文/精品科技 研發一部 鄭楷照

隨著智慧型行動裝置(手機、平板電腦等)的普及，人員攜帶行動裝置上班成為普遍情況。由於行動裝置的功能強大，如果企業、組織沒有做好防範，便有可能造成機密資料、資訊洩漏。在企業、組織的機密管制區域，通常會禁止人員攜帶智慧型行動裝置(手機、平板電腦)入內，以避免機密被洩漏。然而行動裝置有許多功能對於使用者有幫助，可增進工作效益，而不虞造成機密資料洩漏。如果能夠對於行動裝置可能造成機密外洩的功能或行為進行限制，而不影響其他功能，將可以在保護資訊安全的前提下，給使用者更多便利。

目前市面上的MDM軟體類型

行動裝置控管(Mobile Device Management，簡稱MDM)能夠對行動裝置(如手機、平板電腦或其他攜帶性裝置等)的功能或操作行為進行控管，以保護企業組織的機密資訊。

現行MDM軟體的常見功能，包括整合使用者帳戶/憑證，以設置資安控管政策與權限；控管行動裝置硬體功能(如相機、Wi-Fi、藍牙…)並且留下使用記錄；收集行動裝置硬體與系統資訊(包括裝置ID、各硬體功能開關狀態、電量…)；行動裝置遺失對策(位置追蹤，遠端鎖定裝置，遠端抹除裝置資料(Wipe)…)等。

MDM軟體對於行動裝置上的軟體(APP)亦可進行控管(亦稱為Mobile Application Management，MAM)，例如控管行動裝置安裝的軟體：強迫安裝、反安裝APP，限制軟體的執行，以及管理企業內部APP的下載分享。MDM軟體可控管企業組織的機密資料的存取途徑、與使用者權限，避免儲存於行動裝置的機密資料被外移備份(亦稱為Mobile Content Management，MCM)。

現有的MDM軟體架構，除了運行於行動裝置的MDM APP，通常還具有MDM的中央伺服器。中央伺服器可以是Internet上的雲端伺服器，或架設於企業組織內部網路。中央伺服器管理安裝有MDM APP的行動裝置，例如指派資安政策、收集裝置資訊、遠程遙控等；中央伺服器可兼具企業資料伺服器的功能，行動裝置只能透過中央伺服器途徑存取機密資料，使機密資料流向得以管制；中央伺服器亦可作為企業內部的APP Store，讓使用者下載安裝所需的應用軟體APP。

為了在使用者上班時自動控管裝置，而在下班後能便利解除管制，現有MDM軟體有些可設置為根據時間與位置決定是否處於管制狀態。例如判斷時間是否為設置的上班時段，如果在上班時段內才啟用管制。這需要與中央伺服器同步時間，並且偵測時間是否經手動修改；地理位置則根據GPS、AGPS取得座標，檢查是否在定義的管制區域內，如果在管制區域內才執行資安政策。

缺少MDM可能造成的問題

1.使用者將企業組織機密外流：

企業組織常在內部網路，以資料伺服器方式儲存、分享資料。現在的智慧型行動裝置均具有Wi-Fi連線能力，因此若資料伺服器與行動裝置雙方面沒有保護措施，當行動裝置進入內部網路區域，便能夠作為終端隨意下載內部資料，抑或是透過USB、藍牙直接與內部設備連線，從而複製外移檔案，造成機密資訊外流。此外現在行動裝置大多具有攝影機設備，若未加以限制，則很容易經由拍照或錄影方式取得機密資料。

為了保護企業組織的資料不外流，對於儲存、分享資料的途徑必須加以管制，例如使用中央伺服器統一儲存管理資料。使用者需要以本人帳號登入中央伺服器才能夠存取內部資料，並且所有存取行為會留下操作記錄以便追蹤。機密資料在傳輸過程也必須加密，並且經MDM APP下載到行動裝置後，需要將機密資料分隔存放於保護區(仍加密)，使資料不能夠複製外移，要檢視機密資料亦需要進入MDM保護區(可設密碼保護)，並且透過指定的唯讀APP或是MDM軟體解密後瀏覽，以進一步保護資料。透過MDM軟體限制行動裝置的相機等硬體，以避免機密資訊被拍照流出。

2.行動裝置遺失：

若存放有企業組織機密資料的行動裝置遺失在外或失竊，則機密資料可能被因此外流。若行動裝置預先安裝有MDM軟體，則遺失裝置時，可即刻透過網路或簡訊方式遙控，遠端將行動裝置鎖定、遠端抹除行動裝置資料，或利用位置資訊追查裝置下落等措施進行補救。並且平時MDM可強制使用者設定有足夠安全的密碼(與有效期限，到期則必須重設)，再配合將機密資料加密、分隔存放的方式，以增加遺失裝置後的安全時間。

3.不當APP

使用者可能有意無意間，執行不當的APP軟體，例如已知的惡意軟體(木馬、資安漏洞軟體)、可能造成資訊外洩的APP、破解或非法軟體、或其他列管APP。透過MDM軟體，可以設置黑白名單限制行動裝置可安裝或執行的軟體，以避免因為使用不當APP遭受損失。

MDM搭配端點防護軟體，相得益彰

端點防護軟體包括防毒軟體(Anti-Virus)、防間諜程式(Anti-Spyware)、防火牆軟體(Firewall)、入侵預防(IPS)等，可防範外來的病毒、惡意軟體、木馬或其他形式的入侵攻擊。MDM軟體則可管制使用者的操作行為、控管行動裝置功能與APP執行、以及機密資料的存取途徑，從內保護企業組織的機密資料。若能搭配MDM與端點防護軟體，可更全面的保護機密資料安全。

精品科技現有MDM產品

精品科技現有MDM產品為AndroidFORT，支援Android平台，具有硬體控管功能如Wi-Fi控管(只能連結名單上的AP)、藍牙控管、SIM卡異動鎖定、遠端鎖定、遠端抹除資料等，可收集硬體資產資訊(裝置ID、SIM卡ID、SD卡容量、電量、…)、位置追蹤；能夠依名單管制APP軟體的執行，並且收集已安裝APP軟體名單。與多種操作記錄(檔案操作、軟硬體異動、來電撥出記錄、…)。

MDM軟體能夠管制行動裝置功能與使用者操作，讓企業組織能夠信任人員攜帶行動裝置工作時，避免因此造成機密外洩的損失；對於使用者而言，在限制敏感功能後，能夠使用行動裝置其他功能可帶與其便利，而不至於徹底禁止攜帶智慧型行動裝置。唯在保護資訊安全之餘，也需要注意使用者觀感，尤其當行動裝置並非由企業組織統一配給，而是屬於使用者本人時(Bring your own device, BYOD)：例如必須尊重使用者個人資訊隱私、不該在管制地區/時段外妨礙到使用者正常使用、事先向使用者教育管制項目、與將收集的裝置資訊等。

文 ／ 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆

新版 ISO/IEC 27001:2013升級背景說明與考量

首先要了解升級的背景，關於ISO/IEC 27001升級，依據國際標準組織（ISO）遵循標準，每隔5年必須進行升級修訂的原則來進行。而目前的版本是已經使用8年，這8年的資訊安全變化已非同日而語，必須因應需求進行調整升級。大家也認同原先ISO 27001：2005與ISO 27002：2005的版本在體系整合、控制項邏輯問題、充分性等條件都有強化改進的空間。此外雲端安全更是不能輕忽的狀態ISO/IEC 27001:2013可以與雲端安全聯盟 Cloud Security Alliance (CSA) 所提出雲控制措施矩陣Cloud Controls Matrix (CCM)讓相關控制措施充分結合與應用，就是在處理新資訊服務的另一發展趨勢。

Read more …