BYOD需要MDM 兼顾安全及效率
2016/10/24 - DIGITIMES企划
根据资策会FIND在2013年的调查,在台湾持有平板电脑的人,达393万(18.5%),持有智能手机的人,更高达916万(43.1%),若考量其中同时持有智能手机及平板电脑者(12.1%),推估台湾移动族群约有1,053万人,等于平均每2人就有1人持有智能载具,智能载具的普及,也象徵BYOD(Bring Your Own Device)的时代已正式来临。BYOD简言之,就是让员工透过自己的移动设备处理公司事务,大大提升工作效率及生产力。如史上最年轻行政院政务委员唐凤,入阁后的唐凤每周三、五都采取「线上上班」,不仅创下内阁政务每周有两天不在办公室上班的首例,行政院长林全更在立法院备询时指出,只要唐凤有任务,在工作不受影响的情况下,利用电脑线上离传递想法或指示政策,他认为还是可行的。
换言之,唐凤等于就要使用自己的移动设备来处理政院事务,也就是BYOD。事实上,唐凤在行政院使用的设备不只电脑或手机,也包括Oculus Rift的VR器材,在家则用HTC Vive。
唐凤也表示,线上工作的模式,不论在海内外,都有相当多的先例;上午9时至下午5时,她无论在哪个地点,都会执行公务,在办公室(无论院内或是线上)使用VR和回应网友,也都是她工作的一部份。
BYOD管理首重网安议题
事实上,中华电信也指出,目前已有9成的企业已经支持BYOD,或准备支持BYOD。BYOD不仅可以为企业和员工带来不少好处,能让员工获得工作满足感、提高工作效率,更有助公司节省购入和维护装置的成本,减少营运开支,带来庞大的商业价值。
但网友也抨击唐凤此举,有可能会带来网安问题,唐凤也解释:「信息处已经提供加密网络连线,也原本就有线上联网的网安机制,如同另一位网友说的,我认识的信息主管出国考察时,多有这样工作的例,并不是创举。」但BYOD的背后,确实也可能为企业带来更巨大的信息安全的隐忧。
如员工离职能够删除手机上的公司数据?能够限制不允许手机使用镜头功能?私人与未加密的公司数据混在一起?能够侦测员工是否安装有害APP?员工手机不符合网安规定,能限制存取公司数据?网安上的漏洞,该如何有效管理,也成为BYOD管理的首要课题。
中华电信指出,据调查,企业十大网安威胁中,与移动设备有关的就包括移动恶意程序、移动设备遗失及个资外泄等3项,显见移动办公室虽然提升了企业效率,同时也把企业机密带离企业安全防护网,移动设备普及伴随而来的网安风险,成了企业经营的隐忧。
因此企业在导入BYOD解决方案时,往往也需要特别的移动安全防护,让企业可将传统个人电脑上的防护延伸至移动设备,保护智能手机和平板电脑的数据安全。
在信息安全技术方面,一定要能够有效落实,如采用双重角色(Dual-Persona)技术,让使用者可以直觉式的切换个人与公司数据区域,完整将所有公司数据保存于加密安全区(Safezone),确保仅已授权的用户能在安全区内存取敏感的公司数据与企业网络。
邮件管理更是需要加以控管,如禁止附件或本文Copy/Paste,或是禁止公司邮件被搬到其他私人邮信中寄出,同时也要禁止公司信箱被其他APP存取。或是可以保护数据并强迫装置设定口令及加密,并可线上清除遗失装置的数据,避免数据外泄。
透过BYOD移动安全防护,可以大量减少IT人员的负担,防止公司重要数据遗失,危及企业生存,提高移动设备安全的保险措施,防止未授权移动设备存取公司资源,同时也可避免移动设备上的恶意病毒感染公司网络,让企业在支持BYOD政策下,仍可确保公司数据的安全。
利用MDM管理BYOD
BYOD就像是两面刃,虽然可以提升业务效率、降低企业采购成本,却也同时为企业的信息安全埋下了一颗颗不定时炸弹,稍有不慎,就可能让企业陷入危机。企业IT人员最需要是一个安全且容易使用的移动设备管理工具(Mobile Device Management;MDM),让企业可以针对智能移动设备快速部署企业应用,同时有效管理移动设备的安全,确保企业所有移动设备都能够遵循公司规范,达到企业信息安全管理的目的。
此外,完整的MDM,至少要包括设定自动化与装置数据安全、线上APP派送自动化及主动管理移动设备三个部分。在设定自动化与装置数据安全部分,需要做到的功能包括自动监控装置组态设定、自动化派送企业相关设定,并可配合企业安全政策,装置遗失时,可查询装置最位置及线上删除企业数据,做好保全防护。
而在线上APP派送自动化方面,除了APP应用程序派送要做到自动化外,MDM应该要提供企业内部in-hous App Store,节省应用系统上线、维护时间及成本。
至于主动管理移动设备方面,MDM必须要能定时自动蒐集装置软硬件信息、追踪用户APP使用情形,同时有效管制装置配备,并可协助用户线上排除问题。由于移动设备平台类型非常多样,理想的MDM,应该要能够做到全平台(iOS、Android、Windows、MAC、Linux)管控。
此外,MDM应该要将各种功能加以整合,包括「移动设备管理」、「一般设备控管」、「内容过滤」、「机敏数据扫描」等模块于单一管理界面,让IT人员可以从单一主控台来集中管理所有的使用者,提供易用性和可见度,才可有效解决企业内部各类型智能移动设备、PC及NB的网安管理问题。
理想的MDM,不仅要能让IT人员便于管理,同时也要在智能手机和平板电脑上提供熟悉和流畅的体验,让员工能够轻易地在他们的设备里,安装及使用应用程序内的各项功能。
除了移动设备要做好网安防护外,主机系统的网安完整性,更是重要。因为BYOD往往也意味着,一旦主机系统遭到入侵感染,所有的移动设备也会变得不安全。
在过去,传统IT人员面对BYOD,可能需要非常繁复的设定过程,如先是要建立员工帐号,再手动设定邮件帐号、设定联络人、行事历、WI-FI口令,甚至还有可能需要设定VPN,再手动安装员工工作时必要的APP,假如同时有100个新进员工,IT人员需要花费的时间心力,就相当可观。
但如果有了MDM,IT人员可能只需要建立员工帐号,剩下的工作就可以交给MDM,自动完成移动设备上所有设定与安装APP,大量降低IT人员的负担。
科技发展日新月异,员工采购移动设备的速度,恐怕会比任何企业采用的任何技术都要快。当使用者每人平均拥有两个,甚至多达三个设备时,一定会希望无论使用哪种设备、无论在哪里进行连接,都能无缝接入公司网络,而且连线速度要快,足以有效地运行应用,包括提供创新服务和运营业务新方式的新应用,而对企业而言,这也才是真正能让员工可以随时随地为企业提供竞争力的未来关键。
图说:BYOD趋势让员工可以携带自己的装置存取企业内部资源,IT人员的管理难度也跟着提高。(Wikipedia)
