智慧型手機對企業造成行動安全管理潛在風險

人手一支iPhone打破了單一品牌、單一手機的全球銷售記錄，而iPhone不僅改變了人們對手機的觀感，連對手機的操作方式，也都因為iPhone出現而改變。除了iPhone之外，由Google推出的Android手機平臺，歷經2年多的市場經營，也搖身一變成為目前市占率最高的智慧型手機。

臺灣一年手機的整體銷售量約為7百萬支，預估2011年智慧型手機在臺灣市場的滲透率大約為4成來看，可以推估臺灣智慧型手機的預計銷售量約為280萬支。

數聯資安技術處副總經理張裕敏表示，「當使用者行動需求可能性越來越高時，行動應用的風險也隨之大增，IT部門也必須隨之提高資安的敏感度。」

IT和業務行動連網需求殷切

從目前常見的行動應用來看，大致可以分成IT人員、部門主管和第一線業務人員等3類較為常見的需求。

張裕敏認為，IT部門是目前對行動應用需求最急切的一群人。以IT部門同仁三不五時要擔任公司系統的救火隊員為例，除非公司IT部門都有現場值班人員，若一般公司只安排輪值人員，三更半夜遇到系統當機時，大多是由IT人員透過遠端遙控的方式連線回公司系統解決問題。

「能夠當場用手機連線解決系統當機問題，比回家拿筆記型電腦處理的效率快。」他強調，當手機功能越來越多，甚至處理器的效能比某些舊型筆記型電腦還好時，加上手機隨身攜帶的特性，遇到緊急處理IT系統當機狀況時，手機也成為IT人員解決系統問題的好幫手。

除了來自IT部門同仁的需求外，也開始有不少拿著iPhone，或者是隨時可連網智慧型手機的中高階主管對IT部門提出需求，希望公司同意，讓他們透過手機就可以連回公司的系統查資料或做公文簽核。

電視廣告房仲業者不論是提供手機看屋服務，或者是拿著iPad服務客人，甚至是，四處拜訪客戶的業務員，如果能用更輕薄的手機或平板電腦取代笨重的筆記型電腦，如果還可以再加上良好的展示效果，張裕敏表示，業務人員幾乎是第一波有遠端連網需求的員工。

從去年下半年到今年初，臺灣已經有多家金融業者開始積極評估，企業是否合適導入行動安全解決方案。會有這樣的評估需求，張裕敏表示，就是因為企業必須判斷，如果行動應用與服務已經是一種不可逆的趨勢時，企業應該付出多少的資源與資安管理成本，讓整體的行動方案能對企業帶來正面的影響。

除了有證券業的高階主管，採用iPhone連線回公司查詢的機敏資料外，也有便利商店業者，正在評估導入手機Push Mail及其他手機應用的可能性，例如加入Workflow公文簽核等其他功能，希望可以藉由行動應用方案進而提升企業的營運效率。

這樣的評估結果並非特例，除了金融業外，臺灣也有很多製造業也在評估採用適合的行動解決方案，而中國用手機進行各種遠端管理或者是提供相關服務的實際案例更多。

從企業的現實環境看來，當高階主管到IT部門同仁，甚至是第一線的業務人員，都開始在評估各種行動方案對企業應用的效益與可行性時，的確對於IT部門同仁增加額外的工作負擔，而IT部門如何在安全控管和應用拓展之間取得平衡，就是一大考驗。

私人手機成行動安全管理的困境

以前IT部門只要管管大型主機、管管桌上型電腦和印表機，到後來開始要管會四處跑來跑去的筆記型電腦，但是，現在連多數人不離身的手機和平板電腦等行動裝置，都要IT部門一起管。

但許多IT部門主管最傷腦筋的一件事情就是，現在很多用於企業行動服務的手機都是私人的，並非公司配發的，這也造成公司在行動裝置控管上的困難。

臺灣先前陸續有一些IT應用比較先進的企業，例如臺灣KPMG，因為公司政策就是要推出員工隨處都可以上班的行動辦公室，所以在配備給員工的標準裝置與設備上，除了筆記型電腦也包含一支公司的手機在內。因為這些都是公司配發的裝備，IT部門也可以安裝各種需要的代理程式（Agent）在筆記型電腦與行動裝置上，以符合公司的資安政策。

張裕敏認為，就企業管理以及資安管理的角度而言，只要公司有推出行動服務和行動解決方案的需求，就應該要統一配發員工手機，才不會出現不同手機廠牌、型號或異質平臺，導致公司在管理上面臨困難；但他也承認，公司要配手機給同仁很花錢，如果不小心買到白牌或山寨手機，更可能暗藏致命陷阱。

現在企業常見的折衷方案就是，公司提供行動服務的可行性，使用者做部分妥協。三陽工業資訊部經理陳春明也坦言，目前雖然提供中高階主管可以透過VPN連回公司公文系統，但因為手機都是私人擁有、並非公司配發，所以在控管上，還是無法做到像管理其他公司配發設備一樣的嚴格，「高階主管私人手機一旦遺失，IT部門目前唯一能做的事情就是，立即把主管手機上的電子郵件帳號與信件刪除掉而已。」他說。

不只臺灣企業面臨這樣的困擾，有不少外商公司也因為無法強制控管員工私人手機，只能透過其他資安政策的配套方式，引導員工在使用私人的行動裝置上，還是能盡可能的遵循公司的資安政策規範。

手機越獄不違法但不安全

但是，最近接連陸續傳出手機應用程式的安全威脅事件，就連Android官方軟體市集也一連出現了50多款通過審查上架的App暗藏惡意木馬程式，迫使Google動用遠端刪除權限來移除使用者設備中的惡意程式。

再加上手機破解、越獄被美國政府視為消費者合法使用權力之一，各種破解工具越來越自動化，甚至出現全自動的破解App，按一個鈕就可以讓iPhone越獄、讓Android破解，使用者可以任意取得管理者權限，讓智慧手機預設的安全機制防護洞開，更容易成為惡意程式竊取企業資料的溫床。

但是，不管如何，企業的各種行動需求越來越多，IT部門也到了必須做好準備，認真思考怎麼提供公司同仁相關行動服務，以及怎麼開始將公司同仁私人手機納入公司資安控管的時刻了。

相關報導請參考「行動應用安全停！看！聽！」