MIS要想在充滿變量的BYOD叢林中安身立命，有了MDM與MAM，雖然可收到一定效果，但顯然還不足以披荊斬棘;那么，MIS尚須補(bǔ)強(qiáng)哪些環(huán)節(jié)? 擁有移動(dòng)設(shè)備管理、移動(dòng)應(yīng)用程序管理等解決方案，為何還不足以確保企業(yè)BYOD之安全無(wú)虞?要探究這個(gè)問(wèn)題的解答，必須回到最源頭，先行檢視可能導(dǎo)致企業(yè)移動(dòng)管理出現(xiàn)缺口的因素，究竟有哪些?

　　總結(jié)來(lái)說(shuō)，企業(yè)可能面臨的移動(dòng)安全威脅，不外有幾個(gè)項(xiàng)目，包含了移動(dòng)設(shè)備的遺失或遭竊、資料外泄、遭受惡意程序攻擊、共享設(shè)備與密碼、設(shè)備破解(含Jailbreaking及Rooting)，以及Wi-Fi與無(wú)線網(wǎng)絡(luò)竊聽(tīng);看到這里，稍具經(jīng)驗(yàn)的MIS理應(yīng)可以心領(lǐng)神會(huì)，光靠MDM與MAM，確實(shí)難以全面涵蓋上述各大威脅。

　　多數(shù)MIS不禁要問(wèn)，到底怎么做，才能為公司創(chuàng)造安全的BYOD應(yīng)用環(huán)境?其關(guān)鍵就在于，MIS一定要先了解BYOD的三大環(huán)節(jié)-設(shè)備、應(yīng)用程序、資料，進(jìn)而在不改變同仁使用習(xí)慣的前提下，竭盡所能為這三個(gè)環(huán)節(jié)套上金鐘罩，讓外部有心人士進(jìn)不來(lái)，意圖挾帶機(jī)敏資料出境的員工也出不去，就成功了一大半。

　　因應(yīng)移動(dòng)管理生命周期　逐項(xiàng)對(duì)癥下藥 在2011年底，知名分析機(jī)構(gòu)Forrest，提出了一份有關(guān)移動(dòng)管理生命周期的解讀，從使用者識(shí)別及單一簽入、將安全政策套入設(shè)備(Device Compliance)開(kāi)始，此后還涉及網(wǎng)絡(luò)安全、設(shè)備管理、應(yīng)用程序管理、資料保護(hù)、設(shè)備安全等諸多環(huán)節(jié)。

　　就當(dāng)前與BYOD議題連結(jié)度最高的MDM解決方案來(lái)看，僅碰觸到上述的Device Compliance、設(shè)備管理、設(shè)備安全、資料保護(hù)等環(huán)節(jié)，勉可含括App控制、設(shè)備設(shè)定、設(shè)備注冊(cè)、設(shè)備定位、設(shè)備鎖定、服務(wù)管理、遠(yuǎn)端抹除、反惡意程序、防范設(shè)備破解、密碼保護(hù)等細(xì)部項(xiàng)目，看似不少，但充其量也只涵蓋半壁江山。至于MAM，則與應(yīng)用程序管理、使用者識(shí)別及單一簽入、資料保護(hù)等環(huán)節(jié)較為相關(guān)，同樣未能觸及所有構(gòu)面。

　　因此可以肯定，綜觀現(xiàn)階段市面上任何與BYOD相關(guān)的安全解決方案，尚無(wú)任何一項(xiàng)，有能力涵蓋完整的移動(dòng)管理生命周期。

　　在此前提下，企業(yè)意欲建構(gòu)移動(dòng)安全防護(hù)堡壘，切莫妄圖一步到位，理應(yīng)采取分階段部署模式，導(dǎo)入MDM及MAM，可算是第一步，但此后的第二、三、四…步驟，仍有持續(xù)補(bǔ)強(qiáng)的空間。 那么第二步應(yīng)該是什么?不妨就從MDM及MAM力有未逮之處下手，使用者認(rèn)證與憑證管理即是一例，可針對(duì)此一環(huán)節(jié)，評(píng)估導(dǎo)入增強(qiáng)式驗(yàn)證方案，一旦將此事做好，不僅有助于強(qiáng)化移動(dòng)應(yīng)用安全性，亦可提供更為理想的使用者體驗(yàn)。

　　所謂增強(qiáng)式驗(yàn)證，一般來(lái)說(shuō)，企業(yè)可以努力的方向算是不少，雙因素身分認(rèn)證便是其中一例，最典型的解決方案即是動(dòng)態(tài)密碼(One-Time Password;OTP)。只要建立了這個(gè)機(jī)制，每隔30秒或1分鐘即會(huì)變換一次密碼，使得黑客“闖空門”的難度大幅高漲，終至牢牢保護(hù)用者的賬號(hào)與密碼，確保企業(yè)網(wǎng)絡(luò)與網(wǎng)站存取點(diǎn)的安全性;惟此一機(jī)制需要留意的地方，乃在于萬(wàn)一員工的智能型手機(jī)或平板計(jì)算機(jī)因故障送修，暫時(shí)被迫采用備用設(shè)備，那么他的個(gè)人身分與設(shè)備識(shí)別ID之間的連結(jié)性，就會(huì)因此而喪失，在名目上已不算是公司的合法使用者，值此時(shí)刻，MIS就必須采取權(quán)宜之計(jì)，先將原本注冊(cè)予以取消，繼而思考是要讓備用設(shè)備加入注冊(cè)，或暫時(shí)以電子郵件或簡(jiǎn)訊當(dāng)做OTP載具，藉此填補(bǔ)空窗期。

　　此外，企業(yè)亦需致力深化單一簽入架構(gòu)與移動(dòng)設(shè)備之間的整合性。針對(duì)這個(gè)議題，許多公司都曾面臨一個(gè)吊詭之處，意即員工使用移動(dòng)設(shè)備，自然而然會(huì)期望能使用公司的Wi-Fi網(wǎng)絡(luò)，但往往給了這個(gè)方便性，就可能帶來(lái)無(wú)窮無(wú)盡的危機(jī)，為了解決這個(gè)難題，企業(yè)不妨可考慮建立一個(gè)閘道機(jī)制，規(guī)定所有無(wú)線存取行為，都必須要接受這個(gè)閘道的把關(guān)，一旦驗(yàn)證無(wú)誤，才能使用各項(xiàng)企業(yè)服務(wù)，包括存取公司的私有云、或者是與公司具有合作關(guān)系的私有云，其實(shí)都可比照辦理，而其間的一切傳輸路徑，都予以全程加密。

　　當(dāng)然，如果企業(yè)考量到某些關(guān)鍵應(yīng)用服務(wù)，光靠單一閘道器過(guò)濾把關(guān)，或許擔(dān)心有所不足，此時(shí)OTP就可派上用場(chǎng)，作為另一道憑證。

　　郵件存取安全　亦須嚴(yán)陣以待 不可諱言，郵件恒常是泄露企業(yè)機(jī)密的主要途徑之一，既然如此，就必須善盡郵件存取安全的把關(guān)之責(zé)。

　　針對(duì)此一防護(hù)需求，MIS通常第一個(gè)想到的，就是設(shè)法阻止郵件轉(zhuǎn)寄，也就是說(shuō)，員工若是有意或無(wú)意，想利用公司信箱把資料外寄出去，肯定行不通。只不過(guò)，此事所隱含的重大盲點(diǎn)在于，意圖泄露資料的不宵員工，怎可能大搖大擺地運(yùn)用企業(yè)信箱?他肯定會(huì)把腦筋動(dòng)到Web Mail之上!

　　所幸新版iOS已支援MDM服務(wù)，內(nèi)含“不允許轉(zhuǎn)寄”之功能，企業(yè)只要善加運(yùn)用，即可防堵員工意圖利用Web Mail轉(zhuǎn)寄公司信件;但正所謂百密仍有一疏，防得了員工轉(zhuǎn)寄信件，卻防不了他將整份內(nèi)容Copy & Paste，然后再利用Web Mail寄出，由于此行為不涉及“轉(zhuǎn)寄”，所以根本不在公司預(yù)設(shè)的防護(hù)范疇之列，可以說(shuō)愛(ài)怎么寄、就怎么寄，完全拿他沒(méi)輒。

　　看到這里，相信不少M(fèi)IS肯定打了一個(gè)寒顫，心想經(jīng)過(guò)了移動(dòng)設(shè)備這個(gè)變量后，怎會(huì)讓郵件存取安全變得如此棘手?事實(shí)上，這些缺陷實(shí)為其來(lái)有自，可歸咎于移動(dòng)設(shè)備內(nèi)建的郵件軟件功能，實(shí)在不怎么高明，它沒(méi)辦法區(qū)隔公司與個(gè)人資料，沒(méi)辦法限制Copy & Paste行為，更沒(méi)辦法限制使用者將郵件附檔儲(chǔ)存在任何應(yīng)用程序，光是這些罩門，就足以讓一堆傳統(tǒng)防御機(jī)制一個(gè)個(gè)破功。

　　唯今之計(jì)，企業(yè)恐需要認(rèn)真思考導(dǎo)入移動(dòng)電子郵件安全方案，才能有效因應(yīng)BYOD特殊的環(huán)境需求;借助此類產(chǎn)品，不宵員工妄想以Copy & Paste加Web Mail模式，私自?shī)A帶機(jī)密出境，勢(shì)將無(wú)法得償所愿，不僅如此，企業(yè)還可順勢(shì)針對(duì)收發(fā)信件的終端設(shè)備加以設(shè)限，只要是未受公司管制、也沒(méi)通過(guò)驗(yàn)證的移動(dòng)設(shè)備，一律不允許收信，如此一來(lái)，不宵員工若想套用公司的郵件設(shè)定，運(yùn)用“轄區(qū)”外的設(shè)備另起爐灶，也將會(huì)踢到鐵板。

　　除此之外，一些看來(lái)“扯得有點(diǎn)遠(yuǎn)”的后臺(tái)資安系統(tǒng)，縱使不是針對(duì)BYOD應(yīng)運(yùn)而生，但倘若予以補(bǔ)強(qiáng)，仍有助于強(qiáng)化BYOD安全性。比方說(shuō)，現(xiàn)今所謂的次世代防火墻(Next Generation Firewall)，可一舉提供病毒防護(hù)、阻擋垃圾郵件、封鎖應(yīng)用程序、整合Active Directory、內(nèi)容過(guò)濾器、網(wǎng)絡(luò)行為偵測(cè)等諸多功能，亦可對(duì)應(yīng)用層級(jí)的服務(wù)存取及流量加以限定，藉由這些元素，足以健全企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，并確保企業(yè)網(wǎng)絡(luò)存取行為之安全，對(duì)BYOD實(shí)有一番貢獻(xiàn)。

　　再者，隨著潛藏在移動(dòng)平臺(tái)的惡意程序數(shù)量激增，無(wú)疑為黑客開(kāi)啟另一扇方便之間，使其有機(jī)會(huì)能利用應(yīng)用程序或通訊協(xié)定的弱點(diǎn)，藉由移動(dòng)設(shè)備跳板潛入企業(yè)網(wǎng)絡(luò)，針對(duì)企業(yè)應(yīng)用服務(wù)進(jìn)行非法存取，或者竊取資料、甚至強(qiáng)制中斷網(wǎng)頁(yè)服務(wù)，從而讓企業(yè)蒙受損失;在此情況下，企業(yè)若已布建網(wǎng)頁(yè)應(yīng)用程序防火墻(WAF)，即可望就近保護(hù)網(wǎng)頁(yè)應(yīng)用程序與網(wǎng)站，避免遭受侵?jǐn)_。