微软同步企业邮箱给智能手机带来的安全隐患（上）

　　如果没有智能手机技术的支持，中小企业在当今互联时代将无法开展业务。员工普遍使用智能手机收发电子邮件，查看日程，和管理联系人。网上到处都是用户论坛，讨论智能手机各种平台的安全问题，以及是否能用Microsoft Exchange ActiveSync与Exchange服务器同步数据。如同这篇文章所揭示的，重要问题不是企业应该采用什么手机平台，而是：允许用户将企业电子邮件同步到用户的移动设备上，所必须采取的最低的安全控制是什么?

　　在我们深入讨论各种智能手机平台之前，重要的是先讨论下，要支持邮件同步所必须建立的Microsoft Exchange最低配置的环境。同步PDA和智能手机的最核心服务是AES(Microsoft Exchange ActiveSync)。AES最初是一个免费的基于客户端的应用程序，用于通过有线方式(例如USB)与Outlook同步，现在AES位于服务器端，通过无线方式(OTA，over the air)，几乎可以通过任何能与Outlook Web Access(OWA)服务器通讯的网络连接进行同步。

　　虽然可以通过无线方式，但将Email，日历和联系人同步到手机上，仍然是服务器端-客户端方式。要使Exchange本身的安全控制最大化，需要安装Microsoft Exchange 2003 SP2或更高版本，以及相应的客户端(AES)。虽然在Exchange 2007版和Exchange 2010版中有一些增强的安全控制，2003 SP2版是实现最基本控制的最低版本。参照图一可以迅速了解Exchange最新的三个版本的安全控制功能。

　　图1–MS Exchange AES安全策略比较

　　关于智能手机和Exchange邮件系统的最大误解之一是，只有Windows Mobile智能手机能够和Exchange兼容。事实上，只要能兼容Microsoft AES的手机就可以和Exchange兼容。即使这句话也需要推敲一下，因为AES兼容性的实现，绝大部分都是有选择性的，并且依赖于Exchange服务器所使用的版本。换句话说，只有部分的AES功能是在客户端实现。

　　在智能手机连接到企业的Exchange环境中的早期进化期，微软牢牢斩获Pocket PC及Windows Mobile的领导地位，因为这是唯一的原厂支持的可以与Exchange同步的设备，而且无需额外的昂贵的硬件或中间件(例如RIM公司的黑莓企业服务器)。认识到企业设备用户相关的巨大市场，智能手机操作系统供应商很快便开始支持Microsoft Exchange ActiveSync。

　　现在，所有主要的智能手机平台都支持不同版本经过改编的AES兼容的客户端，例如，Android使用Droid app: Moxier Mail，Nitro Touchdown，WebOS使用内置的AES，苹果iOS使用内置的AES，RIM使用黑莓ActivSync。因此，现今企业不是要决策采取哪种智能手机平台，而是应该采取什么样的最小，最必要，可接受的的AES安全控制，以降低手机丢失、被盗或受损的损失。

　　Microsoft Exchange ActiveSync功能

　　已经在使用Microsoft Exchange，并且非常重视移动设备安全的的企业可以使用Exchange自带的移动安全控件，以满足其业务需求。虽然说移动安全控件在Microsoft-centric enterprise 版中是免费的这种说法并不合理，因为你还是要为Exchange客户端软件许可付费，但是你并不需要额外的基础设施或服务器服务，所以，如果你已经在用Exchange 2007 SP3或2010 SP1了，那么你手边就已经有了一套灵活强大的移动设备控件。

　　安全控件是通过Exchange ActiveSync邮箱策略设置来实施的。另外，请注意，可用的邮箱安全策略绑定到Exchange客户端访问许可(CAL， Exchange client access license)中的，企业版CAL比标准的CAL有更加丰富的控件，请注意这个关键的区别。

　　关于Exchange的最大误解之一是，只有Windows Mobile智能手机能够和Exchange兼容。事实上，只要能兼容Microsoft AES的手机就可以和Exchange兼容。—— Gregg Braunton,

　　Exchange 2007和Exchange 2010提供了极为细致具体的安全策略设置，尽管很多IT和安全专业人士可能没注意到这些。担心通过HTML标记造成的隐藏式威胁或漏洞?要对付这种威胁，可以强制所有被同步的邮件必须是纯文本(plain text)类型。担心保密数据或企业内部信息被拷到外部存储卡上，并且你完全控制不了?简单，把外部存储卡禁掉就行了。担心WiFi热点连接不安全?如果这样，关掉智能手机的WiFi好了。收到报告手机丢了或被偷了?没关系，手机和外部存储都已加密过，再远程擦除手机和外部存储卡，睡个好觉吧。Exchange 2007和Exchange 2010上有40多个邮箱安全策略设置可用，但别忘了手机上的AES 客户端支持的策略设置才是真正强制性的。最后，还请买家注意，即使是微软最新大力宣传推出的Windows Mobile 7也并不完全支持全部的可用安全策略。