【IT168评论】BYOD一直是热门话题,企业期待BYOD创业更大工作效率,员工希望BYOD时代的来临,不过一个无法回避的安全问题,一直成为BYOD无法前行的原因。员工使用自己的计算机或移动设备的好处,对个人或公司都有好处,一方面员工使用自己喜欢、熟悉的设备,可以提升工作的生产效率,另一方面,公司不需要为员工采购相关的设备,可以节省成本。但缺点则是信息安全管控的难题,因为企业势必得面临管理多种设备存取企业系统的挑战。
如何在开放员工自带设备之下,又确保信息安全,是IT部门头痛的事情。但若能做好企业最在意的安全管控问题,那么BYOD对企业与员工而言,可能就会是一个双赢的局面。
台湾IDC企业应用研究部市场分析师吴乃沛表示,目前企业开放员工使用自己的移动设备存的范围,主要是以电子邮件、行事历和协同作业等系统,还没到达完全开放移动设备可存取所有系统的地步,所以目前主要采取3种资安管控做法,分别是移动设备管控、客户端虚拟化(Client Virtualization)和公有云服务等方式。
移动设备管控,避免手机数据外泄
最基本的作法是在手机安装移动设备管控软件,许多资安厂商都已经跨足移动设备管理这个市场,目前技术上都能做到远程管控,例如当手机遗失的时候,可以自动锁住手机,限制手机的使用,或者是直接删除手机里的数据,避免数据外泄的可能性。
以化妆品公司台湾莱雅(L’Oreal)为例,公司开放所有同仁可使用自己的手机或平板计算机,连接在业务上有需要的系统,但必须要安装公司规定的移动设备管控App,而购买该软件的费用则由公司支付。
台湾莱雅信息部协理陈明煌表示,莱雅开放的设备以iOS和Android平台的手机与平板计算机为主,用户必须安装公司规定的Good App,在苹果或Google的App软件市集都可以下载得到。员工透过这个Good App可以存取企业内的所有系统和电子邮件,就好像在手机里有一个虚拟的加密环境,存放所有企业内的信息。
当莱雅的员工申请要自带设备上班,公司就会要求员工注册个人的手机号码,一旦该员工的手机遗失,公司就可以透过管控平台进行远程删除员工手机的信息,而且,公司还可以预设是远程只删除存放公司资料的Good App,或是要删除包含员工私人手机的所有数据。
台湾赛门铁克资深技术顾问张士龙表示,除了管控员工的移动设备外,再进一步管控网络存取,则可获得更好的安全管制效果。移动设备要连网才能够存取企业系统,若能够从Mac Address、账号或密码等方式管控,只有经过申请的员工,才可以透过移动设备存取企业网络,这样也能提高安全性。
管控手机在技术上来说不难,另一个要注意的在于政策落实与隐私权问题。吴乃沛表示,企业推动BYOD的最大挑战,就是要员工交出移动设备的部分控制权,让公司可以管控原本属于员工个人的装置,这也是员工和企业之间最大的矛盾所在。
员工若想要在上班时间用自己的设备,就得符合公司的资安政策,否则企业就得冒很大的风险。但企业要进一步管控员工个人的手机、计算机,则必须注意隐私权上的问题。以IBM为例,员工若想要带自己的设备上班,就必须事先签署一份同意书。
桌面虚拟化,运算环境统一派送
另一种顾及安全存取的作法,是采取客户端虚拟化的方式。吴乃沛表示,IDC强调的客户端虚拟化包括桌面虚拟化和应用程序虚拟化两个层面,透过底层虚拟化的方式,都有助于企业推动BYOD。
透过桌面虚拟化的方式,可以让员工以VPN安全的联机方式连回公司,系统即会推送虚拟桌面到用户的移动设备,让用户在独立的环境中存取系统的数据。
VMware大中华区End User Computing产品营销经理刘长春表示,若要确保不同设备存取企业内部网络的安全性,打造虚拟桌面架构(Virtual Desktop Infrastructure,VDI)是一种安全的作法。他认为,目前多数的移动设备皆可透过企业虚拟桌面的方式,解决资安的问题,同时又维持员工的工作弹性。
刘长春认为,虽然VDI架构要先完成底层架构的虚拟化,必须投入比较高的成本,但对于IT部门而言,则具有统一管控桌面环境和便利部署、派送软件的好处。他说,因为不论前端装置的平台差异,都可做到IT环境的标准化,彻底管控使用者端的环境,杜绝可能的资安威胁。
桌面虚拟化是由机房提供远程访问服务,前提要能确保机房里的数据安全性,所以除了服务器的虚拟化,还必须做好主机高可用性(HA)、系统或异地备援等措施。
永庆房仲集团信息处协理陈泽维表示,桌面虚拟化完全依赖透过网络远程联机到机房,必须要在员工的移动设备可以连网时候才能发挥作用,但有些情况下员工的移动设备不见得可以链接网络,这样就会影响提供客户服务的效率。虽然虚拟桌面的数据安全性较高,但是若不能脱机使用,就很难完全符合作业上的需求。
云端服务,存取管控集中处理
第三种企业推动BYOD的方式,是将企业内部的系统透过公有云服务的方式,让员工以自己的移动设备存取。吴乃沛说,当企业把内部数据和系统都往公有云上丢,所有员工认证也都由公有云平台进行认证,因此,不论员工使用私人或者是公司配发的任何装置,都可以直接连上该服务取得所需数据、系统和服务。她举例,像是微软的Office 365可满足大部分中小企业的需求,所有应用都可以上网存取,如此一来,员工使用何种装置就没有差别了。
神通资科已在企业内部打造了云端服务,信息服务研发处处长赵元瀚表示,该公司目前只开放高阶主管可以透过iPad存取公司系统,还没有开放给所有的员工使用,他认为未来让员工以云端服务的方式存取所需要的企业系统,是可以预期的发展方向。
目前神通资科的许多项目都已经利用内部的MiCloud云端服务平台,建构项目开发所需要的系统或测试环境,随着员工开始透过这个云端平台存取所需的各种数据,未来再进一步开放员工使用自己的设备,也是必然的趋势。
另外,包括许多房仲、保险或银行业者,则提供专属的企业App供员工使用,这些企业开发的App往往都是一种云端服务,员工只要可以安装下载企业为员工开发的App,便可以直接在自己的移动设备上,透过该App存取企业内部系统,所有App包括数据的更新,则可以透过云端服务一并完成。
不过,透过开发App、打造企业内部云端服务平台时,信义房屋信息长蔡祈岩认为,必须先针对员工进行使用者调查,也得从后台的使用记录,汇整员工最需要的系统功能,才能够打造最适合员工使用的App。达友科技副总经理林皇兴表示,企业推动BYOD时,不论采用哪一种管控方式,都必须要秉持「不因公害私」的心态,才会降低员工反弹、推动才会顺利。
企业推动BOYD的3大安全管控作法
1. 移动设备管控(Mobile Device Management):
手机安装移动设备管控软件,目前多有统一管控平台,当手机遗失时,可以远程锁住手机,限制手机使用,或者直接删除手机里的数据,避免数据外泄。
2. 虚拟桌面统一派送(Client Virtualization):
透过桌面虚拟化的方式,可以让员工以VPN安全的联机方式连回公司,系统即会推送虚拟桌面到用户的移动设备,让用户在独立的环境中存取系统的数据。
3. 云端服务集中存取(Pubic Cloud Service):
企业把内部数据和系统转移到云端服务平台,由云端服务平台进行员工身分认证,不论员工使用私人或公司配发的装置,都可以直接连上云端服务平台取得所需数据、系统和服务。