強化應用程式管控建構安全的企業行動管理環境

2019 / 07 / 24

編輯部

當前已經是人手一機的年代，這些由使用者自行攜入企業內的行動裝置，往往成為資安的漏洞與死角，例如透過手機私自將企業的機密資料外洩，或是將病毒、惡意程式帶入企業內網，因此該如何管理這些BYOD（Bring Your Own Devices）裝置，成為企業資安環境管理的另一個課題。

以管控代替全面禁止
許多高科技廠商與軍方對於行動裝置都有嚴格的規範，初期是採用全面禁止的策略，但是由於現代人們已經相當倚賴行動裝置的使用，這些裝置對於使用者也的確帶來許多在工作上效率的提升，因此全面禁止行動裝置並非是一個好的做法，但要如何一方面開放行動裝置，又同時能夠做好資安管控，則有賴於政策面的規範與技術面的管理。

中科院資訊通信研究所副組長王元昌表示，中科院協助國防部開發了相關的BYOD管理系統，同時已經在軍中推廣並取得相當不錯的成效，未來將這些技術加以調整與修改後，可移轉給民間企業使用。其中主要包括MDM（Mobile Devices Management）行動裝置管理、MAM（Mobile Applications Management）行動應用管理與MCM（Mobile Contents Management）行動內容管理三大軟體。MDM是針對使用者的行動裝置進行管理，先將這些裝置進行註冊與安裝軟體後，才准許這些裝置進入企業內部使用，並針對藍牙、WiFi無線網路、相機的使用進行管控，同時派送政策規範、進行軟體更新等，王元昌表示，軟體會自動判斷這些裝置使用時所在的地點與時間，於上班時間對這些裝置進行管制，下班時間且不在規範區域內時則進行解鎖，以保持使用彈性。

強化應用程式管控 MAM、MCM
MAM則是針對BYOD內所安裝的應用程式加以管控，王元昌表示，軟體會區分公務區與私人區，對於公務區所使用的應用程式會套用白名單，也就是規範有哪些應用程式可以使用，並搭配VPN連線進行加密保護，此外，也會針對有疑慮的應用程式列入黑名單，不允許這些應用程式執行，以確保機密資料不會外洩。進一步，王元昌表示MCM方面，則是會對應用程式所傳輸的內容進行加密保護，可以針對常用的社群、通訊軟體進行一對一、一對多的內容加密，除了文字內容外，也可以針對照片、檔案進行加密，設定讀取密碼與權限，確保這些內容不會被不相關者讀取與解密。

結論
對於BYOD的管理，需要採用全面性的平台整合，王元昌建議，從使用者的登入開始，便捨棄傳統的密碼驗證，而是採取像是虹膜、指紋、手勢等生物特徵辨識，以避免密碼被竊取，或是裝置丟失造成機密資料外洩，傳輸資料時均採用PKI私鑰加密，密鑰存放在安全晶片中，不會被複製與竊取，確保傳輸訊息的安全性。當然，除了針對BYOD裝置進行管控外，企業原有的監控系統、資安政策的制定與規範仍然必須要符合ISO27001標準，才能夠一方面享有行動裝置所帶來的方便與效率，並同時全面做好資安防護的工作。

行動安全應用程式管控