企業M化管理，真的要作起來，從硬體管理到App軟體管理，甚至是app開發上都必須配合，此外還有平台之分(iOS、Android、Windows Phone)，真的是非常龐大Tpoic.....本簡報僅涉略一點皮毛而已。

1. Mobile Security
尚玉瑋
ywshang@itri.org.tw
1

2. 2
Agenda
1. Enterprise Mobile Management
2. iOS Security
3. App SSO Concept
2

3. Enterprise
Mobile
Management
3
(1)

4. 4
WORKPLACE HOME
Enterprise IT採end-to-end方式管理電腦
Anders SandbergF. Javier Llorente, alias...

5. 5
WORKPLACE HOME
Bring Your Own Device ， BYOD Policy
Anders SandbergF. Javier Llorente, alias...
App
App
App
App App App

6. MDM
Enterprise Mobile Management
Mobile
Application
Management
Mobile
Device
Management
Mobile
Information
Management
MAMMIM
6

7. MDM
Enterprise Mobile Management
管理App哪些可以安
裝在行動裝置上，
哪些不可以。特定
App只能提供給特定
人士安裝。
由企業IT控管行動
裝置。可以遠端重
置系統、鎖定系統，
強制套用安全設定。
確保敏感資料加密，
只允許認可的程式
存取資料。
MAMMIM
7

8. Enterprise
App Store
(MAM)
MDM
登錄使用者裝置，取得
相關資訊，後續可供身
分驗證使用
觀察使用者的使用狀況，
亦可針對App進行授權管
理
8

9. MAM相關產品
App47 Apperian AppSense
Citrix F5 Networks Fiberlink
MobileIron IBM Etc……..
9

10. MAM MDM
10
•Over The Air update(OTA)
•Remote Configuration and
Provisioning
•Backup/Restore
•Network Usage and Support
•Remote Lock and Wipe
•Device Provisioning
•Jailbreak Detection
•App Delivery
•App Security
•App Updating
•User Authentication
•User Authorization
•Version Checking
•Push Services
•Reporting and Tracking
Features(僅供參考)
10

11. iOS Security
11
(2)

12. Device
12
Data
Network App

13. Device
13
Data
Network App

14. 14手機內建的螢幕鎖

15. 15
Device Security Policy
行動裝置，透過設定檔限制功能
iPhone Configuration Utility(iPCU)

16. 16也可以直接設定

17. 透過MDM管理設定檔
將設定套用於手機
17

18. Device
18
Data
Network App

19. 遺失了手機
怎麼辦?
19

20. 20
個人進行遠端重置或鎖定

21. 透過MDM
遠端重置或鎖定
或取消裝置註冊
21

22. 透過MAM
取消App使用權
或刪除資料
22

23. KeyChain (128bit AES)
可用來儲存機密資料如密碼、憑證
各App可以有自己的keychain，防止其他app存取
可以設定群組keychain，提供同群組app存取
File Encryption
只能用API方式，讓App開發人員對檔案進行加解密
23
App如何保護敏感資料(iOS)

24. Jailbreak & Root
24不當的權限，易造成資料外流

25. 透過MAM或MDM
偵測是否有Jailbreak
25

26. Device
26
Data
Network App

27. 使用者可能在機場、旅館…
使用Wi-Fi連回公司
27資料於傳輸過程中需要保護

28. 28
VPN
SSL/TLS
WPA/WPA2
若是重要資料，建議採用VPN連線

29. Device
29
Data
Network App

30. 30
Android iOS
Windows
Phone
各平台對於Security提供不同的做法
reference

31. 31
Trusted
App Store
Untrusted
App Store
確保App來自於信任的App Store

32. 惡意軟體
&
惡意程式碼
32目前Android Apps比例較高

33. 33
Browser-based attacks
Buffer overflow exploitations
Application-base attacks
PC能作的攻擊行動，行動裝置也能

34. App Security Scan
34掃描程式弱點

35. Device
35
Data
Network App
透過MDM管理設定檔將設定
套用於手機
•透過MDM遠端重置或鎖定或取
消裝置註冊
•透過MAM取消App使用權或刪
除資料
•透過MAM或MDM偵測是否有
Jailbreak/Root
•重要資料，建議採用VPN連線
•確保App來自於信任的App
Store
•App Security Scan

36. App SSO
Concept
36
(3)

37. 37
SSO API
App
使用者驗證與授權(Native)
App Service
API
取得授權Token
存取資料
SSO
網頁
以HttpClient方式
模擬瀏覽器進行認證呼叫SSO API

38. 38
App
使用者驗證與授權(Web View)
客製網頁
(受SSO保護)
App Service
API
取得授權Token
存取資料
以WebView元件
開啟特定頁面
登入成功，
導向特定網頁
登入失敗，
重新登入
取得使用者資料
Mobile
SSO
網頁

39. 認證方式
1.ID/Password
2.Phone Number
3.SIM Number
4.Device ID
5.MAC address
39

40. 授權根據
1.ID/Password
2.Phone Number
3.SIM Number
4.Device ID
5.MAC address
EMM API
App Service API
40

41. 限制使用
1.限定網路連通時
2.限定特定地理位置範圍內
3.限定VPN連線
41

42. 42
Security Comparison
reference

43. END
43