下篇:难以拒绝就去拥抱 BYOD下导入MDM将移动安全危险降至最低

上篇难以拒绝就去拥抱 BYOD涌入企业CIO该何处着手?今天我们继续探讨下篇:什么是移动上网?从设备来看,过去的载体多为笔记本电脑、PDA,操作系统也以Windows为主。现在则有许多不同的载体,像是平板计算机或智能型手机,操作系统从iOS、Android或是BlackBerry OS等,并且,即使在脱机状态,也要能够透过应用程序持续执行其工作。

移动设备应用类型:BYOD或统一配置

一般我们常提及的移动安全以企业应用的状况来说可分为两种,一是企业统一发配移动设备、统一控管,其二则是企业控管员工的个人移动安全,也就是这阵子热门的议题BYOD(Bring Your Own Device)。有专家谈到,从今年起,企业开始发现有员工将设备带来公司使用,尽管数量仍不多,但也开始思考应当怎么做管控,因为可能有更多的状况是发生在原本就在外的移动办公使用者。端点的控管本就不易,过去的几种控管方式,多从无线网络存取的控管上面比较多,例如从MAC Address(Media Access Control Address)可能是最简单的方式,另外还有VPN、NAC等的机制,可以从网络边界上来做管理,控制设备上的存取。这都是过去常见的一些网络端点联机控管方式。

BYOD

而过去企业里应用最多的移动上网,即使是员工自己携带,多半也是以笔记本电脑为主,而操作系统也多为Windows,例如采用Windows XP的化企业可以整合AD(Active Directory)来控管,透过它来布署资安策略,而采取硬盘加密的方式也可以避免当笔电遗失时,机敏数据的外泄。

BYOD的最低限度控管 存取联机

让员工携带自己的设备来上班,近来更是成为一股无法挡的风潮,不仅让人们得以有更多的应用,也越来越倚赖这些智能移动设备。但随着移动设备的操作系统推陈出新,除了iOS以外,不断推出的各种版本Android手机更造成支持度的问题,公司很难为个人的移动设备挑选出标准设备来遵循,因为员工愿意花超出企业的速度与成本来淘汰掉移动设备,但控管又得付出不自由的代价,这基本上会与BYOD的概念相抗衡。

在使用者不愿意接受控管的状况下,公司最低限度的安全要求,至少必须确保中间联机是安全的,并且使用移动设备的为员工本人。所以针对BYOD的控管,并不是非得使用MDM解决方案不可。仍有其他的做法可以参考。林佶骏说,第一个要考虑的,就是使用者要存取内部AP的话,要能够控管使用者是从哪里上来,可以透过一些SSL VPN来分辨,并且每个AP之间可用不同的SSID来控管,并且限制仅能存取某些应用程序的服务器,从不同的地方、设备连入内部可能会有不同的权限,例如仅能拥有最小权限,仅能读取。或是要连入一些重要系统的话,仍以笔记本电脑为主,不允许移动设备的使用。

第二个问题是,使用者可能会透过其他应用程序将数据传出去,林佶骏建议,许手机上使用的社交、通讯App如Facebook、Whatsapp等,大多数为了保密、安全性,多采SSL联机,因此只要阻隔SSL联机可避免大多数的应用程序外传数据。

统一配置

即使是统一发配的移动设备,企业除了面临到更多种类的操作系统以外,也有更多的应用程序支持、管理问题。因此企业可能会考虑到移动设备管理(MDM, Mobile Device Management)这种解决方案,潘凯哲说,目前采用这类方案的企业并不多,大多是外商公司,由总部统一采用而分公司遵循,例如一些国际性的会计师事务所。

而根据Gartner的研究报告显示,这类解决方案会有以下基本功能:
1. 安全管理要素-强制密码、消除设备、远程锁定、稽核记录(Log记录);
2. Jailbreak侦测;
3. 至少支持三种平台;
4. 政策遵循管理;
5. 软件配置管理-应用程序下载、应用程序验证、支持应用程序更新、支持应用程序修补;
6. 盘点管理-阻断外部储存、组态变更记录。

目前MDM在国外仍可以算是一块新兴领域,按照Gartner的统计,目前全球约有六十几家MDM供货商有部分的解决方案,并且供货商的数量仍在持续增加中,各自从不同的领域切入。有些厂商可能只做最擅长的领域,像是原本的移动设备管理厂商,尤其着重在移动设备、应用程序上控管,在管理功能上尤其强大;也有些大厂透过并购,强化其产品线,像是资安厂商并购MDM厂商后,强化其安全功能,加入了防毒、防恶意软件等功能,甚至会在日后推出包含防制资料外泄的相关机制;也有的,是网络设备厂商结合了MDM及网络联机控管,对网络流的掌握更多。

McAfee技术经理沈志明谈到,MDM的开发是根据手机系统业者给你什么接口、API才能去开发那个功能,而每一家厂商给你的API不一样,就会造成可以控管的能力不同,例如采用Windows系统,它可以允许你封锁蓝芽、红外线,但iOS就没有提供这个选项,这时候资安政策又该到哪里?所以一些比较敏感的机关、单位,就必须要比较严格的去思考这些东西,沈志明认为,企业在意的是要管到什么功能?要思考要不要考虑开放这只手机加入?如果只是要有push mail功能、能设定密码就好,可能大部分的手机都能做到。但如果要封锁照相机功能,那就不是所有的手机品牌都支持。资安政策落到这些很细的功能,可能都会有所影响,所以到底应该要开放BYOD还是统一配发?就算是统一配发,现在又该选择什么操作系统、什么硬件设备?才能有效控管又满足应用需求。

F-Secure总代理翔伟资安科技总经理杜世鹏,以他的观察来看,在全球的商用市场上,Android操作系统还是多过iOS很多,他认为Android版本虽有差异性但在安全方面,近期都有解决方案可因应。企业内部会有些指引政策,包括要联机到公司网络,仅允许某个操作系统的某些版本可以做。他说,以他目前接触一些外商公司CIO的案例来看,东西再好,但可用性对企业来说还是相当重要的,例如使用iOS的移动设备,想要联机就必须采购Apple的线材,或是电池不能替换等问题。他举了一个实际发生的案例是,某企业的某员工将iPhone遗忘在某国分公司的办公室,但由于国际航运的规定,电池是不能寄送的,造成后续处理的一些问题。

以下是几种不同控管程度的做法,一是在Client端安装Agent,好处是能够透过Agent对移动设备下指令,包括可以透过GPS锁定位置、进行数据抹除的动作等,是目前对管理控制功能上较强的一种作法。其二则是企业透过凭证的方式去确保移动设备内的配置文件(Configure File)为公司所制订、发出。另外,手机操作系统本身也可能提供类似的功能,例如iOS也有一套相关的控管机制,直接设定好Configure File,可提供企业来布署其公司政策。或像是黑莓机的企业服务器,也是透过加密线路,所以能够直接连回公司线路,再加上对移动设备的管理,可以说BES就是黑莓机的移动设备管理。
而现在发展出的MDM,除了要支持黑莓机以外,更也针对iOS、Android等不同的作业平台进行支持。林佶骏也认为,未来这些MDM厂商可以提供的功能将会越来越像,主要是因为移动设备提供的API有所限制。

BYOD的状况下导入MDM

BYOD的控管是一种Trade-off。上述提到的MDM解决方案虽然在控管上有一定的方便度,但如果使用者知道MDM可以做到什么程度,user还会愿意安装吗?林佶骏问。他认为,要让使用者愿意被控管,他建议,可以设定一个控管机制,例如Juniper内部针对BYOD存取公司系统,就有一套资安政策,像是密码一定要设置六位数,使用者在遵循公司政策的情况下,可以联机8小时,但如果不遵循政策,一次便只能联机20分钟;又或者是,公司愿意每个月补助一、两千块通讯费,换取用户在自己的移动设备上安装Agent,接受公司的安全控管等。IBM技术长林育震说,IBM内部也有类似的管理策略,例如能够安装防病毒软件的Windows Mobile或Android操作系统的手机,就可在内部通行较多系统等。

结语

许多来自高阶主管的要求与压力,使得许多IT人员不得不开放移动设备的应用,然而在开发相关的应用程序之时也务必找好控管的解决方案。尽管目前移动上网的议题看起来很热,实际上,却才刚起步。BYOD通常是一个企业不得不开放的选项,因此在企业控管与使用者便利的权衡上,至少该做到最基本的安全,也就是联机的控管。而更进阶的MDM及安全选项,由于必须与用户取得良好的沟通,因此无论是从管理面或技术面的控管,都必须要先拟定好相关的策略。

移动安全控管解决方案列表:

类型

例如

移动设备解决方案管理厂商

Mobileiron-Device Management Software、Sybase-Afaria

手机端点安全解决方案厂商

IBM-Tivoli Endpoint Security、F-security-Mobile Security、Trend Micro-Mobile Security

网络硬设备厂商

Juniper-Junos Pulse Device Management Software

手机操作系统厂商

Apple-Mobile Device Management、BlackBerry-BlackBerry Enterprise Server、Microsoft -System Center Configuration Manager

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量