石菲

有數(shù)據(jù)顯示，目前每位知識工作者平均使用5.18種設(shè)備連接到企業(yè)網(wǎng)絡(luò)。不過在很多企業(yè)中，自帶設(shè)備（BYOD）還是尚未納入明文規(guī)定的非正式做法，因此給企業(yè)帶來安全、合規(guī)、IT復雜性提高等多方面的風險。

隨著個人智能信息終端技術(shù)的快速發(fā)展，終端類型不斷豐富，功能日益強大。企業(yè)員工的個人使用行為越來越多地影響到了企業(yè)的IT應(yīng)用。伴隨著IT消費化浪潮，員工從自帶設(shè)備發(fā)展到自帶云計算（BYOC）。iOS用戶也許會使用iCloud，而Android用戶也許會使用谷歌云來處理電子郵件、PIM、音樂、視頻和圖片。同步的內(nèi)容可能包括內(nèi)部網(wǎng)絡(luò)研討會和產(chǎn)品照片等敏感的企業(yè)信息。iCloud的用戶也可能同步包含Internet和內(nèi)部網(wǎng)與其個人系統(tǒng)鏈接的Safari書簽。隨著Android4.0IceCream支持使用Chrome瀏覽器，同樣的趨勢也適用于Android用戶。除了這些由主要移動設(shè)備廠商所提供的流行的個人云服務(wù)以外，許多較小的解決方案也開始流行。

在應(yīng)用市場上很容易可以找到第三方應(yīng)用，而企業(yè)設(shè)備（如Evernote和OneNote）能讓員工幾乎在任何設(shè)備上輕松地做筆記，并儲存到云中。一些員工暫時將文件粘貼到他們的云記事本上，以便在他們上下班的路上繼續(xù)工作。

除此之外，還有另一種流行的解決方案是文件同步服務(wù)（FSS），如Dropbox、Box.net、SugarSync、iDisk或SkyDrive。這些服務(wù)使文件在跨多臺電腦和移動設(shè)備上進行共享。在家工作的員工可以將辦公文件儲存在Dropbox上，當他們回到辦公室時可以很容易地在其工作電腦上訪問同樣的文件。

如果說BYOD使企業(yè)網(wǎng)絡(luò)壓力倍增，如今，BYOC給企業(yè)網(wǎng)絡(luò)再次帶來相同的威脅。

嚴格限制設(shè)備型號

現(xiàn)在公司可以去做的就是首先制定移動安全方面的安全政策，要制定出來哪些人可以使用什么樣的設(shè)備。因為不同的平臺安全級別不一樣，比如安卓系統(tǒng)和iOS系統(tǒng)的安全級別不一樣，甚至于安卓系統(tǒng)早期的智能機安全性也不如后來的產(chǎn)品。

在制定政策時可以規(guī)定公司的哪些高層可以使用自帶設(shè)備，但是使用哪些設(shè)備必須有所限制，比如中層主管可以使用安卓的智能手機，但是要求系統(tǒng)版本是4.0以上，因為這個版本擁有加密技術(shù)。而完全接觸不到公司敏感信息的員工使用設(shè)備可以不做限制。

還有一種情況，傳統(tǒng)的BYOD是自帶傳統(tǒng)移動設(shè)備，現(xiàn)在很多公司將公司的移動設(shè)備發(fā)給員工，并支持員工可以使用該移動設(shè)備登錄自己的社交網(wǎng)絡(luò)。在這種情況下，如果員工離職則收回移動設(shè)備，防止了員工離職對企業(yè)敏感數(shù)據(jù)的威脅。

采取管控機制

雖然沒有應(yīng)用相關(guān)管理軟件但采取了管理手段加以限制。

除了員工使用自有設(shè)備辦公外，在外包項目進行過程中服務(wù)商也會派駐團隊來進行技術(shù)支持，其中一些外部人員使用的自帶設(shè)備也會涉及企業(yè)核心業(yè)務(wù)。除此之外，員工也會使用移動設(shè)備登錄OA等辦公系統(tǒng)，或者進行移動展業(yè)等。

由于資金有限，我們雖然沒有上馬BYOD或者MDM等相關(guān)管理軟件，但采取了管理和技術(shù)手段進行控制，將開發(fā)區(qū)域完全隔離。外部設(shè)備進行訪問時有隔離區(qū)和權(quán)限控制，進入內(nèi)網(wǎng)需要登記注冊。同時，自帶外部設(shè)備要進行登記，終端也要綁定，進行防病毒排查，實現(xiàn)統(tǒng)一管理。

限制網(wǎng)絡(luò)訪問區(qū)域

從網(wǎng)絡(luò)權(quán)限的角度進行管理更適合中國現(xiàn)狀。

從國內(nèi)企業(yè)的現(xiàn)狀來看，使用移動終端進行辦公業(yè)務(wù)的占比還非常少，移動設(shè)備接入網(wǎng)絡(luò)大多還是只訪問互聯(lián)網(wǎng)。在這樣的前提下，針對移動設(shè)備的安全管理應(yīng)集中在網(wǎng)絡(luò)訪問權(quán)限方面，即通過合理的劃分網(wǎng)絡(luò)訪問區(qū)域，讓移動設(shè)備只能訪問互聯(lián)網(wǎng)或有限制的訪問內(nèi)部業(yè)務(wù)，從而實現(xiàn)員工隱私與公司安全的平衡。

移動安全問題是屬于員工自己的資產(chǎn)問題，在移動設(shè)備接入公司網(wǎng)絡(luò)之前，這并不是公司需要主要考慮的問題。而當移動設(shè)備接入公司網(wǎng)絡(luò)之后，則可能因為移動設(shè)備上的惡意應(yīng)用、越獄帶來的漏洞等導致對公司系統(tǒng)的威脅，這些可以通過限制網(wǎng)絡(luò)訪問區(qū)域來進行化解。

從BYOD當前在國內(nèi)的應(yīng)用情況來看，還遠沒有達到更細致的如MDM（移動設(shè)備管理）的階段，這跟移動設(shè)備普遍還沒有應(yīng)用于辦公有較大的關(guān)系，所以當前從網(wǎng)絡(luò)權(quán)限的角度進行管理是更適合中國現(xiàn)狀的，這也不會給管理員帶來太大工作量。

不同政策強制管控

如不涉及企業(yè)核心業(yè)務(wù)，可以制定政策解決。

BYOD雖然現(xiàn)在被炒得很熱，但在企業(yè)中受到的關(guān)注優(yōu)先級并不是很高，原因在于現(xiàn)在所說的BYOD大多數(shù)是一些最基本的辦公應(yīng)用。也就是說，用戶使用移動設(shè)備進行的是收發(fā)郵件或者簡單的移動公文使用，這些并不涉及到企業(yè)的核心業(yè)務(wù)。這種情況可以通過制定政策解決，比如設(shè)定一定的專網(wǎng)供這些移動設(shè)備使用，或者開放有限的應(yīng)用和端口給使用自帶設(shè)備的用戶。

如果企業(yè)將核心業(yè)務(wù)投放在移動終端上則不同，這時必須要有非常強的管理政策、技術(shù)策略和防護策略。

使用個人設(shè)備進行移動辦公對企業(yè)影響不大，但是利用移動設(shè)備操作核心業(yè)務(wù)則會帶來數(shù)據(jù)安全風險，所以要采取不同的政策進行強制管控。