想象一下這樣一家機構，其員工們每年可以享受好幾個月的假期。這聽起來似乎只是個夢想，但是在BYOD時代卻并非不可能。雖然BYOD也可能成為IT管理者們最糟糕的夢魘。

Erik Greenwood是美國加州阿納海姆聯(lián)合高中學區(qū)(AUHSD)的CTO，該學區(qū)包括21所加州中學和33000名網(wǎng)絡接入用戶，而暑期的結束往往就意味著惡意軟件季節(jié)的開始。

[[67985]]

Erik Greenwood：暑期的結束往往就意味著惡意軟件季節(jié)的開始。

Greenwood說，教職員工們在暑期里一般都會悠閑地瀏覽各種網(wǎng)頁，輕松地點擊各種鏈接，打開郵件的附件，但卻很少會及時升級安全防護軟件。于是，當教職員工們攜帶自己的各種設備返回學校時，他們通常也會隨身將大量病毒帶了回來。

一個病毒變種就有可能迫使學區(qū)的郵件套件不得不重裝和升級。另一個方面，該學區(qū)的IT部門還不得不“隔離并關閉子網(wǎng)，以阻斷病毒的入侵，”Greenwood稱。

上述每個例子都意味著相關部門不得不付出“數(shù)百小時的額外工作時間”來應對病毒，他說。“我們因此失去了原本可用來開發(fā)其他項目的機會。”

于是，Greenwood把目光轉向了網(wǎng)絡接入控制。“我們曾經遇到過一個特殊的病毒變種，防病毒軟件在應對病毒爆發(fā)時遇到了真正的挑戰(zhàn)，”Greenwood稱。“于是，我們明白了必須把網(wǎng)絡接入控制視為基礎設施的一個必要部分，不僅對員工的設備來說是如此，對于學生們自帶的設備來說亦如此。”

況且，安全還并不是Greenwood唯一的擔憂之處。他回憶說，有好多次，一些無賴設備搞垮了學區(qū)的網(wǎng)絡。有一所中學為自己學校的各種自帶設備大量分配IP地址。而在另一個例子中，一臺無賴設備開始充當DHCP服務器，與學區(qū)自己的DHCP服務器競爭資源，自己分發(fā)IP地址。

于是，該學區(qū)部署了Bradford網(wǎng)絡公司的網(wǎng)絡接入控制解決方案，并為自身獨特的情況做了定制。該學區(qū)網(wǎng)絡如今能看到自己的超過12000臺設備的流量，既有PC也有打印機，還需要適應來自外部的，數(shù)量和種類都變化不定的設備所產生的流量。

Greenwood稱，這一項目首先從應用層開始，之后又擴展到了各種通信應用。主要涉及設定各項政策，限定誰可以使用什么設備接入網(wǎng)絡，可以瀏覽什么類型的內容，等等。Greenwood說，在各種新的應用和內容交付格式層出不窮的移動市場上，他傾向于使用較為嚴格的監(jiān)管，然后視用戶需求的變化再加以調整。

設備丟失的風險

Greenwood并不是唯一一個遇到過BYOD問題的人。非盈利組織人力開發(fā)資源(RHD)的CTO Endre Walls說，他的一些員工丟失了個人的智能手機，而這些手機又都悄悄地與員工們各自的企業(yè)賬戶做過同步，因此引發(fā)了重大的數(shù)據(jù)泄露風險。

“丟失的設備對我們來說就是安全風險，如果員工的郵箱是在我們實施了MDM和監(jiān)管政策之前就有的，那就等于我們對外敞開了大門，”Walls說。“對我們來說這一直是個大問題。很多時候，用戶需要搞清楚一件事，那就是，‘我丟了設備，這對組織來說就是一個潛在的風險。’”

然而很少有員工會在丟失了個人的智能手機之后會通知IT部門，即便丟失的設備早已和企業(yè)的應用同步了，他們也不會通知IT部門。而要讓這些員工在自己的個人設備上實現(xiàn)身份認證措施也機會渺茫，“因為沒有哪條政策會說‘你必須在你的手機上裝一個PIN，’”Walss說。

“在軟件和相關政策尚未到位之前，企業(yè)應該向員工談及任何可能發(fā)生的風險，”Walls說。

最佳BYOD部署

不要只考慮成本。BYOD通常并不會節(jié)省成本，但卻可以讓員工提高生產力。

溝通。IT部門要想制定出用戶一目了然的政策，唯一的辦法就是走出去和各部門溝通。

政策要無形。如果一項政策干擾了用戶的數(shù)據(jù)或體驗，用戶就有可能抗拒不遵。

從小處開始。一開始就嚴格限制是比較容易的，然后再根據(jù)需要授予用戶適當?shù)淖杂伞?/p>

尊重員工隱私。要選擇監(jiān)控、數(shù)據(jù)訪問以及合理的工時。

RHD如今已能夠從員工的個人設備上擦除企業(yè)的數(shù)據(jù)和應用，且能夠在員工申請這些數(shù)據(jù)時提供完整的數(shù)據(jù)。同樣重要的是，IT部門要讓全體員工都意識到，任何已經和企業(yè)應用做過同步的設備——無論該設備屬于誰——都必須是安全的，方能保障在丟失之后不會招致泄露風險。

然而，泄露敏感數(shù)據(jù)并不僅僅是員工們丟失設備時才會發(fā)生。MDM廠商MobileIron的副總裁Ojas Rege認為，很多消費者設備已經對在云中打開、瀏覽和存儲文檔做過優(yōu)化。而這就有可能引發(fā)消費者未曾想到過的風險。

“iPad上的頭號數(shù)據(jù)泄露源頭就是郵件的附件，”Rege稱。“用戶在iOS上點開郵件的附件時，會彈出一個菜單，可以讓你在iPad上所有的閱讀器中打開文檔。如果你在Dropbox中打開，那么你的企業(yè)數(shù)據(jù)就泄露出去了。”

顯然，這些問題足以讓企業(yè)的IT部門忙不迭地去部署移動設備管理、網(wǎng)絡接入控制或者移動數(shù)據(jù)保護等軟件。但是部署這些軟件肯定要涉及到構建BYOD戰(zhàn)略的問題，沒有這樣一個完整的戰(zhàn)略，同樣會引發(fā)風險。

司法問題

MobileIron客戶咨詢業(yè)務經理Marie Cullen認為，司法方面的擔憂也會成為每一個想要考慮啟動新的BYOD計劃的企業(yè)的首要問題。Cullen就是在MobileIron的客戶開始規(guī)劃和啟動其移動戰(zhàn)略時，直接與他們打交道的人。

“我們看到，客戶們常犯的最大錯誤之一就是在部署移動計劃之前，沒有預先考慮到各相關利益方，”Cullen說：“在制定其移動計劃時，他們必須跨出IT部門，考慮到法律、人力資源、財務及合規(guī)性等多方面的因素。”

在一個案例中，Cullen看到IT部門花時間、費大勁制定了一個戰(zhàn)略，但是就在準備要部署之前，該戰(zhàn)略卻被法律部門槍斃掉了。

“因為這個戰(zhàn)略讓企業(yè)承擔了太多的責任，所以IT部門不得不重新回到起點，重新制定戰(zhàn)略，而且要與法律部門合作，”她說。

雖說遭到法律團隊干預令人沮喪，但是對IT部門來說，這也是幸運的。2012年，《今日美國》曾有過一篇報道稱，大量的訴訟案件都在指控美國企業(yè)違背了工資與工時法案，因為從2008年到2012年，工時增加了32%。不少員工突然之間被要求即便在家里也得用自己的智能手機訪問工作信息和企業(yè)應用，員工之所以提起訴訟就是因為企業(yè)給他們增加了額外的工時而他們卻從未獲得過相應的補償。去年就有過這樣一個案子，涉及醫(yī)藥企業(yè)的銷售代表，該案最后打到了美國最高法院。

隱私問題是另一個需要考慮的因素。任何帶GPS監(jiān)控的應用，尤其當其被用來跟蹤員工時，從法律角度看就會成為一個危險的問題。Rege認為，即便企業(yè)很尊重員工的隱私，也必須事先讓員工明白企業(yè)在做什么。

“用戶們會擔憂說，IT部門會不會看我的照片，會不會看我的短信?”Rege說。“這些事情從技術上說并非不可能。但這又絕非技術問題，而是技術和法律的關系問題。”

另一個更值得關注的技術問題就是用人單位遠程擦除員工設備上數(shù)據(jù)的能力。對于員工丟失設備的常見解決辦法就是采用一個遠程擦除工具，以便企業(yè)可以在員工的設備丟失之時可以刪掉其上的所有數(shù)據(jù)。這個辦法在企業(yè)擁有黑莓手機所有權的時代是沒什么問題的，但是在越來越多的員工們都使用自己的手機時，卻會引起一些現(xiàn)實的問題。

去年就發(fā)生過這樣一個事件。Mimecast公司的CEO Peter Bauer帶著全家休假，他五歲的女兒拿著他的iPhone手機在一邊玩耍，這部手機里有他的工作信息，也有他在旅途中拍攝的照片。在他女兒不小心連續(xù)5次輸入了錯誤的PIN碼后，Bauer自己安裝的MDM程序就自動啟動，擦除了iPhone上的所有數(shù)據(jù)和照片。

雖然不少企業(yè)的IT部門只選擇部分擦除，也就是說只擦除和企業(yè)相關的數(shù)據(jù)，但是Bauer說他的公司還是決定選擇全部擦除，因為員工們常常會采用拍照方式來保存寫在白板上或投影在屏幕上的演示文檔信息。如果只采用部分擦除還是有可能導致敏感信息泄露。

Bauer的事例是很特殊的，但也說明了在制定BYOD戰(zhàn)略時，各部門之間溝通的重要性。所有的企業(yè)都是不盡相同的，因此就需要根據(jù)自身的情況去解決移動性問題。尤其在對待員工的個人財產時，溝通和反饋對于戰(zhàn)略的成功是非常必要的。在面對BYOD大潮時，IT部門不能因為擔心自己在機構中的作用會發(fā)生變化而采取不合作態(tài)度，Rege說。

“要讓他們突然間說‘我得給用戶更多的自由，我得關注教育和溝通，’這對于所有的IT部門來說都不是一個自然的過程，”他說。“我們看到一些IT部門很糾結，因為他們不知道事情會發(fā)展到什么地步。而他們是在一個什么都很明確的世界里成長的。”

的確，Walls說，BYOD戰(zhàn)略對于他的IT部門來說是個機遇，因為他的部門有了以前從未有過的跨整個企業(yè)工作的機會。現(xiàn)在，企業(yè)各部門與IT部門之間的相互關系在前BYOD時代里是不曾存在過的，但對于保障組織里其他部門免遭移動辦公所導致的無意之失卻是完全必要的。

“這就是說，認識、用戶培訓、溝通是非常重要的，怎么強調都不過分，”Walls說。“從職業(yè)上講，我也是第一次有機會去實施這樣一個重要的戰(zhàn)略，它會比我之前在任何其他環(huán)境中所規(guī)劃的戰(zhàn)略能夠產生更高效的結果。”