实施BYOD前要问的五个问题

　　尽管有69%的企业都会允许员工的个人设备连接到办公网络，但是，仍然有21%的企业并没有在企业网络上管理员工使用个人移动设备的策略，这一数字超过了所有接受调查样本的1/5。

　　安全产品公司Courion最近所公布的这一调查数据清晰地表明，许多安全主管仍然无视员工移动设备所带来的安全问题。

　　安全研究公司IANS研究和服务交付部门高级副总裁Chris Silva认为，要想避免个人移动设备所带来的固有风险，最重要步骤就是要制定出移动设备的安全策略。

　　“BYOD(自带设备办公)的关键并不是你用了哪家厂商的管控产品，而是具体的策略。我们不能简单粗暴地只是禁止某些设备，而是要根据谁在使用什么设备，以及利用设备在做什么事来区别对待。”Silva说。

　　那么，全面的移动安全策略应包括哪些方面？Silva认为这其中主要包括三个部分：明确定义用户的风险状况、什么样的设备可以得到支持以及规定设备允许访问的资源。他表示，企业制定自己的移动设备安全策略时，应考虑专家建议的这些问题。

　　支持哪些移动设备？

　　BYOD并非某个人、某家组织或者某个厂商推出的营销方案，而是由实际应用所驱动的。我们可以看到，越来越多的员工都开始在办公室使用自己的设备。Silva建议，企业应该放开对移动平台的支持。

　　如果你只有一台针对黑莓系统的服务器，那么如今还这么做就有点太落伍了。在智能终端普及的今天，企业应该添加支持多种不同移动操作系统的平台。“这至少可以保证员工的设备大部分都可以得到兼容。”Silva表示。

　　尽管支持多种平台可能很重要，不过，企业还是应该明确向员工规定，哪些设备可以接入办公网络、哪些设备不允许接入。很多企业都会犯这样一个错误：试图顾及员工想使用的任何一种个人设备和平台。这样一来，IT安全部门根本不可能完成支持这些设备的任务。

　　“IT安全部门只能确保一小部分平台安全。”Silva说，“他们没办法对几十种设备做出适配。同时，制定一个统一策略也不可能对所有平台都适用。”

　　有些员工可能不喜欢被告知哪些能用、哪些不能用，Silva建议，至少在设备的年限和功能方面有一些最低标准。他表示说：“需要确保员工使用的是最新、最好的设备，因为会制订出比较好的安全控制措施。比如说，你可以决定对iPhone 3G产品之前生产的任何苹果设备不再提供支持。要知道，此前的任何苹果设备都不支持设备级加密。”

　　如何访问信息？

　　我们是要将信息存储在设备上，还是存放在需要远程访问的数据中心？显然，这对某些企业来说是个重要问题，而其重要程度取决于合规以及受监管的力度。

　　“很多企业都有这样的要求：我们希望员工的iPad能够显示整个桌面以利于办公，但是受到合规和监管规定，又不能在其上存储任何信息。”Silva表示。他认为，这样的企业对于移动设备的要求只是一种浏览平台，而不是信息处理平台。

　　因此，对于企业来说，存储信息的每个设备都需要遵守合规要求。企业需要在这方面多加考虑。

　　怎样划分权限控制？

　　Silva表示，可以考虑根据员工的角色和职权来部署安全策略。这意味着，企业的BYOD策略要做到让不同类型的员工从不同设备上访问不同级别的信息。

　　“假设某企业有四种不同的员工角色，其中之一的信息泄漏风险很高。那么我相信任何企业都不希望这类员工用移动设备来处理除了打电话、发短信之外的事务。企业应该通过策略梳理出这类员工的特征，并且将这类员工分组标明，同时划定相应的安全控制措施来和那些特性相匹配。”Silva说。

　　明确定义每一种风险状况，能够让安全部门更容易应对和处理员工的移动设备，让他们知道可以用设备来做什么、不可以做什么。“这能够在某种程度上消除主观因素。”Silva说。

　　怎样才能积极主动？

　　如果某天有50个员工突然来找到IT部门，并且要求使用iPad，那么在这种仓促情况下制定出的安全策略很可能不尽如人意。因此，IT部门需要对未来趋势做出展望。

　　Silva提到了两年前的圣诞节，在当时，有一款经过了长期炒作的安卓设备即将投向市场。

　　“安全管理人员需要预先在思想上有所准备：当员工过完圣诞节回来工作时，会有许多人要求使用安卓设备。明智的IT部门会把事情安排得井井有条，并对安卓的安全问题提前做好准备，以便员工可以有条不紊地使用他们的新设备。”

　　何时对员工说不？

　　要想达到企业安全，相关策略一定要对某些要求说不。这在注重合规的企业至关重要。

　　“比如，对于证券公司来说，你不能让交易员在他们自己的个人设备上执行交易。对这些员工需要有一定程度的约束和控制。”Silva认为。

　　如今，有越来越多的公司开始采用虚拟化技术，以保证在让员工能够正常访问信息和应用程序的同时，不会在本地存储信息。

　　如果企业必须要阻止员工使用移动设备的话，虚拟化技术将会有其用武之地。其为那些需遵守合规要求的行业带来了大好机会。

　　案例研究

　　奥姆尼康集团的CIO解释了自己在BYOD方面的两手抓策略：既允许员工使用自己的设备，让他们满意；又确保能够严格控制不安全的设备，保护企业网络的安全。

　　借助设备管理策略控制移动访问

　　与许多企业的CIO一样，Kenneth Corriveau也看到了不祥之兆。企业的员工想使用自己的设备来办公，但是却不管公司在使用个人产品连接到企业网络方面有什么规定。

　　作为全球知名广告和营销传播服务公司奥姆尼康媒体集团(Omnicom Media Group)的CIO，Corriveau说：“随着近一两年移动设备日益普及，员工要求使用移动设备的呼声日渐高涨。以前，大家都会使用公司统一发放的设备，而现在用户已经开始在家里用自己的个人电脑和移动设备来办公。BYOD的需求在我们这里已经达到了极限，因此我们需要制订一项相应的计划。”

　　Corriveau想让奥姆尼康的员工使用移动设备访问企业网络，但是他又想确保办公网络安全。实行BYOD策略，意味着对试图接入企业网络的所有移动设备都要了解得一清二楚，然后实施谨慎的控制措施，让员工在企业策略允许的范围内安全访问。这对于一家业务遍布80个国家的企业来说并非易事。

　　今天，Corriveau的团队管理着约1万个节点设备，包括iPad、iPhone、安卓、黑莓、笔记本电脑、台式机、会议室电脑等。Corriveau特别指出，由于目前已部署了策略执行系统，因此平台已经不再重要。

　　问：奥姆尼康的设备管理策略出现过怎样的变化？

　　Corriveau：当时我们制定了一项策略，这一策略现在仍适用。策略规定，只有企业设备才能连接到企业网络。但是如今，有越来越多的员工要求使用非标准的设备或非企业的设备来访问企业网络。

　　于是，我们开始设立了几个专项小组，与不同的员工进行交谈。我们企业中的年轻人偏多，他们也更喜欢使用自己的设备。因此，我们知道，需要让他们可以安全地使用自己的设备。

　　问：您是如何做到这一点的？

　　Corriveau：我们拥有严加管理的环境，而且在全球范围统一部署了我们的策略。

　　在拥有BYOD网络访问控制环境之前，我们不允许除企业设备外的其他设备连接到网络上。现在，我们将网络划分成了访客区域和员工区域，来应对不同的需求。当某个设备连接到网络时，我们会首先执行安全策略，确保设备符合一定的标准并且拥有最新的病毒库，之后才允许它连接并访问网络。

　　问：如果设备被拒绝访问，会出现什么情况？

　　Corriveau：如果设备不符合规定，IT人员就会接到通知，并且会立即与想连接到网络的访客或者员工进行沟通。大部分情况下，这些人都会与IT部门的员工进行联系，获取相应的支持。

　　问：您从访客和员工那里得到了怎样的反馈？

　　Corriveau：反馈有好有坏。一些人知道我们在提供更好的服务，并且为他们在访问网络方面提供更多的选择；另一方面，有些人不知道为什么要采取这样的安全控制措施。他们的问题是：“为什么就不能做成开放的平台和标准？”

　　问：您怎么来判定策略执行系统在正常运行？

　　Corriveau：我们的管理系统可以反馈任何IT事件和趋势。比如说，通过这个管理系统我们可以发现，在几年前，针对自带设备办公的需求并不强烈，甚至还有下行的趋势。大概一年前，这种需求程度降到了最低点，不过，随着平板电脑和移动设备的普及，其最近又有了回升的势头。

　　问：移动技术未来会对企业运营产生哪些影响？

　　Corriveau：我认为，我们在BYOD的道路上仍处于起步阶段。随着移动设备的普及，消费者正在寻找使用这些移动设备的新方式。这确实也会改变企业应对这些设备的管理方式以及我们使用它们的方式。

　　不过，毫无疑问，我们正在向一种更开放的环境迈进。从安全角度来看，我们之前开展的所有工作如今都可以满足用户的要求。而技术让我们可以允许越来越多的设备访问网络，同时确保这方面的安全。

　　沈建苗 编译