安卓“入侵”企业

随着越来越多的安卓设备被员工带入企业IT环境中，这个名为安卓的绿色小机器已经在企业中逐步站稳脚跟。这给企业IT系统的维护和管理带来很大冲击，也对企业BYOD之路带来很大影响。

在分析师和CIO看来，移动操作系统的多样性特点决定了企业必须早做决策。哪些版本的OS是企业允许的、哪些是企业不允许的？借此推动企业的BYOD计划的顺利实施，这些决策反过来也会影响到哪些OS和移动设备能进入企业中。

目前，谷歌安卓系统的市场份额已经远远超过苹果的iOS。根据IDC在去年年底的一份市场研究报告，安卓在智能手机市场占有近80%的市场份额，而iOS已经掉到了13%，不过苹果设备依然在企业中占有统治地位。移动软件供应商Good Technology公司2013年年底的一份报告称，Good Technology的全球500强客户中部署移动应用的设备上75%运行的是iOS系统。

这背后的原因是，企业IT部门认为iOS是一个封闭的系统，也是一个可以信赖的标准化平台。与之相反，安卓系统版本过多，其管理困难，成本很高。实际上，这几乎也是业界的普遍认识。根据从事无线网络及设备研究的公司OpenSignal的一份市场报告，截止到去年年底，全球基于安卓系统的设备已经超过12万种、来自1700个不同品牌。

安卓系统的高市场份额给安卓设备带来了很大的安全风险，因为其很容易成为黑客的攻击目标。而且，安卓的开源架构和其多渠道的来源使得它可能存在更多的安全漏洞。根据美国国土安全部和FBI 2013年的一份研究报告，2013年75%的移动恶意软件针对的是安卓系统。基于上面的统计数据，也就不难理解企业IT部门为何对安卓系统的使用忧心忡忡了。

安卓抢占iOS市场份额

实际上，随着IT部门决定拥抱BYOD的那一天起，在消费市场占统计地位的安卓设备进入企业并站稳脚跟就只是一个时间问题。

有迹象表明这一切正在发生。企业中iOS设备的比率正在逐步下降。Good Technology的报告称，2013年的数据与2012年同期相比，iOS设备在企业中的市场份额平均下降了5%，其市场份额正在被安卓市场挤占。特别是，安卓平板表现更为抢眼，在企业中的采用率上升了1倍，增长了12%。

“安卓设备被用于企业是必然的，无论企业是否允许。”Forrester分析师Christian Kane说，“对所有企业而言，问题不是安卓设备是否会进入企业，而是什么时候以及如何进入企业。”

毫无疑问，今天绝大多数企业的IT部门已经意识到到了必须考虑什么时候以及如何允许安卓设备进入企业的时候了。即使是那些还没有意识到这一点的，至少也明白在企业中单操作系统一统天下的局面已经一去不复返了。

棘手的管控问题

目前来看，大多数企业对待安卓设备都是尝试性的，至少在最初是如此。比如，企业会允许有限数量的设备和有限的几个安卓版本在企业中使用，而且仅限于访问邮件系统。这可以降低安全风险，而且给IT部门赢得了时间，让它们在一些棘手的问题出现时有时间来解决它。

“通常员工会有公司邮件和个人邮件，因此，从邮件开始着手考虑隐私和技术支持是一个不错的切入点。”移动企业咨询公司Sepharim创始人兼CEO Bob Egan说，“在这个过程中一般要做的工作包括最终用户培训、改变IT支持流程以及制定相关策略等。”

Egan补充说，这个经验也适用于安卓以外的其他平台。他认为随着IT部门经验的积累，它们最终会找到办法来保护企业应用和数据的安全。“安卓或许是一个典型代表，它让IT部门懂得不能轻易相信任何东西。”Egan说。

目前，很多企业还不允许BYOD设备接入企业的应用系统，不过，Egan预计，这一切在半年就会有改变。随着越来越多的企业允许员工通过自己的设备接入企业的IT系统，它们必须找到办法来确保应用的安全。

“这是很多企业目前还没有解决的，除此之外，接下来的数据安全也是企业必须考虑和解决的问题。”Egan说。

链接

清除安卓设备上的恶意软件

根据美国国防部和FBI去年一份安全报告，移动设备上79%的恶意软件针对的是安卓系统。这些恶意软件有着各种不同的来源，有的就来自被感染的Google Play，其中最大的威胁是没有及时的升级和打补丁。该报告说，44%的安卓用户仍然还在使用2011年的安卓版本Gingerbread，其中有不少已知的安全漏洞在随后的版本中得到了修补。报告也指出当前安卓系统的主要安全威胁和解决办法。

威胁1 老版本安卓系统的主要威胁是短信木马，一半以上的恶意软件是这种形式。

应对办法 安装针对短信木马的安卓安全包，在互联网上有免费下载也有付费下载的此类软件。

威胁2 Rootkits工具，它能记录用户的位置、键盘和密码等信息。

应对办法 可以安装Carrier IQ Test，这是一种免费的可以检测和删除rootkit的软件。

威胁3 假冒的Google Play商店欺骗用户安装恶意软件，一旦安装它们会从移动设备上盗取敏感信息。

应对办法 IT部门制订允许安装的应用列表，及时对操作系统和安全软件进行更新。

移动管理设备案例一

Starz公司：管理安卓设备的多样性

Starz Entertainment是一家收费的有线电视运营商，多年以前就开始为部分员工提供黑莓手机。现在越来越多的员工开始将其他移动设备带到企业中来，先是iPhone，随后各种各样的设备都带到了公司，他们希望能接入到公司网络中，IT部门需要满足他们的要求。

“但是过于频繁的版本更新，以及不同安卓设备之间迥然不同让IT部门很抓狂。”Starz公司IT基础设施和运营副总裁Judy Batenburg说，“我们公司有不下20种不同安卓手机，要保证它们每个都是最新版本的OS是很困难的。”

为此，Starz最近启动了一个名为“管理多样性”的计划，让员工可以选择使用公司提供的手机，也可以使用自己的手机，但是，公司制定了新的政策，让IT部门可以对成本和安全进行控制。

该计划将员工使用的移动设备分为三类：公司全费、公司部分付费、员工自费。公司高管和那些高度依赖移动设备办公的人员（如销售人员），公司给他们提供设备，并支付所有费用；那些同样非常需要移动办公的技术人员则允许使用他们自己的设备，但公司支付服务费；其他员工则是完全的BYOD一族，他们自带设备，自付服务费。

公司在所有接入公司网络的移动设备上部署了MobileIron的MDM软件，该软件强制执行密码等策略，如果设备需要遵守相关电子取证的法律，还要求允许公司对设备内容进行搜索，一旦丢失或被盗能对设备内容进行删除。

对于公司提供的设备，员工可以选择iPhone或者安卓，如果是安卓则限于三星Galaxy S3/S4，这有助于公司IT部门集中精力进行技术支持。对于公司部分付费的设备和员工自费的设备，员工可以选择任何安卓设备，但公司对他们在使用过程中遇到的网络连接问题和与MDM有关的问题提供有限的技术支持，其他的问题需要找供应商帮助解决。

Starz公司基础设施总经理Colin McGuire认为，随着安卓系统的逐步成熟，在Gingerbread（Android 2.3）之后，与安卓系统有关的问题已经不多了，特别是最令其头疼的访问邮件系统的问题也得到了解决。他提醒说，iOS也不是一点儿问题都没有，也会出类似的问题。

如今，Starz公司中的黑莓手机正在逐步减少，公司中黑莓手机占30%，iOS设备占57%，12%是安卓设备，而95%的平板是iPad。Batenburg预计，黑莓手机会逐步被iPhone手机替代，而安卓设备不会成为主流。这也许是因为Starz公司是在娱乐行业，在这个行业iPhone手机更为流行。

Batenburg建议受安卓设备碎片化困扰的企业通过标准化来处理，即选择一个供应商制定一些制定类型的设备，然后告诉员工，这些设备企业会提供全面的支持，其他的设备员工自己负责。

移动设备管理案例二

Ricoh公司： 欢迎所有类型移动设备

Ricoh Americas是一家从事内容管理、邮件服务等业务的IT企业，在3年前开始允许其9000名员工自带设备上班。

公司执行副总裁兼COO介绍说，刚开始，由于担心过多的安卓系统版本可能给IT环境的安全带来困扰，IT部门规定在公司内只允许使用iOS设备和某种安卓版本的设备。9个月以后，这一限制被取消了。

“事实证明，安卓版本的碎片化带来的挑战并没有想象中的那么大。”他说。

今天，Ricoh公司也为部分员工提供移动设备，但都是安卓系统。其他人则可以选择任何他喜欢的设备。现在在Ricoh公司安卓设备占60%、iOS占30%，其他设备占10%。

“我们不会强迫员工使用苹果、安卓或者黑莓。”Rothenberger说，但要访问公司的邮件系统，员工必须同意遵守一些规定并要下载一个Lotus Notes系统提供的App，它负责来执行一些安全策略，比如密码必须符合要求，要支持对设备内容进行远程擦除。

目前，公司通过Notes来管理移动设备，但正在进行MDM系统选型。Rothenberger预计，未来员工会把很多自己安装的移动应用带到企业中，因此他希望借助MDM来对此进行管控。

Rothenberger表示，他还没有感受到安卓版本太多带来的困扰。因为大多数安卓设备都支持按照一定周期自动进行更新，要么是制造商要么是运营商会对此进行技术支持，而软件供应商在把软件推送给最终用户前也会进行严格的测试。公司对目前的状况还算满意。“实际上，安卓碎片化给IT部门带来困扰程度取决于公司希望多大程度上对员工使用的移动设备进行控制。”他说。

当然，不同安卓版本有时也会给企业带来麻烦，特别是公司要推出企业内部App时，因为IT部门必须保证这些移动应用在所有安卓版本上安全运行。但Rothenberger表示，公司不会为此增加很多成本和花太多时间，如果出现了问题，IT部门会先判断其是否容易解决，如果不容易就会直接告诉员工，在某个安卓版本的移动设备上，该应用不能用。

他说：“在我印象中，这种情形只出现了一两次。”

另外，公司还在用一些简单的、基于云的应用来替代复杂的企业应用。BYOD计划和简化应用都是Ricoh公司正在进行的IT消费化战略的一部分。

移动设备管理案例三

CareerBuilder： 用MDM进行管控

CareerBuilder公司是一家从事招聘和人力资源服务的公司。除了给部分员工提供移动设备外，CareerBuilder公司也支持BYOD。据IT部门高级副总裁Roger Fugett介绍，公司BYOD计划始于2年前，现在公司有20%的员工使用的是公司提供的移动设备。对于BYOD一族，公司要求平板电脑必须使用苹果的iPad，但手机员工可以选择iOS也可以选择安卓。目前公司的移动设备中苹果公司的产品占78%，安卓设备占20%，其他的设备2%。

Fugett说，公司正在部署一个MDM工具来对个人移动设备进行管控。不过，不是因为安卓系统带来很多问题，而是公司未来要允许更多的设备接入到公司的网络。他说，公司也曾遭遇到一些与安卓版本有关的问题和ActiveSync配置相关的问题，但是并没有因此就认为安卓系统不适于企业。

“实际上，iOS 6.1反倒给我出了一个大难题，iOS 6.1中有一个Bug，安装该系统的设备连到Exchange系统很容易引起服务器宕机。”他说。

大多数员工自带的移动设备通常只是访问邮件系统，但也有些员工也会借助自己的设备登录一些托管的系统来完成其他一些操作，此时这些托管系统会负责对安全进行管控，因此安全不是问题。不过，Fugett承认，将来要允许员工通过自带设备登录公司防火墙背后的应用时，安全将是一个很大的挑战。

这也正是公司决定部属MDM工具的主要原因之一，这样IT部门能对安全进行一定控制。虽然目前还没有做出正式的决定，但是Fugett说，未来会执行严格的安全策略，很可能会规定只有某些版本OS的设备才能接入到公司网络中，而那些被劫持的设备则禁止接入。“这样我们才有足够的信上可以开放我们企业内部的应用给这些移动设备。”

他认为，对企业中的安卓设备乃至BYOD计划进行管理的最好办法是，从一开始就制订一个好的针对所有设备的策略。“我们不能预见到未来会发生什么，但是如果有一个好的策略来帮忙应对那些偶发事件，这会让CIO少了很多担心。”

对企业中的安卓设备乃至BYOD计划进行管理的最好办法是，从一开始就制订一个好的针对所有设备的策略。