【IT168评论】BYOD一直是热门话题，企业期待BYOD创业更大工作效率，员工希望BYOD时代的来临，不过一个无法回避的安全问题，一直成为BYOD无法前行的原因。员工使用自己的计算机或移动设备的好处，对个人或公司都有好处，一方面员工使用自己喜欢、熟悉的设备，可以提升工作的生产效率，另一方面，公司不需要为员工采购相关的设备，可以节省成本。但缺点则是信息安全管控的难题，因为企业势必得面临管理多种设备存取企业系统的挑战。

　　如何在开放员工自带设备之下，又确保信息安全，是IT部门头痛的事情。但若能做好企业最在意的安全管控问题，那么BYOD对企业与员工而言，可能就会是一个双赢的局面。

　　台湾IDC企业应用研究部市场分析师吴乃沛表示，目前企业开放员工使用自己的移动设备存的范围，主要是以电子邮件、行事历和协同作业等系统，还没到达完全开放移动设备可存取所有系统的地步，所以目前主要采取3种资安管控做法，分别是移动设备管控、客户端虚拟化(Client Virtualization)和公有云服务等方式。

　　移动设备管控，避免手机数据外泄

　　最基本的作法是在手机安装移动设备管控软件，许多资安厂商都已经跨足移动设备管理这个市场，目前技术上都能做到远程管控，例如当手机遗失的时候，可以自动锁住手机，限制手机的使用，或者是直接删除手机里的数据，避免数据外泄的可能性。

　　以化妆品公司台湾莱雅(L’Oreal)为例，公司开放所有同仁可使用自己的手机或平板计算机，连接在业务上有需要的系统，但必须要安装公司规定的移动设备管控App，而购买该软件的费用则由公司支付。

　　台湾莱雅信息部协理陈明煌表示，莱雅开放的设备以iOS和Android平台的手机与平板计算机为主，用户必须安装公司规定的Good App，在苹果或Google的App软件市集都可以下载得到。员工透过这个Good App可以存取企业内的所有系统和电子邮件，就好像在手机里有一个虚拟的加密环境，存放所有企业内的信息。

　　当莱雅的员工申请要自带设备上班，公司就会要求员工注册个人的手机号码，一旦该员工的手机遗失，公司就可以透过管控平台进行远程删除员工手机的信息，而且，公司还可以预设是远程只删除存放公司资料的Good App，或是要删除包含员工私人手机的所有数据。

　　台湾赛门铁克资深技术顾问张士龙表示，除了管控员工的移动设备外，再进一步管控网络存取，则可获得更好的安全管制效果。移动设备要连网才能够存取企业系统，若能够从Mac Address、账号或密码等方式管控，只有经过申请的员工，才可以透过移动设备存取企业网络，这样也能提高安全性。

　　管控手机在技术上来说不难，另一个要注意的在于政策落实与隐私权问题。吴乃沛表示，企业推动BYOD的最大挑战，就是要员工交出移动设备的部分控制权，让公司可以管控原本属于员工个人的装置，这也是员工和企业之间最大的矛盾所在。

　　员工若想要在上班时间用自己的设备，就得符合公司的资安政策，否则企业就得冒很大的风险。但企业要进一步管控员工个人的手机、计算机，则必须注意隐私权上的问题。以IBM为例，员工若想要带自己的设备上班，就必须事先签署一份同意书。

　　桌面虚拟化，运算环境统一派送

　　另一种顾及安全存取的作法，是采取客户端虚拟化的方式。吴乃沛表示，IDC强调的客户端虚拟化包括桌面虚拟化和应用程序虚拟化两个层面，透过底层虚拟化的方式，都有助于企业推动BYOD。

　　透过桌面虚拟化的方式，可以让员工以VPN安全的联机方式连回公司，系统即会推送虚拟桌面到用户的移动设备，让用户在独立的环境中存取系统的数据。

　　VMware大中华区End User Computing产品营销经理刘长春表示，若要确保不同设备存取企业内部网络的安全性，打造虚拟桌面架构(Virtual Desktop Infrastructure，VDI)是一种安全的作法。他认为，目前多数的移动设备皆可透过企业虚拟桌面的方式，解决资安的问题，同时又维持员工的工作弹性。

　　刘长春认为，虽然VDI架构要先完成底层架构的虚拟化，必须投入比较高的成本，但对于IT部门而言，则具有统一管控桌面环境和便利部署、派送软件的好处。他说，因为不论前端装置的平台差异，都可做到IT环境的标准化，彻底管控使用者端的环境，杜绝可能的资安威胁。

　　桌面虚拟化是由机房提供远程访问服务，前提要能确保机房里的数据安全性，所以除了服务器的虚拟化，还必须做好主机高可用性(HA)、系统或异地备援等措施。

　　永庆房仲集团信息处协理陈泽维表示，桌面虚拟化完全依赖透过网络远程联机到机房，必须要在员工的移动设备可以连网时候才能发挥作用，但有些情况下员工的移动设备不见得可以链接网络，这样就会影响提供客户服务的效率。虽然虚拟桌面的数据安全性较高，但是若不能脱机使用，就很难完全符合作业上的需求。

　　云端服务，存取管控集中处理

　　第三种企业推动BYOD的方式，是将企业内部的系统透过公有云服务的方式，让员工以自己的移动设备存取。吴乃沛说，当企业把内部数据和系统都往公有云上丢，所有员工认证也都由公有云平台进行认证，因此，不论员工使用私人或者是公司配发的任何装置，都可以直接连上该服务取得所需数据、系统和服务。她举例，像是微软的Office 365可满足大部分中小企业的需求，所有应用都可以上网存取，如此一来，员工使用何种装置就没有差别了。

　　神通资科已在企业内部打造了云端服务，信息服务研发处处长赵元瀚表示，该公司目前只开放高阶主管可以透过iPad存取公司系统，还没有开放给所有的员工使用，他认为未来让员工以云端服务的方式存取所需要的企业系统，是可以预期的发展方向。

　　目前神通资科的许多项目都已经利用内部的MiCloud云端服务平台，建构项目开发所需要的系统或测试环境，随着员工开始透过这个云端平台存取所需的各种数据，未来再进一步开放员工使用自己的设备，也是必然的趋势。

　　另外，包括许多房仲、保险或银行业者，则提供专属的企业App供员工使用，这些企业开发的App往往都是一种云端服务，员工只要可以安装下载企业为员工开发的App，便可以直接在自己的移动设备上，透过该App存取企业内部系统，所有App包括数据的更新，则可以透过云端服务一并完成。

　　不过，透过开发App、打造企业内部云端服务平台时，信义房屋信息长蔡祈岩认为，必须先针对员工进行使用者调查，也得从后台的使用记录，汇整员工最需要的系统功能，才能够打造最适合员工使用的App。达友科技副总经理林皇兴表示，企业推动BYOD时，不论采用哪一种管控方式，都必须要秉持「不因公害私」的心态，才会降低员工反弹、推动才会顺利。

　　企业推动BOYD的3大安全管控作法

　　1. 移动设备管控(Mobile Device Management)：

　　手机安装移动设备管控软件，目前多有统一管控平台，当手机遗失时，可以远程锁住手机，限制手机使用，或者直接删除手机里的数据，避免数据外泄。

　　2. 虚拟桌面统一派送(Client Virtualization)：

　　透过桌面虚拟化的方式，可以让员工以VPN安全的联机方式连回公司，系统即会推送虚拟桌面到用户的移动设备，让用户在独立的环境中存取系统的数据。

　　3. 云端服务集中存取(Pubic Cloud Service)：

　　企业把内部数据和系统转移到云端服务平台，由云端服务平台进行员工身分认证，不论员工使用私人或公司配发的装置，都可以直接连上云端服务平台取得所需数据、系统和服务。