jī)技術(shù)的支持，中小企業(yè)在當(dāng)今互聯(lián)時(shí)代將無(wú)法開展業(yè)務(wù)。員工普遍使用智能手機(jī)收發(fā)電子郵件，查看日程，和管理聯(lián)系人。網(wǎng)上到處都是用戶論壇，討論智能手機(jī)各種平臺(tái)的安全問(wèn)題，以及是否能用Microsoft Exchange ActiveSync與Exchange服務(wù)器同步數(shù)據(jù)。如同這篇文章所揭示的，重要問(wèn)題不是企業(yè)應(yīng)該采用什么手機(jī)平臺(tái)，而是：允許用戶將企業(yè)電子郵件同步到用戶的移動(dòng)設(shè)備上，所必須采取的最低的安全控制是什么？

在我們深入討論各種智能手機(jī)平臺(tái)之前，重要的是先討論下，要支持郵件同步所必須建立的Microsoft Exchange最低配置的環(huán)境。同步PDA和智能手機(jī)的最核心服務(wù)是AES（Microsoft  Exchange ActiveSync）。AES最初是一個(gè)免費(fèi)的基于客戶端的應(yīng)用程序，用于通過(guò)有線方式（例如USB）與Outlook同步，現(xiàn)在AES位于服務(wù)器端，通過(guò)無(wú)線方式（OTA，over the air），幾乎可以通過(guò)任何能與Outlook Web Access（OWA）服務(wù)器通訊的網(wǎng)絡(luò)連接進(jìn)行同步。

雖然可以通過(guò)無(wú)線方式，但將Email，日歷和聯(lián)系人同步到手機(jī)上，仍然是服務(wù)器端-客戶端方式。要使Exchange本身的安全控制最大化，需要安裝Microsoft Exchange 2003 SP2或更高版本，以及相應(yīng)的客戶端（AES）。雖然在Exchange 2007版和Exchange 2010版中有一些增強(qiáng)的安全控制，2003 SP2版是實(shí)現(xiàn)最基本控制的最低版本。參照?qǐng)D一可以迅速了解Exchange最新的三個(gè)版本的安全控制功能。
 

圖1–MS Exchange AES安全策略比較

關(guān)于智能手機(jī)和Exchange郵件系統(tǒng)的最大誤解之一是，只有Windows Mobile智能手機(jī)能夠和Exchange兼容。事實(shí)上，只要能兼容Microsoft AES的手機(jī)就可以和Exchange兼容。即使這句話也需要推敲一下，因?yàn)锳ES兼容性的實(shí)現(xiàn)，絕大部分都是有選擇性的，并且依賴于Exchange服務(wù)器所使用的版本。換句話說(shuō)，只有部分的AES功能是在客戶端實(shí)現(xiàn)。

在智能手機(jī)連接到企業(yè)的Exchange環(huán)境中的早期進(jìn)化期，微軟牢牢斬獲Pocket PC及Windows Mobile的領(lǐng)導(dǎo)地位，因?yàn)檫@是唯一的原廠支持的可以與Exchange同步的設(shè)備，而且無(wú)需額外的昂貴的硬件或中間件（例如RIM公司的黑莓企業(yè)服務(wù)器）。認(rèn)識(shí)到企業(yè)設(shè)備用戶相關(guān)的巨大市場(chǎng)，智能手機(jī)操作系統(tǒng)供應(yīng)商很快便開始支持Microsoft Exchange ActiveSync。

現(xiàn)在，所有主要的智能手機(jī)平臺(tái)都支持不同版本經(jīng)過(guò)改編的AES兼容的客戶端，例如，Android使用Droid app: Moxier Mail，Nitro Touchdown，WebOS使用內(nèi)置的AES，蘋果iOS使用內(nèi)置的AES，RIM使用黑莓ActivSync。因此，現(xiàn)今企業(yè)不是要決策采取哪種智能手機(jī)平臺(tái)，而是應(yīng)該采取什么樣的最小，最必要，可接受的的AES安全控制，以降低手機(jī)丟失、被盜或受損的損失。

Microsoft Exchange ActiveSync功能

已經(jīng)在使用Microsoft Exchange，并且非常重視移動(dòng)設(shè)備安全的的企業(yè)可以使用Exchange自帶的移動(dòng)安全控件，以滿足其業(yè)務(wù)需求。雖然說(shuō)移動(dòng)安全控件在Microsoft-centric enterprise 版中是免費(fèi)的這種說(shuō)法并不合理，因?yàn)槟氵€是要為Exchange客戶端軟件許可付費(fèi)，但是你并不需要額外的基礎(chǔ)設(shè)施或服務(wù)器服務(wù)，所以，如果你已經(jīng)在用Exchange 2007 SP3或2010 SP1了，那么你手邊就已經(jīng)有了一套靈活強(qiáng)大的移動(dòng)設(shè)備控件。

安全控件是通過(guò)Exchange ActiveSync郵箱策略設(shè)置來(lái)實(shí)施的。另外，請(qǐng)注意，可用的郵箱安全策略綁定到Exchange客戶端訪問(wèn)許可（CAL， Exchange client access license）中的，企業(yè)版CAL比標(biāo)準(zhǔn)的CAL有更加豐富的控件，請(qǐng)注意這個(gè)關(guān)鍵的區(qū)別。

關(guān)于Exchange的最大誤解之一是，只有Windows Mobile智能手機(jī)能夠和Exchange兼容。事實(shí)上，只要能兼容Microsoft AES的手機(jī)就可以和Exchange兼容。—— Gregg Braunton,

Exchange 2007和Exchange 2010提供了極為細(xì)致具體的安全策略設(shè)置，盡管很多IT和安全專業(yè)人士可能沒注意到這些。擔(dān)心通過(guò)HTML標(biāo)記造成的隱藏式威脅或漏洞？要對(duì)付這種威脅，可以強(qiáng)制所有被同步的郵件必須是純文本（plain text）類型。擔(dān)心保密數(shù)據(jù)或企業(yè)內(nèi)部信息被拷到外部存儲(chǔ)卡上，并且你完全控制不了？簡(jiǎn)單，把外部存儲(chǔ)卡禁掉就行了。擔(dān)心WiFi熱點(diǎn)連接不安全？如果這樣，關(guān)掉智能手機(jī)的WiFi好了。收到報(bào)告手機(jī)丟了或被偷了？沒關(guān)系，手機(jī)和外部存儲(chǔ)都已加密過(guò)，再遠(yuǎn)程擦除手機(jī)和外部存儲(chǔ)卡，睡個(gè)好覺吧。Exchange 2007和Exchange 2010上有40多個(gè)郵箱安全策略設(shè)置可用，但別忘了手機(jī)上的AES 客戶端支持的策略設(shè)置才是真正強(qiáng)制性的。最后，還請(qǐng)買家注意，即使是微軟最新大力宣傳推出的Windows Mobile 7也并不完全支持全部的可用安全策略。

【編輯推薦】

1. 中國(guó)智能手機(jī)用戶需要害怕Carrier IQ嗎？
2. 賽門鐵克揭露針對(duì)智能手機(jī)的網(wǎng)絡(luò)“騙中騙”
3. 網(wǎng)絡(luò)訪問(wèn)控制保護(hù)智能手機(jī)上網(wǎng)安全
4. 手機(jī)病毒種類增多 智能手機(jī)用戶需謹(jǐn)慎
5. 保證4G智能手機(jī)安全