研究機(jī)構(gòu)Gartner在2013年1月提出預(yù)測(cè)，預(yù)估在2016年前，全球?qū)⒂腥种髽I(yè)員工會(huì)攜帶智能型手機(jī)上班，其中有高達(dá)四成比例，將以自有設(shè)備執(zhí)行工作。如果任何企業(yè)看到這里，仍渾然不知資安危機(jī)將至，肯定是值得堪慮之事。

       事實(shí)上，IT業(yè)界每年“炒作”的信息安全議題，都不在少數(shù)，所謂“攜帶自有設(shè)備(Bring Your Own Device;BYOD)”或“IT消費(fèi)化(Consumerization of IT)”，當(dāng)然也曾是備受的話題。

       只不過，資安投資看在企業(yè)主眼里，屬于僅能防弊、無助興利的一環(huán)，在資源有限的前提下，企業(yè)還有很多要事正待推動(dòng)，所以多不傾向?qū)⑦^多籌碼押注在資安之上，除非，該議題已經(jīng)嚴(yán)重到瀕臨動(dòng)搖企業(yè)根本的程度;相形之下，由BYOD、IT消費(fèi)化所牽引的移動(dòng)安全議題，一來尚無驚天動(dòng)地的震撼教育發(fā)生，二來其危害程度與迫切性，似乎不如進(jìn)階持續(xù)性滲透攻擊(Advanced Persistent Threat;APT)、殭尸網(wǎng)絡(luò)(Botnet)、個(gè)資防護(hù)來得棘手，在考量輕重緩急的前提下，自然不會(huì)被列為優(yōu)先執(zhí)行的任務(wù)。

        甚至有若干供應(yīng)BYOD解決方案的業(yè)者都坦言，他并不看好此類產(chǎn)品在臺(tái)灣市場(chǎng)的發(fā)展前景。

        眾多資安議題彼此環(huán)環(huán)相扣 然而，移動(dòng)安全與APT、Botnet或個(gè)資防護(hù)等其他議題之間，果真各走的各的，彼此素?zé)o瓜葛?如果拼了命全力防堵其他缺口，卻始終罔顧移動(dòng)安全這個(gè)環(huán)節(jié)，那么企業(yè)絕對(duì)不會(huì)遭受APT、Botnet入侵?也不會(huì)因而導(dǎo)致機(jī)敏個(gè)資外泄?答案顯然是否定的!

       主因在于，現(xiàn)今黑客發(fā)動(dòng)惡意攻擊的目的，并不像過去一樣，只是想癱瘓受害者的計(jì)算機(jī)，證明自己是多么技藝高超，而是以利益作為基礎(chǔ)，在此情況下，他巴不得如同船過水無痕，悄悄偷走你的寶貴資料，實(shí)現(xiàn)個(gè)人利益所得，繞了這么一大圈，你還搞不清楚黑客早已到此一游!于是乎，舉凡任何端點(diǎn)，可讓黑客有機(jī)可乘的入侵管道，都很有可能成為黑客賴以潛伏APT暗樁、散播僵尸毒害、竊取個(gè)資的破口，智能型手機(jī)或平板計(jì)算機(jī)等移動(dòng)設(shè)備，當(dāng)然也不例外。

        更可怕的地方在于，移動(dòng)安全將為企業(yè)IT管理帶來前所未見的嚴(yán)苛挑戰(zhàn)，比起過去任何資安議題，似乎都來得更加棘手。這些挑戰(zhàn)，主要源自于三個(gè)W，第一是“WHO”，只因BYOD設(shè)備及多元通訊方式，今后都將同時(shí)混雜于企業(yè)IT環(huán)境中，致使IT逐漸喪失終端設(shè)備的可視性與策略管控;第二是“Where”，企業(yè)難以預(yù)測(cè)內(nèi)部員工將會(huì)在哪些地點(diǎn)存取公司資料，從而增加敏感資料管理之難度;第三是“What”，BYOD將衍生“去標(biāo)準(zhǔn)化”疑慮，導(dǎo)致企業(yè)資料在不同的作業(yè)系統(tǒng)設(shè)備中傳輸，因而增加企業(yè)管理成本與難度。

       結(jié)論就是，基于上述情況對(duì)IT基礎(chǔ)架構(gòu)所產(chǎn)生的大幅改變，單憑傳統(tǒng)的IT管理，根本無計(jì)可施，很難提出有效的對(duì)應(yīng)策略，因?yàn)樵醋杂谝苿?dòng)設(shè)備所產(chǎn)生的安全威脅，并不在以往IT管理所預(yù)設(shè)的劇本里頭。

       資安業(yè)者提醒，目前大家所設(shè)想到的移動(dòng)安全情境，可能僅止于冰山的一角，換言之，它們只會(huì)是下一波大浪潮的開端，在此前提下，企業(yè)及組織必須以較長(zhǎng)遠(yuǎn)的眼光，看待此一新趨勢(shì)所帶來的變革。

        舉個(gè)最簡(jiǎn)單的例子，某家資安廠商，暫且撇開任何病毒感染或惡意攻擊等變量，只單純地假設(shè)員工不小心在外遺失了智能型手機(jī)，并以此作為實(shí)驗(yàn)主題，刻意制造50臺(tái)智能型手機(jī)遺失在外的情境，當(dāng)然，每臺(tái)手機(jī)也都被置入了經(jīng)過變?cè)斓钠髽I(yè)機(jī)敏個(gè)資。

        與此同時(shí)，該業(yè)者也透過遠(yuǎn)端監(jiān)控方式，密切追蹤手機(jī)拾獲者的后續(xù)動(dòng)作;藉由實(shí)驗(yàn)結(jié)果顯示，有96%比例的拾獲者，曾讀取手機(jī)內(nèi)的個(gè)人資料，83%拾獲者意圖存取有關(guān)企業(yè)的應(yīng)用程序及資料，當(dāng)然，也有多達(dá)70%拾獲者，把前述兩件事情都做足了，也就是同時(shí)存取個(gè)人及企業(yè)的程序或資料。

        從這個(gè)例子可以看出，企業(yè)亟欲善加保存的機(jī)密資料，可能只是因?yàn)橐慌_(tái)智能型手機(jī)的遺失，進(jìn)而散落于外部不知名人士手中，即便這些人并未針對(duì)特定目標(biāo)企業(yè)有所圖謀，尚且可能釀成莫大危害，倘若是虎視眈眈的黑客出手，那么情況勢(shì)必更加難以收拾?？吹竭@里，企業(yè)豈能繼續(xù)對(duì)此掉以輕心?

        推展移動(dòng)安全至少須做到幾件事 如此看來，BYOD或IT消費(fèi)化似乎潛藏了層層危機(jī)，彷彿將令企業(yè)陷入防不勝防的夢(mèng)魘，既然如此可怕，那么該如何推展相關(guān)防護(hù)措施。

       其實(shí)企業(yè)也無須自己嚇自己，只要謹(jǐn)守幾個(gè)重要原則，大致就能明哲保身。首先，IT管理不妨先有所反思，究竟哪些環(huán)節(jié)，可能釀成信息安全缺口，以利于后續(xù)展開補(bǔ)強(qiáng)動(dòng)作。

       經(jīng)過綜合整理，多數(shù)企業(yè)都會(huì)面臨類似的問題。第一，如何降低管理移動(dòng)設(shè)備的成本及資源，尤其當(dāng)高階主管人人都在使用智能型設(shè)備，IT管理者應(yīng)該思索管理之道;第二，如何保護(hù)公司資料，尤其當(dāng)這些設(shè)備遺失或遭竊，該如何是好?值此時(shí)刻，IT管理者必須先厘清，哪些個(gè)人設(shè)備當(dāng)中存在著公司資料，然后設(shè)法針對(duì)這些個(gè)人設(shè)備，清楚區(qū)分公司資料及個(gè)人資料。

        第三，如何確保存取企業(yè)網(wǎng)絡(luò)、資料及應(yīng)用程序的設(shè)備，都是安全無虞的，否則一堆Android或iOS設(shè)備，就好比不受任何保護(hù)的PC一樣;第四，如何確保公司資料不致因?yàn)橘Y料備份或分享，而遭到外泄，特別是不少同仁都偏好采用dropBox來分享公司資料，種種行為，絕對(duì)不宜坐視不理。

        當(dāng)界定了上述問題后，緊接著，IT管理者就必須針對(duì)這些潛在的安全缺口，找出相對(duì)應(yīng)的解藥。依據(jù)資安廠商的建議，企業(yè)首先必須做到“移動(dòng)管理”，旨在把傳統(tǒng)運(yùn)用于個(gè)人計(jì)算機(jī)上的防護(hù)機(jī)能，延伸到移動(dòng)設(shè)備，借以保護(hù)智能型手機(jī)及平板計(jì)算機(jī)的設(shè)備與資料。

        第二步，即須做到“集中管理”，也就是讓企業(yè)可以透過單一平臺(tái)，全盤掌握與控管所有移動(dòng)設(shè)備，以落實(shí)設(shè)備的管理與安全性。至于第三步，便是保護(hù)資料并強(qiáng)迫設(shè)備設(shè)定密碼，而且還必須將資料加密，并可藉由遠(yuǎn)端抹除的方式，清除掉遺失或失竊設(shè)備上的資料，以期避免資料外泄。

        在此情況下，不論企業(yè)有意導(dǎo)入何種管控方案，有一些技術(shù)特征，都是必須具備的。比方說，針對(duì)設(shè)備安全部分，不但需要留意手機(jī)病毒掃瞄、網(wǎng)絡(luò)威脅防護(hù)(含遠(yuǎn)端定位)、惡意APP防護(hù)、垃圾訊息過濾，甚至必須擁有惡意網(wǎng)頁連線分析、特定位置APP控管等功能;而在資料保護(hù)部分，舉凡強(qiáng)制密碼政策(含遠(yuǎn)端鎖定、遠(yuǎn)端清除)、設(shè)備與檔案加密、特定位置功能封鎖，乃至于針對(duì)特定IP的連線，自動(dòng)啟動(dòng)VPN，甚至是管制特定寄件者的賬號(hào)，都屬于必備的要素。

        此外，在設(shè)備管理方面，必須要有一個(gè)能夠集中管理的控制平臺(tái)，且基于簡(jiǎn)化管理、降低成本等考量，這個(gè)平臺(tái)最好能一并兼顧智能型手機(jī)、平板計(jì)算機(jī)、個(gè)人計(jì)算機(jī)與服務(wù)器等多重防護(hù)任務(wù)，更重要的，該平臺(tái)必須同時(shí)支援iOS、Android、Windows Phone或RIM Blackberry等不同移動(dòng)作業(yè)平臺(tái)，并有能力管制移動(dòng)設(shè)備的相機(jī)或藍(lán)牙等設(shè)備功能，APP安裝、畫面擷取或Wi-Fi連網(wǎng)等設(shè)備應(yīng)用功能，且可詳加記錄設(shè)備信息，以利管理者進(jìn)行資產(chǎn)清查及稽核;另一方面，此平臺(tái)亦須支援全域或群組安全政策之部署，且能夠企業(yè)目錄服務(wù)。