从消费端兴起智能型手机、平板计算机应用型态,近年来正逐渐被带入日常工作中,尤其来自高级管理层的需求强劲,才得以打破以往的限制,加速推动员工自带设备(Bring Your Own Device,BYOD)应用趋势。然而,目前移动载具主流平台以Android与iOS为首,而既有IT基础架构的端点系统则是Windows、Mac OS与Linux为主,该如何确保新兴应用模式的可管理性与存取安全性,成为BYOD时代下备受关注的议题。
就应用的角度来看,Citrix表示:若公司开放员工携带私人设备,日常工作得以采用顺手的系统接口与操作模式,方便性自然提高,只是如此一来,即代表允许私人设备存取内部信息系统,数据也可能存放在设备中,即使离开公司也可以处理工作事项。但设备一旦离开公司内网就无法运用安全控管政策把关,可能因此违反公司资安政策或法规遵循。在IT控管与员工方便性互斥下,企业对于BYOD的应用难免有所顾忌。
防范数据外泄为移动化核心需求
Sophos表示:关注BYOD相关议题的企业确实不少,实际因应的作为却不多见。尽管市场上已陆续出现从不同技术领域提出可协助控管的解决方案,像是因应iOS、Android系统平台而生、或由防病毒软件厂商增添的MDM(Mobile Device Management)机制,只是许多企业实测后仍旧认为解决方案不符合预期。BYOD方案的询问度高,甚至主动要求测试建置,但真正编列预算执行计划的客户确实不多。
很多企业思维较趋保守,希望在生产力提升的同时,又能够全面掌握应用安全,例如类似桌面端控管,掌握员工在LINE、Facebook等手机通讯App上聊天的内容,即使技术上可达成,合法与否却仍待商榷。现阶段BYOD或移动化应用的阻力并非在IT技术面,而是整体安全思维导致控管政策没有跟上科技应用的脚步,才导致出现保守观望的态度。
除非类似保险业,本来就有补助员工自行采购笔记本电脑的政策,让业务人员方便向客户解说保单内容,并且开放移动设备透过VPN介接至公司内部网络,如今若要进一步开放不同移动载具应用,门坎自然较低。然而,”公司对于员工私人设备应该控管到多细微的程度”仍是无可避免的争议,最后评估的结果往往是决定暂时先开放设备使用,至于安全性则由控管数据端访问权限来把关,毕竟无论终端应用如何变化,企业端最核心的思维皆是以防止机敏数据外泄为主。
安全容器隔离 限制机敏数据存取
近年来因应移动化应用需求,为iOS、Android等新兴操作系统专属研发的MDM解决方案,实作方式大致分为安全容器(Container)与轻量化(Lite-way)机制。安全容器的作法是在手机上切割一块独立的区域,要浏览网页、收发邮件等行为,皆要登入至此区域才能执行,同时也具备更细部控管政策的能力;另一种轻量化的方式,主要是呼叫手机内建功能,以进行强制启动或关闭,好处是耗电较低、部署方便,价格也可被接受,只是资安较严谨的企业会认为数据保护机制不够完善。
“现阶段较务实的控管手段,则是在手机为私人设备状况下,仅开放连接公司邮件系统,至少藉此确认邮件不致被改用私人信箱转发,且附件档案只能被特定App存取,不得被附加到LINE等私人用的实时通讯App,来达到区隔的目的。”詹鸿基说。
一般谈到移动设备安全控管,往往会提出MDM解决方案,但并非所有IT应用环境皆适合导入,常见像是BYOD多属私人设备,公司要全权控管可能会引起反弹。而公司欲控管的目的在于员工会利用移动设备存取内部IT信息系统,例如最常见的网页登入存取与收发电子邮件,仅透过移动载具本身内建功能连接难以管控,因此首先即可利用Sandbox机制,如同安全容器概念,将私人用的App与公司的App分离,让两者数据彼此间无法沟通。
|
