BYOD (Bring Your Own Device) 固名思義就是攜帶「私家」設備回公司並作為日常工作用途。不過要將一台屬於「私用」的設備帶回公司,並且需要存取公司的網絡、下載公司的檔案、連接公司的伺服器等,當中定必會為公司的網絡帶來一家安全風險;因此一旦需要實施 BYOD,那身為公司的 IT 管理員便將會十分忙碌;事關 IT 管理人需就整體環境作出宏觀分析,並為此制定相對私隱政策、使用權限、安全措施等。
要就整家企業制定安全政策,當中涉及極廣範的考慮;而本文之中,筆者希望就安全方案範疇分享一些想法。
了解安全風險來自那裡?
常聽說 BYOD 將會為企業帶來安全風險,那究竟風險出自何處?細心的讀者可能會率先想到,一旦外部的設備本身帶有病毒,並接連上公司的網絡時,便有機會感染公司網絡;的確會有此可能性,不過一般情況下企業之中的電腦只需安裝優質的防毒軟件,並配合上針對網絡層面的防火牆及就網絡使用上制定相對條件及規則,因病毒而感染整家公司網絡的情況很難會出現。
儘管擁有充分的安全措施,然而當公司允許員工使用自攜設備連接公司網絡時,員工便可通過公司網絡將公司資料下載到自己的裝置之中,這將會造成另一問題 – 資料外洩。
於是有人便提倡採用 MDM (Mobile Device Management) 方案作管理;通過 MDM 方案管理員可通過中控台一次過停用員工流動裝置之中的部份功能。例如可禁止其使用指定的 Apps、禁止拍照、禁止存取 App Store、Google Play 等;因此通過 MDM 方案的確可完全「掌控」員工的裝置,並將 BYOD 所衍生的安全風險大大降低;然而設備本身是員工私人資產,假如員工堅拒公司通過 MDM 作監管的話,公司亦不能「霸王硬上弓」;所以假如希望通過 MDM 方案為 BYOD 安全把關的話,那公司便必需為員工購買專屬的流動裝置才可。
除了傳統的 MDM 方案之外,現時坊間亦出現一些改良版的 MDM 方案;此類方案介乎於 MDM 及傳統以規則控制網絡存取的方法,同時更會結合上 MAM 方案;此類方案能夠做到無需於員工設備上安裝代理程式亦可禁止流動裝置瀏覽指定網頁、使用指定 Apps、禁止「破解」的流動裝置連接公司網絡之效;假如再配合上適當的網絡規則,便可有效禁止機密資料外洩之餘亦避開私隱問題。
BYOD 應以預防資料外洩為目的
除了上述提到的改良版 MDM 方案之外;隨著虛擬化基建設備將變得更相宜,我敢斷言未來 VDI (Virtual Desktop Infrastructure) 將會作為實施 BYOD 的指定動作。
通過在虛擬化平台人上部署 VDI 方案,員工每次使用流動裝置時,只需直接登入 VDI 之中即可使用到自己熟悉的操作環境,這恰好符合 BYOD 的原意 – 讓員工使用到自己所熟悉的設備,從而提升工作效率;另外,員工本身由於是存取公司的 VDI 平台,因此所有公司的資料根本無需下載到自己的設備之中便可直接於平台上進行編輯,這樣便可最大程度地避免公司資料外洩;同時員工存取的是位於公司伺服器之中的 VDI 平台,因此無論你在手機、平板電腦以至是手提電腦之中,均可使用到由公司提供的商用軟件,這意味著用户能節省了購買軟件 License 所需的支出;亦因為只需擁有網絡配合上單一軟件便可使用到 VDI 平台,所以亦可解決了設備兼容性等問題;因此要說 VDI 是未來 BYOD 的安全新趨勢亦不為過。
總結:BYOD 是商業管理哲學
BYOD 歸根究底是一門管理哲學,有時候甚至與商業管理重疊。因此要提高 BYOD 的安全性並不可單靠 MDM 或 MAM 或 VDI 等方案;真正需要的往往是決策者對企業資訊分享及採用慣例進行改革;同時企業更需要在內部落實、完善 BYOD 政策,並考慮採取一些措施令員工能夠確守並遵循已定下的相關政策,雙管齊下 BYOD 才可真正安全地於企業之中落實。
為何 VDI 是 BYOD 安全新趨勢?
https://www.facebook.com/hkitblog