因此,面對BYOD,CIO或者IT部門(mén)首先要做的是調整心態(tài),認識到對BYOD“堵不如疏”。必須承認,過(guò)去的幾年里,企業(yè)IT環(huán)境發(fā)生了很多的變化:移動(dòng)互聯(lián)技術(shù)和Wi-Fi使得IT的網(wǎng)絡(luò )邊界被打破;云、虛擬化使得應用的邊界被打破。企業(yè)員工在任何時(shí)間、任何地點(diǎn)、和任何人可實(shí)現任何形式的通訊、協(xié)作和辦公,這是一個(gè)客觀(guān)現實(shí)的需求。
其實(shí),這些年移動(dòng)設備的安全狀況已經(jīng)有了很大改變,大部分安全問(wèn)題(如遠程刪除、加密等)都已經(jīng)可以解決。比如,對于蘋(píng)果公司的iPhone手機和iPad,很多MDM(移動(dòng)設備管理軟件)可以利用蘋(píng)果公司提供MDM接口來(lái)滿(mǎn)足企業(yè)絕大多數安全需求,而對安卓設備也可以通過(guò)安裝各種客戶(hù)端來(lái)滿(mǎn)足安全需求。如果后臺安裝的是微軟的Exchange或者兼容Exchange ActiveSync的郵件服務(wù)器,無(wú)需第三方軟件的支持,企業(yè)可以確保iOS設備和安卓設備符合安全要求。
值得一提的是,郵件完全可以作為IT部門(mén)規范員工BYOD行為的一個(gè)非常好的開(kāi)端,“如果你需要訪(fǎng)問(wèn)公司的郵箱,就必須符合公司的各種規定”。畢竟,無(wú)論公司員工所持的是什么樣的移動(dòng)設備,他一定需要訪(fǎng)問(wèn)公司的郵件系統,為此,他的設備必須符合公司的安全規范,比如,數據必須在設備上加密,需要憑密碼登錄,如果多次登錄失敗能自動(dòng)遠程刪除等。換句話(huà)說(shuō),就是讓員工知道,他能訪(fǎng)問(wèn)公司郵箱,但IT部門(mén)也具有控制權可以在需要時(shí)阻止其訪(fǎng)問(wèn)。
真能省錢(qián)?
BYOD會(huì )給企業(yè)省錢(qián)嗎?實(shí)踐中省錢(qián)也是很多企業(yè)決定支持BYOD的原因之一,或者被很多人拿來(lái)說(shuō)服公司CIO或者高層允許BYOD。在不少人看來(lái),原因很簡(jiǎn)單,企業(yè)不用為員工提供設備應該會(huì )給企業(yè)省下一筆開(kāi)支。
業(yè)內專(zhuān)家認為,這是一種誤解。在現代企業(yè)IT的各項投入中,硬件成本已經(jīng)占比不多,企業(yè)的很多投入主要在“軟”成本上。就BYOD而言,雖然硬件成本節省,但是可能會(huì )帶來(lái)一定的隱性成本。這些隱性成本可能包括支持(服務(wù)支持)、基礎設施(購買(mǎi)新的移動(dòng)管理套件和網(wǎng)絡(luò )升級)、軟件(存儲、在線(xiàn)文檔編輯的購買(mǎi))、通信費用等。而最終能不能省錢(qián)還在于企業(yè)的IT部門(mén)如何對BYOD提供支持。
另外,省錢(qián)的一個(gè)前提之一,需要企業(yè)制定一個(gè)好的統一管理策略。根據來(lái)自不同市場(chǎng)機構的調查,至少60%的組織不僅沒(méi)有因為BYOD而省錢(qián),反而還增加了成本,只有1/4的組織可能會(huì )因為BYOD而省錢(qián)。
正確的態(tài)度是支持BYOD不應純粹追求節省成本。因為這很難,涉及到很多環(huán)節。專(zhuān)家建議,企業(yè)與其關(guān)注成本,還不如考慮如何制定一個(gè)更為完善的BYOD戰略,讓員工可以在公司定義的菜單中選擇適合自己的設備和服務(wù),使他們能夠充分利用規模來(lái)降低成本同時(shí)更方便工作。如果能如此,即使在短時(shí)間BYOD不會(huì )節省成本,隨著(zhù)時(shí)間的推移,隨著(zhù)BYOD的流行和策略成熟,這項投資很有可能產(chǎn)生回報,可能是在成本上,也可以是其他方面。
事實(shí)上,和過(guò)去幾十年中企業(yè)采用的很多新技術(shù)一樣,成本節約不是BYOD的最主要驅動(dòng)力,提升了敏捷性、靈活性和增加了生產(chǎn)力才是最終的推動(dòng)力。W
鏈接一
誰(shuí)該擁有移動(dòng)終端
員工手中用來(lái)辦公的移動(dòng)設備到底該誰(shuí)所有,這是BYOD項目最常遇到的問(wèn)題之一。實(shí)際上,除了一些事關(guān)敏感數據的組織,如政府、醫療、國防等單位,這個(gè)問(wèn)題答案會(huì )比較明確——應該給組織而不是個(gè)人,大多數時(shí)候答案并不明確。盡管如此,出于安全的目的,對于這些移動(dòng)設備組織至少應該有一定的控制權。總體上,就移動(dòng)設備的管理有三種形式:
- 員工所有。員工自己購買(mǎi)設備,企業(yè)支付一定補貼,包括通信補貼等,但是,員工和企業(yè)之間會(huì )達成一個(gè)基本的協(xié)議,如果員工通過(guò)該設備接入公司網(wǎng)絡(luò ),他應該允許企業(yè)對其設備進(jìn)行管理,包括數據的及時(shí)備份和遠程刪除等。如果員工離職,需要及時(shí)刪除設備中的數據,禁止該設備訪(fǎng)問(wèn)公司網(wǎng)絡(luò )。
- 企業(yè)擁有。設備完全由公司所有,因此而產(chǎn)生的通信費用也由公司承擔。如果員工不喜歡該設備,或者公司禁止用于私人目的,員工很可能還要攜帶一臺私人用的設備。如果員工離職,設備交還企業(yè)。
- 企業(yè)購買(mǎi),以低價(jià)轉售給員工。這種形式通常允許員工將設備用作私人目的。而員工離職時(shí),常會(huì )被要求以同樣的價(jià)格讓公司收回該設備。
鏈接二
關(guān)于BYOD安全的幾個(gè)建議
- 教育員工,讓其認識到移動(dòng)設備的安全風(fēng)險。
- 制訂安全策略,在移動(dòng)設備上實(shí)現遠程鎖定、擦除功能。
- 安裝反惡意應用的軟件。
- 謹慎使用Wi-Fi,尤其是公共Wi-Fi。
- 在企業(yè)網(wǎng)絡(luò )內部劃分不同區域,分別制定不同的安全策略。比如,高度敏感數據,要求VPN接入。
BYOD,別忘了桌面虛擬化
BYOD并不一定就是部署移動(dòng)設備管理(MDM)解決方案或者各種移動(dòng)設備防毒安全軟件,桌面虛擬化也可以實(shí)現同樣的目的。
本報記者 鄒大斌
IT產(chǎn)業(yè)正處在激烈的變革之中,其中最大的變革之一是工作與個(gè)人之間的界限日趨模糊,而其背后的推動(dòng)力之一就是BYOD(Bring your own dvice,自帶設備上班)。各種市場(chǎng)調查顯示,BYOD正是不少CIO眼下正在做的工作。對此熱潮,專(zhuān)家提醒,BYOD并不一定是部署移動(dòng)設備管理(MDM)解決方案或者各種移動(dòng)設備防毒安全軟件,桌面虛擬化也可以實(shí)現同樣的目的。
所謂桌面虛擬化是當今流行的虛擬化技術(shù)中的一種。與服務(wù)器虛擬化側重于服務(wù)器資源的靈活調度和提高資源利用率不同,桌面虛擬化技術(shù)關(guān)注的是用戶(hù)終端的集中管控。目前,思杰和VMware是目前市場(chǎng)上最主要的桌面虛擬化技術(shù)供應商,“與服務(wù)器虛擬化不同,桌面虛擬化距離普通用戶(hù)更近一些,它的部署可以讓用戶(hù)實(shí)實(shí)在在感覺(jué)到工作方便,讓我們可以用自己喜歡的設備隨時(shí)隨地地開(kāi)展工作。”VMware大中華區終端用戶(hù)計算業(yè)務(wù)總監石峰告訴記者。
而之所以能帶來(lái)這些方便,是因為桌面虛擬化通過(guò)在服務(wù)器端集中配置、存儲和管理用戶(hù)電腦的應用和個(gè)人配置,而這些應用實(shí)際運行在服務(wù)器端,形成“桌面云”。用戶(hù)電腦基本只是承擔顯示任務(wù),顯示出操作畫(huà)面而已。這就給用戶(hù)帶來(lái)很大方便,首先,用戶(hù)無(wú)需專(zhuān)門(mén)的電腦,只要能接入網(wǎng)絡(luò ),即使是一臺網(wǎng)吧中配置很低的電腦、平板電腦甚至是智能手機也可以像用自己的電腦一樣方便。比如,思杰的XenDesktop和VMware的View桌面虛擬化套件,都支持在iPad、智能手機上像普通電腦一樣進(jìn)行辦公,如收發(fā)郵件、編輯文檔、審批流程等。
來(lái)自思杰的一份關(guān)于企業(yè)用戶(hù)準備采用哪些設備來(lái)支持移動(dòng)辦公的調查顯示,在已經(jīng)部署移動(dòng)辦公的企業(yè)中,90%的企業(yè)選擇了桌面虛擬化,位于其后的分別是應用虛擬化(84%)、移動(dòng)設備管理(83%)、基于Web的遠程支持(81%)、文件共享和存儲(79%)、在線(xiàn)會(huì )議、企業(yè)應用商店(73%)等等。從中也可以看出桌面虛擬化在BYOD市場(chǎng)的應用潛力。
桌面虛擬化的獨特技術(shù)還帶來(lái)了前所未有的安全,這一點(diǎn)對于BYOD用戶(hù)有很大的吸引力。因為在桌面虛擬化技術(shù)的支持下,用戶(hù)雖然仍然像操作傳統桌面一樣操作,但所有數據和應用實(shí)際上并沒(méi)有在用戶(hù)所使用的電腦上落地,這就為確保企業(yè)信息的安全提供了方便。事實(shí)上,正因為用戶(hù)與服務(wù)器之間只傳遞圖像和鼠標位置等變化的信息,所以桌面虛擬化很容易就可實(shí)現防止非法下載和拷貝。同時(shí),由于采用統一的終端信息保存與維護,再配合基于角色的訪(fǎng)問(wèn)控制以及安全的遠程接入,可使企業(yè)遠離病毒與黑客的侵擾;而在管理方面,由于系統的補丁和升級都可以在服務(wù)器端一次性完成,從而極大地提供了工作效率,同時(shí)也增加了安全性。實(shí)際上,根據記者的了解,目前在桌面虛擬化技術(shù)用戶(hù)中,最大的采購需求恰恰來(lái)自安全。
“一旦企業(yè)選擇支持BYOD,如果不對這些安全策略進(jìn)行調整,就把企業(yè)信息安全置于非常危險的境地。”Citrix公司大中華區技術(shù)總監侯繼濤告訴記者,“部署桌面虛擬化技術(shù)是一種簡(jiǎn)單有效的方法,這將在不用改變現有的IT架構和IT流程的前提下,保證企業(yè)信息安全。”
值得一提的是,除了支持BYOD之外,桌面虛擬化還具有另外兩個(gè)好處,就是降低用戶(hù)使用終端維護成本和有助于節能降耗。因為采用桌面虛擬化之后,由于所有的系統都保存在服務(wù)器端,升級和補丁可以由IT部分集中一次完成,從而降低維護成本;而桌面虛擬化架構中可以用瘦客戶(hù)端代替以前的個(gè)人電腦(一臺瘦客戶(hù)端的電能消耗是一般PC機的1/10),從而實(shí)現節能。
部分主流移動(dòng)設備
管理軟件
本報記者 鄒大斌
進(jìn)入BYOD世界,員工通過(guò)自己的設備接入公司的IT系統,收發(fā)辦公郵件、處理公司業(yè)務(wù),這給員工帶來(lái)了很大方便,但對企業(yè)IT系統帶來(lái)了很大沖擊,特別是對企業(yè)的信息安全。因此,如何確保企業(yè)信息安全是CIO必須考慮的問(wèn)題。幸運的是,市場(chǎng)上出現不少移動(dòng)設備管理軟件(MDM),通過(guò)它們可以實(shí)現對智能終端設備的接入管理和終端設備上的數據加密、刪除等,從而解除了CIO的安全和管理之憂(yōu)。以下是市場(chǎng)上流行的幾款MDM軟件。
- IBM Endpoint Manager for Mobile Devices 。該套件基于 IBM Bigfix 技術(shù)構建,將端點(diǎn)和安全性管理結合到單一的解決方案中,以支持管理傳統終端設備和iOS、Android、Symbian 及 Microsoft Windows 手機,從而幫助企業(yè)應對安全性、復雜性以及BYOD策略的問(wèn)題。具體而言,其功能包括保護企業(yè)終端數據、獲取企業(yè)可視性 、使用單一的平臺來(lái)管理所有企業(yè)設備。
- 賽門(mén)鐵克移動(dòng)安全管理套件。這是一個(gè)能夠幫助用戶(hù)安全地實(shí)現其BYOD計劃以及移動(dòng)電子郵件部署的整體解決方案。該套件基于新的移動(dòng)安全策略和產(chǎn)品組合,能夠給用戶(hù)提供業(yè)界全面的企業(yè)級移動(dòng)平臺,以及更強大的移動(dòng)設備管理、移動(dòng)應用管理和威脅防護能力。該解決方案包含如下為智能移動(dòng)設備提供應用分析和威脅探測功能的安全軟件Mobile Security for Android、配置管理器Symantec Mobile Management for Configuration Manager等。
- McAfee Mobile Security。其最新版本采用了應用程序鎖定 (App Lock) 這一創(chuàng )新性應用程序隱私保護技術(shù)以及全新用戶(hù)界面,可為 Android 智能手機和平板電腦用戶(hù)提供全面保護,確保其移動(dòng)應用程序中的個(gè)人信息不會(huì )被竊取。Android 用戶(hù)能夠使用與其 McAfee Mobile Security 賬戶(hù)關(guān)聯(lián)的同一 PIN 碼鎖定安裝的應用程序,從而可以有效地防止應用程序的濫用。
- 瞻博網(wǎng)絡(luò )Simply Connected。借助該工具IT管理者可對所有有線(xiàn)、無(wú)線(xiàn)和移動(dòng)連接進(jìn)行設置,并自動(dòng)執行一致的安全和訪(fǎng)問(wèn)策略,無(wú)論這些連接是來(lái)自公司還是個(gè)人或訪(fǎng)客的設備。這一方案最終將降低IT管理人員的負擔,解決BYOD管理和安全執行準入政策方面的困擾。其中的Junos Pulse接入控制服務(wù)/UAC和Junos Pulse安全接入服務(wù)/SSL VPN 可為Mac OS、iOS和安卓設備提供增強的端口設備完整性檢查、評估和安全配置,滿(mǎn)足企業(yè)組織的安全接入政策要求。
- 華為BYOD移動(dòng)辦公解決方案。該方案依托AnyOffice移動(dòng)辦公平臺,在終端方面,能廣泛接入多種智能終端,并通過(guò)強認證方式保障用戶(hù)的接入安全;在網(wǎng)絡(luò )方面,通過(guò)高效安全的WLAN網(wǎng)絡(luò )和領(lǐng)先的LTE技術(shù),實(shí)現移動(dòng)設備的高效接入和無(wú)縫漫游;在數據管理上,通過(guò)完善的MDM功能,實(shí)現訪(fǎng)問(wèn)數據的多策略控制和終端設備的安全防護;在應用方面,通過(guò)移動(dòng)VDI、移動(dòng)會(huì )議、Pushmail和安全瀏覽器等移動(dòng)應用,滿(mǎn)足客戶(hù)移動(dòng)辦公需求,實(shí)現企業(yè)移動(dòng)辦公的安全、效率和體驗的完美融合。
- Aruba ClearPass 接入管理系統。該系統可以幫助用戶(hù)管理有線(xiàn)、無(wú)線(xiàn)和 VPN 上的網(wǎng)絡(luò )訪(fǎng)問(wèn)并保障其安全。通過(guò)在整個(gè)網(wǎng)絡(luò )中集中訪(fǎng)問(wèn)策略,ClearPass 可以自動(dòng)處理不同用戶(hù)和設備的訪(fǎng)問(wèn),自動(dòng)管理策略,自動(dòng)設置設備,進(jìn)而實(shí)現安全的網(wǎng)絡(luò )訪(fǎng)問(wèn)以及安全狀況評估。這可以確保各用戶(hù)擁有與其角色和所使用設備相符的相應訪(fǎng)問(wèn)權限。
