部署安全的BYOD戰略

BYOD(Bring Your Own Device)的部署方式是指在企業或者園區的規則允許下，人們主要或完全使用自己的個人設備來辦公場所區域代替公司現有設備，完成工作中盡可能需要的設備支持。BYOD設備包括所有工作可能使用到的終端設備，比如智能電話、平板電腦、筆記本電腦、個人PC等來協同企業配發的設備，實現最高的靈活性、移動性和生產率，同時使IT部門能夠以簡單、安全、有條不紊的方式順應IT消費化趨勢，人們的辦公區域采用BYOD已然以成為一種新的工作形態。

筆者通過分析BYOD技術趨勢，控制架構和部署策略探究其為企業及員工帶來的變化和挑戰。

BYOD的最終目的是，讓用戶在安全有效的基礎上，自由選擇設備進行工作，同時仍提供給企業管理者控制權，利用簡潔有效的方法進行統一管理，實現了企業、員工、IT管理的合作共贏。

BYOD對于企業IT管理的技術發展主要有以下幾方面的進步：

1.保證數據的安全

物理機所有的數據都存放在本地的主機上，BYOD化后用自身的認證接入辦公網，用戶所有的操作都在后端的數據中心完成，這種模式自然而然的就形成了數據“不落地”的優勢。BYOD不用擔心在移動或者互聯網的環境下會造成數據失竊或違規的問題。

2.簡化網絡運維管理

BYOD可以對所有員工的桌面、數據、應用程序進行集中化的管理。IT管理員也可以借助可視化的監控平臺，實時的了解整體的運行狀況，及時發現和處理日常突發問題，提高用戶的使用體驗。

3.BYOD提供的敏捷性和經濟性

移動化的BYOD已經成為一種潮流，通過桌面虛擬化可以讓員工在任何時間、任何地點、任何設備上進行靈活的業務操作，從而提高業務處理的敏捷性與及時性，讓企業在快速變化的市場環境中持續保持競爭力。

BYOD的入網方案，IT管理員可以實現桌面環境的自動化和集中式管理，通過Web控制臺來調配桌面和設置策略。借助于操作系統模板克隆技術，IT管理員可快速創建新桌面并推送給用戶使用，大大減少日常維護開支。另外，在運維管理水平及安全性方面，BYOD可以在運營層面降低桌面端的人力投入。同時通過用瘦客戶機替換PC設備，可以大幅降低PC電力消耗所帶來的成本支出。

那么在這個基礎上，對BYOD設備進行有效控制的完整架構至少應當包括：

1.企業工作區域無線覆蓋，主要指BYOD智分的無線覆蓋解決方案，配備802.11n與802.11ac千兆無線和無線AP接入點在工作園區自動漫游能力。

2.BYOD的接入控制，分為無感知的無線準入控制，基于身份的網絡權限控制以及自助訪客設備的認證管理。

3.BYOD的統一管理，包括可視化無線設備管理以及遠程故障定位，有線、無線、VPN用戶統一管理和多種身份系統的統一認證和權限劃分。

然而進一步，筆者認為企業在BOYD物理架構的基礎上，還需要制定完整的BYOD架構策略，從技術到戰略進行全方位考慮。

制定BYOD的部署戰略主要有以下幾個方面的需求分析：人們應能全面自由地選擇任何類型的設備進行辦公，包括個人生活中使用的設備，并可隨時自如地切換使用不同設備。IT部門應能夠隨時隨地通過任何連接地址將文件、應用和桌面按需交付到任何設備上，同時通過單一管理點確保一致而高效的安全性、策略實施、合規性和控制。當然，沒有盡善盡美的法則也不會有一應俱全的策略。不同企業的BYOD部署方式肯定在實際應用中還是有很大不同的，具體取決于每個不同企業的業務優先級和所擔憂的事項，因此BYOD的部署應與人力資源、財務、法律和IT安全部門進行協商后制定。

下面就筆者所在單位為參照，介紹一下BYOD的部署策略和安全防護。

1.BYOD使用設備的參加資格

企業應該明確規定允許公司內哪些員工可以使用自己的個人設備，無論是臨時使用還是永久性地代替企業設備，或是介于這二者之間。這可以看作是人們可能希望獲得的特權、對員工需求的響應、對特定職位上人員的要求，或是為避免某些場景下的過大風險而采取的措施。如何決定哪些員工將參加此類計劃?可以根據工作者類型、出差頻率、性能或員工是否需要離線接入敏感數據等標準進行判定然而，參加資格應在通盤考慮的基礎上確定，始終應由上層主管決定允許哪些團隊成員參加計劃，企業還可以建議主管在其他部門獎勵、授權和管理計劃中實行BYOD。

對比傳統IT體系架構中應用需要直接安裝到終端設備，IT部門必須從操作系統、應用支持、性能和其他特定的標準方面制定并實施最低要求。在桌面虛擬化模式下，將允許在任何類型的設備上運行完整的Windows桌面和應用，從而避免這些不必要的問題。借助企業移動管理，IT部門可以注冊并管理任何設備、檢測越獄設備，并對不合規設備、丟失設備、被盜設備或離職員工的設備進行全面或選擇性擦除操作。

2.BYOD的服務可用性

BYOD不一定走要么全有要么全無的極端路線。應該考慮希望向個人設備提供的具體服務，以及這是否會因具體工作組、用戶類型、設備類型及使用的網絡而不同。對于希望將應用直接安裝在計算機上供個人使用的企業，可以考慮通過Assurance服務，并為員工提供服務可用性的組織便利。這樣，許可合規性完全由員工個人負責，企業可避免任何違規風險或責任。企業應要求參與BYOD計劃的員工通過正常購買渠道購買個人設備，而不是通過公司采購部，這有助于明確地界定設備所有權，并確保參與計劃的員工可以和供應商直接建立服務關系。如果公司與供應商有合作關系也可以讓員工享受到折扣優惠。還有些人需要在辦公室使用顯示器、鍵盤等外圍設備作為補充，這時一定要明確地規定每個設備由誰購買，歸誰所有。

3.BYOD的補貼問題

BYOD的主要優勢之一是可節約成本，它允許員工支付各種辦公設備的部分或全部成本，使IT不必再為整個所有員工采購并支持越來越多的硬件設備。因為企業通過提供BYOD補貼，可以對設備品質進行一定的管控，參加BYOD計劃的員工還應知道，補貼將作為個人收入進行扣稅，當然不管有無成本分擔，任何BYOD政策都應明確規定由誰負擔企業防火墻之外的網絡接入費用，包括3G網絡、公共Wi-Fi、家庭寬帶等。如果選擇提供補貼，應考慮到計劃參與的整個生命周期，如規定硬件更新周期為3年，以確保個人設備的使用年限不會超過企業設備的一般使用年限。如果員工在BYOD有效期內離開公司，可能會希望收回補貼的一部分。筆者的單位公司的做法是，如果在參加BYOD計劃后的一年內離開公司或退出計劃，員工應退還一定比例的補貼。成本分擔對企業實施BYOD計劃有很大影響。一次性同時實施可能會增加成本，因為會有大量員工在終端設備更新周期滿時同時提交補貼申領請求，可考慮在設備生命周期結束時再發放補貼。而不提供補貼的企業可以從一開始就鼓勵大量員工同時參與。

4.BYOD的安全防護

IT的進一步消費化會大大增加業務風險，將應用直接安裝到非企業設備上會增加風險，基于企業移動管理、Windows應用和桌面虛擬化以及安全文件共享的BYOD計劃可有效管理并降低風險。所有業務信息都安全地保存在數據中心，只有在絕對必要的情況下才保存到終端設備中。確實需要在終端設備中保存數據時，數據可以通過隔離、加密和遠程擦除機制受到有效保護。為防止數據泄露，IT部門可以實施策略來禁止打印，或接入本地硬件、USB存儲設備等客戶端存儲設備。參與計劃的員工還應確保在自己的終端設備中正確安裝并及時更新防病毒/防惡意軟件程序。在筆者的單位會免費為參加BYOD計劃的員工提供防病毒保護服務。

利用基于設備所有權、狀態或地點的策略，就可以控制、保護并管理通過移動設備進行的應用和數據接入。IT部門可以注冊并管理任何設備、檢測越獄設備，并對不合規設備、丟失設備、被盜設備或離職員工的設備進行全面或選擇性擦除操作。通過應用隧道進行的安全應用接入、黑名單、白名單和環境感知的動態策略可確保應用的安全。為保護企業網絡，有些企業使用網絡接入控制(NAC)技術來對連接到網絡的用戶進行身份驗證，并檢查他們的設備是否安裝了最新的防病毒軟件和安全補丁。

在這里，筆者的單位公司自身采用了一種完全不同的方法，允許參加BYOD計劃的員工使用筆者的單位網絡，通過Citrix NetScaler Gateway按需訪問數據、應用、桌面和網頁，然后進行雙因子身份驗證，但不允許員工將個人設備直接連接到網絡。在防火墻之外，虛擬化和加密可以減少Wi-Fi、WEP加密、開放無線網絡、3G/4G和其他消費類接入方法的安全漏洞。網絡安全功能可提供對內部和外部移動安全威脅的可視性并防止這種威脅;拒絕非法設備、未授權用戶和不合規接入應用;實現與安全信息和事件管理(SIEM)系統的集成。

在BYOD參與者離開公司、違反BYOD策略、個人設備丟失或被盜的情況下，IT部門應當能夠通過適當的機制立即終止數據和應用接入，包括自動注銷工作相關的SaaS賬戶和選擇性地擦除丟失設備中的數據等。還有些企業選擇有限制的方法，而不是開放的無限制BYOD方法——允許人們使用任何設備來接入企業應用和數據，同時保證IT部門可以直接管理個人設備，包括注冊、驗證、授權和設備資源接入等。

在用個人設備取代企業終端設備的時代，員工對IT支持的期望可能會更高，但是企業應對此做出明確規定，避免給IT部門帶來更高的復雜性和更繁重的工作負擔。因此企業需要制定更為完整的BYOD戰略，從策略到技術進行全方位考慮。

成功制定BYOD戰略的指導原則可簡單概括如下：人們應能夠全面自由地選擇任何類型的設備進行辦公，包括個人生活中使用的設備，并可隨時自如地切換使用不同設備。IT部門應能夠隨時隨地地通過任何連接地址將文件、應用和桌面按需交付到任何設備上，同時通過單一管理點確保一致而高效的安全性、策略實施、合規性和控制。