BYOD的風(fēng)險及預(yù)防淺析

吳昱、鄧科方、劉斌　撫州市煙草專賣局（公司） 　撫州市　344000

1009-0940(2015　)-2-044-03

收稿日期：2015-5-19

0、前言

當(dāng)前絕大多數(shù)企業(yè)都已借助計算機(jī)網(wǎng)絡(luò)技術(shù)建立起自己的內(nèi)部計算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)信息數(shù)據(jù)自由自動流動。為保證安全，這個內(nèi)部局域網(wǎng)是封閉的，企業(yè)內(nèi)部員工只有在指定的工作區(qū)域（辦公室），使用企業(yè)提供的專有信息設(shè)備才能利用這個網(wǎng)絡(luò)來完成本職工作。

隨著信息技術(shù)和3G/4G、Wi-Fi等通信技術(shù)的快速發(fā)展，以IOS和Android為代表的智能終端（平板電腦和智能手機(jī)）和筆記本電腦逐漸興起和普及，此類終端的功能越來越電腦化，體積越來越小巧化，攜帶越來越便利化，促進(jìn)了辦公“移動化”和“遠(yuǎn)程化”地實(shí)現(xiàn)，成就了BYOD的誕生。

1、BYOD概述

BYOD（Bring Your Own Device，自帶設(shè)備）是一種允許員工攜帶個人信息化終端（筆記本電腦、智能手機(jī)、平板電腦等），進(jìn)入辦公室等工作區(qū)域或機(jī)場、酒店、咖啡廳等公共場所，借助3G/4G、Wi-Fi、VPN等通信技術(shù)連入企業(yè)局域網(wǎng)，處理相關(guān)工作的方式。

BYOD的出現(xiàn)得利于信息技術(shù)和通信技術(shù)的發(fā)展，但主推動力來自兩方面：員工自身的辦公需求和企業(yè)提高辦公室效率的需要。

1.1、員工自身的辦公需求

此類需求在外勤類的員工身上體現(xiàn)最明顯，尤其是銷售人員。銷售人員作為公司產(chǎn)品主推手，要想向客戶推銷成功，需要隨時向客戶展示公司的產(chǎn)品信息，為客戶答疑釋惑。但是客戶對產(chǎn)品的關(guān)注是隨機(jī)的，要求也是動態(tài)的，銷售人員無法預(yù)先估計到各種可能，因而不可避免地存在準(zhǔn)備疏漏或應(yīng)對不足的情況，此時容易引起客戶的失望和遺憾。若能讓銷售人員使用自己的手機(jī)、平板等智能終端實(shí)時連入企業(yè)局域網(wǎng)，及時獲取各類信息，就能避免這種情況的發(fā)生，提高銷售成功的可能性。

1.2、企業(yè)提高效率的需要

每個員工自覺地按照企業(yè)要求高效率、高質(zhì)量的完成每一項(xiàng)本職工作，企業(yè)的利潤自然就會實(shí)現(xiàn)最大化?？涩F(xiàn)實(shí)情況卻遠(yuǎn)非如此，如何提高員工工作效率一直是每家企業(yè)日常管理的關(guān)鍵工作之一。對于離開辦公區(qū)域的員工（出差在外），如能讓他們通過自己的智能終端隨時隨地與企業(yè)局域網(wǎng)連通，就能使得企業(yè)的日常監(jiān)管同步延伸，有力地促使他們像在辦公室一樣提高工作效率。

2、BYOD的潛在風(fēng)險

通過實(shí)施BYOD將企業(yè)內(nèi)部網(wǎng)絡(luò)延展到員工的智能終端上，能降低企業(yè)在終端信息設(shè)備上的初始投資成本，還能提升員工的工作效率及積極性。同時也給企業(yè)信息部門的日常運(yùn)維管理模式帶來挑戰(zhàn)：

1）與已有應(yīng)用系統(tǒng)的對接問題。企業(yè)應(yīng)用的操作系統(tǒng)是Windows、UNIX、Linux等，而智能終端的卻是Android、iOS、Windows Phone等，這二者之間存在巨大差距。要想部署B(yǎng)YOD，就需要考慮企業(yè)已有應(yīng)用系統(tǒng)的平臺遷移問題—要對應(yīng)用系統(tǒng)進(jìn)行改造（甚至是重新開發(fā)）。

2）對現(xiàn)有運(yùn)維模式的更改問題。B Y O D的啟用，將日常運(yùn)維工作場所從企業(yè)的辦公地擴(kuò)大到非工作場所（比如員工家庭、公共場所等），不但增加了日常運(yùn)維工作量，還延長了運(yùn)維工作時間—增加了非工作時間，增大了運(yùn)維工作難度—增加了運(yùn)維對象。

3）對已有網(wǎng)絡(luò)結(jié)構(gòu)的改造問題。智能終端采用的是Wi-Fi、3G/4G等無線網(wǎng)絡(luò)連接方式。而絕大部分企業(yè)出于安全考慮，或者是沒有部署無線網(wǎng)絡(luò)，或者是嚴(yán)格控制無線網(wǎng)絡(luò)使用。所以要想啟用BYOD，就需對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造。

從信息安全角度，除了病毒傳播，BYOD的實(shí)施還有以下潛在風(fēng)險：

2.1、遺失風(fēng)險

智能手機(jī)、平板電腦等智能終端是BYOD的主件，它們越來越像筆記本電腦一樣成為存儲企業(yè)敏感數(shù)據(jù)（如電子郵件、賬號密碼等）的載體。但此類設(shè)備的高可便攜性帶來一個很大的安全隱患——容易丟失或被盜。一旦發(fā)生丟失或被盜，其上儲存的敏感數(shù)據(jù)存在被泄露、被盜用的可能，將會給企業(yè)帶來損失風(fēng)險。

2.2、APP風(fēng)險

APP是智能手機(jī)、平板電腦等智能終端上運(yùn)行的第三方應(yīng)用程序（Application）的統(tǒng)稱。它的出現(xiàn)方便了智能終端的使用，但也帶來了極大的安全隱患。智能終端其實(shí)就是一臺外形簡潔的微型計算機(jī)，一旦被惡意APP（不論是合法的，還是非法的）感染，就難以阻止它們借道終端本身的藍(lán)牙、Wi-Fi等途徑侵入企業(yè)局域網(wǎng)，存在數(shù)據(jù)被竊取，被傳播病毒等危害企業(yè)信息安全的風(fēng)險。

2.3、安全風(fēng)險

基于安全考量，每個企業(yè)對任一終端信息設(shè)備接入內(nèi)部網(wǎng)絡(luò)都有嚴(yán)格的規(guī)范，都要進(jìn)行嚴(yán)格的審驗(yàn)，都會制定嚴(yán)密的防護(hù)機(jī)制。但智能終端的出現(xiàn)，尤其是Wi-Fi熱點(diǎn)等功能的出現(xiàn)，猶如在保險箱上鉆洞樣，使得現(xiàn)有的設(shè)備接入規(guī)范瞬間失效，企業(yè)內(nèi)部網(wǎng)絡(luò)由封閉性變成開放式，基于內(nèi)部網(wǎng)絡(luò)的安全機(jī)制存在失效的風(fēng)險。

2.4、法律風(fēng)險

智能手機(jī)、平板電腦等智能終端是員工的私人物品，其上存儲的絕大部分是私人信息。一旦通過BYOD與公司內(nèi)部網(wǎng)絡(luò)連接，則可能會涉及到此類信息的訪問和存取，“員工是否允許企業(yè)訪問？允許訪問哪些信息？允許何種訪問方式？”等等問題的處理，存在引起企業(yè)和員工之間法律糾紛的風(fēng)險。

3、BYOD的風(fēng)險控制

對待風(fēng)險，最好的方法就是消滅它，無法消滅時就要選擇恰當(dāng)?shù)姆椒右钥刂?，以期減少損失。對于業(yè)而言，控制BYOD的潛在風(fēng)險可從以下方面入手：

3.1、設(shè)備管理方面

正如人員各異一樣，每位員工持有的智能終端也各不相同。企業(yè)應(yīng)該對能參與BYOD的智能終端從產(chǎn)品類型、硬件配置、操作系統(tǒng)等方面進(jìn)行限制，盡量減少因設(shè)備自身因素影響B(tài)YOD使用異常的可能性。

對每臺參與BYOD的設(shè)備需要進(jìn)行“全生命周期”管理：由使用者提出接入申請，再經(jīng)企業(yè)信息部門進(jìn)行設(shè)備查驗(yàn)，合格的設(shè)備進(jìn)行必要地“初始化”—部署統(tǒng)一的安全策略，在未撤銷登記前要對其進(jìn)行永久監(jiān)管。

3.2、接入認(rèn)證方面

所有成功參與BYOD的設(shè)備都要部署統(tǒng)一的安全策略，配置適當(dāng)?shù)馁Y源訪問權(quán)限。根據(jù)員工所處區(qū)域的不同，區(qū)別接入方式和安全防護(hù)原則：（1）在企業(yè)內(nèi)部，可以允許員工通過Wi-Fi方式接入，可以允許注冊成功的設(shè)備訪問權(quán)限范圍內(nèi)的企業(yè)資源。而所有未參與BYOD的設(shè)備應(yīng)該禁止接入，即使非法接入也應(yīng)該被禁止訪問企業(yè)資源。（2）在企業(yè)外部，員工只能通過VPN方式接入訪問自己權(quán)限范圍內(nèi)的企業(yè)資源，必須拒絕一切未參與BYOD的設(shè)備接入。

3.3、數(shù)據(jù)保護(hù)方面

參與BYOD的設(shè)備中會同時保存有員工個人和企業(yè)的數(shù)據(jù)，而企業(yè)數(shù)據(jù)歸企業(yè)所有，二者不應(yīng)混合，應(yīng)該進(jìn)行充分隔離，才能實(shí)現(xiàn)數(shù)據(jù)間的互相隱秘和相互保護(hù)。企業(yè)在實(shí)施BYOD前要對企業(yè)數(shù)據(jù)進(jìn)行梳理，允許被BYOD訪問的數(shù)據(jù)應(yīng)該集中存儲，部署特定的保護(hù)策略，根據(jù)員工的崗位和職責(zé)不同制定嚴(yán)格的訪問權(quán)限。

員工在借助BYOD遠(yuǎn)程訪問這些數(shù)據(jù)時，數(shù)據(jù)在傳輸通道上要進(jìn)行加密處理，同時盡量使用實(shí)時讀/寫方式來減少企業(yè)數(shù)據(jù)在本地設(shè)備的存儲量，有利于減少企業(yè)數(shù)據(jù)泄露的風(fēng)險，確保數(shù)據(jù)一致性、實(shí)時性和完整性。

3.4、APP管理方面

除了裝有BYOD軟件、VPN程序等等必要軟件外，員工還會根據(jù)自己喜好在參與BYOD的設(shè)備上安裝一些第三方APP，對此企業(yè)無權(quán)也無法阻止。但企業(yè)可以通過建立白/黑名單方式引導(dǎo)員工遠(yuǎn)離那些可能有害的APP。

有實(shí)力的企業(yè)還可以考慮開發(fā)自己的APP，幫助員工提高對企業(yè)網(wǎng)絡(luò)或企業(yè)軟件的訪問和使用。此類APP在開發(fā)時要注意以下方面：（1）要考慮對用戶進(jìn)行身份認(rèn)證和訪問超時控制機(jī)制；（2）要考慮獲得的各類數(shù)據(jù)存取、存儲和加密的方式；（3）要考慮與終端設(shè)備的操作系統(tǒng)的兼容性和安全性；（4）要考慮對終端設(shè)備的訪問控制方式。

3.5、法律規(guī)范方面

員工參與BYOD就意味著他的私人數(shù)據(jù)存在被企業(yè)間接（或直接）獲取的可能。企業(yè)應(yīng)該在員工申請參加BYOD時，與員工簽訂必要的隱私保護(hù)協(xié)議，明確BYOD軟件可能會涉及到用戶的哪些數(shù)據(jù)，以及雙方需要遵循的權(quán)力和義務(wù)。此外，還有必要簽訂數(shù)據(jù)保密方面的協(xié)議，明確告知員工對企業(yè)數(shù)據(jù)應(yīng)盡的保護(hù)責(zé)任和義務(wù)。

4、結(jié)論

BYOD的出現(xiàn)使得企業(yè)在滿足員工自身對于新科技和個性化追求的同時既可提高員工的工作效率，又能降低企業(yè)在移動信息終端上的成本和投入。據(jù)最新的調(diào)查報告顯示，目前已有超過30%的企業(yè)員工借助手機(jī)、平板等智能移動終端來進(jìn)行工作，而這一數(shù)字在2020年將提升至60%以上。對此企業(yè)信息化部門不能回避，也無法排斥，而應(yīng)該從“力爭企業(yè)、員工、信息部門三贏”的角度出發(fā)，對其“高度重視、勇敢面對、積極謀劃、管好用好”。