首页 > 解决方案 > 行动安全管理

行动安全管理

BYOD的潮流

随著iPhone/iPad/Android的热卖,走在路上,几乎就是人手一只智慧型手机或是平板。不仅仅在生活上,连在工作上,行动装置也被带进企业中,BYOD(Bring Your Own Device)的潮流已经形成,势不可挡。以往在会议室开会,满桌的笔记型电脑以及变压器占据了整张会议桌,还得找插座接电;现在已经有不少人改带智慧型手机或是平板来开会了,同样可以当场查E-Mail、行事历,或是作简报、及修改报价等文书处理,而不用大阵仗带著笔电。对于行动办公人员,或是常常需要在外出勤的人员,行动装置的轻便与续航力,更是让人无法不去使用它。

企业既有的信息安全设备能解决行动装置吗?

行动装置的盛行,对于IT人员的影响,首当其冲是在办公室内无线网路存取。但在接上办公室网路后,信息安全问题随之接踵而来。特别是行动装置通常兼具3G上网功能,以往再严谨的信息安全保护都随著这个新的上网管道而让公司的信息安全政策破功。笔者就曾经在客户处实机测试时,听到他们的同事抱怨:刚刚才办了3G上网吃到饱方案,好不容意可以让公司电脑自由上网,IT就来封锁,他不就白花钱了!

除了行动装置在公司内部的信息安全考量之外,更大一部份的行动装置运用是在公司外。行动装置在公司外会须要信息安全吗?如果行动装置有公司的E-Mail、行事历,会VPN进公司,有公司的机密档案,当然需要信息安全防护,而且还必需考量离线状态的信息安全防护。这恐怕比原本企业架构在网路连线上的信息安全措施更让IT人员头痛。另外一个问题是,假如行动装置在外遗失,或被有心人士窃取,那存在里面的公司机密文件及个资就汲汲可危。

对于行动装置如果控管的太严谨,例如不允许任何非公务的运用,也有可能会造成员工的反弹。因为行动装置是员工自己掏腰包买的,原意只是要让自己工作更加即时,结果若是被公司的信息安全政策绑成行动装置好像不是自己的,那谁要用行动装置。所以行动装置的信息安全政策也必需考量到私人的应用不该被管制。

行动安全管理方案

  • 无线网路安全的管控

将有3G的行动装置设定开启个人热点,让笔记型电脑可以经由个人热点上网,这几乎是在办公室外工作时的必备工具了。但是把这个功能带进办公室内部之后,也让办公室电脑可以改走这条路上网,原本在Internet出口端重兵部署的信息安全设备全部破功,什么防毒墙、IM/P2P管制、IDP/IDS、网页过滤全部都管不到了。在这方面,必须针对无线安全方案来提升强化:

无线端点安控(End-Point Protection,简称EPP):透过EPP信息安全工具来禁止使用者利用自有的行动装置以USB、蓝芽与个人电脑连接,规避企业的信息安全防护系统。尤其是越来越多的行动装置及迷你型的无线分享器都具有无线热点分享能力,更容易造成企业信息安全防护网的破坏与风险。
无线入侵侦测防御(Wireless IPS,简称WIPS):WIPS信息安全设备,在空中直接利用侦测AP/干扰AP来干扰及阻断无线网路的连线。WIPS可以设定政策来达到允许某些无线连线,阻挡某些无线连线。简单来说,防止不允许的无线装置(Unauthorized AP/Client)接触与存取企业合法的无线网路环境(Authorized AP/Client),并掌握企业工作空间里的无线使用环境。

  • 行动装置在公司上使用的信息安全策略

当行动装置在办公室中,是使用公司的无线网路来上网时,就该将其视为公司的端点设备来加以管理与保护。此时Internet出口端的信息安全措施都还可以防范,不是大问题。要注意的是:

安全的无线网路存取(Secure WiFi):由于无线网路是一种开放环境下的资料传递通讯方式,因此企业必须更注重安全性。具备Secure WiFi的无线基地台对于企业而言是兼具安全与管理能力的选择,能够强化使用者无线网路连线使用上的安全规范。

无线行动装置IP的管理(IPAM):员工自行带来的行动装置几乎都是透过无线网路接入企业IT环境,因此网路IP的配发问题便产生管理上的问题。具备IPAM管理能力的DHCP系统可能自动辨别行动装置类型/型态,依据政策规则配给IP位址并记录。

  • 行动装置在外使用的信息安全策略

行动装置在带离公司之后,对信息安全的控管上不会比在公司内部简单。先撇开个人行动装置走自己的3G或家用/公众无线网路该不该管理,行动装置在公司外存取公司内的资源就是一定得管理的事。举例来说,行动装置收发公司的email或同步通讯录,如果手机遗失或被有心人士盗取,就可能造成公司机密资料或个资的外泄。防止资料外泄的方法有:

行动装置的DLP方案:对于BYOD的使用上,企业很难避免使用者行动装置都一定存在公司保护网下,因此让行动装置DLP方案是将端点资料外泄防护机制布置在行动装置上,对于使用者存取公司机密资料、敏感Email、个资资料时,能够受到DLP政策的管制与监控。

MDM/MAM行动装置管理方案:将行动装置中属于企业资料加密储存,并与属于私人的资料隔离开来。一但有遗失或其它疑似攻击行为,则可以远端对企业资料进行彻底抹除。大部份的行动装置的密码安全性,比起个人电脑而言实在太弱,但若员工使用于自己私人用途上,也不见得愿意将密码复杂度搞的很麻烦,甚至考虑到员工回到家,小孩子把行动装置拿来玩,若不小心触犯公司政策而将行动装置锁住甚至抹除,反而会引起民怨。将企业资料与私人资料在行动装置中隔离起来,只对企业资料进行管制保护,而私人的资料则保持个人自己的喜好管理方式,这才能达到BOYD的精髓,与员工互蒙其利。


解决方案1:BlackBerry

解决方案2:Sophos -- Enduser & Server- Mobile Control/MDM