管制移动设备与云端 大幅减轻泄密风险

精品科技网安顾问兼网安部经理陈伯榆。

近一年多来，肇因于移动设备、云端应用等趋势的盛行，再加上两项趋势彼此结合程度益发紧密，进而产生莫大干扰变量，冲击企业IT疆界治理至钜；值此时刻，如何促使传统电子数据防护、也就是数据外泄防护(DLP)机制加以延伸，借此达到更好的防御效果，实为相当重要的课题。

精品科技网安顾问兼网安部经理陈伯榆指出，综观现行的电子数据防护机制，发挥数项关键机能。一是IT界面装置管控，例如管控外接装置、光盘？烧录装置、打印装置等等；二是软件安控，管制范围含括软件(特殊)执行、软件禁用(如禁止使用TeamViewer)、时段的软件开放、软件执行行为纪录、主管审核、延伸档名管理…等等。

三是网络服务管控，功能项目涵盖企业内部网络芳邻管理、个人防火墙、邮件管控(含Webmail纪录)、员工网页浏览管控、传输管控，及网页文字纪录；四是档案管控，可管理档案产生与删除、档案更名与复制、档案寄送、档案打印(浮水印)，以浮水印为例，在每次档案打印执行过后，皆会出现诸如「862e0625-6b79-51df-4bfe-770b7f12720e」的简码，有助于企业据此反查打印者为何，系透过哪台打印机打印出何种档案内容。

另外，电子数据防护机制亦提供轨迹与警示功能，可藉由各类异动分析、软件执行分析、软件操作分析、上网分析等趋势呈现，佐以各类统计图表，协助企业考核追踪与建立管理制度，称得上是深具价值。

新兴趋势蔓延  使既有DLP机制破功

综上所述，当前电子数据防护机制可谓面面俱到，已然大幅消弭企业数据外泄的风险；然而陈伯榆提醒，有一些新兴趋势的崛起，必将严重冲击IT治理，使得原本看似紮实紧密的机制随之破功。

如此可怕的新兴趋势，究竟为何？大致包括4项，分别是Windows 8 Metro(尤其值得关注Windows 10虚拟桌面议题)、Chrome Metro、SSL、Virtualization。

陈伯榆进一步解释，例如Chrome Metro，可让原本建构在Windows OS层次的「限制档案下载时效」机能完全失效；例如SSL，尽管堪称各方唯一信赖的加密通道，但水能载舟亦能覆舟，当以此为基础的应用软件与云端应用程序盛行，也意谓企业将无从了解SSL状态下数据内容，让企业管控机制失去效果。

随着这些新兴趋势推演，可以预见一些网安现象势必应运而生，包含了企业员工使用新兴科技与技巧、让IT活动快速渗透到公司；利用云端搭建的攻击入侵方式、使企业难以防守；不论APP应用或一般Browser Plugin、都让DLP管控更复杂；针对性入侵行为使企业防不胜防；网络诈骗、数据窃取与网络犯罪会趋于更多样性；而云端或多样Web服务，亦让企业IT治理更为复杂。

由此可见，企业IT疆界正在大幅演变，逐渐推向云端与Web、网络服务、IT装置管控、穿载式装置暨IoT、虚拟化应用等原本DLP鞭长莫及的境地，亟待企业IT部门建立有效的管理模式，始可确保企业机敏信息资产获得安全保护。尤其需要严阵以待的新兴趋势，无非就是移动设备管控、云端管控，而云端与移动设备的结合，将会衍生极其复杂的问题。

扩大IT疆界治理  降低信息外漏机率

针对移动设备管控，陈伯榆认为企业应力求将PC或Server端点保护功能，延伸至移动设备治理，以期大幅降低风险与员工隐私疑虑，而其治理要点涵盖「一个装置(照相装置)」、「两个来源(BYOD、Job Oriented Device)」、「五个协定(包含MTP Mode、USB Mode、Bluetooth、IrDA与WLAN)」；企业与其花力气导入MDM或MAM，不如针对上述要点施展安全对策，反倒容易收到更佳效果。

譬如企业可透过DLP端点管控，拦阻移动设备连结企业电脑与网络系统，继而透过既有的邮件管控措施，使移动设备无法收发公司电子邮件，如此一来，企业仅需要安装管控照相装置程序即可。

值得一提的，企业务须立MTP管制机制，慎防不宵员工藉由此协定将公司档案写出至个人手机，可行做法包括：一、开放MTP使用，但有轨迹纪录与档案备份备查；二、禁止MTP使用；三、MTP唯读政策，有轨迹纪录备查。

在云端管控部分，企业的使用政策同样可以是拦阻禁用，也可以全部开放或部分开放，惟无论如何都需遵守几项原则，包括限制云端服务的使用、云端数据需要加密保护，及云端活动有纪录可查。

「事实上，企业IT 人员普遍面临新云端防护困扰，」陈伯榆说，因为无法透过IP 过滤禁止处理云端服务，再加上云端服务皆已透过SSL通道加密处理，无法分析其内容行为，意欲有效突破这些盲点，不妨瞄准浏览器、应用程序两大环节加强管控。

可采取的策略包括：一、网站白名单放行，其他禁止；二、网站黑名单禁止，其他放行；三、禁止云端同步程序，禁止上传档案；四、开放云端同步程序，上传档案加密。而在推动上述措施的同时，企业亦需搭配警示信息、稽核轨迹纪录等关键机制一并施行，据此大幅减少信息外漏风险。