員工在工作過程中運(yùn)用智慧型手機(jī)與平板電腦已是常態(tài),移動(dòng)設(shè)備管理系統(tǒng)也開始崛起,但過去這類產(chǎn)品的運(yùn)用較缺乏彈性,隨著技術(shù)的改良,現(xiàn)在功能已趨于成熟
針對(duì)智慧型手機(jī)或平板電腦等移動(dòng)設(shè)備的管理系統(tǒng),發(fā)展至今已經(jīng)有一段時(shí)間,而且從最初的移動(dòng)設(shè)備功能管理(Mobile Device Management,MDM),例如照相、Wi-Fi、藍(lán)牙傳輸,甚之記憶卡的讀取等功能控管,現(xiàn)在已經(jīng)演進(jìn)成App安裝控管(Mobile Application Management,MAM),包括強(qiáng)制安裝或禁止使用特定應(yīng)用程式,以及針對(duì)移動(dòng)設(shè)備的電子郵件、可存取的各類文件內(nèi)容控管(Mobile Content Management,MCM)。
以這樣的發(fā)展過程來看,不難發(fā)現(xiàn)移動(dòng)設(shè)備的控管,目的都是為了資訊安全,因此作法上,無非是希望限定裝置特定區(qū)域不能使用某些功能、不能使用特定應(yīng)用程式,或是不讓這些裝置變成機(jī)敏資料外流的漏洞。
管理原則與管控方法已趨于一致
在本次測(cè)試的5套移動(dòng)設(shè)備管理系統(tǒng)中,絕大多數(shù)都同時(shí)包含了MDM與MAM,例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control,以及Kaspersky Security for Mobile等,另外也有針對(duì)MCM控管的LetMobile。我們?cè)趯?shí)際測(cè)試與使用這些管理系統(tǒng)之后發(fā)現(xiàn),可管控的程度已經(jīng)相當(dāng)成熟,差異在于操作介面、管理邏輯,或是管理原則的指派與配對(duì)等。
目前所有移動(dòng)設(shè)備管理系統(tǒng),在發(fā)布與派送管理原則與內(nèi)容的時(shí)候,方法大致可分為3種,分別是透過Exchange ActiveSync、App Store與iOS描述檔等。
舉例來說,多數(shù)MDM系統(tǒng)對(duì)iOS平臺(tái)移動(dòng)設(shè)備的管控方法,都是安裝描述檔,而App的管控,則是采用專屬的App,并在這些移動(dòng)設(shè)備上開啟特定的App。例如Citrix XenMobile搭配的Worx Home,SOTI的MobiControl及Sophos Mobile Control,都是搭配同名的App,且可以設(shè)定被控的員工移動(dòng)設(shè)備強(qiáng)迫安裝或建議安裝的App,并可直接開啟。
使用Exchange ActiveSync派送
在微軟的Exchange ActiveSync協(xié)定中,其實(shí)就內(nèi)建移動(dòng)設(shè)備管理的功能,只要企業(yè)采用支援ActiveSync的電子郵件伺服器,在移動(dòng)設(shè)備收發(fā)電子郵件的時(shí)候,都可將移動(dòng)設(shè)備管理系統(tǒng)的管理原則,同時(shí)派送至裝置上。
以Kaspersky Security for Mobile(KSM)為例,管理人員可以在Exchange ActiveSync移動(dòng)設(shè)備伺服器的設(shè)定中,直接指派設(shè)定檔案給使用者的電子郵件,只要使用者從移動(dòng)設(shè)備收發(fā)這個(gè)帳號(hào)的電子郵件,就會(huì)一并將管理政策下載并部署與套用到裝置上。
安裝應(yīng)用程式
在移動(dòng)設(shè)備上透過安裝專屬應(yīng)用程式App來管控的這種作法,最主要的功能與目的,就是將公事與私人使用隔離。
在專屬App內(nèi),管理人員可以派送建議使用者應(yīng)該裝的應(yīng)用程式或文件,而在App以外的任何操作,都是采用沙盒(SandBox)的設(shè)計(jì),讓該App內(nèi)的所有操作都是獨(dú)立的,并不影響移動(dòng)設(shè)備本身與其他App的使用。另一方面,該App以外的任何操作,也都不會(huì)影響到這個(gè)App的內(nèi)容(除了移除安裝)。
安裝系統(tǒng)描述檔
iOS裝置在發(fā)布與接收管控原則時(shí),一般都是使用描述檔的方式,管理者在透過移動(dòng)設(shè)備管理系統(tǒng)設(shè)定好控管內(nèi)容,并建立好描述檔之后,就會(huì)產(chǎn)生描述檔的下載連結(jié),接著,不論是透過訊息、電子郵件傳送或是產(chǎn)生QR Code,讓使用者從移動(dòng)設(shè)備開啟該連結(jié),之后就會(huì)自動(dòng)引導(dǎo)到系統(tǒng)設(shè)定的描述檔安裝畫面中,此時(shí),只要點(diǎn)選安裝,就會(huì)將管理原則部署到裝置上。
可管控的功能更進(jìn)階,應(yīng)用情境更廣
在移動(dòng)設(shè)備管理系統(tǒng)管控的功能方面,多數(shù)MDM系統(tǒng)實(shí)際上可控管的項(xiàng)目與細(xì)節(jié),其實(shí)都相當(dāng)接近。例如基本的照相控管、強(qiáng)制密碼強(qiáng)度、強(qiáng)制開啟GPS定位、遠(yuǎn)端抹除設(shè)備、限制特定網(wǎng)頁,或是預(yù)先派送Wi-Fi設(shè)定檔等。
以這些功能來說,其實(shí)在前幾年就已經(jīng)相當(dāng)成熟,但是本次采購特輯中,我們另外還發(fā)現(xiàn),Android與iOS平臺(tái)的裝置管理開始有了一些不一樣的變化。
Android與iOS平臺(tái)之間最大的差別,就在于軟、硬件的開放。iOS裝置,不論是手機(jī)或平板,作業(yè)系統(tǒng)與硬件都是由Apple自行開發(fā),而Android平臺(tái)則提供各家廠商自行開發(fā)硬件,并可修改與自定使用者介面及功能。
而移動(dòng)設(shè)備管理系統(tǒng)要對(duì)Android裝置進(jìn)一步的管控,就必須取得由這些手機(jī)與平板開發(fā)商提供的API,以取得這些裝置的特定功能。
例如,本次除了LetMobile之外,其他MDM廠商都可針對(duì)Samsung的移動(dòng)設(shè)備進(jìn)行進(jìn)階的管控。而且管控內(nèi)容相當(dāng)詳盡,包括電池電量、手機(jī)的電信商,甚至信號(hào)強(qiáng)度等,都可以當(dāng)做是管理原則的條件。另一方面,Samsung也研發(fā)加強(qiáng)移動(dòng)設(shè)備安全的Knox,而上述這些廠商也都提供對(duì)Knox的支援。
而Apple的移動(dòng)設(shè)備從iOS 7開始,也開始加入商務(wù)與企業(yè)應(yīng)用的功能,例如能為App設(shè)定獨(dú)立的VPN、單一登入、以及專屬的MDM設(shè)定選項(xiàng)等
你會(huì)好奇,能夠取得這些詳細(xì)的設(shè)定條件,對(duì)管理上有什麼幫助。舉例來說,移動(dòng)設(shè)備的GPS定位功能,以往最常使用的情境,就是在裝置遺失的時(shí)候使用,但現(xiàn)在的移動(dòng)設(shè)備管理系統(tǒng),可以運(yùn)用定位的功能,達(dá)到在特定區(qū)域的時(shí)候,就開啟或鎖定某項(xiàng)功能。
以SOTI MobiControl為例,它可以畫定某個(gè)區(qū)域(必須圍起來),并設(shè)定移動(dòng)設(shè)備抵達(dá)或離開該區(qū)域的時(shí)候,啟動(dòng)或關(guān)閉某功能。例如,可以將公司辦公室的區(qū)域,以地理資訊定義起來,并設(shè)定裝置抵達(dá)公司的時(shí)候,就把照相功能關(guān)閉。這樣的功能對(duì)科技園區(qū)的企業(yè)或軍方單位等,需要嚴(yán)格控管的環(huán)境來說,相當(dāng)實(shí)用。
而連線的方式上,許多MDM系統(tǒng)為了加強(qiáng)移動(dòng)設(shè)備與企業(yè)內(nèi)部連線的安全性,都會(huì)建立專屬且全程采加密的連線通道,避免這些裝置成為資安的漏洞。
系統(tǒng)建置與裝置授權(quán)價(jià)格落差大
在系統(tǒng)建置的需求方面,有不少M(fèi)DM產(chǎn)品都提供自行建置管理伺服器的選擇,并可與企業(yè)既有的IT環(huán)境整合,例如AD、Exchange Server等,同時(shí)它們也都提供SaaS云端代管的服務(wù)。
唯一例外的,就是Kaspersky的KSM,因?yàn)樗强ò退够髽I(yè)端點(diǎn)安全解決方案的一部分模組,因此不像其他MDM系統(tǒng),可直接與既有環(huán)境整合。如果企業(yè)環(huán)境選用其他防毒系統(tǒng),且沒有打算更換,在導(dǎo)入與整合這套系統(tǒng)就會(huì)比較麻煩。同時(shí),KSM也是唯一無法使用網(wǎng)頁登入管理介面的系統(tǒng),它必須在特定的電腦上安裝管理應(yīng)用程式,管理的靈活度比較受限制。
而價(jià)格的部份,這5套MDM系統(tǒng)都提供訂閱的授權(quán)方式,可用每臺(tái)裝置或每位使用者為計(jì)價(jià)單位,以第一年的費(fèi)用為例,像Citrix XenMobile(同時(shí)包含MDM與MAM功能)的8,000多元,到Kaspersky KSM(KESB標(biāo)準(zhǔn)版)的1,840元,落差相當(dāng)大,而,后續(xù)每年則要支付系統(tǒng)升級(jí)維護(hù)費(fèi)用。因?yàn)椴扇∵@樣的計(jì)價(jià)方式,長久來看并不劃算,因此多數(shù)企業(yè)都選擇買斷授權(quán),代價(jià)是后續(xù)將無法更新與升級(jí),但長遠(yuǎn)來看比較劃算。
采用沙盒設(shè)計(jì),可獨(dú)立運(yùn)作不影響使用者App
圖為Citrix Worx Home App
許多MDM廠商在應(yīng)用程式與文件的控管上,都使用專屬App,并采用沙盒的架構(gòu),讓工作相關(guān)的應(yīng)用程式,如電子郵件,可在這個(gè)App內(nèi)開啟,而關(guān)閉之后資料并不會(huì)遺留在裝置上。且對(duì)使用者來說,這樣的設(shè)計(jì),可以將個(gè)人與公事區(qū)隔開,且不會(huì)影響到個(gè)人隱私。