智能电话、笔记本电脑、平板电脑等在企业得到日益广泛的使用，企业用户希望能够随时访问公司的数据和工具。准许用户使用移动设备，可以为用户的协作和文件共享提供支持，同时可以提升企业生产效率和灵活性。但企业必须确保移动设备的文件共享不会破坏数据的安全性或合规要求。企业如何确保雇员在使用移动设备的同时，能安全地访问其所需要的企业数据?

　　一、提供基于服务器的安全

　　企业应当选择一种基于服务器的安全解决方案，而不是基于客户端的安全方案，因而IT就不用配置成百上千甚至更多的移动设备。基于服务器的安全还可以使管理员即时强化安全策略。例如，要禁用某个雇员的移动访问，管理员不必接触其手机，而只需通过管理面板关闭移动设备的访问。

　　二、将数据的访问限制给授权用户

　　安全方案应当能够防止非授权用户访问机密数据。该方案还要强化基于用户角色的不同级别的访问权限。例如，有些用户需要拥有创建工作空间的能力，而其它用户需要能够读取和写入文件，还有的用户仅能读取文件，而不能编辑或创建文件。数据安全策略有可能包括防止管理员读取工作空间中的机密数据等要求。管理员需要访问对账户创建和活动监视的控制权，但在多数情况下，管理员不必获得对企业数据的全面的无限制访问。另外一个数据安全的最佳方法是，向用户提供设置文件的到期日期的能力。到期日期可以使授权用户在一个合适的时间内访问数据，同时确保敏感数据不会盲目地存储到服务器上。

　　三、支持内部和外部的用户

　　雇员不但需要与同事，还需要与外部用户合作，如与企业顾问、广告代理、设计公司、律师以及其他类型的商业合作伙伴进行协作。雇员需要一种安全的协作方案，要能够与一起完成该项目的所有团队成员保持合作，而无需访问内部的网络空间。该方案应当支持跨边界的协作，因而移动用户可以与一个团队的所有其他成员协作，其中也可包括外部用户。

　　四、加密传输中的和静态的数据

　　该方案应当应用高级加密算法，如AES的256位加密，以保护静态和传输过程中的数据。黑客应无法截获或篡改机密数据。

　　五、能够与雇员正在使用的IT基础架构实现集成

　　该方案应当易于与企业现有的IT基础架构集成到一起，这包括LDAP目录、活动目录服务、归档系统、DLP(数据丢失预防)等。与目录的集成可以确保访问能够持续地在所有的IT服务中得到强化。与归档和DLP系统的集成可以使协作服务成为更宽泛的安全机制和方法的一部分。当然，安全的文件传输和协作方案应当与企业已经投资购买的方案(如微软的SharePoint和OCS等)相集成。

　　六、监视数据访问并维护审计线索

　　该方案应当支持日志和审计功能，因而IT可以监视系统的使用，企业还可以遵循那些要求部署监视和报告系统的行业规范。

　　七、支持能够交付最高可用性的系统配置

　　该方案的架构应当能够使用独立服务器，实现失效转移配置，确保在一个系统发生故障时，用户们可以不间断地访问其需要访问的数据。

　　将协作服务扩展到移动用户可以极大提升工作效率和业务的灵活性，但企业必须选择稳健的解决方案，确保移动服务不会破坏企业的数据安全和网络安全。

(责任编辑：闫小琪)