企业端点设备管控应扩大范围 BYOD不能置身事外

移动设备出货量目前已凌驾传统PC，展望未来，此类设备现身于企业网络的机率，已是不可避免的趋势。企业应重新定义企业的端点设备的范围，不管是桌机、笔电、服务器或移动设备，皆应被涵盖在内，任何一项端点，都没有自外于中央控管机制之理，移动设备也应不例外。

自带设备(Bring Your Own Device，BYOD)不仅是热门词汇，也的确是当前颇为盛行的趋势，在企业内此现象已十分普遍;但在此同时，大多信息主管其实很清楚，BYOD最大隐忧就在于数据外泄，未加以管制的移动设备一开放使其存取公司网络、收取公司电子邮件及其他信息，便可能成为数据外泄或黑客入侵的重要管道。

移动设备遗失率高，内存的信息外泄的风险也相对升高。此外，黑客可运用恶意App或弱点攻击等方式，以受害的移动设备为切入点，一路取得企业资料的访问权限，届时受骇企业的个人资料、甚或价值更高的机密数据，都可能成为窃贼的囊中之物，企业轻则陷入个资外泄讼诉，重则因智财权外泄导致竞争力骤降，信息主管不能漠视其影响。

在此情况下，因应BYOD管理需求所衍生之解决方案，纷纷应运而生;总括来说，此类方案必须具备一些关键元素。首先，假使有未经授权的移动设备，欲存取企业内部数据，需有能力加以侦测或阻挡;其次，需有能力管理设备的状态与功能，以便随时查核有否违反资安政策之情事，如果有，便阻止其存取企业网络。举例来说，移动设备若要存取公司数据就一定要设定密码;或公司可设定在较敏感的区域内关闭移动设备的特定功能如照相、蓝牙等。此类功能即为当前被热衷谈论的移动设备管理(Mobile Device Management，MDM)。

第三，需有能力管理移动设备所安装的App，除辨识其间有无恶意软件以外，企业能针对安全及管理的需求，限制App的安装。若是纯粹BYOD、设备所有权属于员工，则适合采取黑名单方式进行控管，要求不能安装一些不被允许的App，但如果设备系由公司统一采购或补贴采购，因而拥有较高控制权，就比较有空间实施白名单控管，严格要求只能安装被允许的App，以降低潜在风险。

第四，需有能力在远程清除移动设备内部的数据、包含曾下载过的App及公司相关资料。简言之，就是使它回归到出厂设定状态，之所以要做到这个程度，是因为除了下载过的App及公司数据外，系统留存的记录、电话簿，乃至于浏览过的网页，都可能成为有心人士利用的工具，不可不慎。

长远来看，移动设备出货量目前已凌驾传统PC，展望未来，此类设备现身于企业网络的机率，只会更多、不会减少，这是不可避免的趋势。所以企业应重新定义企业的端点设备的范围，不管是桌机、笔电、服务器或移动设备，皆应被涵盖在内，任何一项端点，都没有自外于中央控管机制之理，移动设备也不例外。至于是企业所属的移动设备或BYOD，就只是管控严格程度的差异罢了，但保护企业数据安全的需求是一致的。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友