員工在工作過(guò)程中運用智慧型手機與平板電腦已是常態(tài),移動(dòng)設備管理系統也開(kāi)始崛起,但過(guò)去這類(lèi)產(chǎn)品的運用較缺乏彈性,隨著(zhù)技術(shù)的改良,現在功能已趨于成熟
針對智慧型手機或平板電腦等移動(dòng)設備的管理系統,發(fā)展至今已經(jīng)有一段時(shí)間,而且從最初的移動(dòng)設備功能管理(Mobile Device Management,MDM),例如照相、Wi-Fi、藍牙傳輸,甚之記憶卡的讀取等功能控管,現在已經(jīng)演進(jìn)成App安裝控管(Mobile Application Management,MAM),包括強制安裝或禁止使用特定應用程式,以及針對移動(dòng)設備的電子郵件、可存取的各類(lèi)文件內容控管(Mobile Content Management,MCM)。
以這樣的發(fā)展過(guò)程來(lái)看,不難發(fā)現移動(dòng)設備的控管,目的都是為了資訊安全,因此作法上,無(wú)非是希望限定裝置特定區域不能使用某些功能、不能使用特定應用程式,或是不讓這些裝置變成機敏資料外流的漏洞。
管理原則與管控方法已趨于一致
在本次測試的5套移動(dòng)設備管理系統中,絕大多數都同時(shí)包含了MDM與MAM,例如Citrix XenMobile、SOTI MobiControl、Sophos Mobile Control,以及Kaspersky Security for Mobile等,另外也有針對MCM控管的LetMobile。我們在實(shí)際測試與使用這些管理系統之后發(fā)現,可管控的程度已經(jīng)相當成熟,差異在于操作介面、管理邏輯,或是管理原則的指派與配對等。
目前所有移動(dòng)設備管理系統,在發(fā)布與派送管理原則與內容的時(shí)候,方法大致可分為3種,分別是透過(guò)Exchange ActiveSync、App Store與iOS描述檔等。
舉例來(lái)說(shuō),多數MDM系統對iOS平臺移動(dòng)設備的管控方法,都是安裝描述檔,而App的管控,則是采用專(zhuān)屬的App,并在這些移動(dòng)設備上開(kāi)啟特定的App。例如Citrix XenMobile搭配的Worx Home,SOTI的MobiControl及Sophos Mobile Control,都是搭配同名的App,且可以設定被控的員工移動(dòng)設備強迫安裝或建議安裝的App,并可直接開(kāi)啟。
使用Exchange ActiveSync派送
在微軟的Exchange ActiveSync協(xié)定中,其實(shí)就內建移動(dòng)設備管理的功能,只要企業(yè)采用支援ActiveSync的電子郵件伺服器,在移動(dòng)設備收發(fā)電子郵件的時(shí)候,都可將移動(dòng)設備管理系統的管理原則,同時(shí)派送至裝置上。
以Kaspersky Security for Mobile(KSM)為例,管理人員可以在Exchange ActiveSync移動(dòng)設備伺服器的設定中,直接指派設定檔案給使用者的電子郵件,只要使用者從移動(dòng)設備收發(fā)這個(gè)帳號的電子郵件,就會(huì )一并將管理政策下載并部署與套用到裝置上。
安裝應用程式
在移動(dòng)設備上透過(guò)安裝專(zhuān)屬應用程式App來(lái)管控的這種作法,最主要的功能與目的,就是將公事與私人使用隔離。
在專(zhuān)屬App內,管理人員可以派送建議使用者應該裝的應用程式或文件,而在A(yíng)pp以外的任何操作,都是采用沙盒(SandBox)的設計,讓該App內的所有操作都是獨立的,并不影響移動(dòng)設備本身與其他App的使用。另一方面,該App以外的任何操作,也都不會(huì )影響到這個(gè)App的內容(除了移除安裝)。
安裝系統描述檔
iOS裝置在發(fā)布與接收管控原則時(shí),一般都是使用描述檔的方式,管理者在透過(guò)移動(dòng)設備管理系統設定好控管內容,并建立好描述檔之后,就會(huì )產(chǎn)生描述檔的下載連結,接著(zhù),不論是透過(guò)訊息、電子郵件傳送或是產(chǎn)生QR Code,讓使用者從移動(dòng)設備開(kāi)啟該連結,之后就會(huì )自動(dòng)引導到系統設定的描述檔安裝畫(huà)面中,此時(shí),只要點(diǎn)選安裝,就會(huì )將管理原則部署到裝置上。
可管控的功能更進(jìn)階,應用情境更廣
在移動(dòng)設備管理系統管控的功能方面,多數MDM系統實(shí)際上可控管的項目與細節,其實(shí)都相當接近。例如基本的照相控管、強制密碼強度、強制開(kāi)啟GPS定位、遠端抹除設備、限制特定網(wǎng)頁(yè),或是預先派送Wi-Fi設定檔等。
以這些功能來(lái)說(shuō),其實(shí)在前幾年就已經(jīng)相當成熟,但是本次采購特輯中,我們另外還發(fā)現,Android與iOS平臺的裝置管理開(kāi)始有了一些不一樣的變化。
Android與iOS平臺之間最大的差別,就在于軟、硬件的開(kāi)放。iOS裝置,不論是手機或平板,作業(yè)系統與硬件都是由Apple自行開(kāi)發(fā),而Android平臺則提供各家廠(chǎng)商自行開(kāi)發(fā)硬件,并可修改與自定使用者介面及功能。
而移動(dòng)設備管理系統要對Android裝置進(jìn)一步的管控,就必須取得由這些手機與平板開(kāi)發(fā)商提供的API,以取得這些裝置的特定功能。
例如,本次除了LetMobile之外,其他MDM廠(chǎng)商都可針對Samsung的移動(dòng)設備進(jìn)行進(jìn)階的管控。而且管控內容相當詳盡,包括電池電量、手機的電信商,甚至信號強度等,都可以當做是管理原則的條件。另一方面,Samsung也研發(fā)加強移動(dòng)設備安全的Knox,而上述這些廠(chǎng)商也都提供對Knox的支援。
而Apple的移動(dòng)設備從iOS 7開(kāi)始,也開(kāi)始加入商務(wù)與企業(yè)應用的功能,例如能為App設定獨立的VPN、單一登入、以及專(zhuān)屬的MDM設定選項等
你會(huì )好奇,能夠取得這些詳細的設定條件,對管理上有什麼幫助。舉例來(lái)說(shuō),移動(dòng)設備的GPS定位功能,以往最常使用的情境,就是在裝置遺失的時(shí)候使用,但現在的移動(dòng)設備管理系統,可以運用定位的功能,達到在特定區域的時(shí)候,就開(kāi)啟或鎖定某項功能。
以SOTI MobiControl為例,它可以畫(huà)定某個(gè)區域(必須圍起來(lái)),并設定移動(dòng)設備抵達或離開(kāi)該區域的時(shí)候,啟動(dòng)或關(guān)閉某功能。例如,可以將公司辦公室的區域,以地理資訊定義起來(lái),并設定裝置抵達公司的時(shí)候,就把照相功能關(guān)閉。這樣的功能對科技園區的企業(yè)或軍方單位等,需要嚴格控管的環(huán)境來(lái)說(shuō),相當實(shí)用。
而連線(xiàn)的方式上,許多MDM系統為了加強移動(dòng)設備與企業(yè)內部連線(xiàn)的安全性,都會(huì )建立專(zhuān)屬且全程采加密的連線(xiàn)通道,避免這些裝置成為資安的漏洞。
系統建置與裝置授權價(jià)格落差大
在系統建置的需求方面,有不少MDM產(chǎn)品都提供自行建置管理伺服器的選擇,并可與企業(yè)既有的IT環(huán)境整合,例如AD、Exchange Server等,同時(shí)它們也都提供SaaS云端代管的服務(wù)。
唯一例外的,就是Kaspersky的KSM,因為它是卡巴斯基企業(yè)端點(diǎn)安全解決方案的一部分模組,因此不像其他MDM系統,可直接與既有環(huán)境整合。如果企業(yè)環(huán)境選用其他防毒系統,且沒(méi)有打算更換,在導入與整合這套系統就會(huì )比較麻煩。同時(shí),KSM也是唯一無(wú)法使用網(wǎng)頁(yè)登入管理介面的系統,它必須在特定的電腦上安裝管理應用程式,管理的靈活度比較受限制。
而價(jià)格的部份,這5套MDM系統都提供訂閱的授權方式,可用每臺裝置或每位使用者為計價(jià)單位,以第一年的費用為例,像Citrix XenMobile(同時(shí)包含MDM與MAM功能)的8,000多元,到Kaspersky KSM(KESB標準版)的1,840元,落差相當大,而,后續每年則要支付系統升級維護費用。因為采取這樣的計價(jià)方式,長(cháng)久來(lái)看并不劃算,因此多數企業(yè)都選擇買(mǎi)斷授權,代價(jià)是后續將無(wú)法更新與升級,但長(cháng)遠來(lái)看比較劃算。
采用沙盒設計,可獨立運作不影響使用者App
圖為Citrix Worx Home App
許多MDM廠(chǎng)商在應用程式與文件的控管上,都使用專(zhuān)屬App,并采用沙盒的架構,讓工作相關(guān)的應用程式,如電子郵件,可在這個(gè)App內開(kāi)啟,而關(guān)閉之后資料并不會(huì )遺留在裝置上。且對使用者來(lái)說(shuō),這樣的設計,可以將個(gè)人與公事區隔開(kāi),且不會(huì )影響到個(gè)人隱私。
