BYOD不只是個(gè)技術(shù)命題
面對五花八門(mén)的技術(shù)和產(chǎn)品,用戶(hù)應該如何選擇呢?相斌斌的建議非常中肯:“用戶(hù)需要根據自己的企業(yè)特點(diǎn)和需要移動(dòng)起來(lái)的業(yè)務(wù)流程來(lái)進(jìn)行判斷,確定是迎合員工自帶設備的趨勢,還是由企業(yè)牽頭進(jìn)行統一的企業(yè)移動(dòng)應用部署。無(wú)論哪種情況,移動(dòng)安全管理都是非常重要和關(guān)鍵的。尤其是針對BYOD,由于其終端和操作系統的多樣化,以及終端自用與工作相結合的性質(zhì),給企業(yè)帶來(lái)更大的安全挑戰和威脅。如果確實(shí)需要在自有終端上運營(yíng)保密級別較高的數據和應用,那就需要對安全管理有預先的規劃和部署,設置一定的門(mén)檻。對于目前中國企業(yè)來(lái)說(shuō),安全的門(mén)檻不只是在技術(shù)上,更多的應該是觀(guān)念和意識上。”
美國《Network World》曾經(jīng)就用戶(hù)在部署BYOD時(shí)需要考慮的問(wèn)題進(jìn)行過(guò)一次總結,以下是需要用戶(hù)特殊關(guān)照的十點(diǎn)注意事項:在采購技術(shù)之前先制定政策;探索管理設備的方法;登記應該盡量簡(jiǎn)單;應該通過(guò)無(wú)線(xiàn)而不是有線(xiàn)來(lái)配置設備;盡量向用戶(hù)提供自助服務(wù);對員工個(gè)人信息進(jìn)行保護;隔離企業(yè)和個(gè)人數據;自動(dòng)監視設備而非手動(dòng);合理管理數據的使用以及獲得適當的投資回報。用戶(hù)需要考慮的不只是技術(shù)如何實(shí)現方便、安全的用戶(hù)接入,還要考慮一些使用中的細節:企業(yè)在員工購買(mǎi)設備時(shí)的補貼策略,以及使用中的流量套餐計劃;把個(gè)人信息與企業(yè)信息隔離開(kāi),不只是對企業(yè)的內容進(jìn)行保護,也需要考慮如何劃清界限,不會(huì )把私人信息過(guò)多地暴露出來(lái)等等。
“在BYOD部署前,有兩個(gè)重要的環(huán)節要做,一是咨詢(xún)評估,二是安全策略制定。”趙愛(ài)明把這些內容總結為以上兩點(diǎn)。在這些考慮之后,還需要考慮部署的細節。“網(wǎng)絡(luò )設計人員需要檢查現有無(wú)線(xiàn)以太網(wǎng)接入系統的容量,接入交換機的能力和BYOD帶來(lái)的性能影響,容量是否滿(mǎn)足。”沈之千說(shuō)。一般來(lái)說(shuō),“對原有的網(wǎng)絡(luò )架構,增加無(wú)線(xiàn)點(diǎn)數,增強無(wú)線(xiàn)性能是必須的,如果已有準入、安全系統,那么兼容更多類(lèi)型的終端也是必須的。此外對于客人來(lái)訪(fǎng)、客戶(hù)業(yè)務(wù)等多種應用情況,也要提供豐富、易用的接入、管理手段。” 曲景洋說(shuō)。
盤(pán)點(diǎn):那些與BYOD有關(guān)的應用
與完全創(chuàng )新的產(chǎn)品技術(shù)不同,與BYOD相關(guān)的應用很早就開(kāi)始了。很多IT廠(chǎng)商自身就是最早開(kāi)始嘗試的用戶(hù)。“華為在2009年就已經(jīng)開(kāi)始了BYOD的使用,員工可以通過(guò)手機和Pad等終端進(jìn)行企業(yè)郵件的處理、流程審批、機票預訂、資料查看等。每天同時(shí)有2萬(wàn)人通過(guò)移動(dòng)終端接入公司網(wǎng)絡(luò ),每月有100萬(wàn)次的移動(dòng)終端通過(guò)iAccess接入公司網(wǎng)絡(luò )辦公,有1.6億封郵件通過(guò)移動(dòng)終端處理。”趙愛(ài)明如是說(shuō)。
有一些案例是打包的解決方案。“長(cháng)虹在北京新的總部大樓,全套用的都是我們Avaya的解決方案。”徐震介紹說(shuō),在這個(gè)案例中,長(cháng)虹的員工可以幫助臨時(shí)來(lái)訪(fǎng)的用戶(hù)開(kāi)一個(gè)臨時(shí)的權限,這些用戶(hù)就可以使用自己的終端來(lái)接入。還可以進(jìn)行不同權限的設置,允許訪(fǎng)問(wèn)不同的內部資源。有線(xiàn)和無(wú)線(xiàn)都需要通過(guò)后臺的認證和授權,包括前端入口來(lái)使用統一的解決方案。
網(wǎng)絡(luò )準入控制是一個(gè)核心設備,在英國卡迪夫大學(xué)的案例中,就是集成了第三方廠(chǎng)商提供的網(wǎng)絡(luò )準入控制設備來(lái)提供安全性的。NAC設備能夠識別用戶(hù)及其攜帶的設備,并實(shí)施針對每個(gè)用戶(hù)和設備的策略。這些策略反過(guò)來(lái)又由網(wǎng)絡(luò )基礎設施來(lái)執行。
有些案例是與BYOD相反,但是策略都是類(lèi)似的。如國內一個(gè)學(xué)校的應用是把解決方案架設在學(xué)校提供的終端上,用于這些終端的入網(wǎng)控制、檢測。學(xué)生自帶設備由于沒(méi)有客戶(hù)端,所以只能訪(fǎng)問(wèn)互聯(lián)網(wǎng),而不能作為教學(xué)設備訪(fǎng)問(wèn)學(xué)校應用。在這個(gè)案例中,實(shí)際上是把個(gè)人設備隔離在辦公應用之外,而只允許學(xué)校配發(fā)的設備進(jìn)行訪(fǎng)問(wèn)。
云計算可以租賃和購買(mǎi),BYOD也有這方面的嘗試。在日本NTT通信公司,BYOD被作為一種安全服務(wù)提供給客戶(hù),其實(shí)現的辦法是把安全和遠程接入技術(shù)集成到移動(dòng)連接(Mobile Connect)服務(wù)中。
