吳昱、鄧科方、劉斌　撫州市煙草專(zhuān)賣(mài)局（公司） 　撫州市　344000

1009-0940(2015　)-2-044-03

收稿日期：2015-5-19

0、前言

當(dāng)前絕大多數(shù)企業(yè)都已借助計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)建立起自己的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)信息數(shù)據(jù)自由自動(dòng)流動(dòng)。為保證安全，這個(gè)內(nèi)部局域網(wǎng)是封閉的，企業(yè)內(nèi)部員工只有在指定的工作區(qū)域（辦公室），使用企業(yè)提供的專(zhuān)有信息設(shè)備才能利用這個(gè)網(wǎng)絡(luò)來(lái)完成本職工作。

隨著信息技術(shù)和3G/4G、Wi-Fi等通信技術(shù)的快速發(fā)展，以IOS和Android為代表的智能終端（平板電腦和智能手機(jī)）和筆記本電腦逐漸興起和普及，此類(lèi)終端的功能越來(lái)越電腦化，體積越來(lái)越小巧化，攜帶越來(lái)越便利化，促進(jìn)了辦公“移動(dòng)化”和“遠(yuǎn)程化”地實(shí)現(xiàn)，成就了BYOD的誕生。

1、BYOD概述

BYOD（Bring Your Own Device，自帶設(shè)備）是一種允許員工攜帶個(gè)人信息化終端（筆記本電腦、智能手機(jī)、平板電腦等），進(jìn)入辦公室等工作區(qū)域或機(jī)場(chǎng)、酒店、咖啡廳等公共場(chǎng)所，借助3G/4G、Wi-Fi、VPN等通信技術(shù)連入企業(yè)局域網(wǎng)，處理相關(guān)工作的方式。

BYOD的出現(xiàn)得利于信息技術(shù)和通信技術(shù)的發(fā)展，但主推動(dòng)力來(lái)自?xún)煞矫妫簡(jiǎn)T工自身的辦公需求和企業(yè)提高辦公室效率的需要。

1.1、員工自身的辦公需求

此類(lèi)需求在外勤類(lèi)的員工身上體現(xiàn)最明顯，尤其是銷(xiāo)售人員。銷(xiāo)售人員作為公司產(chǎn)品主推手，要想向客戶(hù)推銷(xiāo)成功，需要隨時(shí)向客戶(hù)展示公司的產(chǎn)品信息，為客戶(hù)答疑釋惑。但是客戶(hù)對(duì)產(chǎn)品的關(guān)注是隨機(jī)的，要求也是動(dòng)態(tài)的，銷(xiāo)售人員無(wú)法預(yù)先估計(jì)到各種可能，因而不可避免地存在準(zhǔn)備疏漏或應(yīng)對(duì)不足的情況，此時(shí)容易引起客戶(hù)的失望和遺憾。若能讓銷(xiāo)售人員使用自己的手機(jī)、平板等智能終端實(shí)時(shí)連入企業(yè)局域網(wǎng)，及時(shí)獲取各類(lèi)信息，就能避免這種情況的發(fā)生，提高銷(xiāo)售成功的可能性。

1.2、企業(yè)提高效率的需要

每個(gè)員工自覺(jué)地按照企業(yè)要求高效率、高質(zhì)量的完成每一項(xiàng)本職工作，企業(yè)的利潤(rùn)自然就會(huì)實(shí)現(xiàn)最大化?？涩F(xiàn)實(shí)情況卻遠(yuǎn)非如此，如何提高員工工作效率一直是每家企業(yè)日常管理的關(guān)鍵工作之一。對(duì)于離開(kāi)辦公區(qū)域的員工（出差在外），如能讓他們通過(guò)自己的智能終端隨時(shí)隨地與企業(yè)局域網(wǎng)連通，就能使得企業(yè)的日常監(jiān)管同步延伸，有力地促使他們像在辦公室一樣提高工作效率。

2、BYOD的潛在風(fēng)險(xiǎn)

通過(guò)實(shí)施BYOD將企業(yè)內(nèi)部網(wǎng)絡(luò)延展到員工的智能終端上，能降低企業(yè)在終端信息設(shè)備上的初始投資成本，還能提升員工的工作效率及積極性。同時(shí)也給企業(yè)信息部門(mén)的日常運(yùn)維管理模式帶來(lái)挑戰(zhàn)：

1）與已有應(yīng)用系統(tǒng)的對(duì)接問(wèn)題。企業(yè)應(yīng)用的操作系統(tǒng)是Windows、UNIX、Linux等，而智能終端的卻是Android、iOS、Windows Phone等，這二者之間存在巨大差距。要想部署B(yǎng)YOD，就需要考慮企業(yè)已有應(yīng)用系統(tǒng)的平臺(tái)遷移問(wèn)題—要對(duì)應(yīng)用系統(tǒng)進(jìn)行改造（甚至是重新開(kāi)發(fā)）。

2）對(duì)現(xiàn)有運(yùn)維模式的更改問(wèn)題。B Y O D的啟用，將日常運(yùn)維工作場(chǎng)所從企業(yè)的辦公地?cái)U(kuò)大到非工作場(chǎng)所（比如員工家庭、公共場(chǎng)所等），不但增加了日常運(yùn)維工作量，還延長(zhǎng)了運(yùn)維工作時(shí)間—增加了非工作時(shí)間，增大了運(yùn)維工作難度—增加了運(yùn)維對(duì)象。

3）對(duì)已有網(wǎng)絡(luò)結(jié)構(gòu)的改造問(wèn)題。智能終端采用的是Wi-Fi、3G/4G等無(wú)線網(wǎng)絡(luò)連接方式。而絕大部分企業(yè)出于安全考慮，或者是沒(méi)有部署無(wú)線網(wǎng)絡(luò)，或者是嚴(yán)格控制無(wú)線網(wǎng)絡(luò)使用。所以要想啟用BYOD，就需對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造。

從信息安全角度，除了病毒傳播，BYOD的實(shí)施還有以下潛在風(fēng)險(xiǎn)：

2.1、遺失風(fēng)險(xiǎn)

智能手機(jī)、平板電腦等智能終端是BYOD的主件，它們?cè)絹?lái)越像筆記本電腦一樣成為存儲(chǔ)企業(yè)敏感數(shù)據(jù)（如電子郵件、賬號(hào)密碼等）的載體。但此類(lèi)設(shè)備的高可便攜性帶來(lái)一個(gè)很大的安全隱患——容易丟失或被盜。一旦發(fā)生丟失或被盜，其上儲(chǔ)存的敏感數(shù)據(jù)存在被泄露、被盜用的可能，將會(huì)給企業(yè)帶來(lái)?yè)p失風(fēng)險(xiǎn)。

2.2、APP風(fēng)險(xiǎn)

APP是智能手機(jī)、平板電腦等智能終端上運(yùn)行的第三方應(yīng)用程序（Application）的統(tǒng)稱(chēng)。它的出現(xiàn)方便了智能終端的使用，但也帶來(lái)了極大的安全隱患。智能終端其實(shí)就是一臺(tái)外形簡(jiǎn)潔的微型計(jì)算機(jī)，一旦被惡意APP（不論是合法的，還是非法的）感染，就難以阻止它們借道終端本身的藍(lán)牙、Wi-Fi等途徑侵入企業(yè)局域網(wǎng)，存在數(shù)據(jù)被竊取，被傳播病毒等危害企業(yè)信息安全的風(fēng)險(xiǎn)。

2.3、安全風(fēng)險(xiǎn)

基于安全考量，每個(gè)企業(yè)對(duì)任一終端信息設(shè)備接入內(nèi)部網(wǎng)絡(luò)都有嚴(yán)格的規(guī)范，都要進(jìn)行嚴(yán)格的審驗(yàn)，都會(huì)制定嚴(yán)密的防護(hù)機(jī)制。但智能終端的出現(xiàn)，尤其是Wi-Fi熱點(diǎn)等功能的出現(xiàn)，猶如在保險(xiǎn)箱上鉆洞樣，使得現(xiàn)有的設(shè)備接入規(guī)范瞬間失效，企業(yè)內(nèi)部網(wǎng)絡(luò)由封閉性變成開(kāi)放式，基于內(nèi)部網(wǎng)絡(luò)的安全機(jī)制存在失效的風(fēng)險(xiǎn)。

2.4、法律風(fēng)險(xiǎn)

智能手機(jī)、平板電腦等智能終端是員工的私人物品，其上存儲(chǔ)的絕大部分是私人信息。一旦通過(guò)BYOD與公司內(nèi)部網(wǎng)絡(luò)連接，則可能會(huì)涉及到此類(lèi)信息的訪問(wèn)和存取，“員工是否允許企業(yè)訪問(wèn)？允許訪問(wèn)哪些信息？允許何種訪問(wèn)方式？”等等問(wèn)題的處理，存在引起企業(yè)和員工之間法律糾紛的風(fēng)險(xiǎn)。

3、BYOD的風(fēng)險(xiǎn)控制

對(duì)待風(fēng)險(xiǎn)，最好的方法就是消滅它，無(wú)法消滅時(shí)就要選擇恰當(dāng)?shù)姆椒右钥刂?，以期減少損失。對(duì)于業(yè)而言，控制BYOD的潛在風(fēng)險(xiǎn)可從以下方面入手：

3.1、設(shè)備管理方面

正如人員各異一樣，每位員工持有的智能終端也各不相同。企業(yè)應(yīng)該對(duì)能參與BYOD的智能終端從產(chǎn)品類(lèi)型、硬件配置、操作系統(tǒng)等方面進(jìn)行限制，盡量減少因設(shè)備自身因素影響B(tài)YOD使用異常的可能性。

對(duì)每臺(tái)參與BYOD的設(shè)備需要進(jìn)行“全生命周期”管理：由使用者提出接入申請(qǐng)，再經(jīng)企業(yè)信息部門(mén)進(jìn)行設(shè)備查驗(yàn)，合格的設(shè)備進(jìn)行必要地“初始化”—部署統(tǒng)一的安全策略，在未撤銷(xiāo)登記前要對(duì)其進(jìn)行永久監(jiān)管。

3.2、接入認(rèn)證方面

所有成功參與BYOD的設(shè)備都要部署統(tǒng)一的安全策略，配置適當(dāng)?shù)馁Y源訪問(wèn)權(quán)限。根據(jù)員工所處區(qū)域的不同，區(qū)別接入方式和安全防護(hù)原則：（1）在企業(yè)內(nèi)部，可以允許員工通過(guò)Wi-Fi方式接入，可以允許注冊(cè)成功的設(shè)備訪問(wèn)權(quán)限范圍內(nèi)的企業(yè)資源。而所有未參與BYOD的設(shè)備應(yīng)該禁止接入，即使非法接入也應(yīng)該被禁止訪問(wèn)企業(yè)資源。（2）在企業(yè)外部，員工只能通過(guò)VPN方式接入訪問(wèn)自己權(quán)限范圍內(nèi)的企業(yè)資源，必須拒絕一切未參與BYOD的設(shè)備接入。

3.3、數(shù)據(jù)保護(hù)方面

參與BYOD的設(shè)備中會(huì)同時(shí)保存有員工個(gè)人和企業(yè)的數(shù)據(jù)，而企業(yè)數(shù)據(jù)歸企業(yè)所有，二者不應(yīng)混合，應(yīng)該進(jìn)行充分隔離，才能實(shí)現(xiàn)數(shù)據(jù)間的互相隱秘和相互保護(hù)。企業(yè)在實(shí)施BYOD前要對(duì)企業(yè)數(shù)據(jù)進(jìn)行梳理，允許被BYOD訪問(wèn)的數(shù)據(jù)應(yīng)該集中存儲(chǔ)，部署特定的保護(hù)策略，根據(jù)員工的崗位和職責(zé)不同制定嚴(yán)格的訪問(wèn)權(quán)限。

員工在借助BYOD遠(yuǎn)程訪問(wèn)這些數(shù)據(jù)時(shí)，數(shù)據(jù)在傳輸通道上要進(jìn)行加密處理，同時(shí)盡量使用實(shí)時(shí)讀/寫(xiě)方式來(lái)減少企業(yè)數(shù)據(jù)在本地設(shè)備的存儲(chǔ)量，有利于減少企業(yè)數(shù)據(jù)泄露的風(fēng)險(xiǎn)，確保數(shù)據(jù)一致性、實(shí)時(shí)性和完整性。

3.4、APP管理方面

除了裝有BYOD軟件、VPN程序等等必要軟件外，員工還會(huì)根據(jù)自己喜好在參與BYOD的設(shè)備上安裝一些第三方APP，對(duì)此企業(yè)無(wú)權(quán)也無(wú)法阻止。但企業(yè)可以通過(guò)建立白/黑名單方式引導(dǎo)員工遠(yuǎn)離那些可能有害的APP。

有實(shí)力的企業(yè)還可以考慮開(kāi)發(fā)自己的APP，幫助員工提高對(duì)企業(yè)網(wǎng)絡(luò)或企業(yè)軟件的訪問(wèn)和使用。此類(lèi)APP在開(kāi)發(fā)時(shí)要注意以下方面：（1）要考慮對(duì)用戶(hù)進(jìn)行身份認(rèn)證和訪問(wèn)超時(shí)控制機(jī)制；（2）要考慮獲得的各類(lèi)數(shù)據(jù)存取、存儲(chǔ)和加密的方式；（3）要考慮與終端設(shè)備的操作系統(tǒng)的兼容性和安全性；（4）要考慮對(duì)終端設(shè)備的訪問(wèn)控制方式。

3.5、法律規(guī)范方面

員工參與BYOD就意味著他的私人數(shù)據(jù)存在被企業(yè)間接（或直接）獲取的可能。企業(yè)應(yīng)該在員工申請(qǐng)參加BYOD時(shí)，與員工簽訂必要的隱私保護(hù)協(xié)議，明確BYOD軟件可能會(huì)涉及到用戶(hù)的哪些數(shù)據(jù)，以及雙方需要遵循的權(quán)力和義務(wù)。此外，還有必要簽訂數(shù)據(jù)保密方面的協(xié)議，明確告知員工對(duì)企業(yè)數(shù)據(jù)應(yīng)盡的保護(hù)責(zé)任和義務(wù)。

4、結(jié)論

BYOD的出現(xiàn)使得企業(yè)在滿(mǎn)足員工自身對(duì)于新科技和個(gè)性化追求的同時(shí)既可提高員工的工作效率，又能降低企業(yè)在移動(dòng)信息終端上的成本和投入。據(jù)最新的調(diào)查報(bào)告顯示，目前已有超過(guò)30%的企業(yè)員工借助手機(jī)、平板等智能移動(dòng)終端來(lái)進(jìn)行工作，而這一數(shù)字在2020年將提升至60%以上。對(duì)此企業(yè)信息化部門(mén)不能回避，也無(wú)法排斥，而應(yīng)該從“力爭(zhēng)企業(yè)、員工、信息部門(mén)三贏”的角度出發(fā)，對(duì)其“高度重視、勇敢面對(duì)、積極謀劃、管好用好”。