在中篇中，我们分析了移动互联网时代，个人智能终端如何保证安全，那么接下来我们分析如何保障企业化移动终端的安全。

　　首先要明确的企业终端安全是一个系统工程，并不仅仅是指手中的手机安全就是企业终端安全，整个系统至少包括以下几个方面。

　　首先是对用户和设备的接入进行安全认证。对于个人用户来说，手机连接哪个网络都是随便的，但如果是企业级的应用，或者企业级的服务器，基本上要进行设备和终端的身份认证。因为移动终端的身份不清，操作者真实身份不明确，都存在管理安全的风险。不管是人还是设备，不管是通过互联网还是通过内网，只要接入企业，都需要进行有效身份认证，这是企业安全的最基本要求。

　　其次是终端设备本身的安全。即包括硬件、操作系统、应用的安全。这个领域非常广泛。从操作系统层面来说，操作系统存在漏洞，就需要对漏洞进行修复，还有手机杀毒系统和设备安全管理系统。从应用来说，要对应用安全加固，加固某个APP，让代码无法篡改。

　　最后是终端设备的数据保障与备份。现在是大数据时代，在对安全要求比较高的政务或商务应用中，数据就显得尤为重要。比如税务的纳税信息里就有纳税人的详细资料，警务的设备中会有公民的详细信息等。随着企业级应用越来越广泛，未来企业级的终端上将有更多的数据。而数据的保障、备份是我们不可忽视的。通常的方法包括可以用数据库加密，专网传输数据，而调用数据时，除了密码，还要有其他认证方式等。

　　当前终端市场非常热的一个细分市场，被称为办公而造的手机。大背景是在移动办公趋势下，越来越多的员工用自己的设备（包括个人电脑、手机、平板等）办公，这种现象被称为BYOD（Bring Your Own Device）。比如中国移动、兴业银行都是在手机上批转公文。BYOD在为员工和企业带来方便和提高工作效率的同时，也为企业的安全带来新的挑战。

　　那么所谓的BYOD手机和普通手机有什么分别呢？本质可以这么认为，企业要对接入企业网的设备做管控，但员工自己带的设备里有很多的数据需要安全保障。于是需要BYOD手机既能保护员工个人隐私，又要保障企业的应用安全。这两种并行要求都需要满足。

　　目前BYOD主流方案有三种，分别是应用程序容器、双域和虚拟化。

　　先看应用程序容器方案。通过在操作系统上将应用程序通过容器的方式隔离显示和管理。该方案由于应用程序仍然可以互相访问，安全性较低。好处是实现简单且易于部署，适合对安全性要求不高的一般企业和学校等行业客户。

　　再看双域方案。通过软件划分双域，一个用以个人，一个用以企业。企业只管控企业的域。大方向是用两个OS管理。难度介于应用程序容器和虚拟化之间，可以满足大型企业对员工设备管理、员工隐私保护、企业数据安全保护等需求，是当前获得操作系统和终端厂商普遍认可的一种方案。

　　最后是虚拟化方案。从硬件上保证个人和企业数据及应用程序的完全隔离，实现个人和企业操作系统的独立。该方案安全性最高，但实现难度较大，需要定制终端，可以满足军队等高级别的安全需求。据说奥巴马的安全手机就采用了类似的技术方案。

　　专用移动通信网的应用

　　除上述之外，专用移动通信网的应用也不失为一种安全解决方案。这是一种通过核心节点“物理隔离”部署专用网络，满足安全需求的方法。主要是将“公众移动通信网”与“专用移动通信网”相结合，通过共享无线接入网，降低组网成本，是一种更加经济、科学和可持续的安全方案。目前国内基于TD-LTE的政务网市场已经启动，北京、天津、南京已陆续开展试点。根据行业用户与公众用户共享通信网络的程度，其可分为以下几种。

　　首先是独立专网。即满足某个行业/部门的通信需求而单独建网，其他行业用户和公共用户不能接入，例如公安系统采用的模拟专网、TETRA制式专网。

　　其次是共网专网。即满足多个行业用户/部门通信需要而建设的网络，例如北京政通（TETRA制式）、上海中卫国脉商业专网（iDEN制式）、重庆铁通专网（GT800制式）等，公共用户不能接入。

　　最后是虚拟专网。即依托运营商公众网络为行业用户提供专网服务，例如PoC over TD-SCDMA等，通过引入特殊安全机制、特殊性能优化保证应用需求，行业用户和公众用户都可以接入系统。