行動裝置出貨量目前已凌駕傳統PC,展望未來,此類設備現身於企業網路的機率,已是不可避免的趨勢。企業應重新定義企業的端點裝置的範圍,不管是桌機、筆電、伺服器或行動裝置,皆應被涵蓋在內,任何一項端點,都沒有自外於中央控管機制之理,行動裝置也應不例外。
自帶設備(Bring Your Own Device,BYOD)不僅是熱門辭彙,也的確是當前頗為盛行的趨勢,在企業內此現象已十分普遍;但在此同時,大多資訊主管其實很清楚,BYOD最大隱憂就在於資料外洩,未加以管制的行動裝置一開放使其存取公司網路、收取公司電子郵件及其他資訊,便可能成為資料外洩或駭客入侵的重要管道。
行動裝置遺失率高,內存的資訊外洩的風險也相對升高。此外,駭客可運用惡意App或弱點攻擊等方式,以受害的行動裝置為切入點,一路取得企業資料的存取權限,屆時受駭企業的個人資料、甚或價值更高的機密資料,都可能成為竊賊的囊中之物,企業輕則陷入個資外洩訟訴,重則因智財權外洩導致競爭力驟降,資訊主管不能漠視其影響。
在此情況下,因應BYOD管理需求所衍生之解決方案,紛紛應運而生;總括來說,此類方案必須具備一些關鍵元素。首先,假使有未經授權的行動裝置,欲存取企業內部資料,需有能力加以偵測或阻擋;其次,需有能力管理裝置的狀態與功能,以便隨時查核有否違反資安政策之情事,如果有,便阻止其存取企業網路。舉例來說,行動裝置若要存取公司資料就一定要設定密碼;或公司可設定在較敏感的區域內關閉行動裝置的特定功能如照相、藍牙等。此類功能即為當前被熱衷談論的「行動裝置管理(Mobile Device Management,MDM)」。
第三,需有能力管理行動裝置所安裝的App,除辨識其間有無惡意程式以外,企業能針對安全及管理的需求,限制App的安裝。若是純粹BYOD、裝置所有權屬於員工,則適合採取黑名單方式進行控管,要求不能安裝一些不被允許的App,但如果裝置係由公司統一採購或補貼採購,因而擁有較高控制權,就比較有空間實施白名單控管,嚴格要求只能安裝被允許的App,以降低潛在風險。
第四,需有能力在遠端清除行動裝置內部的資料、包含曾下載過的App及公司相關資料。簡言之,就是使它回歸到出廠設定狀態,之所以要做到這個程度,是因為除了下載過的App及公司資料外,系統留存的記錄、電話簿,乃至於瀏覽過的網頁,都可能成為有心人士利用的工具,不可不慎。
長遠來看,行動裝置出貨量目前已凌駕傳統PC,展望未來,此類設備現身於企業網路的機率,只會更多、不會減少,這是不可避免的趨勢。所以企業應重新定義企業的端點裝置的範圍,不管是桌機、筆電、伺服器或行動裝置,皆應被涵蓋在內,任何一項端點,都沒有自外於中央控管機制之理,行動裝置也不例外。至於是企業所屬的行動裝置或BYOD,就只是管控嚴格程度的差異罷了,但保護企業資料安全的需求是一致的。
(本文作者現任趨勢科技台灣暨香港區總經理)