來自Gartner、IDC、iSupply等不同研究機構的預估,都確認智慧型手機的銷售量終將在未來數年內超越傳統的個人電腦,智慧型手持裝置的熱潮已經成為資通訊產業的發展重點之一。然而這種「攜帶自有裝置(Bring Your Own Device,BYOD)」的風潮,同時也讓企業的資安管理出現了灰色地帶,進而提高企業可能遭受攻擊或資料外洩的安全風險。
舉例來說,員工使用智慧型手機連入公司內網的應用系統時,便有許多限制,首先便是對員工的工作內容是否有此需求予以評估,除了少部分高階主管是直接配給外,一般員工若要在自己的行動裝置上使用公司郵件系統,必須經過主管審核確認在工作內容上有其需求,才夠賦予適當權限。
公司可以透過管理工具限制此行動裝置在公司內部或外部能做那些功能,不能做什麼功能,譬如進到公司範圍照相功能自動失效。如果遺失,也可遠端銷毀資料。
 |
| ▲審核通過後,公司須發給金鑰憑證與帳號密碼。 |
審核通過了以後,還必須有公司發給的金鑰憑證以及帳號密碼,才能使用位於DMZ的Lotus Notes Traveler push mail伺服器。甚至,在手機所採用的作業系統上面,也應該有特別的規範,例如目前台灣IBM內部尚未開放員工使用iPhone透過VPN連線進入內網的應用系統。
之所以會封鎖iPhone的原因,是因為iPhone本身無法安裝防毒軟體,因此可能會帶來額外的風險,如此違背了IBM的資安政策,所以不予允許。
雖然IBM可以允許持有Android作業系統行動裝置的同仁登入公司內網的應用系統,但前提是這些行動裝置必須已安裝防毒軟體,以及必須透過安全的連線方式。
此外,IBM也針對高階主管直接配發符合公司安全管理政策的黑莓機,一方面滿足高階主管行動工作的需求,同時也兼顧安全性。
不過iPhone擁有廣大的使用者,企業也不可能無視這些使用者的需求,因此IBM實驗室內部也正在針對iOS平台的裝置進行測試計畫,iPhone手機上必須先安裝公司發出的金鑰憑證及VPN連線的相關軟體,才可以連入內網應用系統,更重要的是,手機一旦進入待機模式,便得輸入符合規定強度的密碼後,才能重新取用。
專責安全官監督 確保資安風險管理融入流程
再好的資安政策或管理工具,一旦遇上了未能確實執行的員工,便很難避免人為所造成的漏洞。國內外許多資料外洩的新聞事件,都顯示即便公司有良好的資安規範,卻仍難逃大意的員工造成的漏洞。
換言之,企業除了制定資安政策、採購資安管理軟硬體工具之外,最好確定能在公司內部設置資安長(Chief Security Officer)類似職務,配置專門的人力及資源以確保資安政策能夠真正融入企業文化與工作流程之中。
在行動裝置的快速成長下,固然會對企業資安管理帶來挑戰,企業在捉住行動商務的商機熱潮之外,也應該同時將其納入企業監控管理的範圍,才能確保在享受便利的同時,不讓駭客把便利用在攻擊上。
(本文作者現任台灣IBM公司技術長暨軟體事業處副總經理)