BYOD山雨欲来 MDM和MAM并非企业移动化的两道免死金牌

 捍卫企业信息资产的安全,乃是IT部门无可回避的天职,因此面对山雨欲来的“员工携带自有设备(Bring Your Own Device;BYOD)”浪潮,多数MIS可说又爱又恨,如何在满足同仁方便性之余,亦能顾及资安防御的初衷? 

为何BYOD会成为备受讨论的议题?看看以下数据,理应不难获得解答。根据资安厂商研究,在2010年,全球企业PC总台数为1.77亿、整体智能型手机总台数为3亿、整体平板计算机总台数为0.15亿,预估到了2015年,上述三个数字将分别成为2.46亿、10.17亿、3.26亿。

BYOD

也就是,前后达五年的期间内,企业个人计算机数量不过才增加39%,但在此同时,散居全球各个角落的智能型手机与平板计算机,其数量竟分别大增340%2,170%,伴随着移动设备的爆炸性成长,员工人人都可望持有一台以上的便携式设备,将之带入企业办公场域,同时满足公私等不同面向的应用需求,势将成为稀松平常之事。

但问题来了,纵使智能型手机、平板计算机规格不断演进,再怎么说,不论在运算速度、储存容量等方面,都有一定的限度,还不太可能在短短几年之内,就发展到等同于个人计算机的水平,所以员工倘若拿这些移动设备存取企业的应用程序或资料,并经过一番编辑(含新增或删除)之后,所产生的新档案或新数据,将不可能悉数留存在设备内部,最方便的去向即是云端,包含私有云或公有云都有可能。

倘若是私有云,由于尚且座落在公司高度管制的辖区内,倒没有什么大问题,但如果是私有云,可就后患无穷。举一个简单的例子,假使企业为了遵循新版个人资料保护法,已经卯足全劲部署资料外泄防护(DLP)等相关防御系统,其终极目标,就是避免员工有心或无意将个资机敏泄露出去,然而万一员工个个都以移动设备存取公司的应用程序或资料,并将之转存于Dropbox,那么先前大费周章所做的努力,恐将轻易破功,因为黑客根本不必绞尽脑汁突破企业设下的防线,只需要针对公有云动手,便能搜括到大批个资。

由此看来,BYOD的后遗症并不算小,难免会让MIS心生厌恶,为了阻止公司机敏资料或个人资料,IT团队已经疲于奔命,费了九牛二虎之力,好不容易把防御机制弄得有模有样,如今不过是同仁的便宜行事,随随便便就将这些成果摧毁殆尽,到头来,一旦发生资料外泄,倒霉的不会是别人,一定就是MIS,既然如此,倒不如把BYOD的路封死,凡是有人带自己的设备到办公室,要想连结无线网络、收发电子邮件、连结Intranet、读取任何资料…,很抱歉,通通都不准!

MIS力阻BYOD风潮蔓延,或许能撑得了一时,但绝非永久,先不说别的,公司高阶主管如果表明想以移动设备连结无线网络、收发电子邮件、连结Intranet、读取任何资料,身为下属的MIS,还能豪气干云地说不?此门一开,其他同仁岂能不比照办理?到了那时,先前的禁令便将无疾而终!

难道MIS可以双手一摊,昭告天下说“都是你们自己要BYOD,一切后果自负”,然后索性采取完全放任的态度?当然不行!此时,MIS少不得需要针对BYOD议题做足功课,思考如何导入相对应的防护系统,以免真的出了乱子。

何谓相对应的防护系统?由于BYOD热潮方兴未艾,各路资安厂商打铁趁热,一定将十八般武艺倾巢而出,但说是英雄所见略也好、大家了无新意也罢,这些十八般武艺,到头来通常只剩下两招,一是移动设备管理(Mobile Device ManagementMDM)”,另一就是“移动应用程序管理(Mobile Application ManagementMAM)”,影响所及,不少MIS就自然而然地认定,只要手持MDMMAM两道令牌,即可练就金刚不坏之身,进而在险恶的BYOD丛林里悠然自得。

这样的想法,并不能说大错特错,因为一来有做总比没做好,二来既然那么多资安业者都力挺MDMMAM,它们肯定不是空包弹,必然具有相当程度的功效;只不过,若说MIS只此一步,其余再无任何努力空间,听来似乎又有些不对劲。

细数MDM的罩门 深究MDM解决方案的设计理念,其实并不乏“人性本善”的意味,也就是说,公司坚信员工个个都不会蓄意泄露机密资料,只是对于移动设备的使用行为,难免百密一疏,意外沦为资料外泄的帮凶,所以才运用MDM,竭尽所能帮助员工好好地控制移动设备。

于是乎,假使公司只部署了MDM系统,暂未在其他BYOD管控措施上,有太多着墨,在此情况下,员工若欲以自己的移动设备存取公司网络,少不得需要通过帐密输入等层层关卡,某种程度上,可能造成使用上的不便,此即为MDM的罩门之一。

但为了呵护公司数位资产,人人责无旁贷,牺牲一己的不便换得企业营运的永续运转,忍一忍也就过去了,所以当然有人不会将上述罩门看得太过严重;只不过,MDM的缺陷当然并不仅止于此。

MDM还存在哪些弱点?事实上,倘若MIS有心,把市面多达近80余个不同厂牌系统,全都一字排开,看完后一定会有一种感觉,这些MDM都是大同小异,彼此功能项目的差距并不大,大抵不脱设定设备、管理资产、派送程序、套用政策等格局,为何如此?只因MDM功能范围受到先天限制,唯有苹果(Apple)、谷歌(Google)允许这些厂商能做什么,他们才能做,在此界线之外,如果想发展任何独门秘技,只能走上JBRoot设备破解之路,然而冒然破解的代价相当之大,因为不管是JBRoot,都可能破坏系统安全性,未蒙其利反先招惹祸害,此为第二道缺憾所在。

至于第三道缺憾,则更加令人堪虑。万一员工遗失设备,里头又存在一些公司的应用程序或资料的话,此时MIS不假思索,一定想动用MDM解决方案之中的远端抹除功能,先将此命令上传至AppleGoogle,接着再下达到该移动设备,这般运作方式看似严谨,但其实存在致命弱点,万一拾获设备的有心人士,刻意移驾至没有连网的环境,那么企业所欲传送的抹除命令便宣告失效,此人就可好整以暇,慢慢地向这台设备挖宝。

MAM情况稍好 但亦非无懈可击 由于MDM尚不足以确保BYOD安全,而且又抑制了使用弹性,导致MAM逐步抬头,成为企业评估导入的第二个标的。MAM的主要精神是,将要求输入帐密的时间点,后推到意欲执行企业App之际,所以较MDM多了几分弹性。

MAM顾名思义是移动应用程序管理,所以使用者在存取企业App时,当然受到一些限制,也隐含若干不便。比方说,万一企业未建立单一签入(SSO)机制,员工每开启一种App,就得输入一次密码,但一旦执行SSO则无此疑虑;再者,员工在执行App之余,若想将箇中内容复制或分享到其他App、上传到Dropbox等云端硬盘,或者外传到白名单之外的IP位址,都可能受到限制,端视企业移动安全政策的严谨度而定。

万一企业管制得过严,就会出现一个后遗症。举例来说,假使员工意欲读取附加于邮件的图档,或想要编辑附加档案的文字,除非公司费心开发看图或编辑工具,否则都将变得滞碍难行,但企业欲自行发展具备这些功能的App,可行性其实也不大,所以终将对员工生产力造成不小冲击。

有鉴于此,若干MAM供应商开始铺陈应用程序生态系统概念,亦即在一定框限内,置入一些已确定安全无虞的功能型App,使得企业无须变更程序码,即可将档案加以分享并后制,一旦处理完毕,也绝无外流之虞,藉此填补上述缺憾。

总括而论,MDMMAM之于企业移动管理方案,不过是其中一环、而非全部,更重要的,企业的移动安全管理政策(例如凭证、密码控制原则)、及相关基础架构,也必须都要到位,才能确保BYOD安全性。

 

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 1 条评论
  1. 企业实现BYOD,MDM及MAM能为移动化带来的安全隐患带来防范措施。但不意味着只要有了MDM、MAM就万事俱备,要真正实现一个安全的移动化解决方案,还需要对员工进行培训、制定相应的规则、安全的基础架构等众多方面一起协作完成。分享白皮书《思杰BYOD解决方案部署指南》http://t.cn/zQx3UK0

    2013年7月28日 13:00来自新浪微博 回复
返回顶部

无觅相关文章插件,快速提升流量