流程管理软件

面对企业移动安全 CIO不能目光短浅

研究机构Gartner在2013年1月提出预测，预估在2016年前，全球将有三分之二企业员工会携带智能型手机上班，其中有高达四成比例，将以自有设备执行工作。如果任何企业看到这里，仍浑然不知资安危机将至，肯定是值得堪虑之事。

       事实上，IT业界每年“炒作”的信息安全议题，都不在少数，所谓“携带自有设备(Bring Your Own Device;BYOD)”或“IT消费化(Consumerization of IT)”，当然也曾是备受的话题。

       只不过，资安投资看在企业主眼里，属于仅能防弊、无助兴利的一环，在资源有限的前提下，企业还有很多要事正待推动，所以多不倾向将过多筹码押注在资安之上，除非，该议题已经严重到濒临动摇企业根本的程度;相形之下，由BYOD、IT消费化所牵引的移动安全议题，一来尚无惊天动地的震撼教育发生，二来其危害程度与迫切性，似乎不如进阶持续性渗透攻击(Advanced Persistent Threat;APT)、殭尸网络(Botnet)、个资防护来得棘手，在考量轻重缓急的前提下，自然不会被列为优先执行的任务。

       甚至有若干供应BYOD解决方案的业者都坦言，他并不看好此类产品在台湾市场的发展前景。

       众多资安议题　彼此环环相扣

       然而，移动安全与APT、Botnet或个资防护等其他议题之间，果真各走的各的，彼此素无瓜葛?如果拼了命全力防堵其他缺口，却始终罔顾移动安全这个环节，那么企业绝对不会遭受APT、Botnet入侵?也不会因而导致机敏个资外泄?答案显然是否定的!

       主因在于，现今黑客发动恶意攻击的目的，并不像过去一样，只是想瘫痪受害者的计算机，证明自己是多么技艺高超，而是以利益作为基础，在此情况下，他巴不得如同船过水无痕，悄悄偷走你的宝贵资料，实现个人利益所得，绕了这么一大圈，你还搞不清楚黑客早已到此一游!于是乎，举凡任何端点，可让黑客有机可乘的入侵管道，都很有可能成为黑客赖以潜伏APT暗桩、散播僵尸毒害、窃取个资的破口，智能型手机或平板计算机等移动设备，当然也不例外。

       更可怕的地方在于，移动安全将为企业IT管理带来前所未见的严苛挑战，比起过去任何资安议题，似乎都来得更加棘手。这些挑战，主要源自于三个W，第一是“WHO”，只因BYOD设备及多元通讯方式，今后都将同时混杂于企业IT环境中，致使IT逐渐丧失终端设备的可视性与策略管控;第二是“Where”，企业难以预测内部员工将会在哪些地点存取公司资料，从而增加敏感资料管理之难度;第三是“What”，BYOD将衍生“去标准化”疑虑，导致企业资料在不同的作业系统设备中传输，因而增加企业管理成本与难度。

       结论就是，基于上述情况对IT基础架构所产生的大幅改变，单凭传统的IT管理，根本无计可施，很难提出有效的对应策略，因为源自于移动设备所产生的安全威胁，并不在以往IT管理所预设的剧本里头。

       资安业者提醒，目前大家所设想到的移动安全情境，可能仅止于冰山的一角，换言之，它们只会是下一波大浪潮的开端，在此前提下，企业及组织必须以较长远的眼光，看待此一新趋势所带来的变革。

       举个最简单的例子，某家资安厂商，暂且撇开任何病毒感染或恶意攻击等变量，只单纯地假设员工不小心在外遗失了智能型手机，并以此作为实验主题，刻意制造50台智能型手机遗失在外的情境，当然，每台手机也都被置入了经过变造的企业机敏个资。

发布：2007-03-27 14:30 编辑：泛普软件 · xiaona [打印此页] [关闭]