由移动管理生命周期建立防御机制

移动设备生命周期管理架构

如同前一章节所述，MIS要想在充满变量的BYOD丛林中安身立命，有了MDM与MAM，虽然可收到一定效果，但显然还不足以披荆斩棘；那麽，MIS尚须补强哪些环节？

拥有移动设备管理、移动应用程序管理等解决方案，为何还不足以确保企业BYOD之安全无虞？要探究这个问题的解答，必须回到最源头，先行检视可能导致企业移动管理出现缺口的因素，究竟有哪些？

总结来说，企业可能面临的移动安全威胁，不外有几个项目，包含了移动设备的遗失或遭窃、数据外泄、遭受恶意程序攻击、共享装置与口令、装置破解(含Jailbreaking及Rooting)，以及Wi-Fi与无线网络窃听；看到这里，稍具经验的MIS理应可以心领神会，光靠MDM与MAM，确实难以全面涵盖上述各大威胁。

多数MIS不禁要问，到底怎麽做，才能为公司创造安全的BYOD应用环境？其关键就在于，MIS一定要先了解BYOD的三大环节－装置、应用程序、数据，进而在不改变同仁使用习惯的前提下，竭尽所能为这三个环节套上金钟罩，让外部有心人士进不来，意图挟带机敏数据出境的员工也出不去，就成功了一大半。

因应移动管理生命周期　逐项对症下药
在2011年底，知名分析机构Forrest，提出了一份有关移动管理生命周期的解读，从使用者识别及单一签入、将安全政策套入装置(Device Compliance)开始，此后还涉及网络安全、装置管理、应用程序管理、数据保护、装置安全等诸多环节。

就当前与BYOD议题连结度最高的MDM解决方案来看，仅碰触到上述的Device Compliance、装置管理、装置安全、数据保护等环节，勉可含括App控制、装置设定、装置注册、装置定位、装置锁定、服务管理、线上抹除、反恶意程序、防范装置破解、口令保护等细部项目，看似不少，但充其量也只涵盖半壁江山。至于MAM，则与应用程序管理、使用者识别及单一签入、数据保护等环节较为相关，同样未能触及所有构面。

因此可以肯定，综观现阶段市面上任何与BYOD相关的安全解决方案，尚无任何一项，有能力涵盖完整的移动管理生命周期。

在此前提下，企业意欲建构移动安全防护堡垒，切莫妄图一步到位，理应采取分阶段部署模式，导入MDM及MAM，可算是第一步，但此后的第二、三、四…步骤，仍有持续补强的空间。
那麽第二步应该是什麽？不妨就从MDM及MAM力有未逮之处下手，使用者认证与凭证管理即是一例，可针对此一环节，评估导入增强式验证方案，一旦将此事做好，不仅有助于强化移动应用安全性，亦可提供更为理想的使用者体验。

所谓增强式验证，一般来说，企业可以努力的方向算是不少，双因素身份认证便是其中一例，最典型的解决方案即是动态口令(One-Time Password；OTP)。只要建立了这个机制，每隔30秒或1分钟即会变换一次口令，使得黑客「闯空门」的难度大幅高涨，终至牢牢保护用者的帐号与口令，确保企业网络与网站存取点的安全性；惟此一机制需要留意的地方，乃在于万一员工的智能手机或平板电脑因故障送修，暂时被迫采用备用装置，那麽他的个人身份与装置识别ID之间的连结性，就会因此而丧失，在名目上已不算是公司的合法使用者，值此时刻，MIS就必须采取权宜之计，先将原本注册予以取消，继而思考是要让备用装置加入注册，或暂时以电子邮件或简讯当做OTP载具，借此填补空窗期。

此外，企业亦需致力深化单一签入架构与移动设备之间的整合性。针对这个议题，许多公司都曾面临一个吊诡之处，意即员工使用移动设备，自然而然会期望能使用公司的Wi-Fi网络，但往往给了这个方便性，就可能带来无穷无尽的危机，为了解决这个难题，企业不妨可考虑建立一个闸道机制，规定所有无线存取行为，都必须要接受这个闸道的把关，一旦验证无误，才能使用各项企业服务，包括存取公司的私有云、或者是与公司具有合作关系的私有云，其实都可比照办理，而其间的一切传输路径，都予以全程加密。

当然，如果企业考量到某些关键应用服务，光靠单一闸道器过滤把关，或许担心有所不足，此时OTP就可派上用场，作为另一道凭证。

邮件存取安全　亦须严阵以待
不可讳言，邮件恒常是泄露企业机密的主要途径之一，既然如此，就必须善尽邮件存取安全的把关之责。

针对此一防护需求，MIS通常第一个想到的，就是设法阻止邮件转寄，也就是说，员工若是有意或无意，想利用公司信箱把数据外寄出去，肯定行不通。只不过，此事所隐含的重大盲点在于，意图泄露数据的不宵员工，怎可能大摇大摆地运用企业信箱？他肯定会把脑筋动到Web Mail之上！

所幸新版iOS已支持MDM服务，内含「不允许转寄」之功能，企业只要善加运用，即可防堵员工意图利用Web Mail转寄公司信件；但正所谓百密仍有一疏，防得了员工转寄信件，却防不了他将整份内容Copy & Paste，然后再利用Web Mail寄出，由于此行为不涉及「转寄」，所以根本不在公司缺省的防护范畴之列，可以说爱怎麽寄、就怎麽寄，完全拿他没辄。

看到这里，相信不少MIS肯定打了一个寒颤，心想经过了移动设备这个变量后，怎会让邮件存取安全变得如此棘手？事实上，这些缺陷实为其来有自，可归咎于移动设备内建的邮件软件功能，实在不怎麽高明，它没办法区隔公司与个人数据，没办法限制Copy & Paste行为，更没办法限制使用者将邮件附档储存在任何应用程序，光是这些罩门，就足以让一堆传统防御机制一个个破功。

唯今之计，企业恐需要认真思考导入移动电子邮件安全方案，才能有效因应BYOD特殊的环境需求；借助此类产品，不宵员工妄想以Copy & Paste加Web Mail模式，私自夹带机密出境，势将无法得偿所愿，不仅如此，企业还可顺势针对收发信件的终端装置加以设限，只要是未受公司管制、也没通过验证的移动设备，一律不允许收信，如此一来，不宵员工若想套用公司的邮件设定，运用「辖区」外的装置另起炉灶，也将会踢到铁板。

除此之外，一些看来「扯得有点远」的后台网安系统，纵使不是针对BYOD应运而生，但倘若予以补强，仍有助于强化BYOD安全性。比方说，现今所谓的次时代防火墙(Next Generation Firewall)，可一举提供病毒防护、阻挡垃圾邮件、封锁应用程序、整合Active Directory、内容过滤器、网络行为侦测等诸多功能，亦可对应用层级的服务存取及流量加以限定，藉由这些元素，足以健全企业网络基础架构，并确保企业网络存取行为之安全，对BYOD实有一番贡献。

再者，随着潜藏在移动平台的恶意程序数量激增，无疑为黑客开启另一扇方便之间，使其有机会能利用应用程序或通讯协定的弱点，藉由移动设备跳板潜入企业网络，针对企业应用服务进行非法存取，或者窃取数据、甚至强制中断网页服务，从而让企业蒙受损失；在此情况下，企业若已布建网页应用程序防火墙(WAF)，即可望就近保护网页应用程序与网站，避免遭受侵扰。