在上一部分文章《五大移动数据保护最佳实践（上）》中，我们介绍了三个对员工移动设备和平板电脑上重要数据进行保护的最佳方法，本文我们将继续介绍两个数据保护方法：移动设备的存储数据加密和移动活动监测和审计。

　　4. 移动设备的存储数据加密

　　在一些情况下，设备锁加上远程擦除就足以减轻用于有限业务的个人设备的风险了。如果移动设备被用于检查无毒的电子邮件且不保存附件，或者只是一台用以进行远程桌面访问的平板电脑，那么它不需要储存那些永久保护的业务数据。然而，在处理敏感信息或者需要更多的功能时，员工还需要对被存储的数据进行加密。不幸的是，一些消费设备并不支持全设备加密。为了解决这一业务需求，可以采取以下步骤：

• 扩展上述注册流程来检查依托于存储数据加密需求的个人移动设备，在扩展中要使用工作人员已认证的身份来确定移动数据的需求和风险。如果必须加密但设备却不支持，那么需要为员工提供适合设备的指导，条件允许的话，甚至可以提供一个有IT安全保障的公司设备。
• 自动配置已注册的设备，从而在任何可能的地方都能支持全设备加密或者可去掉的媒体加密方式。凡是需要需求和风险允许的地方，都可以配置个人加密应用程序来提供另一层保护，从而使公司的数据和个人的数据分隔开。最后，还可以配置设备的设置和应用程序来最小化存储在设备中的数据量。
• 使用无线设备配置的监测来确保用户遵守了所有的数据加密政策。此外，要小心关注设备显示出的有被干扰的迹象（即，获得了Android设备的Root权限，或破解了iPhone手机），因为这些可能潜藏着木马，从而访问和传播用其他方式加密的数据并发送给远程攻击者。

　　为了实现第一步，需要将你的注册过程同公司的目录、现有身份认证登录，以及使用群组隶属关系等整合起来，从而确定业务的需求和风险。第二步，你需要配置安全的移动应用程序，如Good for Enterprise 和 NitroDesk TouchDown，或者替换门户网站和远程桌面访问，这些措施可以用来减少某些员工的设备存储，他们其实并不需要对业务数据进行离线或分离访问。

　　5. 移动活动监测和审计

　　请注意，不断的监测对这些最优做法而言是很重要的，单单配置一个员工设备就希望业务数据可以长期安全是不现实的。即使IT可能不会选择或拥有员工移动设备，公司仍然需要监测和审计业务数据和活动，以确保它们在整个生命周期内都一直符合规定。然而，这必须通过无线方式来实现，从而不会对个人使用产生干扰。

• 从监测未经IT允许而用于商业场合的员工设备的工作环境开始，网络访问控制、设备指纹识别工具和无线/有线网络IPS等操作，都是帮助IT部门发现移动设备或平板电脑的理想工具。这些工具的有些监测机制甚至可以防止未知设备接入企业。
• 其次，记录包含已注册移动设备的每一个商业系统的交互操作，包括电子邮件/联系方式/日历的同步、网络会议、虚拟专用网（VPN）连接、在线配置更新和MDM应用程序安装。这些记录对日常报告和审计来说是很重要的，因此应该在设备被擦除或取消注册后长期保留。理想情况下，设备应该以某种可以防止被诈骗或克隆的方式来进行身份识别，比如说设备可以使用SCEP来进行授权。
• 最后，为每个注册的员工设备定期执行符合规定的检查。至少应该在正常交互操作中进行检查（例如，在每次进行电子邮件同步时，使用EAS来验证设置）。不过，MDM产品通常提供了更加丰富的移动设备审计和报告功能，比如在某些情况下所进行的预定和按需设备的设置检索以及IT指定策略的自动对比等操作。

　　通过实施这五项基本移动设备数据保护最优措施，许多公司都可以接纳个人移动设备的商业化使用趋势。公司需要把注意力集中在业务数据上，并且制定出所需的最低控制，从而保障这些数据的安全。例如，很少有用户会同意白名单措施，这样会阻止他们安装个人应用程序；然而，许多用户会接受，甚至欢迎——对被盗的个人设备进行擦除的IT帮助。为了实现接受度最大化并避开陷阱，你需要确定一个测试组，并按照安全策略和控制对它进行初始设置，还要在公司全范围推广之前进行任何有必要的改进。