觀點

難以拒絕BYOD 企業應先祭出政策

2012 / 05 / 18
吳依恂
難以拒絕BYOD  企業應先祭出政策

什麼是行動上網?從裝置來看,過去的載體多為筆記型電腦、PDA,作業系統也以Windows為主。現在則有許多不同的載體,像是平板電腦或智慧型手機,作業系統從iOS、Android或是BlackBerry OS等,並且,即使在離線狀態,也要能夠透過應用程式持續執行其工作。

 

企業還在尋找App價值 用的多才有安全管理需求

對企業來說,運用行動裝置的好處就在於能夠隨時隨地連入系統,讓員工可以即時回報、呈現業務狀況,行動應用的例子,很多都是從高階主管開始,例如說Push mail便是一個殺手級應用的例子,系統可以自動每天push報表到CEO的行動裝置上,一段時間後,CEO閱讀完畢了就自動收回 ; 或是每天push金融市場狀況到理專的行動裝置;甚至是中央統一發送訊息給企業內每個行動裝置,公布訊息。Mobileiron代理商M.tech產品經理潘凱哲就說,除了這些應用以外,企業也開始對行動裝置有更多的管理需求,國內也已經有SI自行寫程式開發加值服務,配合行動裝置管理解決方案,整合客戶需求。

然而就算企業已經開始思考如何善用行動裝置的優勢,企業仍然在思考應用程式的價值在哪裡?黃仁政說,由於企業的M化不會像E化那樣一下投入許多資源,M化角色仍為業務的附加價值,即使不做也不見得會立即造成業務完全不能進行,卻仍然是一個軟體工程。從整體策略來看,M化加上管理和安全考量的成本,企業也許還需要找到明確的應用價值,這就跟E化一樣有很多層面的考量。

 

消費導向取代企業 不得不面對的行動控管問題

近年來行動裝置的流行風潮約有兩波,Sybase系統顧問黃仁政說,第一波約在7、8年前,當時風行的是CRM的銷售力自動化系統(SFA, Sales Force Automation),其功能主要是可以幫助業務進行接觸管理,應用方式是由企業統一採購配發,而當時的行動裝置作業系統以Windows Mobile為主,不過當時遇到的瓶頸,主要就在於裝置採購的費用高昂,因此使用企業有限。

如今的第二波行動風潮,主要是來自於Apple iOS各種行動裝置的盛行,而且是從消費端帶起。Mobile市場小且變化、淘汰快,在整個產業中除了大型SI以外,當年叱吒風雲的手機廠商如今有些卻都榮景不再,開發行動應用程式的ISV業者更是變化快速,跟企業使用的應用程式架構更是孑然不同。而考量到近年來經濟環境的險峻考驗,相較於第一波的風潮,企業在IT花費上更加謹慎,基於許多員工都已擁有行動裝置,再加上行動化趨勢的盛行,員工希望能夠透過自己的裝置來連接企業應用,以提高業務行動力和服務,而此時企業相對應需要提供的,便是將現有的系統應用程式移植到行動裝置。企業想創造業務新價值、節省成本,員工希望能運用自己的個人裝置,更方便、更即時。

在企業上的應用方面,除了電子郵件以外,ERP的各種應用程式也有諸多行動運用,例如最簡單的簽核工具,黃仁政說,若是動作快的話約一、兩個禮拜就可以移轉完成(堪用)。以目前的市場情況來說,不管是ERP廠商或是SI都在大力推廣行動APP,若真正應用的情況更多,管理及安全問題的需求才會真正的出現。

產業行動應用態度轉變 但控管仍受限於作業系統

稍早提到的第一波行動風潮,其應用產業多以流通業為主,這些特殊應用主要還是會使用專業的工業行動裝置,例如警政單位可即時查緝贓車;電信業針對全台各點的故障維修或裝頻寬服務,需有全省派工作業,都已經從批工單的方式轉變成透過行動裝置接收、回傳資料等,不過這些特殊的工業運用裝置都必需要耐摔、防水。

而其他產業,多半是使用一般商用行動裝置的族群,如金融業的理專、保險業務員;服務業,如房仲業等,這些產業的運用優勢多半在於對服務客戶的即時度。過去可能壽險業者會允許保險業務員採用自己的筆電連回公司系統,產生保單,但現在業務員可能會選用不同的平板裝置來取代筆電,作業系統也就會逐漸不再像從前的單純。而即使都是保險公司,銷售業務的文化不同,控管也會有很大差異,有些保險公司銷售模式以保險代理人為主,客戶資料屬業務員個人經營,但也有些保險公司採取集中控管,客戶資料都是公司的資產,IT可能就會開發行動網頁,讓業務員可以用連回公司系統,黃仁政說,所以也有些企業,並不開發也不支援相關的應用程式,認為採取VPN連線方式最安全,至於好不好用,可能並不是最優先的考量。也有類似的例子,例如某家電子商務業的資安人員直言,目前仍採用加密連線與憑證結合的方式,來提供在外的行動上網服務給同仁使用,若要讓使用者更方便的連接到企業內部系統,則必須開發相關的行動應用程式,否則就會有支援度的問題,但既然不支援,也就不會有太大的資安問題。

此外像是高科技製造業的態度也慢慢在轉變,林士龍表示,一些一線高科技製造業大廠光是在進出管控上就會直接對行動裝置作限制,但有一些相較起來沒有那麼大的製造業,對RD部門的心態比較開放,尤其研發、業務單位等更是公司生產主力,只要不過份踰矩,IT對其自行攜帶行動裝置的需求更是難以拒絕也不易控管。除非是很明顯的直接將機敏資料丟給競爭對手,否則光是上傳資料到自己的空間保存,也有可能是帶工作回家做。因此這些單位在需求上,反而都不是採取禁止的做法,而是以監控機制來代替封鎖,並對這些監控過程留下的證據加以保存。
當然,以高科技製造業來說,安全性仍是很重要的考量因素,只是目前還有些技術問題不能克服,一般常會考慮到的如照相問題雖然可以被鎖住,但例如資料的複製仍然是個問題,黃仁政說,iOS供相關的API功能,所以即使是採取MDM解決方案可能也無法鎖住手機上的USB port。

現代行動上網威脅與策略

過去談到行動上網,談到的多半是筆記型電腦搭配3G網卡或從Wi-Fi熱點連上網,而隨著潮流的轉變,如今平板電腦、智慧型手機等行動裝置功能越來越強大,隨時連網的狀況也越來越盛行,此外各種創新應用程式使用的狀況也較過去更多,威脅不僅來自網路連線,各式各樣的行動裝置作業系統也讓威脅可能來自手機本身的漏洞、應用程式安全,主要的威脅便來自這三方面。所以整個行動安全解決方案大致可以分作三個區塊:行動連線控管(VPN、3G、Wifi)、行動裝置控管(MDM)跟安全(Security)三個面向。連線仍是最低限度必須控管的一種方式,而裝置與安全度仍處於一個高度發展的狀態。

這裡所說的安全,主要指的是病毒及惡意程式的防禦,由於手機上的病毒相較來說尚且不算多,目前也未見其造成明顯的損失,再者,惡意程式的作怪多來自於未嚴加控管的應用程式市集(如Android Market),某些具備安全功能的MDM,就可比對惡意程式資料庫後,遠端移除該應用程式。不過,以早期的行動裝置應用看來,安全並非企業最先考量的事情,而是控管功能是否夠多、夠完整。

 

需有一致性策略

在行動安全的控管,尤其是在BYOD的狀況,人的溝通問題、政策制定問題都大於技術問題。因此第一步要做的就是必須要有策略,了解用戶需求,告訴他們什麼可以做什麼不行?擬訂有彈性的行動安全政策之外也要做教育訓練。另外企業應該至少了解有哪些裝置連網、哪些資料流入裝置?
然而,台灣賽門鐵克資深技術顧問張士龍說,在管控的技術上可以做到許多的功能,但以他跟使用者訪談的經驗來看,企業反而很難做太深入的控管。很多的應用多半來自高階主管的需求,再開始往下級蔓延,數量越來越多的時候,政策就必須要有一致性。

當你用哪個裝置連到企業內部哪個應用程式的時候,是否可以取得相對應的權限?台灣IBM 公司軟體事業處協理林世偉說,第一個,要先辨別哪些裝置是公司給的,哪些又是員工自己的?這個不僅跟員工的職等有關係,跟市面上現有的裝置有關係,還要看企業內哪些應用程式支援有關係。如果是員工使用公司發配的裝置,是不是可以比使用自己的裝置,獲得更多更完整的使用權限?這都是可以被制訂的,所以他也認為,更重要的是要先把相關的政策制定好,最後,才從IT角度去執行。

 

行動裝置管理最佳策略指引

1. 啟動強度密碼來保護行動裝置
2. 啟用動態密碼、PKI 來保護裝置強化連線安全
3. 檢視企業內部針對行動裝置所外傳訊息後是否有一定監控機制
4. 當認證失敗一定次數後自動啟用Remote Wipe
5. 當通報為失竊裝置後將自動啟動Remote Wipe
6. 企業內部重要資料進行加密
7. 訂定企業內部針對行動裝置所支援清單
8. 訂定企業內部申請行動裝置流程、服務內容、存取資源、限制項目

                                                                                  資料來源:賽門鐵克提供。

 

行動裝置應用類型:BYOD或統一配置

一般我們常提及的行動安全以企業應用的狀況來說可分為兩種,一是企業統一發配行動裝置、統一控管,其二則是企業控管員工的「個人行動安全」,也就是這陣子熱門的議題BYOD(Bring Your Own Device)。張士龍談到,在今年的第一、二季度,企業開始發現有員工將裝置帶來公司使用,儘管數量仍不多,但也開始思考應當怎麼做管控,因為可能有更多的狀況是發生在原本就在外的行動辦公使用者。端點的控管本就不易,過去的幾種控管方式,多從無線網路存取的控管上面比較多,例如從MAC Address(Media Access Control Address)可能是最簡單的方式,另外還有VPN、NAC等的機制,可以從網路邊界上來做管理,控制裝置上的存取。這都是過去常見的一些網路端點連線控管方式。

而過去企業裡應用最多的行動上網,即使是員工自己攜帶,多半也是以筆記型電腦為主,而作業系統也多為Windows,例如採用Windows XP的化企業可以整合AD(Active Directory)來控管,透過它來佈署資安策略,而採取硬碟加密的方式也可以避免當筆電遺失時,機敏資料的外洩。

BYOD的最低限度控管 存取連線

讓員工攜帶自己的裝置來上班,近來更是成為一股無法擋的風潮,不僅讓人們得以有更多的應用,也越來越倚賴這些智慧行動裝置。但隨著行動裝置的作業系統推陳出新,除了iOS以外,不斷推出的各種版本Android手機更造成支援度的問題,公司很難為個人的行動裝置挑選出標準裝置來遵循,因為員工願意花超出企業的速度與成本來淘汰掉行動裝置,但控管又得付出不自由的代價,這基本上會與BYOD的概念相抗衡。

在使用者不願意接受控管的狀況下,公司最低限度的安全要求,至少必須確保中間連線是安全的,並且使用行動裝置的為員工本人。所以針對BYOD的控管,並不是非得使用MDM解決方案不可。仍有其他的做法可以參考。林佶駿說,第一個要考量的,就是使用者要存取內部AP的話,要能夠控管使用者是從哪裡上來,可以透過一些SSL VPN來分辨,並且每個AP之間可用不同的SSID來控管,並且限制僅能存取某些應用程式的伺服器,從不同的地方、裝置連入內部可能會有不同的權限,例如僅能擁有最小權限,僅能讀取。或是要連入一些重要系統的話,仍以筆記型電腦為主,不允許行動裝置的使用。

第二個問題是,使用者可能會透過其他應用程式將資料傳出去,林佶駿建議,許手機上使用的社交、通訊App如Facebook、Whatsapp等,大多數為了保密、安全性,多採SSL連線,因此只要阻隔SSL連線可避免大多數的應用程式外傳資料。

統一配置 

即使是統一發配的行動裝置,企業除了面臨到更多種類的作業系統以外,也有更多的應用程式支援、管理問題。因此企業可能會考量到行動裝置管理(MDM, Mobile Device Management)這種解決方案,潘凱哲說,目前台灣採用這類方案的企業並不多,大多是外商公司,由總部統一採用而台灣分公司遵循,例如一些國際性的會計師事務所。

而根據Gartner的研究報告顯示,這類解決方案會有以下基本功能:
1. 安全管理要素-強制密碼、消除裝置、遠端鎖定、稽核記錄(Log記錄);
2. Jailbreak偵測;
3. 至少支援三種平台;
4. 政策遵循管理;
5. 軟體配置管理-應用程式下載、應用程式驗證、支援應用程式更新、支援應用程式修補;
6. 盤點管理-阻斷外部儲存、組態變更記錄。

目前MDM在國外仍可以算是一塊新興領域,按照Gartner的統計,目前全球約有六十幾家MDM供應商有部分的解決方案,並且供應商的數量仍在持續增加中,各自從不同的領域切入。有些廠商可能只做最擅長的領域,像是原本的行動裝置管理廠商,尤其著重在行動裝置、應用程式上控管,在管理功能上尤其強大;也有些大廠透過併購,強化其產品線,像是資安廠商併購MDM廠商後,強化其安全功能,加入了防毒、防惡意程式等功能,甚至會在日後推出包含防制資料外洩的相關機制;也有的,是網路設備廠商結合了MDM及網路連線控管,對網路流的掌握更多。

McAfee技術經理沈志明談到,MDM的開發是根據手機系統業者給你什麼介面、API才能去開發那個功能,而每一家廠商給你的API不一樣,就會造成可以控管的能力不同,例如採用Windows系統,它可以允許你封鎖藍芽、紅外線,但iOS就沒有提供這個選項,這時候資安政策又該到哪裡?所以一些比較敏感的機關、單位,就必須要比較嚴格的去思考這些東西,沈志明認為,企業在意的是要管到什麼功能?要思考要不要考慮開放這隻手機加入?如果只是要有push mail功能、能設定密碼就好,可能大部分的手機都能做到。但如果要封鎖照相機功能,那就不是所有的手機品牌都支援。資安政策落到這些很細的功能,可能都會有所影響,所以到底應該要開放BYOD還是統一配發?就算是統一配發,現在又該選擇什麼作業系統、什麼硬體裝置?才能有效控管又滿足應用需求。

F-Secure總代理翔偉資安科技總經理杜世鵬,以他的觀察來看,在全球的商用市場上,Android作業系統還是多過iOS很多,他認為Android版本雖有差異性但在安全方面,近期都有解決方案可因應。企業內部會有些指引政策,包括要連線到公司網路,僅允許某個作業系統的某些版本可以做。他說,以他目前接觸一些外商公司CIO的案例來看,東西再好,但可用性對企業來說還是相當重要的,例如使用iOS的行動裝置,想要連線就必須採購Apple的線材,或是電池不能替換等問題。他舉了一個實際發生的案例是,某企業的某員工將iPhone遺忘在某國分公司的辦公室,但由於國際航運的規定,電池是不能寄送的,造成後續處理的一些問題。

以下是幾種不同控管程度的做法,一是在Client端安裝Agent,好處是能夠透過Agent對行動裝置下指令,包括可以透過GPS鎖定位置、進行資料抹除的動作等,是目前對管理控制功能上較強的一種作法。其二則是企業透過憑證的方式去確保行動裝置內的設定檔(Configure File)為公司所制訂、發出。另外,手機作業系統本身也可能提供類似的功能,例如iOS也有一套相關的控管機制,直接設定好Configure File,可提供企業來佈署其公司政策。或像是黑莓機的企業伺服器,也是透過加密線路,所以能夠直接連回公司線路,再加上對行動裝置的管理,可以說BES就是黑莓機的行動裝置管理。
而現在發展出的MDM,除了要支援黑莓機以外,更也針對iOS、Android等不同的作業平台進行支援。林佶駿也認為,未來這些MDM廠商可以提供的功能將會越來越像,主要是因為行動裝置提供的API有所限制。

在BYOD的狀況下導入MDM

BYOD的控管是一種「Trade-off」。上述提到的MDM解決方案雖然在控管上有一定的方便度,但如果使用者知道MDM可以做到什麼程度,user還會願意安裝嗎?林佶駿問。他認為,要讓使用者願意被控管,他建議,可以設定一個控管機制,例如Juniper內部針對BYOD存取公司系統,就有一套資安政策,像是密碼一定要設置六位數,使用者在遵循公司政策的情況下,可以連線8小時,但如果不遵循政策,一次便只能連線20分鐘;又或者是,公司願意每個月補助一、兩千塊通訊費,換取使用者在自己的行動裝置上安裝Agent,接受公司的安全控管等。台灣IBM技術長林育震說,IBM內部也有類似的管理策略,例如能夠安裝防毒軟體的Windows Mobile或Android作業系統的手機,就可在內部通行較多系統等。

 

結語

許多來自高階主管的要求與壓力,使得許多IT人員不得不開放行動裝置的應用,然而在開發相關的應用程式之時也務必找好控管的解決方案。儘管目前行動上網的議題看起來很熱,實際上,卻才剛起步。BYOD通常是一個企業不得不開放的選項,因此在企業控管與使用者便利的權衡上,至少該做到最基本的安全,也就是連線的控管。而更進階的MDM及安全選項,由於必須與使用者取得良好的溝通,因此無論是從管理面或技術面的控管,都必須要先擬定好相關的策略。

 

行動安全控管解決方案列表:

類型 例如
行動裝置解決方案管理廠商 Mobileiron-Device Management Software、Sybase-Afaria
手機端點安全解決方案廠商 IBM-Tivoli Endpoint Security、F-security-Mobile Security、Trend Micro-Mobile Security
網路硬體設備廠商 Juniper-Junos Pulse Device Management Software
手機作業系統廠商 Apple-Mobile Device Management、BlackBerry-BlackBerry Enterprise Server、Microsoft -System Center Configuration Manager
(上述僅列目前已在台上市者)