部署安全的BYOD战略

BYOD(Bring Your Own Device)的部署方式是指在企业或者园区的规则允许下，人们主要或完全使用自己的个人设备来办公场所区域代替公司现有设备，完成工作中尽可能需要的设备支持。BYOD设备包括所有工作可能使用到的终端设备，比如智能电话、平板电脑、笔记本电脑、个人PC等来协同企业配发的设备，实现最高的灵活性、移动性和生产率，同时使IT部门能够以简单、安全、有条不紊的方式顺应IT消费化趋势，人们的办公区域采用BYOD已然以成为一种新的工作形态。

笔者通过分析BYOD技术趋势，控制架构和部署策略探究其为企业及员工带来的变化和挑战。

BYOD的最终目的是，让用户在安全有效的基础上，自由选择设备进行工作，同时仍提供给企业管理者控制权，利用简洁有效的方法进行统一管理，实现了企业、员工、IT管理的合作共赢。

BYOD对于企业IT管理的技术发展主要有以下几方面的进步：

1.保证数据的安全

物理机所有的数据都存放在本地的主机上，BYOD化后用自身的认证接入办公网，用户所有的操作都在后端的数据中心完成，这种模式自然而然的就形成了数据“不落地”的优势。BYOD不用担心在移动或者互联网的环境下会造成数据失窃或违规的问题。

2.简化网络运维管理

BYOD可以对所有员工的桌面、数据、应用程序进行集中化的管理。IT管理员也可以借助可视化的监控平台，实时的了解整体的运行状况，及时发现和处理日常突发问题，提高用户的使用体验。

3.BYOD提供的敏捷性和经济性

移动化的BYOD已经成为一种潮流，通过桌面虚拟化可以让员工在任何时间、任何地点、任何设备上进行灵活的业务操作，从而提高业务处理的敏捷性与及时性，让企业在快速变化的市场环境中持续保持竞争力。

BYOD的入网方案，IT管理员可以实现桌面环境的自动化和集中式管理，通过Web控制台来调配桌面和设置策略。借助于操作系统模板克隆技术，IT管理员可快速创建新桌面并推送给用户使用，大大减少日常维护开支。另外，在运维管理水平及安全性方面，BYOD可以在运营层面降低桌面端的人力投入。同时通过用瘦客户机替换PC设备，可以大幅降低PC电力消耗所带来的成本支出。

那么在这个基础上，对BYOD设备进行有效控制的完整架构至少应当包括：

1.企业工作区域无线覆盖，主要指BYOD智分的无线覆盖解决方案，配备802.11n与802.11ac千兆无线和无线AP接入点在工作园区自动漫游能力。

2.BYOD的接入控制，分为无感知的无线准入控制，基于身份的网络权限控制以及自助访客设备的认证管理。

3.BYOD的统一管理，包括可视化无线设备管理以及远程故障定位，有线、无线、VPN用户统一管理和多种身份系统的统一认证和权限划分。

然而进一步，笔者认为企业在BOYD物理架构的基础上，还需要制定完整的BYOD架构策略，从技术到战略进行全方位考虑。

制定BYOD的部署战略主要有以下几个方面的需求分析：人们应能全面自由地选择任何类型的设备进行办公，包括个人生活中使用的设备，并可随时自如地切换使用不同设备。IT部门应能够随时随地通过任何连接地址将文件、应用和桌面按需交付到任何设备上，同时通过单一管理点确保一致而高效的安全性、策略实施、合规性和控制。当然，没有尽善尽美的法则也不会有一应俱全的策略。不同企业的BYOD部署方式肯定在实际应用中还是有很大不同的，具体取决于每个不同企业的业务优先级和所担忧的事项，因此BYOD的部署应与人力资源、财务、法律和IT安全部门进行协商后制定。

下面就笔者所在单位为参照，介绍一下BYOD的部署策略和安全防护。

1.BYOD使用设备的参加资格

企业应该明确规定允许公司内哪些员工可以使用自己的个人设备，无论是临时使用还是永久性地代替企业设备，或是介于这二者之间。这可以看作是人们可能希望获得的特权、对员工需求的响应、对特定职位上人员的要求，或是为避免某些场景下的过大风险而采取的措施。如何决定哪些员工将参加此类计划?可以根据工作者类型、出差频率、性能或员工是否需要离线接入敏感数据等标准进行判定然而，参加资格应在通盘考虑的基础上确定，始终应由上层主管决定允许哪些团队成员参加计划，企业还可以建议主管在其他部门奖励、授权和管理计划中实行BYOD。

对比传统IT体系架构中应用需要直接安装到终端设备，IT部门必须从操作系统、应用支持、性能和其他特定的标准方面制定并实施最低要求。在桌面虚拟化模式下，将允许在任何类型的设备上运行完整的Windows桌面和应用，从而避免这些不必要的问题。借助企业移动管理，IT部门可以注册并管理任何设备、检测越狱设备，并对不合规设备、丢失设备、被盗设备或离职员工的设备进行全面或选择性擦除操作。

2.BYOD的服务可用性

BYOD不一定走要么全有要么全无的极端路线。应该考虑希望向个人设备提供的具体服务，以及这是否会因具体工作组、用户类型、设备类型及使用的网络而不同。对于希望将应用直接安装在计算机上供个人使用的企业，可以考虑通过Assurance服务，并为员工提供服务可用性的组织便利。这样，许可合规性完全由员工个人负责，企业可避免任何违规风险或责任。企业应要求参与BYOD计划的员工通过正常购买渠道购买个人设备，而不是通过公司采购部，这有助于明确地界定设备所有权，并确保参与计划的员工可以和供应商直接建立服务关系。如果公司与供应商有合作关系也可以让员工享受到折扣优惠。还有些人需要在办公室使用显示器、键盘等外围设备作为补充，这时一定要明确地规定每个设备由谁购买，归谁所有。

3.BYOD的补贴问题

BYOD的主要优势之一是可节约成本，它允许员工支付各种办公设备的部分或全部成本，使IT不必再为整个所有员工采购并支持越来越多的硬件设备。因为企业通过提供BYOD补贴，可以对设备品质进行一定的管控，参加BYOD计划的员工还应知道，补贴将作为个人收入进行扣税，当然不管有无成本分担，任何BYOD政策都应明确规定由谁负担企业防火墙之外的网络接入费用，包括3G网络、公共Wi-Fi、家庭宽带等。如果选择提供补贴，应考虑到计划参与的整个生命周期，如规定硬件更新周期为3年，以确保个人设备的使用年限不会超过企业设备的一般使用年限。如果员工在BYOD有效期内离开公司，可能会希望收回补贴的一部分。笔者的单位公司的做法是，如果在参加BYOD计划后的一年内离开公司或退出计划，员工应退还一定比例的补贴。成本分担对企业实施BYOD计划有很大影响。一次性同时实施可能会增加成本，因为会有大量员工在终端设备更新周期满时同时提交补贴申领请求，可考虑在设备生命周期结束时再发放补贴。而不提供补贴的企业可以从一开始就鼓励大量员工同时参与。

4.BYOD的安全防护

IT的进一步消费化会大大增加业务风险，将应用直接安装到非企业设备上会增加风险，基于企业移动管理、Windows应用和桌面虚拟化以及安全文件共享的BYOD计划可有效管理并降低风险。所有业务信息都安全地保存在数据中心，只有在绝对必要的情况下才保存到终端设备中。确实需要在终端设备中保存数据时，数据可以通过隔离、加密和远程擦除机制受到有效保护。为防止数据泄露，IT部门可以实施策略来禁止打印，或接入本地硬件、USB存储设备等客户端存储设备。参与计划的员工还应确保在自己的终端设备中正确安装并及时更新防病毒/防恶意软件程序。在笔者的单位会免费为参加BYOD计划的员工提供防病毒保护服务。

利用基于设备所有权、状态或地点的策略，就可以控制、保护并管理通过移动设备进行的应用和数据接入。IT部门可以注册并管理任何设备、检测越狱设备，并对不合规设备、丢失设备、被盗设备或离职员工的设备进行全面或选择性擦除操作。通过应用隧道进行的安全应用接入、黑名单、白名单和环境感知的动态策略可确保应用的安全。为保护企业网络，有些企业使用网络接入控制(NAC)技术来对连接到网络的用户进行身份验证，并检查他们的设备是否安装了最新的防病毒软件和安全补丁。

在这里，笔者的单位公司自身采用了一种完全不同的方法，允许参加BYOD计划的员工使用笔者的单位网络，通过Citrix NetScaler Gateway按需访问数据、应用、桌面和网页，然后进行双因子身份验证，但不允许员工将个人设备直接连接到网络。在防火墙之外，虚拟化和加密可以减少Wi-Fi、WEP加密、开放无线网络、3G/4G和其他消费类接入方法的安全漏洞。网络安全功能可提供对内部和外部移动安全威胁的可视性并防止这种威胁;拒绝非法设备、未授权用户和不合规接入应用;实现与安全信息和事件管理(SIEM)系统的集成。

在BYOD参与者离开公司、违反BYOD策略、个人设备丢失或被盗的情况下，IT部门应当能够通过适当的机制立即终止数据和应用接入，包括自动注销工作相关的SaaS账户和选择性地擦除丢失设备中的数据等。还有些企业选择有限制的方法，而不是开放的无限制BYOD方法——允许人们使用任何设备来接入企业应用和数据，同时保证IT部门可以直接管理个人设备，包括注册、验证、授权和设备资源接入等。

在用个人设备取代企业终端设备的时代，员工对IT支持的期望可能会更高，但是企业应对此做出明确规定，避免给IT部门带来更高的复杂性和更繁重的工作负担。因此企业需要制定更为完整的BYOD战略，从策略到技术进行全方位考虑。

成功制定BYOD战略的指导原则可简单概括如下：人们应能够全面自由地选择任何类型的设备进行办公，包括个人生活中使用的设备，并可随时自如地切换使用不同设备。IT部门应能够随时随地地通过任何连接地址将文件、应用和桌面按需交付到任何设备上，同时通过单一管理点确保一致而高效的安全性、策略实施、合规性和控制。