由《資安人》雜誌主辦的「BYOD有效管理 化威脅為生產力」研討會,已於10/12圓滿結束,現場聚集許多來自製造業、醫療業的IT與資安管理人員,從應用經驗、安全解決方案、及國外趨勢三個面向,共同探討企業IT該如何走向BYOD(Bring Your Own Device)模式。
衛生署資訊中心主任許明暉指出,隨著行動裝置不再只是個人專用的Device,人們可以在上面做更多公務的時候,其伴隨而來的商機也就無限大,舉例來說,醫生或護理人員在製作或修改電子病歷時,必須使用醫事人員卡進行簽章,可是目前行動裝置無法直接應用醫事人員,未來醫療若要走向M-Health,勢必得突破這個挑戰,而突破就一定會帶來更多商機,因此,BYOD不只可以提升企業作業效率,也會讓IT產業更加蓬勃發展。
從使用者經驗看BYOD應用
台北醫學大學附屬醫院是全台灣第一個將行動裝置應用在醫療服務的醫療院所,台北醫學大學醫學科技學院院長李友專指出,針對智慧型手機應用推出了行動掛號系統(Mobile Patient Appointment, MPA)與行動醫令系統(Mobile Physician Order Entry, MPOE)。
MPA讓民眾可以利用手機掛號,而MPOE則提供給主治醫師使用,把複雜的Order簡化成按鈕,醫師只要點選2~3個按鈕就可以查詢病人生理資訊或是下醫囑,如:更換藥物、安排抽血檢驗…等。因此為了配合原本的查房模式,MPOE也設計語音輸入、字體可選擇變大或變小…等功能,以便更切合使用者需求。
至於資安管控機制主要有3點:(1)IT人員可以遠端抺除資料;(2)系統身份認證和機碼結合,當使用者登入行動醫令系統時,系統不只檢查帳號密碼還會讀取硬體ID,亦即該名醫師只能用該隻手機登入系統,而且只能看到自己的病人資料;(3)不開放院外使用,但若簽署保密協議,就可在院外透過VPN連至系統。
三陽工業M化腳步非常早,在2009年就已經採用電信業者提供的push mail與行事曆服務,到了2010年,除了將push mail拉回企業內部自行建置維運,還增加電子公文簽核、提供決策訊息的服務,三陽工業總經理室資訊系統組經理陳春明指出,與PC相較,手機作業環境較為單純,使用者在上面簽核公文的速度反而比電腦快,不過,手機螢幕比電腦小,公文簽核系統的使用介面必須重新設計,才能被使用者接受,三陽先設計好軟體架構,訂定需要在手機呈現的內容與格式,如主旨、本文、其他主管的簽核記錄,之後才開始進行資料轉換。
在資安防護上,三陽使用的電子郵件系統具備遠端抹除資料的功能,當手機遺失時只要通報資訊部門做設定,未來當設備一連上網路就會自動進行format,包括資料與作者系統全部都會不見,避免資料外洩的風險。另外,三陽也引進VDI解決方案,提供給少數高階主管使用,遇到push mail收不下來的郵件(如:加密檔、壓縮檔等),就可以透過VDI讀取看到詳細資料。
從安全看BYOD應用
Extreme Networks資深網路顧問陳瑞建指出,BYOD管理分為二層,第一層門檻是用來識別哪些人和設備可以進入網路,第二層才是應用軟體與內部資源使用的權限控制。然而目前身分識別及存取管理大都在應用軟體(資源)層上進行管控,在網路層連線大都沒有進行管控。
此種作法忽略了一個問題:當底層管控都沒有做好時,企業網路多了不必要的連線,很容易釀成安全漏洞,或者影響應用軟體的可存取性,因此,具備識別網路使用者身份的能力,是企業開放BYOD前的基礎建置。
過往透過網路認證或NAC來識別使用者身份,都會增加後續維運管理負擔,最好方式是用AD認證,只要網路環境裡面有AD,當使用者登入AD就開始記錄該連網設備相關的資訊,如:MAC位址…等,如此不必在設備安裝Engine,也能達到管控目的。
捷而思董事長吳建東表示,現在BYOD的重點已非要不要,而是何時開放及開放到什麼程度,尤其個資法通過後,伴隨BYOD開放所帶來的企業資料外洩風險,更是不可不慎。企業必須知道目前到底有多少行動裝置?使用何種作業系統?是誰連結到企業的網路?存取了什麼資料?
在BYOD安全管控上,必須注意二個原則,第一是根據使用者身份、使用的行動載具、所存取資料之安全等級、及在何處存取等因素,決定控管的嚴緊度;第二是外在環境非常難控管,花大錢所得到的保障有限,企業自行提供APP應用系統並搭配安全的MicroSD,在有效範圍內進行嚴格控管,才能確保一切都在企業掌控中。Secure Micro SD是相當安全的BYOD安全載具,可用來進行動態密碼、PKI簽章/加密、加密郵件/簡訊/電話等應用,由於應用多元化,可配合企業需求搭配合適的安全應用。
從國外趨勢看BYOD應用
國家高速網路與計算中心副研究員蔡一郎表示,從近期國內外的資訊安全會議中,如:RSA Conference 2012、Blackhat USA 2012、DEFCon 20、The Honeynet Project Annual Workshop 2012、[IS]2 Taiwan 2012等,可發現許多共同趨勢,其中一個就是行動裝置相關的系統、軟體、與硬體的安全議題。
當企業開放員工可以攜帶與使用自己的行動設備時,將會造成喜憂參半的衝擊,往好的方面想可以減少資訊設備支出、提昇工作效率與資訊化環境,至於負面衝擊則是增加企業在資訊安全防禦上的難度。目前常見的行動裝置資安威脅有:
- 資料遺失(Data loss):由於設備遺失、或設備退休(即汰換設備)所引起;
- 透過惡意程式(Mobile Malware)竊取資訊;
- 應用程式的資安威脅:APP寫的不好,造成資訊處理風險;
- 設備的弱點:包含作業系統、應用程式、裝置設計;
- 通訊的資安威脅:不安全的WiFi通訊,或是暱名(不合法)的AP存取點;
- 管理功能不足:缺乏身份管理、功能限制…等能力;
- NFC與近場通訊的安全:NFC通訊的風險、駭客就在你身邊。
未來,企業在規劃解決方案時,至少要做到4A1D:認證(Authentication)、授權(Authorization)、權限(Attribution)、稽核(Audit)、及資料保護(Data Protection),才能有效管理BYOD風險。