微软同步企业邮箱给智能手机带来的安全隐患（下）

　　安卓，iPhone，Palm和黑莓对AES的支持度

　　微软没有自己的产品能与Exchange完全同步，那么其他设备例如安卓，iPhone，Palm Pre和黑莓呢?也许只有你的企业自己才能回答这个问题。首先，主导性的讨论应该关注于同步到移动设备上后手机丢失、被盗或信息泄露等风险分析。其次，在风险决策和实施最低控制这一共识的基础上，Exchange服务器与AES客户端对接也需要能够完全确保经审核的设备及其AES客户端能够可靠地强制AES邮箱策略按照你所选择的安全策略方案那样执行。虽然每个企业都很独特，但是还是有一些关于移动设备安全控制的监管建议值得分享。

　　如果你在财务或医疗保健行业，必须的安全控制应是加密。对移动设备及其附属存储(例如SD卡)进行的数据加密是极其必要的。对财务部门，由于其数据的价值和敏感性，对数据进行强制加密只是尽职行为，任何不加密或少加密则可视为渎职。在医疗保健行业，按照2009年出台的高科技违规披露法案(HITECH Breach Disclosure Act)，加密是一个“安全港”。当移动设备丢失或被盗时，如果你能表明数据是加密的，数据损失就可以被排除在那个法案之外。

　　另外，如果你能够远程瓦解数据(擦除数据)，你就进一步地限制了未授权的使用和下游责任(州律师公会积极推进追查违规及渎职责任及举报)。当然，信息泄露能够让法律调查确定泄露的范围和性质，但请问问你自己：企业已经承受了多少手机丢失或被盗，而有多少已被证实普通数据或受保护数据已被泄露或被黑客黑走。如果你的中小企业不在财务或医疗保健行业，即使你不要求必须加密，你也不会有什么危险。但是，国家法律在变，每年几百亿的诉讼费用，特别是H.R. 2221, S.1490, S.3742 这些条款，加密将在一两年内成为一个统一的“安全港”，所以你最好把它规划到你的企业发展规划中。

　　用远程手机锁及GPS跟踪来对抗智能手机安全风险

　　其他值得进入对抗智能手机安全风险所需列表的安全控制方法，是标准的控制信息泄露的“最佳实践”的那些基本方法，包括强制询问密码，强制设置复杂密码，失败登录次数限制，空闲超时和强制关闭蓝牙连接等等。这里只列出一部分，全部设置可以在Exchange ActiveSync策略管理中设定。请不要忘了确认AES客户端支持你的企业所认为的必要的AES安全控制。其中最有效，无成本的安全控制是：发布一个政策，详细列出智能手机的兼容性要求，当然同时这也需要列出所需的手机平台系统和AES客户端。并且使每个人都清楚，如果设备不在名单上，是不允许的。

　　如果你已经是一个Exchange用户了，可靠的移动安全指日可待。深入研究ActiveSync邮箱策略，你会发现，要想允许用户将企业电子邮件同步到移动设备上，通过匹配Exchange和与之相兼容的AES客户端的技术控制，你可以创造一个可行的移动安全政策。