如果企業的 IT 主管以為他們可以避免行動裝置受到安全威脅,看看以下數據,你就會有不同的想法。根據Juniper Networks全球威脅中心針對全球 16 個國家、超過 6,000 名的智慧型手機和平板電腦使用者所做的研究報告中顯示,行動裝置的個人和商業使用界限已逐漸模糊不清。 有81% 的受訪者承認,他們在雇主不知情或未獲雇主允許的情況下,利用行動裝置存取其雇主的網路,而且有 58% 的人每天都這麼做。將近 44% 的受訪者以行動裝置作為個人和商業用途;只有不到 4% 的使用者完全用於商業目的。
『不在辦公室,也能辦公事』
行動裝置(包括智慧型手機)在這幾年的發展,已經具備絕大部分個人電腦的功能,智慧型手機還加上了原有的通訊功能,包含了語音,簡訊等等,與企業內部個人電腦最大的差異,就是能夠隨時連上Internet,對企業而言,安全威脅的傳播途徑就更廣泛了,可能包括了竊聽、透過電子郵件、文字簡訊、藍牙、Wi-Fi 及應用程式下載的方式四處擴散,行動裝置自然就成為容易受到攻擊的新終端設備。更嚴重的是,每當有裝置遺失或被竊時,企業資料就會面臨威脅。而IT 主管在傳統上因應這些風險的作法,就是嚴格限制員工使用某類行動裝置,但這樣的方式又與目前行動工作趨勢背道而馳,事實上,目前已經有許多的解決方案,能夠以兩全其美的方式,來加以解決。
先來看行動裝置存取企業內部資源的的威脅在什麼地方,行動裝置不論是透過全球行動電信系統(UMTS , Universal Mobile Telecommunication System)或 Wi-Fi的方式取得 IP 後,連線回到企業內部,進行資料的存取,首先面臨到的問題便是如何確保資料傳輸過程中的安全,特別是無線的溢波特性,在使用者周遭是非常容易被進行側錄 的,加密是唯一的方式。
對!這時候有人已經想到,那行動裝置不要透過 UMTS,使用 Wi-Fi 加上無線網路加密標準(WPA2 , Wi-Fi Protected Access)就安全了吧?這只能確保裝置到 Access Point 之間有加密,並不表示從 Access Point 後到企業內部之間的網路就是加密的,所以要解決被竊聽的威脅,首要就是透過 IPSEC VPN 或 SSLVPN 等方式,建立行動設備到企業間的安全通道。目前許多提供 internet 服務的地方,僅提供 TCP/80 或 TCP/443 對外的連線,相較之下 SSLVPN 是比較合適的選擇,如果企業 IT 部門要提供使用者更多的服務,例如透過行裝裝置連回內部使用 VoIP 等,需要 private IP 的服務,就必須選擇能在裝置中提供 L3 VPN 通道的 SSLVPN解決方案。
行動裝置造成的管理議題
根據《Computerworld 》在2010年所做的調查顯示,行動裝置在企業當中的使用,除了由企業發配給員工以外,有 75%受訪企業都同意員工使用自己的行動裝置。
企業的抉擇 企業若想讓公司同仁使用私人行動裝置來連上公司mail,而依照本篇文章的顧問建議採取行動裝置管理解決方案,有一些步驟需完成,企業可以衡量是否需要導入相關方案: 1.員工需同意公司安裝程式(Agent)在自己的行動裝置上。 2.公司需依照公司規範來設定相關的資安政策,有條件的限制員工使用行動裝置連接到公司的Mail Server收發。 |
有了安全的連線,使用者便能方變得存取內部應用,但行動裝置仍然是一個可能入侵內部的途徑之一,應如何控管設備並確保資料安全?或許可考慮行動裝置管理解決方案來控制企業內的各種行動裝置。(見圖1)
圖1 警示儀表板
就如同個人電腦一樣,除了收發E-mail、瀏覽網站、下載檔案外這些功能外,行動裝置還可以收發 SMS、MMS。特別是 SMS,許多人應該還記得兩年前就有發表過數篇可透過 SMS進行手機 劫持(hijacking)及阻斷服務攻擊(DoS)的研究。
此外,除了行動裝置內的資料以外,行動裝置可能會遺失、或使用者透過裝置將機密資料拍照或傳遞出去,因此遺失/竊盜保護、 GPS 定位與設備監控就相當重要(見圖2)。若有人將裝滿公司重要文件、E-mail 的行動設備遺失了,對所有企業來說,都必須承擔相當的風險,處置方式當然是希望能夠找回來,或是清除所有資料。
圖2 GPS監控報告
為了防止資料外洩,目前許多的企業已經有許多的措施,常到園區進行拜訪的人可能有經驗,除了易碎貼紙外,具備照相功能的手機皆不准攜入,因此如果企業要引進行動裝置的話,解決方案除了必須具備設備 contact list、app install list等控管功能外,還要能針對圖片進行監控,才能確保萬無一失。
因此,行動裝置管理解決方案的基本功能,必須要具備Anti-Virus、Anti-Spam 及 Personal Firewall,而GPS定位功能可協尋遺失的設備,並且在找回來之前,透過OTA(Over-the-air)傳送binary SMS,就可將手機上鎖,最後,萬一無法尋回,最好也要能夠遠端清除資料。
結論
提供 SSL VPN 服務對於企業配發或個人自己的行動裝置於管理上,並沒有太大的差異,因為所有的限制可由 SSL VPN設備進行設定,但是行動裝置管理解決方案這類的解決方案則可以在許多方面限制行動設備的功能,例如允許/不允許安裝某些應用等。(見圖3)
要在企業擁有的設備上控管相當容易,就如同限制公司電腦上可以使用的功能,但是要求員工在自己擁有的行動設備上,開啟行動裝置管理解決方案的應用並不容易,無論企業如何選擇。最重要的是,一開始就必須思考要提供哪些服務?要使用公司或個人擁有的行動裝置,並將風險與成本納進考慮,才能做出最符合企業的決定。
圖3 行動裝置管理方案