在MDM解決方案提供者中,趨勢科技原本屬於傳統資安廠商,自2004年推出手機防毒產品以來,管理與安全功能逐年增加,直到近年在BYOD的趨勢下,亦將產品定位重新調整,也就是日前剛推出8.0新版的企業行動安全防護(Mobile Security for Enterprise)。
趨勢科技台灣區技術總監戴燊說明,「其實趨勢科技一直關注行動裝置上的安全控管議題,只是沒有特別強調,因為早期市場需求其實還沒那麼成熟,尤其是在台灣。」事實上,IT人員對BYOD並不樂見,因為要支援個人化的行動設備,資產又不屬於公司,會使得控管上有一些模糊地帶,有些企業乾脆禁止使用,像竹科園區有些公司規定不能使用具照相功能的手機,更強硬的是以類似蓋台的方式讓手機3G訊號無法連線,因此過去IT人員的態度多半是盡量避免引入。但是若老闆自己也開始帶行動設備來公司,情況的確就會開始改變了。
|
▲趨勢科技台灣區技術總監戴燊建議,行動裝置可攜性高、又有不同作業平台,所以在規劃BYOD應用時,導入MDM並實施政策控管,再搭配內部資安建置機制來進行行為過濾監控,如此的配套才能讓資料外洩風險降到最低。 |
「對趨勢科技而言,優勢在於產品線較完整,可支援如Android、iOS、Windows Mobile等主流手機平台,最新的Windows 8也將在2013年第一季推出支援,而且企業行動安全防護可跟既有的防毒主機整合在一起,只要在OfficeScan上Plug-in之後,就可以加入控管行動裝置,介面與操作皆一致,IT人員不需再經過學習;原本非趨勢科技防毒軟體的客戶,才會需要安裝主程式來控管。」戴燊說。
基本上,企業行動安全防護可提供的管理機制跟多數廠商類似,例如檢查iOS的越獄(JailBreak)、Android系統的Root、系統是否有啟用加密等項目,若不符合管理規範,則可禁止內部郵件系統為該設備提供Push Mail服務。只要在裝置安裝控管元件,在OffiecScan或控管主機上會列為一個受信任的資產,不論是私人裝置還是公司配發,主控端只是提供授權可存取內網資源,但若經檢查不通過的行動裝置,郵件服務就會被禁止。
對於在行動裝置上的DLP 作法,戴燊說明,其實現在的MDM方案要達到DLP,還是得透過閘道端設置過濾機制。主因是目前行動系統平台的限制,很難讓App了解其他App的傳輸內容,進而做控制,因此也無法進行內容過濾與管理,最單純的作法就是把所有的流量導向閘道器進行過濾。趨勢科技的作法即為此類,可設定行動裝置上收發郵件、瀏覽網頁等動作,皆必須經由公司的內網傳輸,如此一來即可透過公司內部架設的DLP閘道器來進行控管。「要以安全為前提建構BYOD的應用,只有MDM功能勢必會有遺漏,必須跟既有資安機制相整合,才能提供完整防護。」