想象一下这样一家机构,其员工们每年可以享受好几个月的假期。这听起来似乎只是个梦想,但是在BYOD时代却并非不可能。虽然BYOD也可能成为IT管理者们最糟糕的梦魇。
Erik Greenwood是美国加州阿纳海姆联合高中学区(AUHSD)的CTO,该学区包括21所加州中学和33000名网络接入用户,而暑期的结束往往就意味着恶意软件季节的开始。
Greenwood说,教职员工们在暑期里一般都会悠闲地浏览各种网页,轻松地点击各种链接,打开邮件的附件,但却很少会及时升级安全防护软件。于是,当教职员工们携带自己的各种设备返回学校时,他们通常也会随身将大量病毒带了回来。
一个病毒变种就有可能迫使学区的邮件套件不得不重装和升级。另一个方面,该学区的IT部门还不得不“隔离并关闭子网,以阻断病毒的入侵,”Greenwood称。
上述每个例子都意味着相关部门不得不付出“数百小时的额外工作时间”来应对病毒,他说。“我们因此失去了原本可用来开发其他项目的机会。”
于是,Greenwood把目光转向了网络接入控制。“我们曾经遇到过一个特殊的病毒变种,防病毒软件在应对病毒爆发时遇到了真正的挑战,”Greenwood称。“于是,我们明白了必须把网络接入控制视为基础设施的一个必要部分,不仅对员工的设备来说是如此,对于学生们自带的设备来说亦如此。”
况且,安全还并不是Greenwood唯一的担忧之处。他回忆说,有好多次,一些无赖设备搞垮了学区的网络。有一所中学为自己学校的各种自带设备大量分配IP地址。而在另一个例子中,一台无赖设备开始充当DHCP服务器,与学区自己的DHCP服务器竞争资源,自己分发IP地址。
于是,该学区部署了Bradford网络公司的网络接入控制解决方案,并为自身独特的情况做了定制。该学区网络如今能看到自己的超过12000台设备的流量,既有PC也有打印机,还需要适应来自外部的,数量和种类都变化不定的设备所产生的流量。
Greenwood称,这一项目首先从应用层开始,之后又扩展到了各种通信应用。主要涉及设定各项政策,限定谁可以使用什么设备接入网络,可以浏览什么类型的内容,等等。Greenwood说,在各种新的应用和内容交付格式层出不穷的移动市场上,他倾向于使用较为严格的监管,然后视用户需求的变化再加以调整。
设备丢失的风险
Greenwood并不是唯一一个遇到过BYOD问题的人。非盈利组织人力开发资源(RHD)的CTO Endre Walls说,他的一些员工丢失了个人的智能手机,而这些手机又都悄悄地与员工们各自的企业账户做过同步,因此引发了重大的数据泄露风险。
“丢失的设备对我们来说就是安全风险,如果员工的邮箱是在我们实施了MDM和监管政策之前就有的,那就等于我们对外敞开了大门,”Walls说。“对我们来说这一直是个大问题。很多时候,用户需要搞清楚一件事,那就是,‘我丢了设备,这对组织来说就是一个潜在的风险。’”
然而很少有员工会在丢失了个人的智能手机之后会通知IT部门,即便丢失的设备早已和企业的应用同步了,他们也不会通知IT部门。而要让这些员工在自己的个人设备上实现身份认证措施也机会渺茫,“因为没有哪条政策会说‘你必须在你的手机上装一个PIN,’”Walss说。
“在软件和相关政策尚未到位之前,企业应该向员工谈及任何可能发生的风险,”Walls说。
最佳BYOD部署
不要只考虑成本。BYOD通常并不会节省成本,但却可以让员工提高生产力。
沟通。IT部门要想制定出用户一目了然的政策,唯一的办法就是走出去和各部门沟通。
政策要无形。如果一项政策干扰了用户的数据或体验,用户就有可能抗拒不遵。
从小处开始。一开始就严格限制是比较容易的,然后再根据需要授予用户适当的自由。
尊重员工隐私。要选择监控、数据访问以及合理的工时。
RHD如今已能够从员工的个人设备上擦除企业的数据和应用,且能够在员工申请这些数据时提供完整的数据。同样重要的是,IT部门要让全体员工都意识到,任何已经和企业应用做过同步的设备——无论该设备属于谁——都必须是安全的,方能保障在丢失之后不会招致泄露风险。
然而,泄露敏感数据并不仅仅是员工们丢失设备时才会发生。MDM厂商MobileIron的副总裁Ojas Rege认为,很多消费者设备已经对在云中打开、浏览和存储文档做过优化。而这就有可能引发消费者未曾想到过的风险。
“iPad上的头号数据泄露源头就是邮件的附件,”Rege称。“用户在iOS上点开邮件的附件时,会弹出一个菜单,可以让你在iPad上所有的阅读器中打开文档。如果你在Dropbox中打开,那么你的企业数据就泄露出去了。”
显然,这些问题足以让企业的IT部门忙不迭地去部署移动设备管理、网络接入控制或者移动数据保护等软件。但是部署这些软件肯定要涉及到构建BYOD战略的问题,没有这样一个完整的战略,同样会引发风险。