导语：智能移动设备的兴起彻底改变了企业，特别是企业员工自身对移动化的需求和期望。作为企业的CIO,CISO (首席信息官，首席信息安全官)，如何在扩展企业移动性的情况下保证企业内部网络和机密信息安全成为了一个很大的问题。

本系列主要讨论企业移动化(Enterprise Mobility) 这一行业的发展历程与当代趋势，内容取材于我和来自Bitzer Mobile的林倬贤先生的交流。

大概介绍一下这个题材的背景：在21世纪，由于特殊的时代需要，企业的员工们将不会再像以前一样天天待在办公室里上班。员工不仅需要在办公室工作，很多情况下也需要在移动中进行工作。在有一些需要员工出差拜访客户、谈生意比较多的行业，比如说，保险公司，投资公司等等，这个需求就更明显。合伙人们需要在出差旅程中，甚至是在飞机上阅读重要的合同资料，医生也需要在旅途当中查看有关病人的信息文档，这样就极大的增加了他们的工作效率。

最初将企业“移动”起来的就是电子邮件了。那么当时最普遍的解决方案是什么？可能很多人都猜到了，没错，是黑莓。提到企业移动化的历程，就很难不提黑莓的崛起。2001年9.11事件中，黑莓手机一战成名：当时全美国的通信设备几乎全线瘫痪，但美国副总统切尼的手机有黑莓功能，成功地进行了无线互联，能够随时随地接收关于灾难现场的实时信息。之后，美国政府为了预防恐怖分子的二次打击，决定国会休会，因为让几百名国会议员在一起工作太难防范。但与此同时，国会并不能停止工作，需要在家办公，而且还需要信息绝对安全，怎么办呢？政府的解决措施是给所有国会议员每人发了一个黑莓手机，由于黑莓的所有信息将经过加拿大的服务器而且加密，其安全系数比起传统的邮件就高了不止一点。这样一个特殊的事件也促进了黑莓的流行。再以后的几年中，黑莓逐渐成为了在数字时代中长大的新一代高端白领的象征。代表性的符号就是年轻的奥巴马总统。在2008年总统竞选中，媒体着重的观察了这位“60后”总统的每一个日常细节，包括他“几乎每时每刻都在用着自己的黑莓手机”。而比他大一辈的，以越战老兵形象出现的麦凯恩，则对这些新鲜玩意儿一窍不通，和奥巴马形成了鲜明的对照。

于是，在那个属于黑莓的时代，企业移动化主要只是在电子邮件方面体现。这种情况一直持续到2007年，苹果发布了第一代iPhone，结果这成了黑莓这个企业移动化的先驱者衰落的开端。在很长一段时间之内，信息安全和用户体验这两个变量就经常是反相关的。长期以来在信息安全方面做得很好的黑莓，用户体验却相对较差。而苹果抓住人们对用户体验的需求，彻底征服了广大消费者。对于企业来说，员工们的偏好逐渐转向功能众多、用户体验极佳的iPhone、iPad和Android等移动设备。在员工的促使下，很多大企业和政府的IT部门也都逐渐倒向了智能手机和平板。

智能移动设备的兴起彻底改变了企业，特别是企业员工自身对移动化的需求和期望。与从前不同，拥有这些功能更加丰富的移动设备的员工们不再满足于只能查看公司的邮件，而开始期望能全方位的将对企业内部资源的获取与使用延展到移动设备上，比如企业内部机密文件、企业应用程序等。但是这种企业移动化的发展趋势与变化的需求给IT部门带来了许多挑战。作为企业的CIO,CISO (首席信息官，首席信息安全官)，如何在扩展企业移动性的情况下保证企业内部网络和机密信息安全成为了一个很大的问题。

最近两年来，已经有很多企业开始关注这个问题，并且试图开发各种解决方案来应对这种由新型移动设备带来的发展趋势。这些企业当中有传统的大公司们，同时也有许多小公司带着他们创新的解决方案踏入市场。在美国该行业进步迅速的情况下，国内相关公司的发展还方兴未艾，可以说这是一个充满着创业机会的领域，值得大家的关注。

就这样，黑莓的兴衰和智能设备的崛起，见证了企业移动化这条大道上的十年风雨。可以确定的是，在未来，以移动设备（比如智能手机和平板电脑）为基础的企业移动化解决方案将会使“随时随地，有如坐在办公桌前工作”一样的愿景成为现实。未来的工作环境越来越移动化，便捷，和安全。

本篇将继续介绍该行业当今的动向和现存的解决方案。

之前我们说到，许多公司一直在给员工配发黑莓。然而，很多企业中的员工并不喜欢公司发给他们的手机，特别是在智能手机崛起以后，黑莓在用户体验端的诸多弱点都暴露了出来。这下大多数的企业员工都自己购买了性能更强大、更好玩的iPhone或者Android手机，把越来越多的时间花在了上面。于是很多企业出现了这一情况，即员工会随身携带两个手机，一个工作用，另外一个自己用。对员工来说，同时带着两个手机造成了不便，例如记不清楚电话号码放在哪一个手机上，家人朋友也不知道有事了应该往哪个电话上打。于是，员工们开始期望能将他们自己个人使用的设备也同时用于工作。对于企业来说，需要给所有人买移动设备也是一笔非常让人头疼的开销，所以许多公司基于员工的要求和节约成本的考虑都顺应了这一潮流。业界把这样一个变化叫做Bring Your Own Device，即“带自己的设备来上班”，简称BYOD。这样一个变化的到来，最高兴的莫过于公司的CFO了，因为不用再给所有员工配置手机，可以省下不少钱。2011年，IBM这样一个以保守著称的大公司也在自己内部为BYOD放行，这证明BYOD已经成为了难以阻碍的趋势。

然而BYOD的到来却给IT部门带来不少的新挑战。员工开始使用自己的设备办公，这意味着移动设备上既会有员工自己的信息，例如照片、短信，同时也有公司的信息。如何将这两类完全不同的信息在同样一个设备上分隔开来区别对待，对IT部门来说是个挑战。另外，既然员工使用了自己的设备，IT就需要设法让他们能在这些设备上接回公司的网络。如何实现这样的移动设备的接入呢？很多朋友第一个想到的就是VPN。没错，VPN的确是一个行得通的办法，VPN的应用已经有很多年，大家也都对它颇为熟悉。但VPN用于移动设备的话有着很多的安全隐患。移动设备VPN的连通是在设备层面的，也就是说当移动设备接上VPN之后，员工的确是可以对企业内部网络进行访问，获取需要的信息。但是手机内其他的东西，例如病毒甚至是流氓软件都可以有权限接触公司的内部网络，让企业的信息安全无法得到保证。

在这样的背景下，BYOD框架下的第一代解决方案应运而生。也就是VPN + MDM的组合。 MDM的全称是Mobile Device Management，即“移动设备管理”。IT使用VPN将移动设备连接到企业自身的网络，与此同时在员工的移动设备上装载MDM软件对设备进行管控。这样一来，员工的手机便处于IT管理员的彻底控制之下。IT可以控制员工可以装什么程序，不能装什么程序，甚至通过对API的控制来限制员工使用相机功能。不过，这样做的缺陷也是显而易见的。MDM系统的存在让员工感觉到隐私和自由受到了很大干预。要知道这意味着公司的IT部门可以随时看到某个员工正在用自己的手机干嘛，每天花多长时间玩游戏，在和谁聊天，等等。 这便引起公司员工很多的反抗情绪。毕竟，假如是公司发给员工手机用，监督也就罢了。然而自己花钱买的手机也要受到公司的监视，这就有点越界了。在MDM解决方案部署之后，很多公司中员工产生的逆反现象非常严重。

另外，很多公司也发现MDM解决方案并不能有效的保证公司信息的安全。首先，移动设备属于员工自己，那么员工会经常备份自己的设备，这是再也寻常不过的事情了。但是MDM解决方案无法控制设备的备份。所以在员工将设备备份到自己的个人电脑或者云端的时候，公司的数据就已经被传输从而威胁到信息安全。另外，在过去员工丢失了手机会马上向IT汇报，然后IT会采取相应的措施来保证公司信息不从丢失的设备上泄露，最常见的就是直接远程清除设备上的信息。在之前公司发设备的情况下，这显然是个行得通的办法。但是在BYOD背景下的今天，员工的设备上混杂着个人信息和公司信息，而MDM不能将这两者区别对待。如果员工遗失了手机，为了信息安全考虑，IT只能通过MDM解决方案将手机上的数据全部清除，这其中不仅包括工作文档与信息，也包括员工自己装载的资料，比如家人朋友的照片等等。这最终会造成什么结果呢？试想这样的情景，一个员工将手机落在出租车上，由于手机上有他自己的照片，他为了避免自己的个人资料也被清除，便会先不告诉IT，而是试图自己将设备找回来。结果五天之后终于从出租车公司拿回了手机，但手机上的机密信息已经暴露在外五天了。

除了上述两点之外，VPN + MDM这一组合还有其他的一系列弱点。这些现有解决方案的弱点便催生了下一代解决方案的诞生。这个新模式叫做Mobile Container Management， 简称MCM（Container意为“容器”，在此处指的是将员工移动设备上的空间单拿出来一块作为放置公司信息的容器）针对于MDM，它比较先进的地方在于，该系统在员工的移动设备里面分出一块单独的区域来处理所有与公司业务有关的文件和应用程序，并且进行高度的加密处理，公司的IT部门只管这个区域而非整个设备。MCM的理念在于，在BYOD的大背景下，IT需要管理和保护的不再是设备本身，而是信息。MCM系统很好的平衡了信息安全与用户隐私和体验，正在逐渐成为越来越多企业所青睐的移动化解决方案。