MIS要想在充滿變量的BYOD叢林中安身立命，有了MDM與MAM，雖然可收到一定效果，但顯然還不足以披荊斬棘;那么，MIS尚須補(bǔ)強(qiáng)哪些環(huán)節(jié)? 擁有移動設(shè)備管理、移動應(yīng)用程序管理等解決方案，為何還不足以確保企業(yè)BYOD之安全無虞?要探究這個問題的解答，必須回到最源頭，先行檢視可能導(dǎo)致企業(yè)移動管理出現(xiàn)缺口的因素，究竟有哪些?

　　總結(jié)來說，企業(yè)可能面臨的移動安全威脅，不外有幾個項目，包含了移動設(shè)備的遺失或遭竊、資料外泄、遭受惡意程序攻擊、共享設(shè)備與密碼、設(shè)備破解(含Jailbreaking及Rooting)，以及Wi-Fi與無線網(wǎng)絡(luò)竊聽;看到這里，稍具經(jīng)驗的MIS理應(yīng)可以心領(lǐng)神會，光靠MDM與MAM，確實難以全面涵蓋上述各大威脅。

　　多數(shù)MIS不禁要問，到底怎么做，才能為公司創(chuàng)造安全的BYOD應(yīng)用環(huán)境?其關(guān)鍵就在于，MIS一定要先了解BYOD的三大環(huán)節(jié)-設(shè)備、應(yīng)用程序、資料，進(jìn)而在不改變同仁使用習(xí)慣的前提下，竭盡所能為這三個環(huán)節(jié)套上金鐘罩，讓外部有心人士進(jìn)不來，意圖挾帶機(jī)敏資料出境的員工也出不去，就成功了一大半。

　　因應(yīng)移動管理生命周期　逐項對癥下藥 在2011年底，知名分析機(jī)構(gòu)Forrest，提出了一份有關(guān)移動管理生命周期的解讀，從使用者識別及單一簽入、將安全政策套入設(shè)備(Device Compliance)開始，此后還涉及網(wǎng)絡(luò)安全、設(shè)備管理、應(yīng)用程序管理、資料保護(hù)、設(shè)備安全等諸多環(huán)節(jié)。

　　就當(dāng)前與BYOD議題連結(jié)度最高的MDM解決方案來看，僅碰觸到上述的Device Compliance、設(shè)備管理、設(shè)備安全、資料保護(hù)等環(huán)節(jié)，勉可含括App控制、設(shè)備設(shè)定、設(shè)備注冊、設(shè)備定位、設(shè)備鎖定、服務(wù)管理、遠(yuǎn)端抹除、反惡意程序、防范設(shè)備破解、密碼保護(hù)等細(xì)部項目，看似不少，但充其量也只涵蓋半壁江山。至于MAM，則與應(yīng)用程序管理、使用者識別及單一簽入、資料保護(hù)等環(huán)節(jié)較為相關(guān)，同樣未能觸及所有構(gòu)面。

　　因此可以肯定，綜觀現(xiàn)階段市面上任何與BYOD相關(guān)的安全解決方案，尚無任何一項，有能力涵蓋完整的移動管理生命周期。

　　在此前提下，企業(yè)意欲建構(gòu)移動安全防護(hù)堡壘，切莫妄圖一步到位，理應(yīng)采取分階段部署模式，導(dǎo)入MDM及MAM，可算是第一步，但此后的第二、三、四…步驟，仍有持續(xù)補(bǔ)強(qiáng)的空間。 那么第二步應(yīng)該是什么?不妨就從MDM及MAM力有未逮之處下手，使用者認(rèn)證與憑證管理即是一例，可針對此一環(huán)節(jié)，評估導(dǎo)入增強(qiáng)式驗證方案，一旦將此事做好，不僅有助于強(qiáng)化移動應(yīng)用安全性，亦可提供更為理想的使用者體驗。

　　所謂增強(qiáng)式驗證，一般來說，企業(yè)可以努力的方向算是不少，雙因素身分認(rèn)證便是其中一例，最典型的解決方案即是動態(tài)密碼(One-Time Password;OTP)。只要建立了這個機(jī)制，每隔30秒或1分鐘即會變換一次密碼，使得黑客“闖空門”的難度大幅高漲，終至牢牢保護(hù)用者的賬號與密碼，確保企業(yè)網(wǎng)絡(luò)與網(wǎng)站存取點的安全性;惟此一機(jī)制需要留意的地方，乃在于萬一員工的智能型手機(jī)或平板計算機(jī)因故障送修，暫時被迫采用備用設(shè)備，那么他的個人身分與設(shè)備識別ID之間的連結(jié)性，就會因此而喪失，在名目上已不算是公司的合法使用者，值此時刻，MIS就必須采取權(quán)宜之計，先將原本注冊予以取消，繼而思考是要讓備用設(shè)備加入注冊，或暫時以電子郵件或簡訊當(dāng)做OTP載具，藉此填補(bǔ)空窗期。

　　此外，企業(yè)亦需致力深化單一簽入架構(gòu)與移動設(shè)備之間的整合性。針對這個議題，許多公司都曾面臨一個吊詭之處，意即員工使用移動設(shè)備，自然而然會期望能使用公司的Wi-Fi網(wǎng)絡(luò)，但往往給了這個方便性，就可能帶來無窮無盡的危機(jī)，為了解決這個難題，企業(yè)不妨可考慮建立一個閘道機(jī)制，規(guī)定所有無線存取行為，都必須要接受這個閘道的把關(guān)，一旦驗證無誤，才能使用各項企業(yè)服務(wù)，包括存取公司的私有云、或者是與公司具有合作關(guān)系的私有云，其實都可比照辦理，而其間的一切傳輸路徑，都予以全程加密。

　　當(dāng)然，如果企業(yè)考量到某些關(guān)鍵應(yīng)用服務(wù)，光靠單一閘道器過濾把關(guān)，或許擔(dān)心有所不足，此時OTP就可派上用場，作為另一道憑證。

　　郵件存取安全　亦須嚴(yán)陣以待 不可諱言，郵件恒常是泄露企業(yè)機(jī)密的主要途徑之一，既然如此，就必須善盡郵件存取安全的把關(guān)之責(zé)。

　　針對此一防護(hù)需求，MIS通常第一個想到的，就是設(shè)法阻止郵件轉(zhuǎn)寄，也就是說，員工若是有意或無意，想利用公司信箱把資料外寄出去，肯定行不通。只不過，此事所隱含的重大盲點在于，意圖泄露資料的不宵員工，怎可能大搖大擺地運用企業(yè)信箱?他肯定會把腦筋動到Web Mail之上!

　　所幸新版iOS已支援MDM服務(wù)，內(nèi)含“不允許轉(zhuǎn)寄”之功能，企業(yè)只要善加運用，即可防堵員工意圖利用Web Mail轉(zhuǎn)寄公司信件;但正所謂百密仍有一疏，防得了員工轉(zhuǎn)寄信件，卻防不了他將整份內(nèi)容Copy & Paste，然后再利用Web Mail寄出，由于此行為不涉及“轉(zhuǎn)寄”，所以根本不在公司預(yù)設(shè)的防護(hù)范疇之列，可以說愛怎么寄、就怎么寄，完全拿他沒輒。

　　看到這里，相信不少MIS肯定打了一個寒顫，心想經(jīng)過了移動設(shè)備這個變量后，怎會讓郵件存取安全變得如此棘手?事實上，這些缺陷實為其來有自，可歸咎于移動設(shè)備內(nèi)建的郵件軟件功能，實在不怎么高明，它沒辦法區(qū)隔公司與個人資料，沒辦法限制Copy & Paste行為，更沒辦法限制使用者將郵件附檔儲存在任何應(yīng)用程序，光是這些罩門，就足以讓一堆傳統(tǒng)防御機(jī)制一個個破功。

　　唯今之計，企業(yè)恐需要認(rèn)真思考導(dǎo)入移動電子郵件安全方案，才能有效因應(yīng)BYOD特殊的環(huán)境需求;借助此類產(chǎn)品，不宵員工妄想以Copy & Paste加Web Mail模式，私自夾帶機(jī)密出境，勢將無法得償所愿，不僅如此，企業(yè)還可順勢針對收發(fā)信件的終端設(shè)備加以設(shè)限，只要是未受公司管制、也沒通過驗證的移動設(shè)備，一律不允許收信，如此一來，不宵員工若想套用公司的郵件設(shè)定，運用“轄區(qū)”外的設(shè)備另起爐灶，也將會踢到鐵板。

　　除此之外，一些看來“扯得有點遠(yuǎn)”的后臺資安系統(tǒng)，縱使不是針對BYOD應(yīng)運而生，但倘若予以補(bǔ)強(qiáng)，仍有助于強(qiáng)化BYOD安全性。比方說，現(xiàn)今所謂的次世代防火墻(Next Generation Firewall)，可一舉提供病毒防護(hù)、阻擋垃圾郵件、封鎖應(yīng)用程序、整合Active Directory、內(nèi)容過濾器、網(wǎng)絡(luò)行為偵測等諸多功能，亦可對應(yīng)用層級的服務(wù)存取及流量加以限定，藉由這些元素，足以健全企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，并確保企業(yè)網(wǎng)絡(luò)存取行為之安全，對BYOD實有一番貢獻(xiàn)。

　　再者，隨著潛藏在移動平臺的惡意程序數(shù)量激增，無疑為黑客開啟另一扇方便之間，使其有機(jī)會能利用應(yīng)用程序或通訊協(xié)定的弱點，藉由移動設(shè)備跳板潛入企業(yè)網(wǎng)絡(luò)，針對企業(yè)應(yīng)用服務(wù)進(jìn)行非法存取，或者竊取資料、甚至強(qiáng)制中斷網(wǎng)頁服務(wù)，從而讓企業(yè)蒙受損失;在此情況下，企業(yè)若已布建網(wǎng)頁應(yīng)用程序防火墻(WAF)，即可望就近保護(hù)網(wǎng)頁應(yīng)用程序與網(wǎng)站，避免遭受侵?jǐn)_。