BYOD安全和员工便利互斥 CIO面临鱼和熊掌如何兼得?

从消费端兴起智能型手机、平板计算机应用型态,近年来正逐渐被带入日常工作中,尤其来自高级管理层的需求强劲,才得以打破以往的限制,加速推动员工自带设备(Bring Your Own Device,BYOD)应用趋势。然而,目前移动载具主流平台以Android与iOS为首,而既有IT基础架构的端点系统则是Windows、Mac OS与Linux为主,该如何确保新兴应用模式的可管理性与存取安全性,成为BYOD时代下备受关注的议题。

就应用的角度来看,Citrix表示:若公司开放员工携带私人设备,日常工作得以采用顺手的系统接口与操作模式,方便性自然提高,只是如此一来,即代表允许私人设备存取内部信息系统,数据也可能存放在设备中,即使离开公司也可以处理工作事项。但设备一旦离开公司内网就无法运用安全控管政策把关,可能因此违反公司资安政策或法规遵循。在IT控管与员工方便性互斥下,企业对于BYOD的应用难免有所顾忌。

移动安全

防范数据外泄 移动化核心需求

Sophos表示:关注BYOD相关议题的企业确实不少,实际因应的作为却不多见。尽管市场上已陆续出现从不同技术领域提出可协助控管的解决方案,像是因应iOS、Android系统平台而生、或由防病毒软件厂商增添的MDM(Mobile Device Management)机制,只是许多企业实测后仍旧认为解决方案不符合预期。BYOD方案的询问度高,甚至主动要求测试建置,但真正编列预算执行计划的客户确实不多。

很多企业思维较趋保守,希望在生产力提升的同时,又能够全面掌握应用安全,例如类似桌面端控管,掌握员工在LINE、Facebook等手机通讯App上聊天的内容,即使技术上可达成,合法与否却仍待商榷。现阶段BYOD或移动化应用的阻力并非在IT技术面,而是整体安全思维导致控管政策没有跟上科技应用的脚步,才导致出现保守观望的态度。

除非类似保险业,本来就有补助员工自行采购笔记本电脑的政策,让业务人员方便向客户解说保单内容,并且开放移动设备透过VPN介接至公司内部网络,如今若要进一步开放不同移动载具应用,门坎自然较低。然而,”公司对于员工私人设备应该控管到多细微的程度”仍是无可避免的争议,最后评估的结果往往是决定暂时先开放设备使用,至于安全性则由控管数据端访问权限来把关,毕竟无论终端应用如何变化,企业端最核心的思维皆是以防止机敏数据外泄为主。

安全容器隔离 限制机敏数据存取

近年来因应移动化应用需求,为iOS、Android等新兴操作系统专属研发的MDM解决方案,实作方式大致分为安全容器(Container)与轻量化(Lite-way)机制。安全容器的作法是在手机上切割一块独立的区域,要浏览网页、收发邮件等行为,皆要登入至此区域才能执行,同时也具备更细部控管政策的能力;另一种轻量化的方式,主要是呼叫手机内建功能,以进行强制启动或关闭,好处是耗电较低、部署方便,价格也可被接受,只是资安较严谨的企业会认为数据保护机制不够完善。

“现阶段较务实的控管手段,则是在手机为私人设备状况下,仅开放连接公司邮件系统,至少藉此确认邮件不致被改用私人信箱转发,且附件档案只能被特定App存取,不得被附加到LINE等私人用的实时通讯App,来达到区隔的目的。”詹鸿基说。

一般谈到移动设备安全控管,往往会提出MDM解决方案,但并非所有IT应用环境皆适合导入,常见像是BYOD多属私人设备,公司要全权控管可能会引起反弹。而公司欲控管的目的在于员工会利用移动设备存取内部IT信息系统,例如最常见的网页登入存取与收发电子邮件,仅透过移动载具本身内建功能连接难以管控,因此首先即可利用Sandbox机制,如同安全容器概念,将私人用的App与公司的App分离,让两者数据彼此间无法沟通。

为了避免IT建置控管机制后让移动化应用丧失便利性,要建立可链接邮件系统与Web登入信息系统的App,往往还需要单一登录(Single sign-on)机制来协助,才不致个别App都必须输入账号与密码,还可藉此搭配身分验证管控,不论在公司内部或外部皆可存取,才能达到安全控管与方便性兼顾。

内部信息系统 朝向App化发展

在独立的安全容器中建置内部连网行为所需的App,可说是目前移动管理应用主要发展方向。林皇兴观察,如同早期从Client-Server架构逐渐转向以网页浏览为基础的Web化,未来可预期将进一步推动IT信息系统朝向M化发展。在移动应用环境下,即使Web操控接口设计得再友善,对于输入数据、浏览图表等操作行为而言,仍会受到屏幕尺寸大小限制。因此信息系统的M化,也就是同时提供App存取操控,以及建立Enterprise Store,让企业端自行发布内部软件,将逐渐成为移动化应用下不可或缺的一环。

像是基于Android与iOS平台技术发展的Good Technology以及MobileIron,皆结合借助企业端应用系统厂商之力,协助App化应用落实。MobileIron资深地区销售经理陈威纶说明,近来提供AppConnect Program,主要即偕同第三方App建立生态链,例如IBM Notes、Novell Filr、Box等,协助iOS与Android系统中运行的App,可在不影响使用者操作体验下达到安全与管控。

Good Technology则是提供一个平台,让企业得以基于此平台开发App,不需额外开发身分认证、单一登录、加密等基本机制。林皇兴说明,企业内部自行撰写开发App程序时,大多没有建立数据加密保存机制,一旦员工离职或设备遗失,都可能导致数据外泄。此时即可藉由平台提供的App Wrapping封装工具进行隔离,让数据只能在此容器中运行,不需再学习API整合开发,撰写好的App经封装后就可直接派送。

“然而若企业内部重要的核心系统,无法任意变更也难以转化为App方式存取,加上移动化应用控管范畴也涵盖笔记本电脑时,解决方案就必须进一步提供支持传统Windows运行环境。”潘先国举例,像是最常见以Word档案主要流通格式,在移动载具上没有针对开启Word格式而开发出专属的App应用下,即可利用”应用程序虚拟化”机制,让移动载具拥有执行传统Windows版本应用程序的能力,藉此利用远程资源来运算执行,不仅不致消耗过多载具实体资源,操作接口亦不需额外学习,以协助既有IT基础架构立即可发挥移动化之便,提高工作生产力。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量