來自Gartner、IDC、iSupply等不同研究機構的預估,都確認智慧型手機的銷售量終將在未來數年內超越傳統的個人電腦,智慧型手持裝置的熱潮已經成為資通訊產業的發展重點之一。然而這種「攜帶自有裝置(Bring Your Own Device,BYOD)」的風潮,同時也讓企業的資安管理出現了灰色地帶,進而提高企業可能遭受攻擊或資料外洩的安全風險。
智慧型手持裝置的熱潮,自從2007年iPhone問世以來,席捲全球,並成為過去5年來資通訊產業的發展重點之一。根據市場研究機構IDC的研究,智慧型手機的出貨量,在2010年第4季以1.009億支首度超越了個人電腦的9210萬台。
儘管2010整年度的個人電腦銷售量仍高於智慧型手機,但根據來自Gartner、IDC、iSupply等不同研究機構的預估,都確認智慧型手機的銷售量終將在未來數年內超越傳統的個人電腦,雖然各家分析機構預估發生的時間點從2012年到2014年不等,但此一大趨勢已然受到業界普遍的肯定。
行動裝置快速普及 增添企業資安風險
iPhone、iPad、Android、Windows Phone等智慧型行動裝置的快速普及,讓過去僅能夠透過個人電腦進行的許多工作,如上網、查詢資料、收發電子郵件、玩遊戲等,如今都可以直接透過這些行動裝置完成,事實上,這也讓許多企業內的一般員工,樂於把這些私人擁有的行動裝置,帶到公司的工作環境裡。
這種「攜帶自有裝置(Bring Your Own Device,BYOD)」的風潮,隨著消費性電子裝置的功能日益強大,正在全球各地的大小企業裡蔓延,這讓過去一向涇渭分明的企業用設備與消費性設備間的界線變得模糊,同時也讓企業的資安管理出現了灰色地帶,恐怕有損企業資安管理的完整性,也提高了企業可能遭受攻擊或資料外洩的安全風險。
事實上,企業針對行動裝置進行資安控管並非新鮮事,許多企業針對高階主管配發黑莓機(BlackBerry),便是看上其加密通訊的特色,認為能夠在增加行動化的好處之餘,也不會犧牲企業資訊的安全性。
經由企業配發的行動裝置必須符合企業的資安政策,這其實是多數企業早就已經在做,甚至都做得很好的事。
|
▲以IBM內部行動資安控管為例,員工若在行動裝置上使用公司郵件系統,須經主管審核。 |
但是在結合了BYOD、IT消費化(Consumerization of IT)等需求環境的行動裝置浪潮中,基層員工攜帶使用自備裝置的機會大幅增加,在未受到企業資安政策保護的狀況下,自備的行動裝置極可能被員工私下用來進行與工作相關的任務,或是儲存了企業營運的公務、機密資料。因此,一旦員工遺失手機,或被有心人士取得,後果將不堪設想。
面對IT消費化熱潮 企業應明定資安政策
面對來勢洶洶的行動裝置熱潮,企業必須正視員工將自有裝置帶入企業環境的現況,並將過去鮮少考慮涉及到此問題的資安政策,因應現狀而進行修正與變更,必須把這些個人的行動裝置也一併納入企業資安管轄的範圍內。
首先,企業必須思考:本身的業務模式,員工是否真的需要採用這些行動裝置?如果不需要,則應該在和員工的工作約定條款中,明確約定不應該在私人的設備上執行公務,以劃清公司與私人之間的界線。
不過,在當今多數企業或多或少都得仰賴資訊科技來維持營運的狀況下,要完全禁止員工在自己的設備上進行與公務相關的事務,幾乎是不可能的事。
因此企業應該回歸到探討其本身的資安政策對於資料安全要求層級、隱私資料的定義,再來決定如何針對這些私人行動裝置進行管理。
舉例來說,員工或許不會在智慧型手機上存取帶有大量營運或客戶資料的試算表檔案,但手機通訊錄中卻可能存有不特定往來用戶的聯絡資料,如果企業的資安政策認定這些資訊也需要保密,那麼勢必就得把員工的手機列入管理,或乾脆直接統一採購,派發手機給員工。
但畢竟在成本控管當道的狀況下,企業不大可能撥配大筆公費去購買所有的行動裝置給員工,此外,也並非所有員工都需要利用行動裝置來處理公務,因此如何在BYOD與資安防護間找到合理的平衡點,便十分重要且深具挑戰。
開放與管理 必須相輔相成
首先,企業可以要求員工,一旦要把私人行動裝置帶進企業環境中,就必須要向企業預先申請登錄,公司便可以依據本身在成本與管理精細度的需求,訂定相應的管理政策。
例如要求員工必須在手機或平板電腦上安裝防毒軟體,或是提供須使用行動裝置的員工在連結回公司內網,透過虛擬私有網路(VPN)時,仍需要有原來公司無線網路的認證(如LEAP)等安全措施。並且,以技術強制員工必須設定足夠強度的保護密碼,以確保當手機遺失時,撿到手機的他人無法輕易地啟動該裝置。
此外,企業也應該確認,申請BYOD的員工是否真的在工作業務上,有使用行動裝置來執行公務的需求。若需求不大,為了安全防護理由,企業未必要就需予以核准。
當自備裝置進入企業環境,企業可考慮配備端點軟硬體管理與防護,提供使用者即時防護病毒、木馬程式、間諜軟體、rootkits等惡意軟體攻擊,還有網頁信譽評Web Reputation、個人防火牆、行為監控等功能。
以IBM公司本身在內部行動資安的控管為例,便是以既有資安政策為核心(資安治理/風控/符規、人員、資料與訊息、系統與流程、伺服器/端點/儲存體/網路、實體安全),然後將資安政策延伸到行動裝置上。