破解BYOD自由与安全两难境地

移动办公、自带设备（BYOD）都是企业员工喜闻乐见的IT新趋势，给工作带来极大便利。但也同时让企业IT部门伤透脑筋，随着大容量的硬盘和基于Web的应用及云服务的流行，BYOD的常见设备智能手机、平板电脑跟笔记本电脑一样，成为企业敏感信息的集散地。大多数手机都不具备中央控制功能，员工对在私人设备上安装远程安全管理应用又非常敏感，面对如此两难的境地，企业IT部门该怎么办？

拒绝移动办公和BYOD大趋势显然不明智，而是应该重新审视并更新企业安全架构以应对终端用户新需求，确保既能提供开放、灵活、高效的工作环境，又符合企业的信息安全管理要求。

了解你的虚拟化供应链

消费者利用手机、平板电脑使用云端应用已相当普遍，如果员工只是在家中使用这些设备，不会有何不妥，但当把这些设备带到工作环境中来，就会成为企业IT系统的安全隐患。

对于普通用户来说，一般无从得知公共云服务中与他们共用服务器的人是谁，因为云服务通常采用多租户架构，云平台的计算资源、存储系统、应用、数据之间的虚拟供应链都是未知的，一些云资源还可能来自云服务提供商之外的第三方。所以员工在工作环境利用自己的终端设备访问各种云服务，存在一定的风险。

在这种情况下，企业IT部门可以做什么？首先，逐步搭建安全、可靠的通道，供员工选择和购买SaaS应用、云服务等；其次，帮助员工谨慎选择云服务项目，事实上优秀的云服务提供商会谨慎设计其多用户架构以妥善分隔和管理租户及对外服务；最后，将此类措施转化为相对固定的审查制度，从而让员工更好地主动遵从。

不要背离BYOD的自由初衷

过去数十年，企业一直试图将非标准化的消费类设备逐出企业环境，但如今的潮流却恰恰相反，提倡自由、灵活的办公趋势依然不可阻挡，从所使用的办公设备，到工作时间、工作地点，都比以往任何一个年代灵活。

为了应对安全问题，在BYOD发展的初期，有些企业在员工自带的设备上安装移动设备管控软件，传统的安全解决方案提供商完全可以提供设备远程管控能力，如当手机丢失或被盗时，可以自动锁住手机，或是直接删除手机数据，避免企业信息外泄。

这种做法方便了IT部门的监管，但要员工交出设备的控制权，显然背离了BYOD提倡个人拥有权的初衷。同样是采用技术手段去解决安全问题，企业IT部门应该换一个视角，从后台去管理BYOD设备存取和使用企业敏感信息的权限。

虚拟化是确保BYOD安全的首要一步，它能隔离企业敏感信息，具有与生俱来的安全特性，其所有系统和数据都存储在后台，前端设备与虚拟机之间传输的只是键盘、鼠标动作以及显示界面的刷新部分，而非完整的数据包，再加上多种加密技术，可有效保障企业信息安全。

事实上，数据加密或屏蔽并不难，真正的挑战在于如何对数据进行分类，集中制定策略为不同设备提供不同级别的保护，以及如何高度自动化地实现这一目标，而不至于大幅度增加IT管理开销和员工负担。

实施主动管治

移动办公、BYOD、云服务经常会成为企业IT部门与其他部门之间矛盾的起因，因为员工都渴望采用自由、灵活的工作方式，但IT部门却要保持绝对的控制权。因此企业需要创新的方式来破解这个两难局面。