BYOD 即“自带设备”,这是企业的 IT 策略,它决定了员工、承包商和其他授权最终用户何时以及如何在公司网络上使用自己的笔记本电脑、智能手机和其他个人设备来访问公司数据,并履行工作职责。
21 世纪前十年的后半段,随着 iOS 和 Android 智能手机的首次亮相,BYOD 也随之出现,因为越来越多的工作人员更喜欢使用这些设备,而不是那个时代公司所下发的标准手机。 远程工作和混合工作安排的兴起,以及向供应商和承包商开放企业网络,这些趋势加速了企业将 BYOD 策略扩展到智能手机之外的需求。 最近,新冠肺炎疫情以及随之而来的芯片短缺和供应链中断,迫使更多的组织接受 BYOD 策略,从而使新员工能够在等待公司下发的设备时正常开展工作。
BYOD 策略通常由首席信息官和其他高级 IT 决策者制定,它定义了在工作中使用员工自有设备的一些条款,以及最终用户在使用时必须遵循的安全策略。
尽管 BYOD 策略的具体内容会因组织 BYOD 策略的目标而异,但大多数设备策略都在以下内容的基础上稍作变化:
可接受的使用:BYOD 策略通常概述了员工如何以及何时可以使用个人设备来执行工作相关任务。 例如,可接受的使用指南可能包括有关通过虚拟专用网络 (VPN) 安全连接到公司资源的信息,以及经批准的工作相关应用的列表。
可接受的使用策略通常规定必须如何使用员工拥有的设备来处理、存储和传输敏感的公司数据。 在适用的情况下,BYOD 策略还可能包括符合《健康保险可移植性和责任法案》(HIPAA)、《萨班斯法案》和《通用数据保护条例》(GDPR) 等法规要求的数据安全和保留策略。
允许的设备:BYOD 策略可能会概述员工可用于工作目的的个人设备类型,以及相关设备规格,如最低操作系统版本。
安全措施:BYOD 策略通常会为员工的设备设置安全标准。 其中包括最低密码要求和双因素认证策略、用于备份敏感信息的协议,以及设备丢失或被盗时应遵循的程序。 安全措施还可以指定员工必须在其设备上安装的安全软件,例如移动设备管理 (MDM) 或移动应用管理 (MAM) 工具。 下面将进一步详细讨论这些 BYOD 安全解决方案。
隐私和权限:BYOD 策略通常概述了 IT 部门为尊重员工隐私而在其设备上采取的步骤,包括组织如何确保员工个人数据和公司数据相分离。 该策略还可能详细说明 IT 部门需要对员工设备拥有的特定权限,包括可能需要安装的某些软件和可能需要控制的应用。
报销:如果公司报销员工使用个人设备所产生的费用,例如,提供设备购买津贴,或发放互联网或移动数据计划补贴,BYOD 策略将会概述如何处理报销以及员工可能收到的金额。
IT 支持:BYOD 策略可能会规定公司 IT 部门在一定程度上可以(或不可以)帮助员工解决个人设备损坏或运行不正常问题。
停用:最后,BYOD 策略通常会概述员工离职或在 BYOD 计划中注销设备时应遵循的步骤。 这些退出程序通常包括从设备中删除敏感的公司数据、撤销设备对网络资源的访问权以及关停用户或设备帐户的计划。
BYOD 计划引发了一些 IT 部门不常遇到的设备安全问题,或者是在公司下发的设备上较少遇到的一些问题。 员工设备中的硬件或系统漏洞可能会扩大公司的攻击面,使黑客能够采用新方法来破坏公司网络和访问敏感数据。 在使用个人设备时,员工可能会进行一些风险更大的浏览、发邮件或传递消息的行为,而不像在使用公司下发的设备时有所顾忌。 由于个人使用而感染员工电脑的恶意软件很容易就会传播到公司网络。
对于公司下发的设备,IT 可以通过直接监控和管理设备设置、配置、应用软件和权限来避免这些问题和其他类似问题。 但对于员工的个人设备,IT 安全团队则不太可能拥有同样的控制权,这种程度的控制可能会让员工感到愤怒。 随着时间的推移,广大公司已开始求助于其他各种技术来缓解 BYOD 安全风险。
虚拟桌面
虚拟桌面也称为虚拟桌面基础架构 (VDI) 或桌面即服务 (DaaS),是完全配置的桌面计算实例,这些实例在远程服务器上托管的虚拟机上运行。 员工访问这些桌面,通常通过加密连接或 VPN,从个人设备远程运行这些桌面。
使用虚拟桌面后,一切操作都在连接的另一端发生,个人设备上既没有安装任何应用,也没有处理或存储任何公司数据,这有效地避免了与个人设备有关的大多数安全问题。 但虚拟桌面的部署和管理成本可能很高;因为他们依赖于网络连接,员工无法离线工作。
基于云的软件即服务 (SaaS) 可以用更少的管理开销提供类似的安全优势,但对最终用户行为的控制力度也略有减弱。
设备管理解决方案
在 BYOD 出现之前,组织使用移动设备管理 (MDM) 软件来管理公司下发的移动设备。 管理员可以使用 MDM 工具来完全控制设备,他们可以强制执行登录和数据加密策略、安装企业应用、推送应用更新、跟踪设备位置,并在设备丢失、被盗或以其他方式受损时锁定和/或擦除设备。
MDM 是一种可接受的移动管理解决方案,而当员工开始在工作中使用自己的智能手机时,这种情况则发生了变化,员工不再心甘情愿地授权 IT 团队以同样的控制权来控制其个人设备、应用和数据,他们对此感到愤怒。 此后,随着个人设备用户和员工工作方式的改变,新的设备管理解决方案应运而生:
移动应用管理 (MAM):MAM 专注于应用管理,而不是控制设备本身,它只允许 IT 管理员控制公司应用和数据。 MAM 通常通过容器化来实现这一点,即为个人设备上的业务数据和应用创建安全飞地。 借助容器化,IT 能够完全控制容器内的应用、数据和设备功能,而不会接触甚至根本看不到容器外的员工个人数据或设备活动。
企业移动性管理 (EMM):随着 BYOD 日益普及,并从智能手机扩展到平板电脑,从黑莓操作系统和苹果 iOS 扩展到安卓系统,MAM 很难再得心应手地去处理企业网络中不断引入的各种新型员工自有设备。 为了解决这个问题,很快便出现了企业移动性管理 (EMM) 工具。 EMM 工具结合了 MDM、MAM 以及身份和访问管理 (IAM) 的功能,针对网络中所有个人和公司拥有的移动设备,为 IT 部门提供了单一平台、单一窗格视图。
统一终端管理 (UEM)。 EMM 的一个缺点就在于它无法管理 Microsoft Windows、Apple MacOS 和 Google Chromebook 计算机 - 这显然是一个问题,因为 BYOD 需要扩展,包括那些使用自有个人电脑远程工作的员工和第三方。 UEM 平台的出现弥补了这一欠缺,它将移动设备、笔记本电脑和台式机管理整合到一个平台中。 借助 UEM,IT 部门可以为所有类型的设备管理 IT 安全工具、策略和工作流程,运行任何操作系统,而不论它们从何处进行连接。
对于组织而言,最常被提及的 BYOD 优势如下:
对于员工和雇主而言,BYOD 的这些优势和其他优势可能会与存在的挑战和折衷相抵消: