为移动应用筑起防护堡垒

微软推出的Windows Intune云端服务，可协助企业管理Windows Phone、Windows RT、iOS或Android等各式移动设备。数据来源：Microsoft

今时今日，环顾你我的四周，已是一个充满着装置与网络连线的世界，而不再是过往「One User= One Desktop」的时代，企业IT部门如何顺应这个趋势潮流，一方面满足使用者期望的灵活弹性，二方面又兼顾成本、信息安全及法规遵循需求，确实煞费苦心。

对于一个并非Power User，也不太追逐新颖科技的人士，只会依稀记得，iPad在2011年面市，不过是前年的事情，但他肯定料想不到，后续所牵动的移动设备发展速度，竟会如此迅速猛烈！

2012年期间，智能手机加平板电脑的销售量，首度超越个人电脑；预估在2013年期间，智能手机加平板电脑的销售收入，将首度超越个人电脑，销售量更可望来到个人电脑的两倍之多；待至2015年，单单是平板电脑的销售量，都很有机会超越个人电脑。

对照Gartner所提出的2013年十大策略技术发展趋势，里头所指的技术项目，包括名列第一的「移动设备快速普及」、第二的「移动应用程序与HTML5」、第三的「个人云端」，乃至于第十的「企业应用程序商店」，都呼应了移动应用的蓬勃兴起之势。

综合这些现象，可以肯定，「移动」必然是今后企业普遍规划的重点项目，也就是说，企业不分大小，全都希望能够移动起来；但在此同时，企业若未因应此一发展趋势，部署相对应的安全防护策略，恐将导致BYOD沦为「灾难之始」！

Gartner曾经提出未来十年影响IT最重要的发展趋势，其中有两点，皆与BYOD息息相关，一是「新兴的消费者端新技术扩散到企业组织内部」，另一则是「IT及消费电子合并成同一个工作及游戏的设备」。这也意谓着，企业无法再像从前运用统购PC的模式，让所有端点定于一尊，可以预见在内部应用环境中，将充斥着不同操作系统、不同厂牌、不同屏幕尺寸的形形色色装置，每台装置里头所承载的APP应用程序，更将是五花八门。

此一情境，无疑潜藏莫大危机。先不谈别的，单指APP的安装过程，就有许多足以让管理冒出阵阵冷汗的怪异现象，例如使用者不假思索，竟允许应用程序读取移动设备储存的联络人通话，传送电子邮件或使用其他通讯方式的互动频率，此项权限，将可让应用程序储存你的联络人数据；相同的道理，使用者也往往允许应用程序读取移动设备的通话记录，包括来电及已拨电话的相关数据。

根据上述历程，最坏的结局便是，恶意程序私自共享装置持有人的联络人、通话记录等数据。可别以为最终受害者为个人，在现今生活与工作界线渐趋模糊的情况下，单一个人的受害，亦有可能酿成整个企业的危机，岂可不慎！

若企业碍难部署MDM或MAM，如何是好？
企业究竟如何解决上述灾难？经过近两年多来厂商的大声倡议，许多企业IT管理者心中都有解答，那便是移动设备管理(Mobile Device Management；MDM)、移动应用程序管理(Mobile Application Management；MAM)，或者是企业移动管理(Enterprise Mobility Management；EMM)等相关方案。

以其中最常被提及的MDM或MAM而论，前者可侦测并阻挡未经授权的移动设备存取企业数据或应用程序，并确认各移动设备的状态，是否符合企业网安政策的规范；至于后者，则可识别移动设备所安装的APP是否为恶意程序，如果企业另有考量，譬如顾及装置所有权属于员工，亦可选择采取「黑名单」管控方式，防止员工下载有害的APP。

综上所述，不管是MDM或MAM，效益都显而易见，理应可满足很大部分的移动安全管理需求，既然如此，企业本该积极部署才是；只不过，部分网安业者坦言，企业对于这些解决方案的询问度确实不低，但真正决定导入者，却是不成正比，足见企业要想引进这些方案，确实面临一些阻碍。

有哪些阻碍？首先如同前述，移动设备所有权属于员工，此乃不争的事实，企业若欲强加植入MDM或MAM代理程序(Agent)，不免有踩到「侵权」红线之虞；试想，如果员工返回家中，决定将这些Agent予以移除，基本上也算是其个人权利所在，此时企业不论是严加斥责、或强迫再次植入，似乎都有争议。

其次，多数台湾企业皆属中小型规模，不管在于IT部门的人力规模，抑或IT预算格局，都有其限度，对于自行建立并维运MDM或MAM服务器，乃至于每年得按移动设备数量，支付新台币6千到8千元不等的维护费用，负担确实吃重。

难道碍于上述种种因素，企业就得任令BYOD全不设防？当然万万不可。值此时刻，构筑于公有云基础的MDM服务，无疑是化解此一扞格的解法之一。

举例来说，中华电信推出的「企业移动安全防护」，即是以企业为导向之SaaS-based MDM服务，探究其主要特色，首先在于进入门槛低，企业无须斥资建立相关软硬件架构，即可以支付月租费模式，顺势取得MDM管理能量；其次，企业IT人员可集中管控公司内部所有移动设备(涵盖 iOS、Android等不同平台)，除可按不同部门别设定不同安全规范外，亦可藉由大量部署减轻管理负担；再者，则是防毒、防盗、加密一次搞定。

兼管企业网域公用、私有装置
而在微软方面，亦已推出Windows Intune公有云服务，标榜不仅可管理企业网域之内的个人电脑，即使面对无法加入网域的智能手机、平板电脑等移动设备，甚至是非属Windows阵营的iOS或Android设备，通通都能加以管控。

如同Office 365，Windows Intune亦采取订阅服务模式，但值得留意之处，在于Windows Intune不可单独引进，而须连同System Center Configuration Manager 2012(SCCM 2012)一并采购，但经由Windows Intune、SCCM 2012甚或Exchange Server等不同解方案的结合使用，也将因此繁衍更大应用价值。

比方说，企业如果一并采用上述三项管理方案，则不但可以管控移动设备的邮件收发，也能发挥犹如MAM的管理效益，意即管控装置之中的APP应用程序，此外，企业也可将应用程序套件直接上传到Windows Intune服务，然后再侧载到受管理的移动设备之上。

总而言之，企业无论采用属于公有云性质的MDM或MAM服务，抑或自行部署来自SAP、IBM、MobileIron、AirWatch、Good Technology、Zenprise(已被Citrix购并)、Tend Micro、McAfee…等不同厂牌的解决方案，基本上仍是殊途同归，目的都在于为移动设备应用，筑起严密的防护堡垒，同时确保移动设备、应用与数据的安全性。

值得一提的，包括MobileIron、Good Technology或Zenprise等厂商提供的MDM产品，都已内建数据外泄防护(DLP)功能，恰好与企业现正关注的个资防护议题，可谓不谋而合；其中MobileIron透过AppConnect与AppTunnel等技术所组合而成的DLP方案，可用以检测诸如邮件附加档案可否转寄，或能否将内文复制、剪下或贴上等操作行为，借此避免不宵员工意图透过邮件将个资夹带出境。

根据Gartner报告显示，预估待至2017年，全球将有高达65%比例的企业，会导入MDM解决方案，到了那时候，企业只要环顾四周，便不难发现大多数公司都已部署此类管控机制；因此企业为了享有BYOD所造就的生产力，也能兼顾公司数据的保全性，实有必要跨出MDM、MAM或EMM这一步。