https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

奇普仕統一規格 行動安全帶著跑

2011 / 08 / 22
吳依恂
奇普仕統一規格  行動安全帶著跑

隨著智慧型手機持續發燒,行動安全的市場也逐漸受到重視,消費端的娛樂也已經逐漸變成企業端的問題,這也是企業主及資訊管理人員所不得不必須面臨到的課題。

奇普仕電子主要營運業務為電子零組件的銷售,其主要代理產品線如, 華邦、聯發科、立錡、凌巨、茂達等。深圳與上海的電子零組件買賣業務為奇普仕最大業務來源,幾乎佔了亞太區二分之一強的地位。其業務營運與海外經營息息相關,其高階主管也時常往來於兩岸三地之間,甚至是遠赴歐洲長達近一個禮拜的需求。


艾睿電子透過嚴密的多重稽核,確保在整併過程資安獲得控管。

安全行動上網 敏感資料不怕帶著跑

台灣的電子零組件通路代理商是全球最密集的,因此圈子也很小,奇普仕電子資訊部主任陳日升說,由於競爭相當激烈,對於價格也很敏感,因此高階主管批的報價、訂單都是極為機密的,而這些敏感性的報價單也為奇普仕帶來其競爭力。

把公司資訊到處帶著跑,這對企業內部的資訊管理人員來說,無疑是一個難以控管的狀況。陳日升就提到,過去高階主管出差,由於各人帶的智慧型手機不僅廠牌不同、型號不同,有時出國之後發生問題,要請台灣的資訊人員協助處理也非常不容易, 更遑論資料的控管或是手機的遺失。

確認到公司內部有使用行動商務手機上網的需求,並基於軟體授權費的考量,採用了企業行動上網解決方案50人以下的免費版本。其實,奇普仕也曾評估過其他ISP業者的方案, 不過由於其開放性的Push mail環境,介接太多易造成資安漏洞之外,此方案也正符合了母公司的資訊安全政策,艾睿電子的亞太區香港總公司其實已有五年相關使用經驗。
 
不過一來由於亞太區網域不同,二來亦有漫遊費率的考量,奇普仕便架設其Local端專屬的行動上網管理伺服器,電子郵件進到奇普仕的郵件伺服器之後,再轉送到行動上網伺服器加密,將加密後的內容傳送至ISP後,再遞送到各手機,透過手機設備解密。手機啟用之初也必須與後端伺服器先進行同步,並設定帳號、密碼。陳日升說,曾也有同事自己去買該廠牌手機想要接收公司郵件,不過若未經過後台開通,即使用了相同機型也不能收發公司資料。

安裝建置的過程其實頗為簡易,陳日升表示該版本可自行上網下載,安裝於伺服器硬體之上,並與ISP業者合作,協助進行使用者的教育訓練,過程之中並沒有遇到太大的問題。而在前三個月的建置期都在測試其適用的漫遊費率,奇普仕補助的政策是行動上網解決方案,設定亞太區總裁下兩階的主管為「當然使用者」,採分批導入的方式,在4個月內目前已有29個使用者。

效益:Data only、Security only

由於手機可隨時保持開機、開關方便、容易攜帶、收發及傳送的程序簡單、資料量小、上網設定簡易,於是在時效性、方便性、安全與使用者習慣的需求之下,奇普仕在今年初嘗試使用行動上網的企業解決方案之後,便盡力將過去使用3G網卡上網方式或是各種類型的智慧型手機汰換下來。

在艾睿電子併購奇普仕後,艾睿集團目前使用兩套郵件伺服器,分別是Outlook Exchange及Lotus Notes,由於全球資安策略的規範,奇普仕採用了封閉式的Push Mail系統,可有效控管電子郵件的傳送權限,不似一般的Push Mail系統,可能使用其他裝置收取Exchange的信件。

陳日升表示,不僅在開通之時需連結回行動上網伺服器進行帳號、密碼的設定,也限定群組,甚至限定ISP業者,若手機設備已與伺服器連線設定完畢,但更換其他家業者的SIM卡、門號,依然無法接收、傳送資料,而如果不慎手機遺失更可將資料回收,降低機敏資料外流的威脅。陳日升說,之前就真的曾有一次,遇到高階主管的手機遺失,所幸主控權掌握在後端的伺服器,為單向的控管,client端並不能透過遠端控制存取,所以可以緊急把資料從手機端拉回後台,機敏資料不至於隨著手機遺失而洩漏。


奇普仕電子資訊部主任陳日升認為利用智慧型手機的企業行動上網解決方案,其方便與安全性兼顧。

在資料的傳輸過程中不僅加密,更有壓縮的功能,每封郵件會被拆解成2KB大小,可先看過部分資訊之後再決定是否需要下載內文,這對於海外漫遊費用的支出,是相當節省成本的作法。僅作收發電子郵件之用,若要連入重要的ERP、CRM 系統,仍需進入到內網使用。

 

 

 

奇普仕電子經驗分享:

1.    開放性的Push mail環境,介接太多易造成資安漏洞。

2.    在資料的傳輸過程中不僅加密,更有壓縮的功能,每封郵件會被拆解成2KB大小,可先看過部分資訊之後再決定是否需要下載內文,這對於海外漫遊費用的支出,是相當節省成本的作法。

3.    奇普仕企業行動上網方案僅作收發公司內部電子郵件之用,若要連入重要的ERPCRM系統,仍需進入到內網使用。

4.    採用企業行動上網解決方案,把主控權掌握在後端的伺服器,為單向的控管,client端並不能透過遠端控制存取,所以可以緊急把資料從手機端拉回後台,機敏資料不至於隨著手機遺失而洩漏。

5.    過去,艾睿集團的台灣分點主要管控措施幾乎都是透過國外遠端的遙控,硬體設備也由國外發派而來,其中的規格或policy幾乎都已經設定完畢, 因此在台灣的資訊人員僅需進行支援維護並且遵循全球資安策略即可,並且幾乎是一個完全封閉的網路體系。

 



收攏行動上網裝置 統一集中管理的策略
此外,奇普仕將其方案設定為「data only」,資料傳送費用皆由公司全額負擔,但既然補助全額, 使用者便要符合一些控管原則。

● 回收3G網卡:過去,外派人員若要出差在外收信,便會分發3G網卡以作為海外收發信件之用, 陳日升表示,在此計畫啟動之後,3G網卡也會慢慢回收,統一採行此方案。
● 憑證不再展期:而使用其他智慧型手機的使用者,過去若遇到需要憑證展期的問題都會請資訊人員處理,在此後,也會建議改用此方案,而資訊人員也不會再協助處理。
●VPN支援:其實奇普仕對外也設置有虛擬私有網路(VPN),而有些智慧型手機並不支援VPN,這在控管上也是一個問題。

所以讓使用者習慣處理公事時使用配發的手機,將所有出差人士的使用手機收攏起來,不要用自有的智慧型手機來處理公事,若有人堅持。陳日升說,也會在主管會議當中溝通全球資安策略的原則。在配合帳號密碼的管理下,行動上網解決方案,相較於筆記型電腦的使用,即使有高階主管的手機遺失,也可將資料收回伺服器,避免機敏資料的遺失,反而還比使用筆記型電腦更來得方便與安全。 

持續整併 安全融合 
2007年,艾睿電子公司(Arrow Electronics Inc.) 收購奇普仕,在持續整併的過程中,資源、人力以及架構也重新分配,2009年,辦公室也正式合併。過去,艾睿的台灣分點僅有兩名資訊人員,其主要管控措施幾乎都是透過國外遠端的遙控,硬體設備也由國外發派而來,其中的規格或policy幾乎都已經設定完畢,因此在台灣的資訊人員僅需進行支援維護並且遵循全球資安策略即可,並且幾乎是一個完全封閉的網路體系,若要對外連線需透過另外的介接,且速度也較慢、限制較多。

而雖然奇普仕納入艾睿體系,實際上仍為一個獨立經營的公司體系,但在資訊安全方面仍須遵循全球的安全策略。艾睿電子遵循美國沙賓法案(SOX, The Sarbanes-Oxley),而美國總部的資訊安全部門也制定了一套內部的資安作業流程策略,在奇普仕併入艾睿集團後,對艾睿集團來說,在台灣區的根據地就由本來的單一據點轉變成一間公司的架構,由於艾睿集團全球共用一些重要的資料庫等,這樣的系統、網路合併很可能會造成風險的升高。

因此網段雖然合併,但目前在一些連往全球資料庫、系統的部份仍為兩套架構並行,例如CRM或是ERP這些重要的系統,也因為網段的合併,因此艾睿亞太區及美國總部、會計師事務所也時常前往稽核,確保資訊安全策略能在整併過程中順利執行。

 

奇普仕電子小檔案

負責人

宋建光

成立時間

1991

資本額

131,524

員工人數

400

 IT人力

10

主要

業務

主要產品類別:特定應用積體電路(ASSP)

記憶體(Memory)、線性離散(Linear)、被動元件(Passive)

光電暨機電元件(Opto/Mechanical Electronics)、自動化設備(Equipments)
代理產品線:華邦、聯發、上元、倚強、原相、

立錡、凌巨、傳訊、聯笙、安普生、易亨、茂達、

合邦、凱特利、勝天、華瑞、其樂達、突破、

矽成、創傑、肯定、晨星、巨有、金麗、矽統、

松瀚、昇陽、凌陽、泰藝、凌越、億而得、

PanasonicMicrelA.LogicsEiCINTIME

九德、東建安、大日本科研、聯恆、二宮、

新力、有宸、永仂、NSSYamato