因此,面对BYOD,CIO或者IT部门首先要做的是调整心态,认识到对BYOD“堵不如疏”。必须承认,过去的几年里,企业IT环境发生了很多的变化:移动互联技术和Wi-Fi使得IT的网络边界被打破;云、虚拟化使得应用的边界被打破。企业员工在任何时间、任何地点、和任何人可实现任何形式的通讯、协作和办公,这是一个客观现实的需求。
其实,这些年移动设备的安全状况已经有了很大改变,大部分安全问题(如远程删除、加密等)都已经可以解决。比如,对于苹果公司的iPhone手机和iPad,很多MDM(移动设备管理软件)可以利用苹果公司提供MDM接口来满足企业绝大多数安全需求,而对安卓设备也可以通过安装各种客户端来满足安全需求。如果后台安装的是微软的Exchange或者兼容Exchange ActiveSync的邮件服务器,无需第三方软件的支持,企业可以确保iOS设备和安卓设备符合安全要求。
值得一提的是,邮件完全可以作为IT部门规范员工BYOD行为的一个非常好的开端,“如果你需要访问公司的邮箱,就必须符合公司的各种规定”。毕竟,无论公司员工所持的是什么样的移动设备,他一定需要访问公司的邮件系统,为此,他的设备必须符合公司的安全规范,比如,数据必须在设备上加密,需要凭密码登录,如果多次登录失败能自动远程删除等。换句话说,就是让员工知道,他能访问公司邮箱,但IT部门也具有控制权可以在需要时阻止其访问。
真能省钱?
BYOD会给企业省钱吗?实践中省钱也是很多企业决定支持BYOD的原因之一,或者被很多人拿来说服公司CIO或者高层允许BYOD。在不少人看来,原因很简单,企业不用为员工提供设备应该会给企业省下一笔开支。
业内专家认为,这是一种误解。在现代企业IT的各项投入中,硬件成本已经占比不多,企业的很多投入主要在“软”成本上。就BYOD而言,虽然硬件成本节省,但是可能会带来一定的隐性成本。这些隐性成本可能包括支持(服务支持)、基础设施(购买新的移动管理套件和网络升级)、软件(存储、在线文档编辑的购买)、通信费用等。而最终能不能省钱还在于企业的IT部门如何对BYOD提供支持。
另外,省钱的一个前提之一,需要企业制定一个好的统一管理策略。根据来自不同市场机构的调查,至少60%的组织不仅没有因为BYOD而省钱,反而还增加了成本,只有1/4的组织可能会因为BYOD而省钱。
正确的态度是支持BYOD不应纯粹追求节省成本。因为这很难,涉及到很多环节。专家建议,企业与其关注成本,还不如考虑如何制定一个更为完善的BYOD战略,让员工可以在公司定义的菜单中选择适合自己的设备和服务,使他们能够充分利用规模来降低成本同时更方便工作。如果能如此,即使在短时间BYOD不会节省成本,随着时间的推移,随着BYOD的流行和策略成熟,这项投资很有可能产生回报,可能是在成本上,也可以是其他方面。
事实上,和过去几十年中企业采用的很多新技术一样,成本节约不是BYOD的最主要驱动力,提升了敏捷性、灵活性和增加了生产力才是最终的推动力。W
链接一
谁该拥有移动终端
员工手中用来办公的移动设备到底该谁所有,这是BYOD项目最常遇到的问题之一。实际上,除了一些事关敏感数据的组织,如政府、医疗、国防等单位,这个问题答案会比较明确——应该给组织而不是个人,大多数时候答案并不明确。尽管如此,出于安全的目的,对于这些移动设备组织至少应该有一定的控制权。总体上,就移动设备的管理有三种形式:
- 员工所有。员工自己购买设备,企业支付一定补贴,包括通信补贴等,但是,员工和企业之间会达成一个基本的协议,如果员工通过该设备接入公司网络,他应该允许企业对其设备进行管理,包括数据的及时备份和远程删除等。如果员工离职,需要及时删除设备中的数据,禁止该设备访问公司网络。
- 企业拥有。设备完全由公司所有,因此而产生的通信费用也由公司承担。如果员工不喜欢该设备,或者公司禁止用于私人目的,员工很可能还要携带一台私人用的设备。如果员工离职,设备交还企业。
- 企业购买,以低价转售给员工。这种形式通常允许员工将设备用作私人目的。而员工离职时,常会被要求以同样的价格让公司收回该设备。
链接二
关于BYOD安全的几个建议
- 教育员工,让其认识到移动设备的安全风险。
- 制订安全策略,在移动设备上实现远程锁定、擦除功能。
- 安装反恶意应用的软件。
- 谨慎使用Wi-Fi,尤其是公共Wi-Fi。
- 在企业网络内部划分不同区域,分别制定不同的安全策略。比如,高度敏感数据,要求VPN接入。
BYOD,别忘了桌面虚拟化
BYOD并不一定就是部署移动设备管理(MDM)解决方案或者各种移动设备防毒安全软件,桌面虚拟化也可以实现同样的目的。
本报记者 邹大斌
IT产业正处在激烈的变革之中,其中最大的变革之一是工作与个人之间的界限日趋模糊,而其背后的推动力之一就是BYOD(Bring your own dvice,自带设备上班)。各种市场调查显示,BYOD正是不少CIO眼下正在做的工作。对此热潮,专家提醒,BYOD并不一定是部署移动设备管理(MDM)解决方案或者各种移动设备防毒安全软件,桌面虚拟化也可以实现同样的目的。
所谓桌面虚拟化是当今流行的虚拟化技术中的一种。与服务器虚拟化侧重于服务器资源的灵活调度和提高资源利用率不同,桌面虚拟化技术关注的是用户终端的集中管控。目前,思杰和VMware是目前市场上最主要的桌面虚拟化技术供应商,“与服务器虚拟化不同,桌面虚拟化距离普通用户更近一些,它的部署可以让用户实实在在感觉到工作方便,让我们可以用自己喜欢的设备随时随地地开展工作。”VMware大中华区终端用户计算业务总监石峰告诉记者。
而之所以能带来这些方便,是因为桌面虚拟化通过在服务器端集中配置、存储和管理用户电脑的应用和个人配置,而这些应用实际运行在服务器端,形成“桌面云”。用户电脑基本只是承担显示任务,显示出操作画面而已。这就给用户带来很大方便,首先,用户无需专门的电脑,只要能接入网络,即使是一台网吧中配置很低的电脑、平板电脑甚至是智能手机也可以像用自己的电脑一样方便。比如,思杰的XenDesktop和VMware的View桌面虚拟化套件,都支持在iPad、智能手机上像普通电脑一样进行办公,如收发邮件、编辑文档、审批流程等。
来自思杰的一份关于企业用户准备采用哪些设备来支持移动办公的调查显示,在已经部署移动办公的企业中,90%的企业选择了桌面虚拟化,位于其后的分别是应用虚拟化(84%)、移动设备管理(83%)、基于Web的远程支持(81%)、文件共享和存储(79%)、在线会议、企业应用商店(73%)等等。从中也可以看出桌面虚拟化在BYOD市场的应用潜力。
桌面虚拟化的独特技术还带来了前所未有的安全,这一点对于BYOD用户有很大的吸引力。因为在桌面虚拟化技术的支持下,用户虽然仍然像操作传统桌面一样操作,但所有数据和应用实际上并没有在用户所使用的电脑上落地,这就为确保企业信息的安全提供了方便。事实上,正因为用户与服务器之间只传递图像和鼠标位置等变化的信息,所以桌面虚拟化很容易就可实现防止非法下载和拷贝。同时,由于采用统一的终端信息保存与维护,再配合基于角色的访问控制以及安全的远程接入,可使企业远离病毒与黑客的侵扰;而在管理方面,由于系统的补丁和升级都可以在服务器端一次性完成,从而极大地提供了工作效率,同时也增加了安全性。实际上,根据记者的了解,目前在桌面虚拟化技术用户中,最大的采购需求恰恰来自安全。
“一旦企业选择支持BYOD,如果不对这些安全策略进行调整,就把企业信息安全置于非常危险的境地。”Citrix公司大中华区技术总监侯继涛告诉记者,“部署桌面虚拟化技术是一种简单有效的方法,这将在不用改变现有的IT架构和IT流程的前提下,保证企业信息安全。”
值得一提的是,除了支持BYOD之外,桌面虚拟化还具有另外两个好处,就是降低用户使用终端维护成本和有助于节能降耗。因为采用桌面虚拟化之后,由于所有的系统都保存在服务器端,升级和补丁可以由IT部分集中一次完成,从而降低维护成本;而桌面虚拟化架构中可以用瘦客户端代替以前的个人电脑(一台瘦客户端的电能消耗是一般PC机的1/10),从而实现节能。
部分主流移动设备
管理软件
本报记者 邹大斌
进入BYOD世界,员工通过自己的设备接入公司的IT系统,收发办公邮件、处理公司业务,这给员工带来了很大方便,但对企业IT系统带来了很大冲击,特别是对企业的信息安全。因此,如何确保企业信息安全是CIO必须考虑的问题。幸运的是,市场上出现不少移动设备管理软件(MDM),通过它们可以实现对智能终端设备的接入管理和终端设备上的数据加密、删除等,从而解除了CIO的安全和管理之忧。以下是市场上流行的几款MDM软件。
- IBM Endpoint Manager for Mobile Devices 。该套件基于 IBM Bigfix 技术构建,将端点和安全性管理结合到单一的解决方案中,以支持管理传统终端设备和iOS、Android、Symbian 及 Microsoft Windows 手机,从而帮助企业应对安全性、复杂性以及BYOD策略的问题。具体而言,其功能包括保护企业终端数据、获取企业可视性 、使用单一的平台来管理所有企业设备。
- 赛门铁克移动安全管理套件。这是一个能够帮助用户安全地实现其BYOD计划以及移动电子邮件部署的整体解决方案。该套件基于新的移动安全策略和产品组合,能够给用户提供业界全面的企业级移动平台,以及更强大的移动设备管理、移动应用管理和威胁防护能力。该解决方案包含如下为智能移动设备提供应用分析和威胁探测功能的安全软件Mobile Security for Android、配置管理器Symantec Mobile Management for Configuration Manager等。
- McAfee Mobile Security。其最新版本采用了应用程序锁定 (App Lock) 这一创新性应用程序隐私保护技术以及全新用户界面,可为 Android 智能手机和平板电脑用户提供全面保护,确保其移动应用程序中的个人信息不会被窃取。Android 用户能够使用与其 McAfee Mobile Security 账户关联的同一 PIN 码锁定安装的应用程序,从而可以有效地防止应用程序的滥用。
- 瞻博网络Simply Connected。借助该工具IT管理者可对所有有线、无线和移动连接进行设置,并自动执行一致的安全和访问策略,无论这些连接是来自公司还是个人或访客的设备。这一方案最终将降低IT管理人员的负担,解决BYOD管理和安全执行准入政策方面的困扰。其中的Junos Pulse接入控制服务/UAC和Junos Pulse安全接入服务/SSL VPN 可为Mac OS、iOS和安卓设备提供增强的端口设备完整性检查、评估和安全配置,满足企业组织的安全接入政策要求。
- 华为BYOD移动办公解决方案。该方案依托AnyOffice移动办公平台,在终端方面,能广泛接入多种智能终端,并通过强认证方式保障用户的接入安全;在网络方面,通过高效安全的WLAN网络和领先的LTE技术,实现移动设备的高效接入和无缝漫游;在数据管理上,通过完善的MDM功能,实现访问数据的多策略控制和终端设备的安全防护;在应用方面,通过移动VDI、移动会议、Pushmail和安全浏览器等移动应用,满足客户移动办公需求,实现企业移动办公的安全、效率和体验的完美融合。
- Aruba ClearPass 接入管理系统。该系统可以帮助用户管理有线、无线和 VPN 上的网络访问并保障其安全。通过在整个网络中集中访问策略,ClearPass 可以自动处理不同用户和设备的访问,自动管理策略,自动设置设备,进而实现安全的网络访问以及安全状况评估。这可以确保各用户拥有与其角色和所使用设备相符的相应访问权限。
