群雄逐鹿MDM市场 国外三大产品横纵评比

只是若由员工携带自己的设备，也就是开放BYOD，介接到企业内部网络，高敏感性的数据也可能存放在这些设备上，恐怕衍生出信息安全风险，因此才会有MDM的需求产生。这个现象比较容易出现在对信息安全方面比较重视，甚至是要求严谨的组织，例如银行业等，但对于像是邮件系统本来就不限制只能在企业内部传送与接收，这类的企业反而对MDM兴趣缺缺，原因是本来就开放员工在任何地点皆可收信，表示对安全规范较没那么严格，就不会需要MDM来管控。

个资法带动MDM需求

移动设备的兴起，对IT部门主管而言其实是项挑战，再加上个资法实施后，除了管理面以外，安全性如今也是企业采用MDM的重要一环。尤其是拥有个资的企业特别关注，毕竟如今移动设备的应用就如同一般桌面计算机，可以存取公司内部档案、邮件，因此同样要有防范政策。

目前企业用户主要会要求员工，若在公司内要使用自己的移动设备，就必须受到公司的安全控管，例如登入邮件服务器时，若被MDM系统侦测到该移动设备可能已经过破解(JailBreak或Root)，如此一来恐怕会提高信息安全的风险性，因此可进行禁止登入邮件服务器、仅开放只读模式、禁止下载附加档案等措施。甚至也遇到过客户要求针对较开放平台，如Android，设为禁止连结内部资源，仅开放较封闭，如iPhone、BlackBerry等系统，相对较安全的系统平台连入。

“其实当初在评估代理MDM解决方案时，就是从个资法的角度出发，而记录则是法规遵循中不可或缺的要项，在当时，发现Zenprise不只具备DLP机制，也有提供纪录报表，且还可汇整到像是Splunk、ArcSight等信息安全事件管理(SIEM)平台，像Splunk官网就可下载Zenprise Mobile Security Intelligence的App，简单方式就可整合完成。”石汉成解释，若没有透过App的呈现，即使可以介接到SIEM平台，但仍是许多文字纪录档案的集合，经过App进行统计与筛选，即可以图形化呈现，提升可读性。

“而这类的需求出现的时间，其实是近三个月才发生。2011年较常见企业规划导入iPad的应用时，会想要了解如何控管，但后续就没消息了。2012年开始就明显不同，许多企业开始真正编列预算，进行测试，准备2013年执行，有的甚至是年底就立即导入。

加入数据外泄防护

为了让移动设备也能类似桌面计算机具有防护功能，MDM厂商在产品功能上陆续增加了DLP机制，如今Zenprise、MobileIron、Good可说皆已提供。如果要评估哪一家MDM产品时，就是要看他是否具备DLP机制，除了可做到邮件防护外，还可进一步跟微软SharePoint等系统整合。而MobileIron日前亦针对DLP的部分提供Docs@Work，除了同样支持SharePoint系统存取，另外增加文件可加密机制。

但MobileIron提供的DLP，跟传统熟知的有些差异。传统DLP较偏向Content-based，而MobileIron则是File-based为主，例如Content-based可辨识档案的内容是否具有个资，得仰赖桌面端代理程序来执行;MobileIron的File-based，较偏重的是邮件附加档案是否可以转寄、是否具备权限、内文是否允许复制、剪下、贴上，诸如此类针对档案的操作行为控管，因此跟既有的DLP作法不大一样。

另外，不管是防病毒软件或DLP，主要都是透过特征码比对，但手机硬件毕竟不是一般x86的技术架构，运算方式、耗电量、效能等皆不同，所以对既有的信息安全厂商解决方案而言，等于需要再重新开发一个移动化的版本，即使可仰赖云端提供服务，那也得连上网络才能运行，因此这也就是既有厂商较不容易发挥的因素。”

▲Good Technology透过云端作业中心介接，确保安全传输示意图。

至于Good MDM系统中的DLP机制，其实跟一般所熟知、甚至是其他MDM厂商提供的DLP皆不同，其防护的重点，在于Good特有安全容器(Container)机制内的档案访问控制，而这种利用安全容器的概念来保护档案的概念，可说是Good较特殊之处。

安全容器 公私隔离

Good安全容器的机制，有点类似在移动设备上建立一个虚拟工作环境，只要App被开启就可自动运作，企业邮件服务器上的数据会被同步于此环境中，私人的联络人、文件等，则不会在此出现，可达到真正隔离工作与个人的信息。同时，系统中所安装的其他App，亦无法读取容器的档案。如此一来，IT管理者即可针对此工作用的环境制定控管政策，例如在安全容器中的数据要复制时的条件。

Good这种以App为核心的作法，可跟移动设备上的操作系统完全隔离，因此其他的App也无法读取该容器中的数据，以确保数据的安全性。同时还包括当使用者用iPhone透过USB连接上桌机或笔电时，iTunes会自动同步备份，但由于如此机制下所备份的数据，是把Good的App整个备份，里面的资料是以AES 192-bit加密保存，根本无法在桌机或笔电上开启，这即可满足移动设备的备份安全需求。

对于这种安全容器的作法， Zenprise在2013年1月将会发布新版本8.0，也会出现一个Zenprise Suite的机制，提供一个文件储存区域，即类似安全容器的概念，来进行文件的储存、邮件控管、网络链接方面的控制等。例如可以上网，但不能有下载行为;或是可联机到公司内系统资源，但不能下载文件。

此外，针对移动设备上的App也开始会有安全容器概念，若有些App需要经过加密保护，即可在此区域中运行。但为什么App需要加密?例如银行业发展出内部系统的App版，即可在Zenprise提供的安全容器中运行，让该App同样可以存取文件服务器中的公司文件，并且下载到App中即自动以加密方式保存，且无法透过第三方的方式复制文件。

至于MobileIron则是透过DLP解决方案中所设计的AppConnect与AppTunnel的技术来实现。AppConnect中具备Data-at-Rest防护机制，以加密方式保存静态数据，并依据访问权限加以保护，主要是为了解决移动操作系统中App与App之间基于安全考虑无法做到数据分享，但企业应用环境有时却需要软件之间可互通，进一步做数据介接，即可藉此机制以控管政策来达成。再搭配AppTunnel，让传统必须透过VPN来传输的工作，利用AppTunnel机制即可。

云端NOC安全传输

至于移动设备网络传输安全方面，多数是采取必须透过VPN传输才能连回公司内网存取内部资源的方式，但Good从产品一开始设计就不需仰赖VPN。运作方式较类似黑莓机架构，也就是企业内部只要建置Good服务器，移动设备不论身在何处，皆可透过连接到电信商(或Good建置的机房)所布建的云端作业中心(Network Operations Center)来介接，建立通道传输跟企业内的Good系统沟通，即可介接到Exchange、SharePoint、ERP等系统。经此加密信道下传输的数据，就连电信商也无法得知。

由云端作业中心提供服务的解决方案型态，让IT人员面对移动设备应用兴起时，永远不需再伤脑筋联机控管、设备区隔、内网带宽等新产生的问题，因为即使是在公司内部联机，该移动设备仍然是透过电信网络来存取。虽然会有客户质疑，还要从电信网络连回公司，会不会变得比较慢，可是这是在安全与方便性之下的权衡之计。并且藉此架构，可让BYOD的应用在一般企业较容易实现。

其中唯一遇过的问题是，像似军方这类严谨的单位，会希望连Good的云端作业中心也可以自建，因为他们会担心，即使透过信道传输，但毕竟网络封包会绕到外部电信业者，可能会违反安全规范，不像金融业，只要原厂能证明这是端到端的加密即可接受。

从功能组合来看，虽然这些MDM厂商各自有其不同擅长技术，但随着这两年产品发展逐年进化与增强，其实功能上已相当接近。而2013年是MDM厂商皆预期企业需求会大幅增加的一年，各家也表示最新产品将从第一季起陆续亮相，接下来可望会有更多崭新的安全机制，来协助企业因应移动化时代。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友