针对企业iPad网络终端整合的安全策略

随着人们不断地提高笔记本电脑的安全性和集成度，笔记本电脑的功能已经足够强大。那么，如今涌入产业界的下一代网络终端设备的性能又如何呢？平板电脑现在在业界正炙手可热，其中的佼佼者便是苹果的iPad。毫无疑问，在接下来的几个月里，iPad在企业中的应用将会增加。

要高效地使用这款流行的平板电脑，工人需要访问企业的应用程序和数据，但这也意味着企业的程序和数据等资源不能违反相关政策，并且不能对iPad进行“越狱”。接下来让我们讨论讨论，对于那些想要将iPad作为其企业网络终端的人们来说，集成iPad都有哪些方法。

方法1：来宾终端（Guest endpoints）

作为一款支持Wi-Fi的设备，iPad能够接入任何开放的无线局域网（WLAN），包括来宾式无线局域网(guest WLANs)。因此，一种在网络中集成iPad的方式就是默认将员工拥有的iPad当做来宾终端，就像对待其他无法管理的来宾终端一样。

网络访问控制（NAC）产品通常用于控制来宾对网络的访问，如对来宾接入网络的时间进行限制，或者在接入前对其进行安全扫描。但是，NAC服务器无法持续地为iPad布置NAC客户端，也不能强制iPad运行基于浏览器的安全扫描。因此，我们只应给予iPad基于Web或因特网方式的接入权限。

在这种方法中，网络访问控制器和网络入侵监测系统可配合使用，用于识别iPad、监测终端接入系统后的活动以及断开“不守规矩”的设备。虽然这两种技术能够提供可视化功能，并且也能够保护网络，但是仅对iPad设备提供普通的来宾访问权限并不能使其成为一个（真正意义上的）企业用网络终端，相反还会限制该设备的能力。

方法2：远程终端（Remote endpoints）

另外一种方法是将iPad当做远程终端来使用，即便是在本地无线局域网内也可以这样做。例如，已接入英特网的iPad可以通过Exchange ActiveSync（交流同步）检索公司邮件，或者使用由思科系统公司或Juniper网络公司提供的VPN客户端来获得比来宾账户更大的网络接入权限。

我们可以要求iPad的使用者浏览预提供的网络地址，安装配置档案进行批量系统设置，这些设置包括设备的加密和密码要求、数字证书、VPN和Exchange的使用参数及使用限制（如禁用摄像头）。配置档案能够被锁定并加密，以防止共享或者篡改，但关键还是在于强制执行配置档案；安装配置档案也不能够确保每一台iPad都兼容。

要解决这个问题，一个办法是每当电子邮件被阅读时，使用Exchange ActiveSync检测被选择的iPad的配置情况，剔除不兼容的终端。例如，在Exchange ActiveSync的政策设置里我们可以阻止未签名的应用程序阅读公司邮件。同样地，它也能够将政策设置传递给那些拥有Exchange访问权限的iPad，iPad还可以被设置为定期刷新这些政策设置。

另一种办法是安装与iOS兼容并具有整体系统评估能力的VPN客户端。例如，Juniper公司的Junos Pulse Mobile Security Suite，该套件结合了SSL VPN技术与终端安全措施，如反病毒、反垃圾邮件以及接入企业网络所必需的应用程序控制等。该VPN客户端甚至可以在受理相同的身份认证、整体监测或授权策略时自由地在Wi-Fi网络和移动通信网络之间漫游。我们还可以选择使用思科的与iOS兼容的AnyConnect。

方法3：受控终端（Managed endpoints）

最后，我们来讨论控制式的终端。许多企业通过采取某些移动设备管理（MDM）控制措施来实现对iPad的完整集成。这可以在如今运行iOS4的iPad上面实现。

在iOS4中，苹果为供应商如AirWatch、BoxTone、MobileIron、Sybase、Tangoe、Zenprise等提供了远程访问接口。通过这种方法，使用者通过浏览预提供的网络地址在公司的MDM服务器和iPad之间建立连接。然后，MDM的请求和响应由苹果的推进通知服务（Push Notification Service）转发。通过这种渠道，配置档案和企业应用程序将通过无线网络被发送至受控制的iPad，同时终端配置和应用事件也可以发送回MDM服务器。

这些技术能够为系统提供近乎实时的完整评估和执行能力。例如，配置档案可被用于配置企业的VPM或者Exchange访问权限。如果访问权限之后被吊销，MDM可以移除配置档案，删除所有相关的企业数据，包括电子邮件信息、联系人和日历条目。同样地，如果MDM检测到某一iPad被“越狱”了，那么该iPad与MDM服务器之间的协作关系可被解除，之前iPad上所安装的企业应用程序也可以被禁用。

苹果限制了iOS4 MDM能控制的配置以及可执行的命令。具体而言，你不能强制安装受推荐的苹果商店应用，这会使得你可以很方便地安装安全程序如VPN客户端或恶意软件扫描程序。虽然iOS4的版本可以被检测到，但目前还无法通过无线网络进行iOS4的更新；更新仍然必须通过iTunes进行。

然而，MDM产品目前已经开始使用这些接口在iPad上评估和执行某些特定规范。例如，AirWatch能够根据预先提供的黑名单，检查安装在任何iPad商店应用程序，从而采取相应的措施，如警告用户或者远程卸载iPad上的违规程序。MobileIron可以（当然它的功能不止于此）在任何拥有过期的管理策略、被禁用的加密、未授权硬件版本等的iPad上删除Exchange、VPN或者WLAN配置档案。

总结

像iPad这样的平板电脑需要新的工具去实现、评估和执行终端集成。但是，同笔记本电脑和上网本一样，iPad的安全策略控制方法繁多，有高度可视化/触摸类的工具，也有可提供广泛控制的高度集成工具。有些企业可能会根据需要同时采取多种方法，例如，控制管理那些装有企业程序的iPad，同时将那些没有安装企业程序的当做普通来宾。要学习更多有关iPad配置档案和安全设置的内容，请查阅苹果的“iPhone in Business”（PDF文件）指南。（作者：Lisa Phifer 译者：Sean  ）