為行動應用築起防護堡壘

微軟推出的Windows Intune雲端服務，可協助企業管理Windows Phone、Windows RT、iOS或Android等各式行動裝置。資料來源：Microsoft

今時今日，環顧你我的四周，已是一個充滿著裝置與網路連線的世界，而不再是過往「One User= One Desktop」的時代，企業IT部門如何順應這個趨勢潮流，一方面滿足使用者期望的靈活彈性，二方面又兼顧成本、資訊安全及法規遵循需求，確實煞費苦心。

對於一個並非Power User，也不太追逐新穎科技的人士，只會依稀記得，iPad在2011年面市，不過是前年的事情，但他肯定料想不到，後續所牽動的行動裝置發展速度，竟會如此迅速猛烈！

2012年期間，智慧型手機加平板電腦的銷售量，首度超越個人電腦；預估在2013年期間，智慧型手機加平板電腦的銷售收入，將首度超越個人電腦，銷售量更可望來到個人電腦的兩倍之多；待至2015年，單單是平板電腦的銷售量，都很有機會超越個人電腦。

對照Gartner所提出的2013年十大策略技術發展趨勢，裡頭所指的技術項目，包括名列第一的「行動設備快速普及」、第二的「行動應用程式與HTML5」、第三的「個人雲端」，乃至於第十的「企業應用程式商店」，都呼應了行動應用的蓬勃興起之勢。

綜合這些現象，可以肯定，「行動」必然是今後企業普遍規劃的重點項目，也就是說，企業不分大小，全都希望能夠行動起來；但在此同時，企業若未因應此一發展趨勢，部署相對應的安全防護策略，恐將導致BYOD淪為「災難之始」！

Gartner曾經提出未來十年影響IT最重要的發展趨勢，其中有兩點，皆與BYOD息息相關，一是「新興的消費者端新技術擴散到企業組織內部」，另一則是「IT及消費電子合併成同一個工作及遊戲的設備」。這也意謂著，企業無法再像從前運用統購PC的模式，讓所有端點定於一尊，可以預見在內部應用環境中，將充斥著不同作業系統、不同廠牌、不同螢幕尺寸的形形色色裝置，每台裝置裡頭所承載的APP應用程式，更將是五花八門。

此一情境，無疑潛藏莫大危機。先不談別的，單指APP的安裝過程，就有許多足以讓管理冒出陣陣冷汗的怪異現象，例如使用者不假思索，竟允許應用程式讀取行動裝置儲存的聯絡人通話，傳送電子郵件或使用其他通訊方式的互動頻率，此項權限，將可讓應用程式儲存你的聯絡人資料；相同的道理，使用者也往往允許應用程式讀取行動裝置的通話記錄，包括來電及已撥電話的相關資料。

根據上述歷程，最壞的結局便是，惡意程式私自共用裝置持有人的聯絡人、通話記錄等資料。可別以為最終受害者為個人，在現今生活與工作界線漸趨模糊的情況下，單一個人的受害，亦有可能釀成整個企業的危機，豈可不慎！

若企業礙難部署MDM或MAM，如何是好？
企業究竟如何解決上述災難？經過近兩年多來廠商的大聲倡議，許多企業IT管理者心中都有解答，那便是行動裝置管理(Mobile Device Management；MDM)、行動應用程式管理(Mobile Application Management；MAM)，或者是企業行動管理(Enterprise Mobility Management；EMM)等相關方案。

以其中最常被提及的MDM或MAM而論，前者可偵測並阻擋未經授權的行動裝置存取企業資料或應用程式，並確認各行動裝置的狀態，是否符合企業資安政策的規範；至於後者，則可辨識行動裝置所安裝的APP是否為惡意程式，如果企業另有考量，譬如顧及裝置所有權屬於員工，亦可選擇採取「黑名單」管控方式，防止員工下載有害的APP。

綜上所述，不管是MDM或MAM，效益都顯而易見，理應可滿足很大部分的行動安全管理需求，既然如此，企業本該積極部署才是；只不過，部分資安業者坦言，企業對於這些解決方案的詢問度確實不低，但真正決定導入者，卻是不成正比，足見企業要想引進這些方案，確實面臨一些阻礙。

有哪些阻礙？首先如同前述，行動裝置所有權屬於員工，此乃不爭的事實，企業若欲強加植入MDM或MAM代理程式(Agent)，不免有踩到「侵權」紅線之虞；試想，如果員工返回家中，決定將這些Agent予以移除，基本上也算是其個人權利所在，此時企業不論是嚴加斥責、或強迫再次植入，似乎都有爭議。

其次，多數台灣企業皆屬中小型規模，不管在於IT部門的人力規模，抑或IT預算格局，都有其限度，對於自行建立並維運MDM或MAM伺服器，乃至於每年得按行動裝置數量，支付新台幣6千到8千元不等的維護費用，負擔確實吃重。

難道礙於上述種種因素，企業就得任令BYOD全不設防？當然萬萬不可。值此時刻，構築於公有雲基礎的MDM服務，無疑是化解此一扞格的解法之一。

舉例來說，中華電信推出的「企業行動安全防護」，即是以企業為導向之SaaS-based MDM服務，探究其主要特色，首先在於進入門檻低，企業無須斥資建立相關軟硬體架構，即可以支付月租費模式，順勢取得MDM管理能量；其次，企業IT人員可集中管控公司內部所有行動裝置(涵蓋 iOS、Android等不同平台)，除可按不同部門別設定不同安全規範外，亦可藉由大量部署減輕管理負擔；再者，則是防毒、防盜、加密一次搞定。

兼管企業網域公用、私有裝置
而在微軟方面，亦已推出Windows Intune公有雲服務，標榜不僅可管理企業網域之內的個人電腦，即使面對無法加入網域的智慧型手機、平板電腦等行動裝置，甚至是非屬Windows陣營的iOS或Android設備，通通都能加以管控。

如同Office 365，Windows Intune亦採取訂閱服務模式，但值得留意之處，在於Windows Intune不可單獨引進，而須連同System Center Configuration Manager 2012(SCCM 2012)一併採購，但經由Windows Intune、SCCM 2012甚或Exchange Server等不同解方案的結合使用，也將因此繁衍更大應用價值。

比方說，企業如果一併採用上述三項管理方案，則不但可以管控行動裝置的郵件收發，也能發揮猶如MAM的管理效益，意即管控裝置之中的APP應用程式，此外，企業也可將應用程式套件直接上傳到Windows Intune服務，然後再側載到受管理的行動裝置之上。

總而言之，企業無論採用屬於公有雲性質的MDM或MAM服務，抑或自行部署來自SAP、IBM、MobileIron、AirWatch、Good Technology、Zenprise(已被Citrix購併)、Tend Micro、McAfee…等不同廠牌的解決方案，基本上仍是殊途同歸，目的都在於為行動裝置應用，築起嚴密的防護堡壘，同時確保行動設備、應用與資料的安全性。

值得一提的，包括MobileIron、Good Technology或Zenprise等廠商提供的MDM產品，都已內建資料外洩防護(DLP)功能，恰好與企業現正關注的個資防護議題，可謂不謀而合；其中MobileIron透過AppConnect與AppTunnel等技術所組合而成的DLP方案，可用以檢測諸如郵件附加檔案可否轉寄，或能否將內文複製、剪下或貼上等操作行為，藉此避免不宵員工意圖透過郵件將個資夾帶出境。

根據Gartner報告顯示，預估待至2017年，全球將有高達65%比例的企業，會導入MDM解決方案，到了那時候，企業只要環顧四周，便不難發現大多數公司都已部署此類管控機制；因此企業為了享有BYOD所造就的生產力，也能兼顧公司資料的保全性，實有必要跨出MDM、MAM或EMM這一步。