部署安全的BYOD戰(zhàn)略

BYOD(Bring Your Own Device)的部署方式是指在企業(yè)或者園區(qū)的規(guī)則允許下，人們主要或完全使用自己的個(gè)人設(shè)備來(lái)辦公場(chǎng)所區(qū)域代替公司現(xiàn)有設(shè)備，完成工作中盡可能需要的設(shè)備支持。BYOD設(shè)備包括所有工作可能使用到的終端設(shè)備，比如智能電話、平板電腦、筆記本電腦、個(gè)人PC等來(lái)協(xié)同企業(yè)配發(fā)的設(shè)備，實(shí)現(xiàn)最高的靈活性、移動(dòng)性和生產(chǎn)率，同時(shí)使IT部門能夠以簡(jiǎn)單、安全、有條不紊的方式順應(yīng)IT消費(fèi)化趨勢(shì)，人們的辦公區(qū)域采用BYOD已然以成為一種新的工作形態(tài)。

筆者通過(guò)分析BYOD技術(shù)趨勢(shì)，控制架構(gòu)和部署策略探究其為企業(yè)及員工帶來(lái)的變化和挑戰(zhàn)。

BYOD的最終目的是，讓用戶在安全有效的基礎(chǔ)上，自由選擇設(shè)備進(jìn)行工作，同時(shí)仍提供給企業(yè)管理者控制權(quán)，利用簡(jiǎn)潔有效的方法進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)了企業(yè)、員工、IT管理的合作共贏。

BYOD對(duì)于企業(yè)IT管理的技術(shù)發(fā)展主要有以下幾方面的進(jìn)步：

1.保證數(shù)據(jù)的安全

物理機(jī)所有的數(shù)據(jù)都存放在本地的主機(jī)上，BYOD化后用自身的認(rèn)證接入辦公網(wǎng)，用戶所有的操作都在后端的數(shù)據(jù)中心完成，這種模式自然而然的就形成了數(shù)據(jù)“不落地”的優(yōu)勢(shì)。BYOD不用擔(dān)心在移動(dòng)或者互聯(lián)網(wǎng)的環(huán)境下會(huì)造成數(shù)據(jù)失竊或違規(guī)的問(wèn)題。

2.簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維管理

BYOD可以對(duì)所有員工的桌面、數(shù)據(jù)、應(yīng)用程序進(jìn)行集中化的管理。IT管理員也可以借助可視化的監(jiān)控平臺(tái)，實(shí)時(shí)的了解整體的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)和處理日常突發(fā)問(wèn)題，提高用戶的使用體驗(yàn)。

3.BYOD提供的敏捷性和經(jīng)濟(jì)性

移動(dòng)化的BYOD已經(jīng)成為一種潮流，通過(guò)桌面虛擬化可以讓員工在任何時(shí)間、任何地點(diǎn)、任何設(shè)備上進(jìn)行靈活的業(yè)務(wù)操作，從而提高業(yè)務(wù)處理的敏捷性與及時(shí)性，讓企業(yè)在快速變化的市場(chǎng)環(huán)境中持續(xù)保持競(jìng)爭(zhēng)力。

BYOD的入網(wǎng)方案，IT管理員可以實(shí)現(xiàn)桌面環(huán)境的自動(dòng)化和集中式管理，通過(guò)Web控制臺(tái)來(lái)調(diào)配桌面和設(shè)置策略。借助于操作系統(tǒng)模板克隆技術(shù)，IT管理員可快速創(chuàng)建新桌面并推送給用戶使用，大大減少日常維護(hù)開(kāi)支。另外，在運(yùn)維管理水平及安全性方面，BYOD可以在運(yùn)營(yíng)層面降低桌面端的人力投入。同時(shí)通過(guò)用瘦客戶機(jī)替換PC設(shè)備，可以大幅降低PC電力消耗所帶來(lái)的成本支出。

那么在這個(gè)基礎(chǔ)上，對(duì)BYOD設(shè)備進(jìn)行有效控制的完整架構(gòu)至少應(yīng)當(dāng)包括：

1.企業(yè)工作區(qū)域無(wú)線覆蓋，主要指BYOD智分的無(wú)線覆蓋解決方案，配備802.11n與802.11ac千兆無(wú)線和無(wú)線AP接入點(diǎn)在工作園區(qū)自動(dòng)漫游能力。

2.BYOD的接入控制，分為無(wú)感知的無(wú)線準(zhǔn)入控制，基于身份的網(wǎng)絡(luò)權(quán)限控制以及自助訪客設(shè)備的認(rèn)證管理。

3.BYOD的統(tǒng)一管理，包括可視化無(wú)線設(shè)備管理以及遠(yuǎn)程故障定位，有線、無(wú)線、VPN用戶統(tǒng)一管理和多種身份系統(tǒng)的統(tǒng)一認(rèn)證和權(quán)限劃分。

然而進(jìn)一步，筆者認(rèn)為企業(yè)在BOYD物理架構(gòu)的基礎(chǔ)上，還需要制定完整的BYOD架構(gòu)策略，從技術(shù)到戰(zhàn)略進(jìn)行全方位考慮。

制定BYOD的部署戰(zhàn)略主要有以下幾個(gè)方面的需求分析：人們應(yīng)能全面自由地選擇任何類型的設(shè)備進(jìn)行辦公，包括個(gè)人生活中使用的設(shè)備，并可隨時(shí)自如地切換使用不同設(shè)備。IT部門應(yīng)能夠隨時(shí)隨地通過(guò)任何連接地址將文件、應(yīng)用和桌面按需交付到任何設(shè)備上，同時(shí)通過(guò)單一管理點(diǎn)確保一致而高效的安全性、策略實(shí)施、合規(guī)性和控制。當(dāng)然，沒(méi)有盡善盡美的法則也不會(huì)有一應(yīng)俱全的策略。不同企業(yè)的BYOD部署方式肯定在實(shí)際應(yīng)用中還是有很大不同的，具體取決于每個(gè)不同企業(yè)的業(yè)務(wù)優(yōu)先級(jí)和所擔(dān)憂的事項(xiàng)，因此BYOD的部署應(yīng)與人力資源、財(cái)務(wù)、法律和IT安全部門進(jìn)行協(xié)商后制定。

下面就筆者所在單位為參照，介紹一下BYOD的部署策略和安全防護(hù)。

1.BYOD使用設(shè)備的參加資格

企業(yè)應(yīng)該明確規(guī)定允許公司內(nèi)哪些員工可以使用自己的個(gè)人設(shè)備，無(wú)論是臨時(shí)使用還是永久性地代替企業(yè)設(shè)備，或是介于這二者之間。這可以看作是人們可能希望獲得的特權(quán)、對(duì)員工需求的響應(yīng)、對(duì)特定職位上人員的要求，或是為避免某些場(chǎng)景下的過(guò)大風(fēng)險(xiǎn)而采取的措施。如何決定哪些員工將參加此類計(jì)劃?可以根據(jù)工作者類型、出差頻率、性能或員工是否需要離線接入敏感數(shù)據(jù)等標(biāo)準(zhǔn)進(jìn)行判定然而，參加資格應(yīng)在通盤考慮的基礎(chǔ)上確定，始終應(yīng)由上層主管決定允許哪些團(tuán)隊(duì)成員參加計(jì)劃，企業(yè)還可以建議主管在其他部門獎(jiǎng)勵(lì)、授權(quán)和管理計(jì)劃中實(shí)行BYOD。

對(duì)比傳統(tǒng)IT體系架構(gòu)中應(yīng)用需要直接安裝到終端設(shè)備，IT部門必須從操作系統(tǒng)、應(yīng)用支持、性能和其他特定的標(biāo)準(zhǔn)方面制定并實(shí)施最低要求。在桌面虛擬化模式下，將允許在任何類型的設(shè)備上運(yùn)行完整的Windows桌面和應(yīng)用，從而避免這些不必要的問(wèn)題。借助企業(yè)移動(dòng)管理，IT部門可以注冊(cè)并管理任何設(shè)備、檢測(cè)越獄設(shè)備，并對(duì)不合規(guī)設(shè)備、丟失設(shè)備、被盜設(shè)備或離職員工的設(shè)備進(jìn)行全面或選擇性擦除操作。

2.BYOD的服務(wù)可用性

BYOD不一定走要么全有要么全無(wú)的極端路線。應(yīng)該考慮希望向個(gè)人設(shè)備提供的具體服務(wù)，以及這是否會(huì)因具體工作組、用戶類型、設(shè)備類型及使用的網(wǎng)絡(luò)而不同。對(duì)于希望將應(yīng)用直接安裝在計(jì)算機(jī)上供個(gè)人使用的企業(yè)，可以考慮通過(guò)Assurance服務(wù)，并為員工提供服務(wù)可用性的組織便利。這樣，許可合規(guī)性完全由員工個(gè)人負(fù)責(zé)，企業(yè)可避免任何違規(guī)風(fēng)險(xiǎn)或責(zé)任。企業(yè)應(yīng)要求參與BYOD計(jì)劃的員工通過(guò)正常購(gòu)買渠道購(gòu)買個(gè)人設(shè)備，而不是通過(guò)公司采購(gòu)部，這有助于明確地界定設(shè)備所有權(quán)，并確保參與計(jì)劃的員工可以和供應(yīng)商直接建立服務(wù)關(guān)系。如果公司與供應(yīng)商有合作關(guān)系也可以讓員工享受到折扣優(yōu)惠。還有些人需要在辦公室使用顯示器、鍵盤等外圍設(shè)備作為補(bǔ)充，這時(shí)一定要明確地規(guī)定每個(gè)設(shè)備由誰(shuí)購(gòu)買，歸誰(shuí)所有。

3.BYOD的補(bǔ)貼問(wèn)題

BYOD的主要優(yōu)勢(shì)之一是可節(jié)約成本，它允許員工支付各種辦公設(shè)備的部分或全部成本，使IT不必再為整個(gè)所有員工采購(gòu)并支持越來(lái)越多的硬件設(shè)備。因?yàn)槠髽I(yè)通過(guò)提供BYOD補(bǔ)貼，可以對(duì)設(shè)備品質(zhì)進(jìn)行一定的管控，參加BYOD計(jì)劃的員工還應(yīng)知道，補(bǔ)貼將作為個(gè)人收入進(jìn)行扣稅，當(dāng)然不管有無(wú)成本分擔(dān)，任何BYOD政策都應(yīng)明確規(guī)定由誰(shuí)負(fù)擔(dān)企業(yè)防火墻之外的網(wǎng)絡(luò)接入費(fèi)用，包括3G網(wǎng)絡(luò)、公共Wi-Fi、家庭寬帶等。如果選擇提供補(bǔ)貼，應(yīng)考慮到計(jì)劃參與的整個(gè)生命周期，如規(guī)定硬件更新周期為3年，以確保個(gè)人設(shè)備的使用年限不會(huì)超過(guò)企業(yè)設(shè)備的一般使用年限。如果員工在BYOD有效期內(nèi)離開(kāi)公司，可能會(huì)希望收回補(bǔ)貼的一部分。筆者的單位公司的做法是，如果在參加BYOD計(jì)劃后的一年內(nèi)離開(kāi)公司或退出計(jì)劃，員工應(yīng)退還一定比例的補(bǔ)貼。成本分擔(dān)對(duì)企業(yè)實(shí)施BYOD計(jì)劃有很大影響。一次性同時(shí)實(shí)施可能會(huì)增加成本，因?yàn)闀?huì)有大量員工在終端設(shè)備更新周期滿時(shí)同時(shí)提交補(bǔ)貼申領(lǐng)請(qǐng)求，可考慮在設(shè)備生命周期結(jié)束時(shí)再發(fā)放補(bǔ)貼。而不提供補(bǔ)貼的企業(yè)可以從一開(kāi)始就鼓勵(lì)大量員工同時(shí)參與。

4.BYOD的安全防護(hù)

IT的進(jìn)一步消費(fèi)化會(huì)大大增加業(yè)務(wù)風(fēng)險(xiǎn)，將應(yīng)用直接安裝到非企業(yè)設(shè)備上會(huì)增加風(fēng)險(xiǎn)，基于企業(yè)移動(dòng)管理、Windows應(yīng)用和桌面虛擬化以及安全文件共享的BYOD計(jì)劃可有效管理并降低風(fēng)險(xiǎn)。所有業(yè)務(wù)信息都安全地保存在數(shù)據(jù)中心，只有在絕對(duì)必要的情況下才保存到終端設(shè)備中。確實(shí)需要在終端設(shè)備中保存數(shù)據(jù)時(shí)，數(shù)據(jù)可以通過(guò)隔離、加密和遠(yuǎn)程擦除機(jī)制受到有效保護(hù)。為防止數(shù)據(jù)泄露，IT部門可以實(shí)施策略來(lái)禁止打印，或接入本地硬件、USB存儲(chǔ)設(shè)備等客戶端存儲(chǔ)設(shè)備。參與計(jì)劃的員工還應(yīng)確保在自己的終端設(shè)備中正確安裝并及時(shí)更新防病毒/防惡意軟件程序。在筆者的單位會(huì)免費(fèi)為參加BYOD計(jì)劃的員工提供防病毒保護(hù)服務(wù)。

利用基于設(shè)備所有權(quán)、狀態(tài)或地點(diǎn)的策略，就可以控制、保護(hù)并管理通過(guò)移動(dòng)設(shè)備進(jìn)行的應(yīng)用和數(shù)據(jù)接入。IT部門可以注冊(cè)并管理任何設(shè)備、檢測(cè)越獄設(shè)備，并對(duì)不合規(guī)設(shè)備、丟失設(shè)備、被盜設(shè)備或離職員工的設(shè)備進(jìn)行全面或選擇性擦除操作。通過(guò)應(yīng)用隧道進(jìn)行的安全應(yīng)用接入、黑名單、白名單和環(huán)境感知的動(dòng)態(tài)策略可確保應(yīng)用的安全。為保護(hù)企業(yè)網(wǎng)絡(luò)，有些企業(yè)使用網(wǎng)絡(luò)接入控制(NAC)技術(shù)來(lái)對(duì)連接到網(wǎng)絡(luò)的用戶進(jìn)行身份驗(yàn)證，并檢查他們的設(shè)備是否安裝了最新的防病毒軟件和安全補(bǔ)丁。

在這里，筆者的單位公司自身采用了一種完全不同的方法，允許參加BYOD計(jì)劃的員工使用筆者的單位網(wǎng)絡(luò)，通過(guò)Citrix NetScaler Gateway按需訪問(wèn)數(shù)據(jù)、應(yīng)用、桌面和網(wǎng)頁(yè)，然后進(jìn)行雙因子身份驗(yàn)證，但不允許員工將個(gè)人設(shè)備直接連接到網(wǎng)絡(luò)。在防火墻之外，虛擬化和加密可以減少Wi-Fi、WEP加密、開(kāi)放無(wú)線網(wǎng)絡(luò)、3G/4G和其他消費(fèi)類接入方法的安全漏洞。網(wǎng)絡(luò)安全功能可提供對(duì)內(nèi)部和外部移動(dòng)安全威脅的可視性并防止這種威脅;拒絕非法設(shè)備、未授權(quán)用戶和不合規(guī)接入應(yīng)用;實(shí)現(xiàn)與安全信息和事件管理(SIEM)系統(tǒng)的集成。

在BYOD參與者離開(kāi)公司、違反BYOD策略、個(gè)人設(shè)備丟失或被盜的情況下，IT部門應(yīng)當(dāng)能夠通過(guò)適當(dāng)?shù)臋C(jī)制立即終止數(shù)據(jù)和應(yīng)用接入，包括自動(dòng)注銷工作相關(guān)的SaaS賬戶和選擇性地擦除丟失設(shè)備中的數(shù)據(jù)等。還有些企業(yè)選擇有限制的方法，而不是開(kāi)放的無(wú)限制BYOD方法——允許人們使用任何設(shè)備來(lái)接入企業(yè)應(yīng)用和數(shù)據(jù)，同時(shí)保證IT部門可以直接管理個(gè)人設(shè)備，包括注冊(cè)、驗(yàn)證、授權(quán)和設(shè)備資源接入等。

在用個(gè)人設(shè)備取代企業(yè)終端設(shè)備的時(shí)代，員工對(duì)IT支持的期望可能會(huì)更高，但是企業(yè)應(yīng)對(duì)此做出明確規(guī)定，避免給IT部門帶來(lái)更高的復(fù)雜性和更繁重的工作負(fù)擔(dān)。因此企業(yè)需要制定更為完整的BYOD戰(zhàn)略，從策略到技術(shù)進(jìn)行全方位考慮。

成功制定BYOD戰(zhàn)略的指導(dǎo)原則可簡(jiǎn)單概括如下：人們應(yīng)能夠全面自由地選擇任何類型的設(shè)備進(jìn)行辦公，包括個(gè)人生活中使用的設(shè)備，并可隨時(shí)自如地切換使用不同設(shè)備。IT部門應(yīng)能夠隨時(shí)隨地地通過(guò)任何連接地址將文件、應(yīng)用和桌面按需交付到任何設(shè)備上，同時(shí)通過(guò)單一管理點(diǎn)確保一致而高效的安全性、策略實(shí)施、合規(guī)性和控制。