做好行動設備存取控制　企業資安有保障

中飛科技技術支援部協理 張偉翰

由於有愈來愈多的企業用戶，希望能在企業使用個人的行動設備，但IT支援人員卻往往基於企業資訊安全需要，往往只會回答不支援。中飛科技技術支援部協理張偉翰認為，現在的企業必須提供解決方案，讓使用者可以帶自己的行動設備到企業，而且可以很安全且容易的存取企業資源，才能一方面提高企業效率，同時又可兼顧資訊安全。

張偉翰指出，目前包括醫療監測、病歷資料、零售盤點、進出貨、財務分析、e-learning、餐廳點菜等企業，都已開始大量使用行動裝置。因應這些企業所需，行動裝置存取資料，需要考慮的要素，包括多媒體、協同運作、虛擬桌面等趨勢，但其中最重要的是還是存取控制。

如以往的企業要存取ERP等企業內部資料庫時，用戶使用的設備不但都是固定在辦公室中，而且IT管理部門往往可以直接控管使用狀況，但用戶如果是用個人的行動設備登錄企業網路環境，IT人員就很難進行控管。

張偉翰表示，其實CIO最在乎的問題，就是要在最少的成本控管下，兼顧存取安全性及服務可用性，因此在行動裝置存取控制方案中，採用Guest Access with VPN的安全性最高，但對人員負擔最重，導致台灣企業的IT管理中，對人員負擔最輕的Open Access反而較為常見，也讓行動設備的資安問題，變得更加嚴重。

張偉翰指出，由於大多數用戶都會將帳號及密碼保存在自己使用的行動設備上，行動設備的遺失率又高，一旦發生遺失事件，一定要能很快的處理。因此，完整的行動設備存取控制，不但鑰能夠識別使用者，還可以識別設備、應用軟體及時間地點(如只能在特定公共空間才能上網)，才能阻絕漏洞。

如用戶自備的行動裝置，在連線到IT部門指定的無線網路後，可以先連結到特定的入口，登錄帳號及密碼後，就可以將該設備自動註冊到系統中，以便控管使用權限等。但如果是企業已經控管的設備，就不會連接到特定入口，一來不會影響網路流量，二來也可以區隔出更嚴謹的使用存取控制政策。

張偉翰強調，行動裝置存取控制要注意的重點，包含裝置識別、個人設備定義入口(Aruba Amigopod)及使用情形可視化，而且最完整的控管，不能只是識別裝置，還要能夠識別裝置中，是否已經安裝企業要求必備的軟體(如防毒)，才能確保行動裝置不會成為企業資安的漏洞。