企业无法仅靠MDM或MAM因应BYOD

MAM与MDM各有缺点

扞卫企业信息资产的安全，乃是IT部门无可回避的天职，因此面对山雨欲来的「员工携带自有装置(Bring Your Own Device；BYOD)」浪潮，多数MIS可说又爱又恨，如何在满足同仁方便性之余，亦能顾及网安防御的初衷？

为何BYOD会成为备受讨论的议题？看看以下数据，理应不难获得解答。根据网安厂商研究，在2010年，全球企业PC总台数为1.77亿、整体智能手机总台数为3亿、整体平板电脑总台数为0.15亿，预估到了2015年，上述三个数字将分别成为2.46亿、10.17亿、3.26亿。

也就是，前后达五年的期间内，企业个人电脑数量不过才增加39%，但在此同时，散居全球各个角落的智能手机与平板电脑，其数量竟分别大增340%、2,170%，伴随着移动设备的爆炸性成长，员工人人都可望持有一台以上的可携式设备，将之带入企业办公场域，同时满足公私等不同面向的应用需求，势将成为稀松平常之事。

但问题来了，纵使智能手机、平板电脑规格不断演进，再怎麽说，不论在运算速度、储存容量等方面，都有一定的限度，还不太可能在短短几年之内，就发展到等同于个人电脑的水准，所以员工倘若拿这些移动设备存取企业的应用程序或数据，并经过一番编辑(含新增或删除)之后，所产生的新档案或新数据，将不可能悉数留存在装置内部，最方便的去向即是云端，包含私有云或公有云都有可能。

倘若是私有云，由于尚且座落在公司高度管制的辖区内，倒没有什麽大问题，但如果是私有云，可就后患无穷。举一个简单的例子，假使企业为了遵循新版个人数据保护法，已经卯足全劲部署数据外泄防护(DLP)等相关防御系统，其终极目标，就是避免员工有心或无意将个资机敏泄露出去，然而万一员工个个都以移动设备存取公司的应用程序或数据，并将之转存于Dropbox，那麽先前大费周章所做的努力，恐将轻易破功，因为黑客根本不必绞尽脑汁突破企业设下的防线，只需要针对公有云动手，便能搜括到大批个资。

由此看来，BYOD的后遗症并不算小，难免会让MIS心生厌恶，为了阻止公司机敏数据或个人数据，IT团队已经疲于奔命，费了九牛二虎之力，好不容易把防御机制弄得有模有样，如今不过是同仁的便宜行事，随随便便就将这些成果摧毁殆尽，到头来，一旦发生数据外泄，倒楣的不会是别人，一定就是MIS，既然如此，倒不如把BYOD的路封死，凡是有人带自己的装置到办公室，要想连结无线网络、收发电子邮件、连结Intranet、读取任何数据…，很抱歉，通通都不准！

但MIS力阻BYOD风潮蔓延，或许能撑得了一时，但绝非永久，先不说别的，公司高端主管如果表明想以移动设备连结无线网络、收发电子邮件、连结Intranet、读取任何数据，身为下属的MIS，还能豪气干云地说不？此门一开，其他同仁岂能不比照办理？到了那时，先前的禁令便将无疾而终！

难道MIS可以双手一摊，昭告天下说「都是你们自己要BYOD，一切后果自负」，然后索性采取完全放任的态度？当然不行！此时，MIS少不得需要针对BYOD议题做足功课，思考如何导入相对应的防护系统，以免真的出了乱子。

何谓相对应的防护系统？由于BYOD热潮方兴未艾，各路网安厂商打铁趁热，一定将十八般武艺倾巢而出，但说是英雄所见略也好、大家了无新意也罢，这些十八般武艺，到头来通常只剩下两招，一是「移动设备管理(Mobile Device Management；MDM)」，另一就是「移动应用程序管理(Mobile Application Management；MAM)」，影响所及，不少MIS就自然而然地认定，只要手持MDM与MAM两道令牌，即可练就金刚不坏之身，进而在险恶的BYOD丛林里悠然自得。

这样的想法，并不能说大错特错，因为一来有做总比没做好，二来既然那麽多网安业者都力挺MDM及MAM，它们肯定不是空包弹，必然具有相当程度的功效；只不过，若说MIS只此一步，其余再无任何努力空间，听来似乎又有些不对劲。

细数MDM的罩门
深究MDM解决方案的设计理念，其实并不乏「人性本善」的意味，也就是说，公司坚信员工个个都不会蓄意泄露机密数据，只是对于移动设备的使用行为，难免百密一疏，意外沦为数据外泄的帮凶，所以才运用MDM，竭尽所能帮助员工好好地控制移动设备。

于是乎，假使公司只部署了MDM系统，暂未在其他BYOD管控措施上，有太多着墨，在此情况下，员工若欲以自己的移动设备存取公司网络，少不得需要通过帐密输入等层层关卡，某种程度上，可能造成使用上的不便，此即为MDM的罩门之一。

但为了呵护公司数码资产，人人责无旁贷，牺牲一己的不便换得企业营运的永续运转，忍一忍也就过去了，所以当然有人不会将上述罩门看得太过严重；只不过，MDM的缺陷当然并不仅止于此。

MDM还存在哪些弱点？事实上，倘若MIS有心，把市面多达近80余个不同厂牌系统，全都一字排开，看完后一定会有一种感觉，这些MDM都是大同小异，彼此功能项目的差距并不大，大抵不脱设定装置、管理资产、派送程序、套用政策等格局，为何如此？只因MDM功能范围受到先天限制，唯有苹果(Apple)、谷歌(Google)允许这些厂商能做什麽，他们才能做，在此界线之外，如果想发展任何独门秘技，只能走上JB或Root等装置破解之路，然而冒然破解的代价相当之大，因为不管是JB或Root，都可能破坏系统安全性，未蒙其利反先招惹祸害，此为第二道缺憾所在。

至于第三道缺憾，则更加令人堪虑。万一员工遗失装置，里头又存在一些公司的应用程序或数据的话，此时MIS不假思索，一定想动用MDM解决方案之中的线上抹除功能，先将此命令上传至Apple或Google，接着再下达到该移动设备，这般运作方式看似严谨，但其实存在致命弱点，万一拾获装置的有心人士，刻意移驾至没有联网的环境，那麽企业所欲传送的抹除命令便宣告失效，此人就可好整以暇，慢慢地向这台装置挖宝。

MAM情况稍好　但亦非无懈可击
由于MDM尚不足以确保BYOD安全，而且又抑制了使用弹性，导致MAM逐步抬头，成为企业评估导入的第二个标的。MAM的主要精神是，将要求输入帐密的时间点，后推到意欲执行企业App之际，所以较MDM多了几分弹性。

MAM顾名思义是移动应用程序管理，所以使用者在存取企业App时，当然受到一些限制，也隐含若干不便。比方说，万一企业未建立单一签入(SSO)机制，员工每开启一种App，就得输入一次口令，但一旦执行SSO则无此疑虑；再者，员工在执行App之余，若想将个中内容复制或分享到其他App、上传到Dropbox等云端硬盘，或者外传到白名单之外的IP位址，都可能受到限制，端视企业移动安全政策的严谨度而定。

万一企业管制得过严，就会出现一个后遗症。举例来说，假使员工意欲读取附加于邮件的图档，或想要编辑附加档案的文字，除非公司费心开发看图或编辑工具，否则都将变得滞碍难行，但企业欲自行发展具备这些功能的App，可行性其实也不大，所以终将对员工生产力造成不小冲击。

有监于此，若干MAM供应商开始铺陈应用程序生态系统概念，亦即在一定框限内，置入一些已确定安全无虞的功能型App，使得企业无须变更程序码，即可将档案加以分享并后制，一旦处理完毕，也绝无外流之虞，借此填补上述缺憾。

总括而论，MDM及MAM之于企业移动管理方案，不过是其中一环、而非全部，更重要的，企业的移动安全管理政策(例如凭证、口令控制原则)、及相关基础架构，也必须都要到位，才能确保BYOD安全性。