BYOD的风险及预防浅析

吴昱、邓科方、刘斌　抚州市烟草专卖局（公司） 　抚州市　344000

1009-0940(2015　)-2-044-03

收稿日期：2015-5-19

0、前言

当前绝大多数企业都已借助计算机网络技术建立起自己的内部计算机网络，实现信息数据自由自动流动。为保证安全，这个内部局域网是封闭的，企业内部员工只有在指定的工作区域（办公室），使用企业提供的专有信息设备才能利用这个网络来完成本职工作。

随着信息技术和3G/4G、Wi-Fi等通信技术的快速发展，以IOS和Android为代表的智能终端（平板电脑和智能手机）和笔记本电脑逐渐兴起和普及，此类终端的功能越来越电脑化，体积越来越小巧化，携带越来越便利化，促进了办公“移动化”和“远程化”地实现，成就了BYOD的诞生。

1、BYOD概述

BYOD（Bring Your Own Device，自带设备）是一种允许员工携带个人信息化终端（笔记本电脑、智能手机、平板电脑等），进入办公室等工作区域或机场、酒店、咖啡厅等公共场所，借助3G/4G、Wi-Fi、VPN等通信技术连入企业局域网，处理相关工作的方式。

BYOD的出现得利于信息技术和通信技术的发展，但主推动力来自两方面：员工自身的办公需求和企业提高办公室效率的需要。

1.1、员工自身的办公需求

此类需求在外勤类的员工身上体现最明显，尤其是销售人员。销售人员作为公司产品主推手，要想向客户推销成功，需要随时向客户展示公司的产品信息，为客户答疑释惑。但是客户对产品的关注是随机的，要求也是动态的，销售人员无法预先估计到各种可能，因而不可避免地存在准备疏漏或应对不足的情况，此时容易引起客户的失望和遗憾。若能让销售人员使用自己的手机、平板等智能终端实时连入企业局域网，及时获取各类信息，就能避免这种情况的发生，提高销售成功的可能性。

1.2、企业提高效率的需要

每个员工自觉地按照企业要求高效率、高质量的完成每一项本职工作，企业的利润自然就会实现最大化。可现实情况却远非如此，如何提高员工工作效率一直是每家企业日常管理的关键工作之一。对于离开办公区域的员工（出差在外），如能让他们通过自己的智能终端随时随地与企业局域网连通，就能使得企业的日常监管同步延伸，有力地促使他们像在办公室一样提高工作效率。

2、BYOD的潜在风险

通过实施BYOD将企业内部网络延展到员工的智能终端上，能降低企业在终端信息设备上的初始投资成本，还能提升员工的工作效率及积极性。同时也给企业信息部门的日常运维管理模式带来挑战：

1）与已有应用系统的对接问题。企业应用的操作系统是Windows、UNIX、Linux等，而智能终端的却是Android、iOS、Windows Phone等，这二者之间存在巨大差距。要想部署BYOD，就需要考虑企业已有应用系统的平台迁移问题—要对应用系统进行改造（甚至是重新开发）。

2）对现有运维模式的更改问题。B Y O D的启用，将日常运维工作场所从企业的办公地扩大到非工作场所（比如员工家庭、公共场所等），不但增加了日常运维工作量，还延长了运维工作时间—增加了非工作时间，增大了运维工作难度—增加了运维对象。

3）对已有网络结构的改造问题。智能终端采用的是Wi-Fi、3G/4G等无线网络连接方式。而绝大部分企业出于安全考虑，或者是没有部署无线网络，或者是严格控制无线网络使用。所以要想启用BYOD，就需对现有的网络结构进行改造。

从信息安全角度，除了病毒传播，BYOD的实施还有以下潜在风险：

2.1、遗失风险

智能手机、平板电脑等智能终端是BYOD的主件，它们越来越像笔记本电脑一样成为存储企业敏感数据（如电子邮件、账号密码等）的载体。但此类设备的高可便携性带来一个很大的安全隐患——容易丢失或被盗。一旦发生丢失或被盗，其上储存的敏感数据存在被泄露、被盗用的可能，将会给企业带来损失风险。

2.2、APP风险

APP是智能手机、平板电脑等智能终端上运行的第三方应用程序（Application）的统称。它的出现方便了智能终端的使用，但也带来了极大的安全隐患。智能终端其实就是一台外形简洁的微型计算机，一旦被恶意APP（不论是合法的，还是非法的）感染，就难以阻止它们借道终端本身的蓝牙、Wi-Fi等途径侵入企业局域网，存在数据被窃取，被传播病毒等危害企业信息安全的风险。

2.3、安全风险

基于安全考量，每个企业对任一终端信息设备接入内部网络都有严格的规范，都要进行严格的审验，都会制定严密的防护机制。但智能终端的出现，尤其是Wi-Fi热点等功能的出现，犹如在保险箱上钻洞样，使得现有的设备接入规范瞬间失效，企业内部网络由封闭性变成开放式，基于内部网络的安全机制存在失效的风险。

2.4、法律风险

智能手机、平板电脑等智能终端是员工的私人物品，其上存储的绝大部分是私人信息。一旦通过BYOD与公司内部网络连接，则可能会涉及到此类信息的访问和存取，“员工是否允许企业访问？允许访问哪些信息？允许何种访问方式？”等等问题的处理，存在引起企业和员工之间法律纠纷的风险。

3、BYOD的风险控制

对待风险，最好的方法就是消灭它，无法消灭时就要选择恰当的方法加以控制，以期减少损失。对于业而言，控制BYOD的潜在风险可从以下方面入手：

3.1、设备管理方面

正如人员各异一样，每位员工持有的智能终端也各不相同。企业应该对能参与BYOD的智能终端从产品类型、硬件配置、操作系统等方面进行限制，尽量减少因设备自身因素影响BYOD使用异常的可能性。

对每台参与BYOD的设备需要进行“全生命周期”管理：由使用者提出接入申请，再经企业信息部门进行设备查验，合格的设备进行必要地“初始化”—部署统一的安全策略，在未撤销登记前要对其进行永久监管。

3.2、接入认证方面

所有成功参与BYOD的设备都要部署统一的安全策略，配置适当的资源访问权限。根据员工所处区域的不同，区别接入方式和安全防护原则：（1）在企业内部，可以允许员工通过Wi-Fi方式接入，可以允许注册成功的设备访问权限范围内的企业资源。而所有未参与BYOD的设备应该禁止接入，即使非法接入也应该被禁止访问企业资源。（2）在企业外部，员工只能通过VPN方式接入访问自己权限范围内的企业资源，必须拒绝一切未参与BYOD的设备接入。

3.3、数据保护方面

参与BYOD的设备中会同时保存有员工个人和企业的数据，而企业数据归企业所有，二者不应混合，应该进行充分隔离，才能实现数据间的互相隐秘和相互保护。企业在实施BYOD前要对企业数据进行梳理，允许被BYOD访问的数据应该集中存储，部署特定的保护策略，根据员工的岗位和职责不同制定严格的访问权限。

员工在借助BYOD远程访问这些数据时，数据在传输通道上要进行加密处理，同时尽量使用实时读/写方式来减少企业数据在本地设备的存储量，有利于减少企业数据泄露的风险，确保数据一致性、实时性和完整性。

3.4、APP管理方面

除了装有BYOD软件、VPN程序等等必要软件外，员工还会根据自己喜好在参与BYOD的设备上安装一些第三方APP，对此企业无权也无法阻止。但企业可以通过建立白/黑名单方式引导员工远离那些可能有害的APP。

有实力的企业还可以考虑开发自己的APP，帮助员工提高对企业网络或企业软件的访问和使用。此类APP在开发时要注意以下方面：（1）要考虑对用户进行身份认证和访问超时控制机制；（2）要考虑获得的各类数据存取、存储和加密的方式；（3）要考虑与终端设备的操作系统的兼容性和安全性；（4）要考虑对终端设备的访问控制方式。

3.5、法律规范方面

员工参与BYOD就意味着他的私人数据存在被企业间接（或直接）获取的可能。企业应该在员工申请参加BYOD时，与员工签订必要的隐私保护协议，明确BYOD软件可能会涉及到用户的哪些数据，以及双方需要遵循的权力和义务。此外，还有必要签订数据保密方面的协议，明确告知员工对企业数据应尽的保护责任和义务。

4、结论

BYOD的出现使得企业在满足员工自身对于新科技和个性化追求的同时既可提高员工的工作效率，又能降低企业在移动信息终端上的成本和投入。据最新的调查报告显示，目前已有超过30%的企业员工借助手机、平板等智能移动终端来进行工作，而这一数字在2020年将提升至60%以上。对此企业信息化部门不能回避，也无法排斥，而应该从“力争企业、员工、信息部门三赢”的角度出发，对其“高度重视、勇敢面对、积极谋划、管好用好”。