BYOD概念的提出，喚醒了企業員工追求更為自由辦公體驗的愿望。但是，這種萌芽往往會被IT部門扼殺在搖籃里，他們提出的理由是，辦公自由往往意味著數據會面臨安全風險。殊不知，對安全的管控過于嚴苛，也會影響企業業務。在BYOD方面，我們同樣要倡導“以人為本”。

美國政治家和科學家本杰明·富蘭克林說過這樣一句話：“放棄基本的自由以換取茍安的人，終歸會失去自由，也得不到安全。”

來自250多年前的這一警句可能還會適用于當前業界所熱議的BYOD(Bring Your Own Device，自帶設備)趨勢：一方面BYOD思想所倡導的是“讓移動終端在辦公室里更自由”，另一方面企業需要盡可能消除由此帶來的安全威脅，IT部門是否能夠“魚與熊掌兼得”?

當前IT消費化的潮流越來越明顯，這意味著，沒有受到企業管理的設備正在被員工帶入到企業環境，用于訪問業務數據。IT消費化是一種新的模式;而且與大多數新模式一樣，無論我們喜不喜歡，這股潮流已不可逆轉。

這種認可來自于一些不同因素的推動作用。首先，企業需要提高生產效率，加速客戶、部署以及銷售流程之間的銜接;其次，越來越多的企業開始在海外開展業務，全球化的趨勢使得企業需要更加簡便、快捷的溝通方式;最后，企業在移動應用方面的努力也會改善其與客戶之間的關系。ZK Research 2012年所進行的一項調查顯示，有82%的受訪企業已經允許員工自帶設備上班，并允許員工將消費級的產品應用于工作之中。其中有23%的企業不會為員工的自帶設備提供技術支持，有39%的企業會提供有限的技術支持，而會為員工自帶的設備提供技術支持的企業占據了整個調查的39%。在這一報告所調查的所有樣本中，只有18%的企業表示在辦公室中不允許自帶消費類設備。

無獨有偶，來自思科的調研報告同樣反映了這種趨勢。這一調查顯示，大多數企業目前正在采用BYOD模式，其中95%的受訪者表示他們的企業允許在工作場所中以某種方式使用員工自有的設備。調查還得出結論稱，截至2014年，每名員工的連接設備數量將有望從2012年的平均值 2.8臺增長到3.3臺。調查同時表示，BYOD趨勢很可能帶來顯著的成本和生產效益。超過3/4(76%)的受訪IT主管認為：BYOD雖然給IT部門帶來了巨大挑戰，但是對他們的公司卻產生了比較積極甚至是非常積極的影響。這些調查結果彰顯了BYOD存在的意義。IT主管們認為，我們需要一個更加全面的方案，這種方案具有伸縮性，可用于解決移動性、安全性、虛擬化以及網絡政策管理，進而在提供最佳體驗的同時有效控制管理成本，實現最大程度的節約。同事，IT主管們也表示，企業需要解決BYOD所帶來的安全和系統支持方面的隱患，并在企業效益和安全之間進行平衡。

企業業務正在開始對移動應用產生一些依賴。由于業務的需要，使得企業員工也可以更加“光明正大”地將自己的設備帶入辦公室，獲得更多的“自由”。同樣是在業務的推動下，企業也不得不需要解決更多BYOD所帶來的安全問題。

盡管都是自由與安全的話題，不過實際上，BYOD如今所面臨的挑戰要比富蘭克林當初面臨的挑戰來得更加直接。對我們來說，重要的不是道德層面的自由與否，而是如何最大限度地使企業及其員工提高效率。然而，要知道，加強BYOD安全方面的任何工作一定要掌握一個“度”，過猶不及只會適得其反。#p#

BYOD的前提

不容忽視

要想實施BYOD，我們首先要對系統訪問密碼的使用訂下規則。這并不是個老生常談的問題。首先，提高密碼安全性的措施之一是將其設計得長而復雜，而且含有組合使用的大小寫字母外加數字和標點符號。

此外，在企業應用中，我們還應該保證內部系統實施了單點登錄策略，也就是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。否則，要合理確保安全，用戶就必須為使用密碼的每個系統和每個網站設置不同的密碼。這是很繁瑣的一項工程。

從信息安全的角度來看，第三條常識性的小貼士是，不要把密碼寫在紙上，以免安全信息遭到泄露。

為什么我們要在這里重新拿出“做好密碼保護”這個談了多年的問題進行討論呢?因為很多公司限制員工使用新技術的理由就是：安全和合規考慮。其實，這并不是一個理由，做好密碼保護就已經在很大程度上確保了安全。

因此，如果企業對BYOD感興趣并打算向公司內部推廣的話，先向員工普及一些密碼知識吧。

信息安全

不能因噎廢食

BYOD概念的熱議引申出了這樣一個觀點：盡管IT部門百般不情愿，但BYOD潮流還是在不斷“水漲船高”，我們應該積極支持BYOD潮流。其實，實施BYOD對大多數公司來說并非難事。

另有一種觀點認為，BYOD會加大數據盜竊以及泄漏的風險，而且有可能會觸動“合規”這個敏感的神經。

然而，我們不能為了實現信息安全和法規遵從就“因噎廢食”。實際上，想完美地保護數據，最省事的辦法就是斷開互聯網，禁用USB端口，以及采取其他各種可能的措施，禁止數據從一臺計算機傳輸到另一臺計算機，顯然如今這是不可能的。

說到數據，IT部門要明白，員工所接觸的每一個數據字節都有可能包含惡意代碼，而且很難篩選剔除出來。

因此，IT部門更需要打起十二萬分的注意力。特別是，針對內網信息系統的訪問請求，開始越來越多地來自身處企業外部的遠程工作人員、業務合作伙伴和客戶，因此，我們必須要知道，保護資產方面的重心絕不僅限于加固企業網絡邊界就可以了，這一點極其重要。也就是說，企業加密數據庫和筆記本電腦硬盤所獲得的安全性比升級防火墻要強得多。

離線VDI：

兼顧自由和安全

BYOD的大潮將其同另一種技術緊密結合在了一起。這項技術現已很成熟，迎來了黃金時期，那就是：Virtual Desktop Infrastructure(VDI，虛擬桌面基礎架構)，與BYOD關系尤其“親近”的是其中一個分支——離線VDI。

離線VDI正如其名，用戶可以離線使用遠程數據。同普通VDI一樣，離線VDI同樣在服務器上保管著每個用戶虛擬機的中央鏡像(central image)，但該鏡像可以下載到用戶的個人計算機上，并在本地運行。當用戶重新連接到企業網絡時，用戶計算機會與服務器重新同步數據，上傳用戶所做的任何變更，同時下載任何集中管理的改動內容，如軟件補丁和反惡意軟件更新版。

就算沒有出現BYOD潮流，大多數打算部署VDI的企業也應該把離線VDI作為默認方法，原因很簡單：我們使用服務器只是為了管理虛擬機鏡像，而不是運行鏡像。離線VDI所需的服務器容量只是普通VDI的一小部分。這意味著用戶可以購買容量更小的服務器和存儲，同時耗用比較少的電力。

即使你不在乎數據中心是否綠色節能這個話題，離線VDI也可以實實在在地節省費用，又幾乎沒有什么缺點，這不正是每個CIO想要的嗎?

如果我們再將BYOD加入討論話題，離線VDI就會變得更加誘人了，因為其消除了信息安全部門最擔心的問題：員工將個人設備用于工作，由此帶來安全威脅。這樣一來，你可以豎起一堵干凈的圍墻，將直接在硬件上運行的個人環境與在虛擬機上運行的企業環境隔離開來。

同時，這使得員工能夠在自己的環境中隨心所欲地進行創新和實驗，而IT部門能夠控制員工使用企業信息資產的程度。當員工外出時，他們只需帶上一個計算設備，就可以用來回復個人郵件和工作郵件，而且不會將二者的使用環境混淆。如果員工一心忙于工作或者趕著完工，甚至可以在坐飛機時辦公，而且不必支付飛機上無線網絡高昂的服務費。

數據安全要以人為本

籠統地說，安全風險有兩種形式。有些風險可能導致成本增加，有些風險可能導致收入減少。前一種風險最受關注，因為這種風險一旦發生，損失將會很大，而且其更為直觀。

不過，導致收入減少的風險更應該引起人們的注意。這類風險可能具體表現為：顧客不滿意、創新能力減退、員工之間的合作以及企業與業務合作伙伴和客戶的合作不暢，以及員工工作熱情減退。

總的來說，IT部門之前把注意力過于集中在數據安全方面，由此而忽視了收入來源風險。也就是說，為了能夠保證數據安全，IT部門有時會忽略人的體驗。我們不得不說，像那種對設備嚴加看管的方式實在太過于死板了。

這里要傳達的觀點是，在施行BYOD策略時，IT部門要做的是，在兼顧自由和安全時至少要多考慮一點自由。正如本杰明·富蘭克林早在250多年前認識到的那樣，這是一場艱苦卓絕的戰斗，必須每天為之努力。#p#

鏈 接

讓BYOD搭上虛擬化的快車

在BYOD的浪潮下，企業如何保護數據?首先，CIO們需要問自己一個問題：企業是否在意沒有受到管控的設備連入公司網絡?如果答案是肯定的話，IT部門就要利用企業的資源來保護數據安全，降低業務數據被惡意訪問的風險。

一部安全的設備需要擁有以下這些特征：加固的安全設置、安全登錄方法、強驗證協議、合適的訪問控制、開啟基于主機的防火墻、版本最新的反惡意軟件軟件、安全配置軟件、打上最新補丁的軟件、合適的本地和網絡安全權限，以及經過配置并且啟用的審計策略。

我們之所以要管理設備，是因為我們想要減小發生惡意事件的可能性。BYOD看上去卻阻撓了這些美好的想法。在大多數情況下，未受到管理的設備要比受到集中管理的設備泄漏數據的風險更高。那么，在不進行設備管理的情況下，又該如何確保數據安全?

最簡單的解決辦法就是拒絕未受到管理的設備訪問受保護的數據，這也是近幾年來最常見的對策。但是在很多企業環境中，就算落實了“拒絕未受到管理的設備訪問受保護的數據”這條規則，未受到管理的設備照樣在訪問公司數據。這很明顯是一個數據保護方面的漏洞。

如果未受到管理的設備無論如何都要訪問企業數據，那么怎樣才能最有效地保護數據呢?簡單的辦法就是，禁止在未受到管理的設備上存儲數據，無論是暫時存儲還是長期存儲。那樣一來，攻擊者想竊取遠程數據的難度會大得多。

我們可以采取的一個辦法是，使用傳統的客戶機/服務器模式。所有數據都保留在服務器端，只有結果才發送到用戶端——如今通常使用瀏覽器。這是個好辦法。唯一的問題是，其仍然讓未受到管理的計算機直接訪問前端系統，而前端系統一般都會連接中間件和后端服務器。一旦未受到管理的設備被攻擊者控制，攻擊者就可以鉆這個安全漏洞的空子，訪問并且危及整個內網的所有計算機。

面對未受到管理的設備，一種更好的解決辦法是，只將數據返回結果呈現給用戶，這樣設備幾乎無法訪問內網中的任何計算機。市面上已經有眾多這樣的解決方案，比如VDI(虛擬桌面基礎架構)、終端服務(Terminal Services)和虛擬網絡計算(VNC)等。

如果通過未受到管理的設備只能訪問最終呈現的畫面，那么攻擊者基本上搞不了多大破壞。攻擊者也許能獲取一些直接顯示出來的數據，但他們無法訪問字符串、HTML代碼或者其他能夠暢行無阻訪問后端數據的寶貴信息。