一般而言，BYOD(自帶設(shè)備)可以定義為允許人們偶爾、主要或完全使用自己的個人設(shè)備來辦公的任何戰(zhàn)略。許多企業(yè)允許員工根據(jù)需要使用額外的設(shè)備，包括智能電話、平板電腦、筆記本電腦、家用PC等，來協(xié)同企業(yè)配發(fā)的設(shè)備，實現(xiàn)最高的靈活性、移動性和生產(chǎn)率，同時使IT部門能夠以簡單、安全、有條不紊的方式順應(yīng)IT消費化趨勢。

BYOD漸成主流　需進行有效控制

目前，每位知識工作者平均使用5.18種設(shè)備連接到企業(yè)網(wǎng)絡(luò)，所有工作者的平均數(shù)量為4.43種，預(yù)計到2020年將增加到近6種。不過在很多企業(yè)中，BYOD還是尚未納入明文規(guī)定的非正式做法，因此給企業(yè)帶來安全、合規(guī)、IT復(fù)雜性提高等多方面的風(fēng)險。來自產(chǎn)業(yè)情報研究所(MIC)的調(diào)查結(jié)果顯示，超過60%的國內(nèi)大型企業(yè)因BYOD所帶來的安全問題，而計劃增加安全方面的投入。

在思杰(Citrix)看來，隨著IT消費化趨勢的持續(xù)加速，企業(yè)需要制定更為完整的BYOD戰(zhàn)略，從策略到技術(shù)進行全方位考慮。成功制定BYOD戰(zhàn)略的指導(dǎo)原則可簡單概括如下：人們應(yīng)能全面自由地選擇任何類型的設(shè)備進行辦公，包括個人生活中使用的設(shè)備，并可隨時自如地切換使用不同設(shè)備。IT部門應(yīng)能夠隨時隨地通過任何連接地址將文件、應(yīng)用和桌面按需交付到任何設(shè)備上，同時通過單一管理點確保一致而高效的安全性、策略實施、合規(guī)性和控制。

本文將著重介紹策略制定的最佳實踐，隨后再獨立成文專門介紹BYOD的技術(shù)實現(xiàn)。

BYOD策略制定　全盤考慮七大因素

成功的BYOD策略應(yīng)集多種優(yōu)勢于一身，對員工來說應(yīng)該操作簡便、易于實施;對IT部門來說，要能提供有效的安全和管控，并能為每一種現(xiàn)實需要的應(yīng)用場景制定具體策略，相應(yīng)問題可以通過幾個簡單而一致的原則輕松解決。

大多數(shù)情況下，IT部門可以考慮如何管理并提供對應(yīng)用、數(shù)據(jù)和文件的安全接入，對員工個人設(shè)備進行基于角色的管理和配置，避免安全威脅、數(shù)據(jù)丟失和不合規(guī)使用的情況，確保企業(yè)安全。當(dāng)然，不同企業(yè)的BYOD策略可能截然不同，具體取決于企業(yè)的業(yè)務(wù)優(yōu)先級和所擔(dān)憂的事項;具體策略應(yīng)與人力資源、財務(wù)、法律和IT安全部門進行協(xié)商后制定。

1、參加資格

企業(yè)應(yīng)該明確規(guī)定允許公司內(nèi)哪些員工可以使用自己的個人設(shè)備，無論是臨時使用還是永久性地代替企業(yè)設(shè)備，或是介于這二者之間。這可以看作是人們可能希望獲得的特權(quán)、對員工需求的響應(yīng)、對特定職位上人員的要求，或是為避免某些場景下的過大風(fēng)險而采取的措施。思杰公司首席信息官Paul Martine表示：“在我們開放辦公理念的指導(dǎo)下，思杰允許任何人攜帶任何類型的設(shè)備來辦公，而沒有任何限制。

如何決定哪些員工將參加此類計劃?可以根據(jù)工作者類型、出差頻率、性能或員工是否需要離線接入敏感數(shù)據(jù)等標準進行判定。思杰公司高級IT總監(jiān)Shawn Genoway表示：“在思杰，適合使用筆記本電腦的任何員工都可以參加該計劃并可獲得補貼來取代企業(yè)配發(fā)的設(shè)備，只要他們的主管批準。”然而，參加資格應(yīng)在通盤考慮的基礎(chǔ)上確定，始終應(yīng)由上層主管決定允許哪些團隊成員參加計劃，企業(yè)還可以建議主管在其它部門獎勵、授權(quán)和管理計劃中實行BYOD。

通常外聘人員更適用于BYOD計劃。許多企業(yè)已開始希望外聘人員自帶設(shè)備辦公，而且對他們提出這一要求有助于實現(xiàn)獨立的外聘人員合規(guī)性。

2、允許使用的設(shè)備

傳統(tǒng)IT體系架構(gòu)中應(yīng)用需要直接安裝到終端設(shè)備上，IT部門必須從操作系統(tǒng)、應(yīng)用支持、性能和其它特定的標準方面制定并實施最低要求。在桌面虛擬化模式下，將允許在任何類型的設(shè)備上運行完整的Windows桌面和應(yīng)用，從而避免這些不必要的問題。借助企業(yè)移動管理，IT部門可以注冊并管理任何設(shè)備、檢測越獄設(shè)備，并對不合規(guī)設(shè)備、丟失設(shè)備、被盜設(shè)備或離職員工的設(shè)備進行全面或選擇性擦除操作。思杰公司目前已有超過2000臺個人筆記本電腦和近2000臺個人平板電腦，此外還有超過4000部個人智能手機，包括iOS和Android手機。這些設(shè)備被廣泛用于各種任務(wù)，包括通過Citrix Receiver接入電子郵件和其它所有應(yīng)用。

企業(yè)應(yīng)要求參與BYOD計劃的員工通過正常購買渠道購買個人設(shè)備，而不是通過公司采購部，這有助于明確地界定設(shè)備所有權(quán)，并確保參與計劃的員工可以和供應(yīng)商直接建立服務(wù)關(guān)系。如果公司與供應(yīng)商有合作關(guān)系也可以讓員工享受到折扣優(yōu)惠。還有些人需要在辦公室使用顯示器、鍵盤等外圍設(shè)備作為補充，這時一定要明確地規(guī)定每個設(shè)備由誰購買，歸誰所有。

3、服務(wù)可用性

BYOD不一定走要么全有要么全無的極端路線。您應(yīng)該考慮希望向個人設(shè)備提供的具體服務(wù)，以及這是否會因具體工作組、用戶類型、設(shè)備類型及使用的網(wǎng)絡(luò)而不同。對于希望將應(yīng)用直接安裝在計算機上供個人使用的企業(yè)，可以考慮通過Microsoft Software Assurance服務(wù)，為員工提供面向Mac和PC的Office Professional的折扣優(yōu)惠。這樣，許可合規(guī)性完全由員工個人負責(zé)，企業(yè)可避免任何違規(guī)風(fēng)險或責(zé)任。#p#

4、發(fā)布

BYOD計劃制定完畢后，有效的宣傳是成功實施的關(guān)鍵。企業(yè)應(yīng)向員工發(fā)放指南，幫助他們決定是否參加，以及如何選擇適當(dāng)?shù)脑O(shè)備來滿足自身需求。他們還應(yīng)了解自帶設(shè)備相關(guān)的責(zé)任，包括如何接入、使用和保存數(shù)據(jù)等。工作和業(yè)務(wù)數(shù)據(jù)應(yīng)在個人設(shè)備中嚴格地隔離開來，以滿足電子發(fā)現(xiàn)(e-discovery)要求和數(shù)據(jù)保留政策要求;同樣，工作郵件也不應(yīng)通過個人賬戶發(fā)送。

5、成本分擔(dān)

BYOD的主要優(yōu)勢之一是可節(jié)約成本，它允許員工支付各種辦公設(shè)備的部分或全部成本，使IT不必再為整個所有員工采購并支持越來越多的硬件設(shè)備。最近進行的一項調(diào)查顯示，已經(jīng)在實施或計劃實施BYOD的大多數(shù)企業(yè)都表示將為使用個人設(shè)備辦公的員工提供部分甚至全部補貼。通過提供補貼，企業(yè)也可以對設(shè)備進行一定的管控，61%的受訪者表示這是他們提供補貼的主要原因。

“思杰公司的BYOD計劃允許員工使用個人設(shè)備取代企業(yè)配發(fā)的設(shè)備，旨在節(jié)約18–20%的成本，”Martine說道：“在計算補貼額度時，這一數(shù)額要從原先企業(yè)購買標準企業(yè)設(shè)備的總成本中扣減掉，包括操作系統(tǒng)和3年的維護及保修，再加上估算的代扣稅。”參加計劃的員工還應(yīng)知道，補貼將作為個人收入進行扣稅。在稅率較高的地區(qū)，可能需要增加補貼額度，使得所有計劃參與者獲得的補貼數(shù)額一致。不管有無成本分擔(dān)，任何BYOD政策都應(yīng)明確規(guī)定由誰負擔(dān)企業(yè)防火墻之外的網(wǎng)絡(luò)接入費用，包括3G網(wǎng)絡(luò)、公共Wi-Fi、家庭寬帶等。

如果您選擇提供補貼，應(yīng)考慮到計劃參與的整個生命周期，如規(guī)定硬件更新周期為3年，以確保個人設(shè)備的使用年限不會超過企業(yè)設(shè)備的一般使用年限。如果員工在BYOD有效期內(nèi)離開公司，您可能會希望收回補貼的一部分。思杰公司的做法是，如果在參加BYOD計劃后的一年內(nèi)離開公司或退出計劃，員工應(yīng)退還一定比例的補貼。

成本分擔(dān)對企業(yè)實施BYOD計劃有很大影響。一次性同時實施可能會增加成本，因為會有大量員工在終端設(shè)備更新周期滿時同時提交補貼申領(lǐng)請求，可考慮在設(shè)備生命周期結(jié)束時再發(fā)放補貼。而不提供補貼的企業(yè)可以從一開始就鼓勵大量員工同時參與。

6、安全性和合規(guī)性

不少CIO擔(dān)心，IT的進一步消費化會大大增加業(yè)務(wù)風(fēng)險，這一擔(dān)心不無道理，許多思杰客戶在尋求BYOD實施指南時也經(jīng)常提出這一問題。

將應(yīng)用直接安裝到非企業(yè)設(shè)備上會增加風(fēng)險，基于企業(yè)移動管理、Windows應(yīng)用和桌面虛擬化以及安全文件共享的BYOD計劃可有效管理并降低風(fēng)險。所有業(yè)務(wù)信息都安全地保存在數(shù)據(jù)中心，只有在絕對必要的情況下才保存到終端設(shè)備中。確實需要在終端設(shè)備中保存數(shù)據(jù)時，數(shù)據(jù)可以通過隔離、加密和遠程擦除機制受到有效保護。為防止數(shù)據(jù)泄露，IT部門可以實施策略來禁止打印，或接入本地硬件、USB存儲設(shè)備等客戶端存儲設(shè)備。參與計劃的員工還應(yīng)確保在自己的終端設(shè)備中正確安裝并及時更新防病毒/防惡意軟件程序。在思杰，會免費為參加BYOD計劃的員工提供防病毒保護服務(wù)。

利用基于設(shè)備所有權(quán)、狀態(tài)或地點的策略，就可以控制、保護并管理通過移動設(shè)備進行的應(yīng)用和數(shù)據(jù)接入。IT部門可以注冊并管理任何設(shè)備、檢測越獄設(shè)備，并對不合規(guī)設(shè)備、丟失設(shè)備、被盜設(shè)備或離職員工的設(shè)備進行全面或選擇性擦除操作。通過應(yīng)用隧道進行的安全應(yīng)用接入、黑名單、白名單和環(huán)境感知的動態(tài)策略可確保應(yīng)用的安全。#p#

為保護企業(yè)網(wǎng)絡(luò)，有些企業(yè)使用網(wǎng)絡(luò)接入控制(NAC)技術(shù)來對連接到網(wǎng)絡(luò)的用戶進行身份驗證，并檢查他們的設(shè)備是否安裝了最新的防病毒軟件和安全補丁。思杰公司自身采用了一種完全不同的方法，允許參加BYOD計劃的員工使用思杰網(wǎng)絡(luò)，通過Citrix NetScaler Gateway按需訪問數(shù)據(jù)、應(yīng)用、桌面和網(wǎng)頁，然后進行雙因子身份驗證，但不允許員工將個人設(shè)備直接連接到網(wǎng)絡(luò)。Genoway說道：“這樣就只需對員工的個人設(shè)備進行最基本的限制，充分反映了思杰的開放計算文化。”也可使用NetScaler Gateway，允許員工通過細粒度、基于策略的瀏覽器接入應(yīng)用和數(shù)據(jù)。單點登錄和強有力的密碼可同時確保便利性和安全性。

在防火墻之外，虛擬化和加密可以減少Wi-Fi、WEP加密、開放無線網(wǎng)絡(luò)、3G/4G和其它消費類接入方法的安全漏洞。網(wǎng)絡(luò)安全功能可提供對內(nèi)部和外部移動安全威脅的可視性并防止這種威脅;拒絕非法設(shè)備、未授權(quán)用戶和不合規(guī)接入應(yīng)用;實現(xiàn)與安全信息和事件管理(SIEM)系統(tǒng)的集成。

在BYOD參與者離開公司、違反BYOD策略、個人設(shè)備丟失或被盜的情況下，IT部門應(yīng)能夠通過適當(dāng)?shù)臋C制立即終止數(shù)據(jù)和應(yīng)用接入，包括自動注銷工作相關(guān)的SaaS賬戶和選擇性地擦除丟失設(shè)備中的數(shù)據(jù)等。

還有些企業(yè)選擇有限制的方法，而不是開放的無限制BYOD方法——允許人們使用任何設(shè)備來接入企業(yè)應(yīng)用和數(shù)據(jù)。在這種情況下，IT部門可以直接管理個人設(shè)備，包括注冊、驗證、授權(quán)和設(shè)備資源接入等。

7、設(shè)備支持和維護

因為用戶也是設(shè)備的所有者，所以BYOD計劃通?？梢詼p少每臺設(shè)備所需的維護工作量。Genoway說道：“與任何租車人的觀點一樣，人們愛護自己的設(shè)備總是勝過愛護別人的設(shè)備。IT部門發(fā)現(xiàn)，在個人設(shè)備鍵盤上灑滿沙拉醬的情況要少得多。”

盡管如此，BYOD政策應(yīng)明確規(guī)定，各種支持和維護工作由誰完成，相關(guān)費用由誰承擔(dān)。用個人設(shè)備取代企業(yè)終端設(shè)備時，員工對IT支持的期望可能會更高;但是，企業(yè)應(yīng)對此做出明確規(guī)定，避免給IT部門帶來更高的復(fù)雜性和更繁重的工作負擔(dān)。

為確保實現(xiàn)思杰BYOD政策所倡導(dǎo)的簡便性，公司采用了一種不干預(yù)的方法，僅提供與無線連接、防病毒/防惡意軟件和個人設(shè)備上的Receiver客戶端相關(guān)的支持。在自己的設(shè)備需要維修的情況下，自帶電腦辦公的思杰員工可申請借用公司設(shè)備，但最多只能借用10天。所有其它支持事項均通過公司BYOD Discussion Board解決，其中包含自助服務(wù)部分。

有些企業(yè)的IT部門會專門成立一個新團隊來支持BYOD設(shè)備;但在思杰，只需一名工作人員花費10%的時間來處理與BYOD相關(guān)的所有問題，包括發(fā)表BYOD博客、回答問題及處理計劃補貼的費用表提交等。和許多消費類設(shè)備只提供單頁快速入門指南的做法一樣，思杰非常注重讓員工毫不費力地將Receiver下載到任何設(shè)備上并快速開始運行。