规避风险的主管会明智地植入合适的治理策略，用于确定移动设备和移动应用如何在内部供员工消费，以及如何提供给外部客户。当然，对于普罗大众来说，部署基于互联网的移动应用的许多相关挑战近些年已经得到了解决，现在也很容易理解了。最新前沿技术导致数据架构师恐慌——对交付内部应用给员工的推动，以及这些应用后续跨公共网络部署的同时还要缓解移动风险。

移动应用的内部交付有可能极大促进生产力，但同时也有一个危险的坏处，这个坏处有可能产生严重危害，导致难办的安全泄露。“数据泄露是移动应用的大问题，或者至少可能会成为大问题，”Gartner负责移动与无线领域的资深副总裁Van Baker说。那么在开发员工和管理人员使用的移动应用时，具有安全意识的IT专业人士应该如何考虑呢？

应用级认证

在减轻访问控制前如果没有必要的证书，没人会愿意部署跨互联网的企业应用，但这类事情在移动应用界实在是太常见了。有时候有人会假定说，既然移动设备本身已经有了4位数字的密码保护，同时由于设备的用户是一位受信任的员工，那移动应用本身就不需要后续的验证机制了。没有什么比这种想法更不靠谱的了。如果应用要部署到移动设备上的话，必须确保应用里面有验证机制。

而且这不仅仅是要确保手机应用的安全，同时还要保证服务器知道提出数据请求的人的确是管理人员、员工或者受信用户。“你希望能够验证进入的用户，因为他们是通过无线网络进入的，你也希望确保他们是你企业的成员，”Baker说。

确保所有通过公共网络的通信安全

如果一名员工在自己手机上干活，无论是回邮件还是填写费用报告，其与企业后端的交互的安全程度跟他们使用的公共网络是一样的。“如果你向移动应用发送敏感信息，你得确保数据在传输过程是加密的，”Baker说。考虑到公共网络天生就是不安全的，移动设备上面的企业应用与企业系统之间一切基于客户/服务器模式的交互都必须进行加密，而且加密使用的安全协议不能是有漏洞的。这意味着不仅要进行加密，而且还要保证加密技术的更新，并且在SSL 3.0 POODLE之类的泄露事件出现时对如何切换技术要有一个应急计划。

不要让你的数据被别人访问

除了对未来进行加密以外，任何存在本地设备上的数据也要进行加密。iPhone或Android app永远也不应该以不加密的格式存储本地数据。用一套移动设备破解工具将iPhone或者Android设备连接到桌面容易得很，所有明文的文本数据都可以访问。“如果数据驻留在移动设备上，你希望确保数据是加密的，这样才能保护组织的知识产权，”Baker说。最新的Android和iPhone更新提供了完全的磁盘加密，这是很好的一个起点，但还不够好。需要对存储在移动设备上的任何一块数据采用自定义加密和哈希技术。

控制威胁

移动设备提出的独特挑战之一，尤其是如果组织采取自带设备（BYOD）策略时，事实上由雇主提供的托管着敏感企业数据的程序就放在像Facebook、Twitter、Gmail这样的个人移动应用里面。“大家准备在这些移动设备上拥有不在企业控制范围内的个人应用，”Baker说。任何移动治理模式都必须意识到这提出来的天然危险，因为用户可以恶意或不小心就把内部信息公开泄露到社交媒体网站上。

幸运的是，防止大多数操作系统深受喜爱的拷贝粘贴功能存在着简单的解决方案。原生移动应用很容易就可以容器化，其与其他程序共享数据和功能的能力随后也可以被限制。这是一个基本步骤，可以提供级别高得多的应用安全，但许多组织还是未能做完必须的步骤来实现这一点。

干脆别做

保证你的数据在难缠的移动设备和平板电脑世界里面的完全安全总有十分简单的手段：只需根本就不提供移动功能即可。“大家期望自己能够在桌面做的一切事情也应该可以在移动设备上做，但这么做未必总是有意义的，” Pernexus Systems的技术总监Karsten Torp说。只是因为用户在办公室桌子背后享受特定程序，并不意味着他们需要在移动设备上提供相同的程序或功能。如果给移动设备提供一定水平的访问权限带来的风险实在太大的话，企业组织也不应该为不提供此类功能感到惭愧。

向移动设备提供对高度安全的企业数据流和系统的访问，这种想法是情况最好时提出来的可怕的建议。有时候冒点风险是值得的，尤其是这种回报是生产力和效能的增加时，只要风险能够尽可能缓解。根据上述建议，企业需要采取适当的步骤来平衡移动风险和回报即可。