人手一機的時代如何管理?

企業規模的擴張加上資訊科技的進步,行動設備的普及化與其所帶來的衝擊與挑戰,早已是各企業燃眉之急的重大問題,因此多數企業選擇導入BYOD(Bring Your Own Device)的解決方案。而這些解決方案大多是行動設備管理(Mobile Device Management, MDM)、行動應用程式管理(Mobile Application Management, MAM)、行動內容管理(Mobile Content Management, MCM)甚至是行動電子郵件管理(Mobile Email Management, MEM)這類的企業行動管理(Enterprise Mobile Management, EMM)解決方案,對企業真的有幫助嗎?

在您回答這個問題前,有幾個問題請您思考:

為何需要導入BYOD解決方案?

多數企業或許為了節省硬體成本,而藉由管控員工的行動設備,以『私器公用』的方式讓員工使用私人手機並安裝企業管控App來使用企業內部的系統,看似完美的做法,卻潛藏著許多的問題,不但更容易藉此洩漏機密資料、而且APP開發人員面對不同的系統平台(iOS、Android)和版本,光是開發測試,成本只會更多不會減少。

真正需要保護的是甚麼?

員工的私人行動設備是屬於員工個人的,公司為何要大費周章安裝MDM來管控設備?且公司也沒有立場去管理私人設備,還要揹負著被員工質疑侵犯隱私的原罪。企業往往為了一個單純的目的而陷入許多迷思,無論是對於要採取何種管控措施、應用何種解決方案,都會越想越多、越管越多,伴隨而來的問題卻只是帶給IT/Security人員越來越多的抱怨與負擔。

管控的對象?時機?地點?

為了保護企業而把員工的私人手機封印起來,連下班回家都無法完全,似乎是有點『因噎廢食』、『削足適履』,況且理應不是所有員工都需要受到管控,而是可能會接觸到與公司相關機敏資料的人員才是需要管控的目標。而管控的時間與地點也不需要24小時全年無休的監控,如此只會徒勞無功,累了IT/Security人員但卻無法有效的保護企業資產。

重新定義BYOD的管理策略

您需要重新思考您的BYOD管理策略,避免再度讓IT/Security人員的負擔加重且無法有效替企業節省成本。對企業來說,BYOD已經是現在進行式,如何在維護員工隱私與防堵資安風險間取得平衡,絕對是最重要的工作。

 

評估一個良好的BYOD解決方案該注意的重點是?

 

集中管控平台

能夠在行動設備上有一個安全操作平台來存取企業內部資料,集中管理並且不須擔心資料會外洩到手機上。

多平台支援

可適用於各種行動設備,不受硬體廠牌或作業系統限制;如果可以,不要讓App開發人員再浪費時間重發開發同樣的App。

公私分明

要讓員工感受到公司的目的只是為了保護企業資產,而不是為了管控員工的手機,並且能確保不會侵犯到員工的個人隱私。

行動設備安全管理(Mobile Security Management)

底下列出幾點針對行動設備安全管理的Best Practice與Bad Practice
提供給您在評估BYOD解決方案的參考

Best Practice

採用BYOD以提高生產力

雖然BYOD是使用員工的私人行動設備,但若是能夠有良好的行動設備安全管理方式,則可對提升企業生產力有良好的效果,既能避免侵犯員工隱私,又能落實行動設備安全管控。

支援各種行動設備的OS和Apps

一個好的行動設備安全管理解決方案要能夠解決各種不同的行動設備硬體與不同Apps所可能造成的相容性問題,而且能夠不需要一直跟著行動設備的OS更新而受到影響。

使用安全強度高的身份驗證機制存取企業Apps

透過安全強度高的身分驗證機制來存取企業Apps,以確保能夠管控合法的使用者存取,並降低帳號密碼被破解的可能性,如果能再搭配雙因素認證(Two-factor authentication)來達到雙重保障則是更加嚴謹的作法。

確保行動設備遺失或被盜時能不暴露公司資料

當員工的行動設備(無論是私人或公發的)被偷竊或是員工不慎遺失,只要設備裡面存有屬於公司的機敏資料,就有資料外洩的風險,一個好的行動設備安全管理解決方案,必須能夠確保資料不會外洩,無論是設備遺失或是被竊!

保護在傳輸中或未使用中的資料不受窺探或盜竊

當企業Apps裝在員工的私人行動設備上使用時,如何保障資料在傳輸的過程中不會被有心人士試圖窺探?企業Apps所使用的資料是否能夠安然的存在於員工的私人行動設備內不被盜竊?所以,一個好的行動設備安全管理解決方案必須絕對保證資料的安全性!

Bad Practice

允許員工將公司資料下載到非公司管控之行動設備

當您允許員工自行安裝企業Apps或是下載公司資料到私人行動設備時,您已無法管控這些資料的流向。

限制員工可以在他們的私人行動設備上安裝個人應用Apps

一旦企業開始限制員工不可在私人行動設備上安裝個人應用Apps,將會是IT/Security人員的一大惡夢,因為各式各樣的行動設備、各式各樣的行動Apps,勢必造成企業非常大的人力負擔。

使員工難以使用他們自己的個人應用Apps

當員工無法順暢的在自己的行動設備上使用個人應用Apps,可能引起員工對於個人隱私保護的意識,既然是個人使用的應用Apps而不是企業Apps,為何要阻止員工使用呢?

在發生資安事件後直接抹除(Wipe)員工的個人資料

當員工的私人行動設備受到企業的管控,一旦違反企業設定的資安政策,很有可能連同員工私人行動設備與其私人資料都受到影響,例如:登入失敗超過設定次數,直接抹除(Wipe)行動設備所有儲存資料。

以為所有Apps都有使用密碼來加密傳輸流量

企業往往沒有關注到傳輸資料的安全性,因此大多採取明碼傳輸的方式來進行企業內部系統與安裝在行動設備上的Apps的資料交換,這將導致資料外洩的風險。

Virtual Mobile Infrastructure

虛擬行動架構(Virtual Mobile Infrastructure, VMI)是強化BYOD安全管控的最佳解決辦法

VMI的概念,就像我們熟知的虛擬桌面架構(Virtual Desktop Infrastructure, VDI)一樣,能夠將行動設備的作業系統與應用程式、檔案內容等,都透過虛擬化的方式來建置,使用者只要透過網路就能存取這些虛擬的行動設備作業系統。

以前員工如果要存取公司資料,必須先下載企業App到公發行動設備或是私人行動設備裡然後安裝執行,如此作法將讓企業App以及公司資料都落在這些難以管控的行動設備上。

而VMI就像讓員工在公發行動設備或是私人行動設備上執行另一個虛擬的行動設備作業系統,所有在這個虛擬行動作業系統內的操作,都是直接與企業所建置的虛擬行動架構伺服器(VMI Server)溝通,所有資料都保存在企業內部,而非外部的行動設備。

企業管理方便

企業只需針對VMI所提供的平台架構開發一版App,不必隨著使用者行動設備的版本更新而更新,也不必煩惱相容性問題。

資料與App不落地

企業App與公司資料完全在企業內部VMI環境執行,沒有App派送與安裝問題。

支援多平台

VMI提供支援各種行動設備操作的系統與App,不論是Android、iOS或是Windows Mobile都不必擔心。

VMI vs. EMM & VDI

    Virtual Mobile Infrastructure
虛擬行動架構
Enterprise Mobile Management
企業行動管理
Virtual Desktop Infrastructure
虛擬桌面架構
資訊安全
資料落地 資料保存在企業VMI環境中 資料保存在使用者行動設備中 資料保存在企業VDI環境中
APP落地 APP安裝在企業VMI環境中 APP安裝在使用者行動設備中 應用程式安裝在企業VDI環境中
漏洞影響 不會受到行動設備或作業系統的漏洞威脅 資料與APP都在使用者行動設備上,容易遭受竊取 不會受到行動設備或作業系統的漏洞威脅
稽核要求
浮水印稽核 可透過VMI自動產生客制化浮水印,整個VMI內使用的APP與資料都受到浮水印保護 只能提供EMM系統內的文件浮水印 有浮水印功能
公領域稽核 可只針對VMI的APP進行使用者的操作稽核,沒有侵犯到使用者的私領域 公私不分,一律紀錄 可只針對在VDI環境使用的應用程式與資料做稽核
用戶體驗
個人隱私 不侵犯個人隱私,不監控使用者私人行動設備的活動 高度侵犯個人隱私,除可能監控使用者私人行動設備的活動外,亦執行強制管控 不侵犯個人隱私,不監控使用者私人行動設備的活動
設備相容性 無設備相容性問題,因為不須強制管控使用者私人行動設備 因為需要強制管控使用者私人行動設備的相關功能,因此與硬體規格關係甚切 無設備相容性問題,因為不須強制管控使用者私人行動設備
APP使用限制 支援Google Android平台的APP皆可使用 受限於EMM廠商的APP,或是需要額外改寫APP 透過VDI執行桌面版的應用程式在行動設備上操作
APP操作習慣 提供一致的行動設備操作體驗,就像在操作原本的行動設備一樣 受限於EMM廠商的APP設計,須熟悉不同的操作介面 透過VDI執行桌面版的應用程式在行動設備上操作,不符合使用者的操作習慣
IT維運
APP佈署更新 僅需在企業VMI環境進行APP佈署與更新,不影響使用者 需更新所有使用者的私人行動設備內的EMM程式 僅需更新企業VDI環境內的桌面應用程式
APP開發支援 開發人員只須關注Android版本的APP即可在不同平台上使用 需針對EMM的要求客制開發APP,且可能因應不同平台的APP需開發兩次 不須開發APP,但因為是桌面版應用程式,因此須注意行動設備的螢幕呈現效果而調整
平台支援度 支援Android, iOS 或任何支援HTML5的瀏覽器操作使用 根據各家EMM廠商支援能力,可能支援Android, iOS, BlackBerry, Symbian, Windows Phone等 根據各家VDI廠商支援能力,可能支援Android, iOS, Windows Phone等
CAPEX/OPEX 由於管理維護皆在企業內部VMI環境中,集中管理統一維護,因此不須花費大量人力物力,對企業資產支出與營運支出來說相對低廉 企業需耗費大量人力解決使用者私人行動設備的相容性問題、軟體穩定性問題,甚至牽涉到侵犯個人隱私的法律問題 企業需經常為了解決桌面版應用程式在行動設備上的操作使用問題而耗費大量人力成本,無論是IT或是研發。

VMI依據VDI的概念,更完美的解決行動設備在操作使用上的問題;因此,即便VDI有著與VMI一樣的優點,但無法創造出一個友善的行動設備使用環境,就不能稱作是一個良好的企業行動管控解決方案。

如果您對於貴公司目前針對BYOD的管控現況有些想法,歡迎您與我們分享;如果您對於我們所介紹的虛擬行動架構VMI想要有更進一步的了解,也歡迎您來看看數位資安所代理的SierraVMI - Sierraware Virtual Mobile Infrastructure