BYOD模式專題問答

使用BYOD模式進行辦公的優勢在哪里？

主要有以下優勢：一是節約企業辦公成本。BYOD模式對應的設備屬于員工個人而非企業，這樣企業就能不再采購新設備，從而能夠節約大量成本。二是提升員工的工作效率。當員工使用自己更為習慣的設備工作時，往往會操作更流暢，這樣容易提升他的工作效率，而員工較高的工作效率是單位生存發展的基礎。三是容易贏得員工的支持和信任。BYOD模式的推行，為員工的移動辦公、遠程辦公提供了安全、方便的環境，滿足了員工對工作靈活性、設備個性化的需求，保證了員工可以隨時隨地方便接入企業內網環境，此舉無疑將贏得員工的支持和信任。四是積極改善企業運營效率。一個合理的BYOD方案，能夠讓企業了解到員工使用的什么設備、訪問的網頁以及其他工作內容，對這些數據的分析能夠有效地優化企業業務流程，改善運營效率。

目前，BYOD模式在企業的應用場景主要表現在哪些方面？

一般有以下應用場景會使用BYOD模式：一是部分用戶工作需要。給BYOD設備安裝移動辦公客戶端系統，實現移動辦公目的，可以給一些企業領導的工作帶來不少方便。而且因為工作原因，企業每位員工幾乎都配置有現代化的智能手機，企業可以通過BYOD模式向員工實時推送內部數據、重要通知等。二是應付外部工作檢查需要。接受審計、稅務等外部單位不定期工作檢查時，這些單位的檢查人員一般都會使用自己的設備來現場辦公。這時，就需要用到BYOD模式，讓外部設備接入企業內網網絡，以便讓它們與內網互聯互通。三是滿足員工嘗試新技術、新設備的要求。比方說，有的企業員工喜歡將筆記本電腦的鼠標替換成藍牙鼠標，這樣可以讓辦公環境變得更加清爽整潔。還有的員工常常把自己家的平板電腦帶到單位，研究如何用單位的免費網絡進行上網訪問等等。四是廠商技術支持的需要。在企業業務系統優化升級期間，各種各樣的廠商技術代表都有接入企業內網的需求，有些項目甚至需要長期接入企業內網環境。

請問在企業的BYOD模式環境下，怎樣保證員工無法通過email發送敏感數據？

要制定嚴格的BYOD策略，該策略至少應該包含以下內容：禁止企業員工使用競爭對手的云服務，禁止將企業郵件內容發到個人賬號，禁止員工傳送非加密數據，禁止使用非授權的第三方軟件傳輸數據，以免機密信息可能會被發到其他位置。禁止員工在多個網站使用同一個密碼。強化身份認證管理，為員工和第三方建立一套與企業聯絡的可被追蹤的電子認證系統。

BYOD模式下，企業最擔心重要數據對外泄露。因為員工們會丟失自己的智能手機或平板電腦，一旦這種事情發生后，企業的重要數據很容易被泄露出去。請問如何才能避免這種情況出現呢？

可以使用遠程刪除策略，也就是說，當員工的移動設備發生丟失現象后，企業能夠將保存在移動設備上的重要數據遠程刪除掉。特別是在企業使用BYOD模式的情況下，更應該立即使用這個策略。

在充分享受BYOD帶來便利的同時，有些企業對其也會退避三舍，因為BYOD也容易在安全性、兼容性等各種方面帶來一系列麻煩。請問BYOD模式可能給企業帶來哪些潛在的麻煩？

主要有下面一些麻煩：一是降低工作效率。企業員工可能會花很多工作時間用來上社交網絡、跟好友聊天或者做更糟糕的事情，這既會降低員工自己的工作效率，也會由于大量占用網絡帶寬資源影響其他員工的工作效率。二是設備難以有效管理。由于每位員工選用的運營商不同，使用的設備品牌、型號不同，這容易給企業的集中管理帶來很大麻煩。三是存在數據泄露可能。員工攜帶自己的移動設備進入企業內部網絡環境，很容易將企業重要數據通過移動設備帶走，而且移動設備很容易丟失，當不法分子獲取到這些設備時，企業的重要數據自然就會落入陌生人手中。四是容易泄露密碼。員工的移動設備上可能會保存著登錄企業網絡和應用服務的各種密碼，這些密碼可能存在于移動應用程序中，也可能直接保存在移動設備的內存中，當員工的移動設備丟失時，那么這些密碼內容就容易對外泄露。五是增大病毒感染風險。員工設備的安全性是由員工個人保證的，不是每位員工都可以完全加固個人設備安全的，惡意軟件、間諜軟件以及常規的病毒木馬程序等，都可能通過BYOD滲透到企業內網環境中。這些安全風險的傳播速度十分快，很容易在企業內網環境中瞬間蔓延開來。六是過渡消耗寶貴的網絡帶寬資源。隨著時間的推移，越來越多的員工個人設備接入單位內網環境，這樣網絡終端的數量很快就會超過原有的組網設計。還有就是原來大家都用計算機進行辦公，往往只是上網查詢文字資料。但現在上網終端多了，很多人開始上網玩游戲、聽音樂、看電影，對網絡帶寬資源的占用也是不可同日而語，這樣就會讓企業內網不堪重負。七是遭遇第三方應用程序風險攻擊。大量出現的第三方應用程序，雖然方便了移動智能終端的使用，但是也帶來不小的安全隱患。移動智能終端設備實際上就是一臺普通的計算機，只是“身材”小巧玲瓏而已。所以，那些惡意的第三方應用程序會借助這類設備上的Wi-Fi、藍牙等無線技術入侵企業內部網絡，竊取隱私數據或者傳播病毒程序，危害企業網絡和數據安全。

在BYOD日趨風行的時代，員工和單位之間的關系是什么樣子的？

員工在自己的類似iPhone這樣的移動終端設備上，能夠自由地對自己的數據和應用程序進行處理和操作，不過單位管理員有權強制員工設備必須符合相關的安全標準，否則將禁止其訪問單位網絡中的應用和數據。

因為BYOD設備身材小巧，攜帶方便，企業員工通過它很容易將企業重要數據帶走。為了防止數據泄露現象發生，請問有沒有辦法實現BYOD設備和數據的分離？

現在，已經有一些企業軟件制造商正在開發研制相關的專業工具，以便幫助用戶在BYOD設備上將單位重要數據從個人信息中分離出來，以此來控制BYOD模式數據安全。善于使用這類分離工具，可以有效避免用戶的應用程序訪問企業重要數據，企業重要數據不能被復制或者耦合粘貼到個人應用程序中。

企業IT管理人員可以在BYOD設備上利用數據分離工具來保護敏感的單位數據。要是一個員工擁有一臺BYOD設備，那么當他離開單位的時候，單位工作人員只要通過分離工具刪除他的單位工作信息，而不會影響保存在對應設備中的個人信息。

從員工立場來看，BYOD模式可以讓員工工作起來更順手。但從安全角度來看，怎樣才能限制員工通過移動設備從外部訪問企業內網數據？

對于內網中的一些特殊數據或資源，可以通過設置防火墻規則，并使用VPN加密連接方式，來限制來自外部的不安全訪問。VPN通過加密技術在Internet網絡上封裝出一個數據通訊隧道，通過這條加密隧道，企業員工不管在外地還是在家中辦公，都能安全、高效地訪問企業內部數據。

現在，各式各樣通過無線網絡進行的惡意滲透、釣魚、破解、劫持等行為，正讓BYOD設備和單位無線網絡防不勝防。而在單位內部無線網絡中，員工們相互之間私下共享WiFi網絡或3G網絡，也會讓單位內部網絡的安全隱患不能在第一時間發現。請問如何才能有效防范無線黑客對BYOD模式的入侵呢？

可以在企業BYOD模式下，部署無線入侵檢測系統/無線入侵防御系統。與有線局域網的入侵檢測和防御系統部署相差不大，無線局域網的IDS/IPS部署也是用來防止黑客攻擊的，只是考慮到無線局域網的本質屬性，無線網絡的IDS/IPS部署還能防止內部網絡悄悄連接到內網以外的沒有經過授權的無線路由器。善于利用增強的具有定位服務的IDS/IPS設備，可以有效幫助企業IT管理人員及時發現接入點，同時能幫助檢測到非法攻擊什么時候發生及其在什么節點發生，倘若有必要的話還能把惡意攻擊從網絡斷開或者至少把惡意攻擊嚇走。

為了讓BYOD安全使用，很多企業會將重要數據保存在云端或中央服務器上，這就要求企業員工使用虛擬桌面訪問企業資源，確保訪問之后的數據不會遺留在移動終端設備上。請問使用虛擬桌面主要有什么作用？

移動虛擬桌面能夠實現桌面系統的遠程動態訪問與數據中心的統一托管，既意味著員工能夠使用任何移動設備，在任何時間和任何地點訪問企業內網環境下的數據資源，還能隨時進入屬于員工自己的桌面系統。

為了防止企業員工通過BYOD設備隨意訪問外部網絡，造成企業核心數據從本地被轉移，企業該如何監控員工的上網訪問行為呢？

企業可以根據實際情況，部署網絡信息監測系統，控制本地上網，監控員工上網行為。結合內核數據截收和預處理技術、深度內容檢測技術、智能識別阻斷等專利技術，為客戶解決網頁過濾、封堵與工作無關的網絡應用需求。企業可以根據行業特征、業務需要和企業文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。同時制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優先級，合理利用有限的帶寬資源，節省投入成本。并且可以制定全面的信息收發監控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的信息泄漏風險。

為了防止BYOD模式帶來安全麻煩，很多企業單純地采取了封堵措施，禁止BYOD被員工們通過各種形式訪問企業內網環境，其實這種方法無法從根本上解決問題。要想管理好BYOD模式，想方設法提高員工的安全意識是根本，請問如何才能提高員工的安全意識呢？

首先要反復組織多次信息安全方面的知識培訓，讓員工掌握安全使用BYOD設備處理業務的技能，使員工對信息安全與企業發展、自身利益之間的關系有更加深刻的認識。其次要強化安全觀念的建設，讓安全觀念成為企業信息化建設過程中的一部分，企業和員工要共同承擔BYOD模式可能帶來的安全風險。

與普通計算機相比，BYOD設備種類多樣性，讓企業內網面臨的安全挑戰更大。那么企業如何才能有效控制員工個人的移動設備，不讓其威脅內網安全呢？

可以制定明確的設備使用政策，要求無論哪位員工擁有或使用移動智能終端設備，特別是在工作過程中使用這類設備，都要嚴格遵守單位制定的設備安全使用政策。一個有效的BYOD政策，應該包含一些基本的規定，比方說要求設備有一個個人身份識別碼，確保只有員工自己能夠使用這類設備，要求設備具有自動鎖死功能，避免他人利用各種機會偷偷使用該設備，要求設備支持加密和遠程刪除數據等功能，以防止設備意外丟失。這個設備使用政策還應該規定，移動智能終端設備中能保存什么內容和不能保存什么內容，倘若這類設備意外丟失，還應要求員工采取什么措施，以及可以接受的和不可接受的備份流程等。更為重要的是，單位還應該與員工簽訂一個書面的設備使用協議，要求員工在使用這類設備時，必須要嚴格遵守設備使用政策。

當然，為了讓設備使用政策得到很好落實，單位要盡可能為員工提供充分的幫助信息。比方說，企業要經常提醒員工不能將移動設備隨意放置在酒吧或飯店的桌子上，而一定要時刻隨身攜帶。在外出差住宿時，倘若不使用移動設備時，盡量將其鎖在保險箱或其它安全設備中。要提醒員工，不過是工作用的智能手機還是筆記本電腦，都不能隨意允許別人訪問使用。

影響BYOD設備的安全風險主要分為哪幾種類型？

可以分為兩種類型：一是設備自身的風險。這是建立在現在的移動智能終端設備實際上是一種新型的擁有本地和云端存儲功能的高效能計算機這一基礎上的，同時比起常見的臺式計算機和筆記本電腦，現在的企業較少可以控制這些移動智能終端設備。二是安裝在這些設備中的應用程序風險。這種風險源于最終用戶安裝的第三方應用程序，這些應用程序通常能夠訪問到企業內部網絡的數據,將數據保存到BYOD設備上，同時將數據傳輸到企業內網之外的位置。

請問BYOD設備是如何對外泄露數據的？

首先BYOD設備自身就是一個容量很大的數據存儲設備，使用起來與常見的優盤幾乎一樣方便。一些別有用心的員工，例如有跳槽打算的、受到領導批評的、被競爭對手收買的、工作不順心的等等，就會利用工作之便，借助于方便小巧的BYOD設備將企業重要數據泄露出去。這些數據一旦泄露出去，后果將不堪設想，危害相當大。當然，也有的企業員工自身就是企業核心數據的研發者、使用者和保管者，企業內部員工利用工作之余竊取企業數據，特別是核心商業機密數據已經成為司空見慣的事情。

其次一些BYOD設備能夠方便地充當Modem角色，這讓企業員工還可以利用BYOD設備將自己工作用的計算機接入外部網絡，使之暴露在復雜的Internet網絡環境中。在員工進行網絡活動時，可能會遭遇病毒、木馬、黑客等惡意程序的襲擊，使得工作用計算機的數據被竊取或破壞。

第三支持藍牙功能的BYOD設備也存在潛在的數據泄露風險。這種功能讓企業員工在短距離內連接上同類設備，這讓一些惡意用戶可以使用具備同等功能的藍牙設備，通過企業員工的設備作為進入企業內網的接入點竊取重要數據。

當BYOD設備發生丟失現象時，可能會給企業造成哪些負面影響？

如果BYOD設備中保存有企業的核心數據，那么BYOD設備丟失現象，可能會給企業帶來下面一些負面影響：首先會影響企業的聲譽。企業的核心數據通過BYOD設備泄露出去后，將改變人們對企業的選擇傾向，讓企業可能失去或正在失去一大批已有的或者潛在的客戶。其次會造成企業發生直接的經濟損失。在市場經濟條件下，企業的一些機密數據可能會危及企業的正常生產經營，甚至造成企業重大項目、重要研發、重大合同的中斷或終止，最終給企業造成無法估量的經濟損失。

筆者單位沒有使用無線網絡，有線局域網使用靜態IP地址和物理地址綁定方式。在這種場合下，如何才能讓BYOD模式安全可控？

要想讓BYOD模式安全可控，可以部署專門的桌面安全管理系統，讓該系統同時啟用違規外聯策略、準入策略、補丁分發策略。其中，通過違規外聯策略，可以強制只有成功注冊的設備，才能訪問企業內網數據，不能訪問外部數據，避免外部數據的安全威脅滲透到企業內網環境；通過準入策略可以強制需要訪問企業內網的設備配置IP地址同時進行注冊操作，注冊的設備日后需要卸載的時候，只有桌面安全管理員才能將其卸載，企業員工不能自行卸載；通過補丁分發策略，可以對注冊設備的殺毒工具工作狀態、系統補丁安裝狀態、病毒庫版本狀態進行全面的安全檢測。要是BYOD設備沒有啟動殺毒軟件，沒有安裝漏洞補丁程序，可以根據策略提示員工到指定地址進行下載安裝。相信通過這些策略，就能極大地改善BYOD模式的工作安全性。

此外，也要從管理制度著手，針對員工BYOD設備出臺專門的管理辦法，要求在BYOD設備上只能使用專業的客戶端程序連接企業內網，通過嚴格的身份認證后才能進行操作，禁止在BYOD設備上保存企業重要數據，禁止離線處理企業數據；在企業內網使用BYOD設備前，一定要對其進行安全加固，包括打補丁程序、安裝殺毒軟件、安裝安全軟件、關閉不需要的端口和服務、配置強壯的密碼等，確保BYOD設備自身是安全的。

當企業成功部署了BYOD策略后，很多企業員工認為單位賦予了他們極高的自主性，他們可以用BYOD設備進行一切活動，并且這些活動不受企業管理策略。當遇到這種情況時，該如何解決企業員工的過度自主性？

為了不讓這種自主性被員工濫用，企業可以要求員工都簽署BYOD協議，保證他們明白在企業內使用自己的BYOD設備是有行為限制的。