由行動管理生命週期建立防禦機制

行動裝置生命週期管理架構

如同前一章節所述，MIS要想在充滿變數的BYOD叢林中安身立命，有了MDM與MAM，雖然可收到一定效果，但顯然還不足以披荊斬棘；那麼，MIS尚須補強哪些環節？

擁有行動裝置管理、行動應用程式管理等解決方案，為何還不足以確保企業BYOD之安全無虞？要探究這個問題的解答，必須回到最源頭，先行檢視可能導致企業行動管理出現缺口的因素，究竟有哪些？

總結來說，企業可能面臨的行動安全威脅，不外有幾個項目，包含了行動裝置的遺失或遭竊、資料外洩、遭受惡意程式攻擊、共享裝置與密碼、裝置破解(含Jailbreaking及Rooting)，以及Wi-Fi與無線網路竊聽；看到這裡，稍具經驗的MIS理應可以心領神會，光靠MDM與MAM，確實難以全面涵蓋上述各大威脅。

多數MIS不禁要問，到底怎麼做，才能為公司創造安全的BYOD應用環境？其關鍵就在於，MIS一定要先瞭解BYOD的三大環節－裝置、應用程式、資料，進而在不改變同仁使用習慣的前提下，竭盡所能為這三個環節套上金鐘罩，讓外部有心人士進不來，意圖挾帶機敏資料出境的員工也出不去，就成功了一大半。

因應行動管理生命週期　逐項對症下藥
在2011年底，知名分析機構Forrest，提出了一份有關行動管理生命週期的解讀，從使用者識別及單一簽入、將安全政策套入裝置(Device Compliance)開始，此後還涉及網路安全、裝置管理、應用程式管理、資料保護、裝置安全等諸多環節。

就當前與BYOD議題連結度最高的MDM解決方案來看，僅碰觸到上述的Device Compliance、裝置管理、裝置安全、資料保護等環節，勉可含括App控制、裝置設定、裝置註冊、裝置定位、裝置鎖定、服務管理、遠端抹除、反惡意程式、防範裝置破解、密碼保護等細部項目，看似不少，但充其量也只涵蓋半壁江山。至於MAM，則與應用程式管理、使用者識別及單一簽入、資料保護等環節較為相關，同樣未能觸及所有構面。

因此可以肯定，綜觀現階段市面上任何與BYOD相關的安全解決方案，尚無任何一項，有能力涵蓋完整的行動管理生命週期。

在此前提下，企業意欲建構行動安全防護堡壘，切莫妄圖一步到位，理應採取分階段部署模式，導入MDM及MAM，可算是第一步，但此後的第二、三、四…步驟，仍有持續補強的空間。
那麼第二步應該是什麼？不妨就從MDM及MAM力有未逮之處下手，使用者認證與憑證管理即是一例，可針對此一環節，評估導入增強式驗證方案，一旦將此事做好，不僅有助於強化行動應用安全性，亦可提供更為理想的使用者體驗。

所謂增強式驗證，一般來說，企業可以努力的方向算是不少，雙因素身分認證便是其中一例，最典型的解決方案即是動態密碼(One-Time Password；OTP)。只要建立了這個機制，每隔30秒或1分鐘即會變換一次密碼，使得駭客「闖空門」的難度大幅高漲，終至牢牢保護用者的帳號與密碼，確保企業網路與網站存取點的安全性；惟此一機制需要留意的地方，乃在於萬一員工的智慧型手機或平板電腦因故障送修，暫時被迫採用備用裝置，那麼他的個人身分與裝置識別ID之間的連結性，就會因此而喪失，在名目上已不算是公司的合法使用者，值此時刻，MIS就必須採取權宜之計，先將原本註冊予以取消，繼而思考是要讓備用裝置加入註冊，或暫時以電子郵件或簡訊當做OTP載具，藉此填補空窗期。

此外，企業亦需致力深化單一簽入架構與行動裝置之間的整合性。針對這個議題，許多公司都曾面臨一個弔詭之處，意即員工使用行動裝置，自然而然會期望能使用公司的Wi-Fi網路，但往往給了這個方便性，就可能帶來無窮無盡的危機，為了解決這個難題，企業不妨可考慮建立一個閘道機制，規定所有無線存取行為，都必須要接受這個閘道的把關，一旦驗證無誤，才能使用各項企業服務，包括存取公司的私有雲、或者是與公司具有合作關係的私有雲，其實都可比照辦理，而其間的一切傳輸路徑，都予以全程加密。

當然，如果企業考量到某些關鍵應用服務，光靠單一閘道器過濾把關，或許擔心有所不足，此時OTP就可派上用場，作為另一道憑證。

郵件存取安全　亦須嚴陣以待
不可諱言，郵件恆常是洩露企業機密的主要途徑之一，既然如此，就必須善盡郵件存取安全的把關之責。

針對此一防護需求，MIS通常第一個想到的，就是設法阻止郵件轉寄，也就是說，員工若是有意或無意，想利用公司信箱把資料外寄出去，肯定行不通。只不過，此事所隱含的重大盲點在於，意圖洩露資料的不宵員工，怎可能大搖大擺地運用企業信箱？他肯定會把腦筋動到Web Mail之上！

所幸新版iOS已支援MDM服務，內含「不允許轉寄」之功能，企業只要善加運用，即可防堵員工意圖利用Web Mail轉寄公司信件；但正所謂百密仍有一疏，防得了員工轉寄信件，卻防不了他將整份內容Copy & Paste，然後再利用Web Mail寄出，由於此行為不涉及「轉寄」，所以根本不在公司預設的防護範疇之列，可以說愛怎麼寄、就怎麼寄，完全拿他沒輒。

看到這裡，相信不少MIS肯定打了一個寒顫，心想經過了行動裝置這個變數後，怎會讓郵件存取安全變得如此棘手？事實上，這些缺陷實為其來有自，可歸咎於行動裝置內建的郵件軟體功能，實在不怎麼高明，它沒辦法區隔公司與個人資料，沒辦法限制Copy & Paste行為，更沒辦法限制使用者將郵件附檔儲存在任何應用程式，光是這些罩門，就足以讓一堆傳統防禦機制一個個破功。

唯今之計，企業恐需要認真思考導入行動電子郵件安全方案，才能有效因應BYOD特殊的環境需求；借助此類產品，不宵員工妄想以Copy & Paste加Web Mail模式，私自夾帶機密出境，勢將無法得償所願，不僅如此，企業還可順勢針對收發信件的終端裝置加以設限，只要是未受公司管制、也沒通過驗證的行動裝置，一律不允許收信，如此一來，不宵員工若想套用公司的郵件設定，運用「轄區」外的裝置另起爐灶，也將會踢到鐵板。

除此之外，一些看來「扯得有點遠」的後台資安系統，縱使不是針對BYOD應運而生，但倘若予以補強，仍有助於強化BYOD安全性。比方說，現今所謂的次世代防火牆(Next Generation Firewall)，可一舉提供病毒防護、阻擋垃圾郵件、封鎖應用程式、整合Active Directory、內容過濾器、網路行為偵測等諸多功能，亦可對應用層級的服務存取及流量加以限定，藉由這些元素，足以健全企業網路基礎架構，並確保企業網路存取行為之安全，對BYOD實有一番貢獻。

再者，隨著潛藏在行動平台的惡意程式數量激增，無疑為駭客開啟另一扇方便之間，使其有機會能利用應用程式或通訊協定的弱點，藉由行動裝置跳板潛入企業網路，針對企業應用服務進行非法存取，或者竊取資料、甚至強制中斷網頁服務，從而讓企業蒙受損失；在此情況下，企業若已佈建網頁應用程式防火牆(WAF)，即可望就近保護網頁應用程式與網站，避免遭受侵擾。