【51CTO.com 原創(chuàng)】上一期，廉哥留了個(gè)尾巴：就是BYOD(Bring Your Own Device)，是"IT消費(fèi)化"的典型衍生品。咱說(shuō)白了也就是：用自己的移動(dòng)設(shè)備給公司干活，還在那里傻樂(lè)呵。雖然它在2015年已脫離了加德納技術(shù)成熟度曲線，而且各大技術(shù)網(wǎng)站都已經(jīng)是老生常談的話題了，但是經(jīng)過(guò)幾年的技術(shù)迭代，卻已在我神舟大地(其實(shí)全球都一樣)成“你若盛開，蝴蝶自來(lái)!”的態(tài)勢(shì)了。所以對(duì)于“愛(ài)總結(jié)愛(ài)思考”的廉哥來(lái)說(shuō)，這樣成熟和泛用的企業(yè)網(wǎng)絡(luò)的再次拓展，咱豈能不涉獵的?這次就讓我繼續(xù)來(lái)為大家"撥洋蔥"吧。

[[171197]]

正所謂“凡事預(yù)則立”，我直接從安全方面入手：

1設(shè)備策略層面

· 密碼更新

注意是"自動(dòng)更新"，這一點(diǎn)很重要，多年來(lái)的運(yùn)維經(jīng)驗(yàn)告訴廉哥，***選一款能和現(xiàn)有域集成的移動(dòng)設(shè)備管理軟件(MDM，業(yè)界所謂的BYOD 1.0)，實(shí)現(xiàn)屏幕鎖與域帳戶的密碼同步與更新。畢竟用戶大多不是電腦專業(yè)選手，而且從 best practice的角度來(lái)說(shuō)，這將省去維護(hù)人員處理由于用戶由于域密碼更新而未能自動(dòng)同步到移動(dòng)設(shè)備上所導(dǎo)致的鎖死的各種求助電話。

· 自動(dòng)鎖屏

這里實(shí)際上是兩個(gè)概念：一個(gè)是企業(yè)通過(guò)MDM設(shè)定好移動(dòng)設(shè)備在多長(zhǎng)時(shí)間沒(méi)觸碰的情況下(即Timeout)自動(dòng)鎖屏;這個(gè)時(shí)間的把握***融合用戶的接受度以及需遵從的規(guī)范。另一個(gè)概念是必要是企業(yè)對(duì)移動(dòng)設(shè)備的遠(yuǎn)程鎖屏，以阻止被繼續(xù)盜用。這不但適用于設(shè)備被偷和丟失場(chǎng)合，也適合于用戶離職時(shí)。密碼復(fù)雜度的規(guī)定，這里就不贅述了。

· OS和Apps升級(jí)

常言道，“升不升是個(gè)問(wèn)題!”不要操作系統(tǒng)一出新的就馬上升級(jí)的，有經(jīng)驗(yàn)的小伙伴都知道這往往是一個(gè)坑啊。有實(shí)力的企業(yè)，就組織IT人員做pilot吧。體驗(yàn)的重點(diǎn)是升級(jí)后，各種與工作相關(guān)特別是企業(yè)定制的那些Apps是否存在兼容性的問(wèn)題;當(dāng)然沒(méi)實(shí)力的話，先hold幾個(gè)月，就讓其他企業(yè)先去“嘗鮮”或“踩雷”吧。另外，擴(kuò)展說(shuō)明一下：同理，一些知名和常用Apps的更新包也可能存在類似的升級(jí)坑點(diǎn)和隱患。因此，把自動(dòng)升級(jí)block掉，乃是極好的。

· 下載控制

比較強(qiáng)勢(shì)的企業(yè)可以通過(guò)阻止下載的手段來(lái)禁止用戶通過(guò)應(yīng)用商店和瀏覽器進(jìn)行隨便。但是要注意到是：這畢竟是用戶自己所有權(quán)的移動(dòng)設(shè)備，而并非企業(yè)所配備，太嚴(yán)格了誰(shuí)還陪你玩兒?上綱上線的說(shuō)，這對(duì)"穩(wěn)定軍心"和"促進(jìn)生產(chǎn)力"沒(méi)好處哦。另外，對(duì)禁用設(shè)備上的攝像頭以及截屏功能等安全管控策略也***慎用。那么怎么破?一.加強(qiáng)各種操作的系統(tǒng)日志管理;二.直接運(yùn)用BYOD 2.0。君莫急，下文馬上談到。

另外，好學(xué)的您也許會(huì)追問(wèn)，那么公司派發(fā)設(shè)備呢?那就比較easy啦，IT部門可以選擇運(yùn)用策略進(jìn)行推送(類似微軟的SCCM)，或是事先準(zhǔn)備好一些權(quán)利受控的下載專用帳號(hào)，已備臨時(shí)之需。當(dāng)然， IT人員要在后臺(tái)做好記錄(若能自帶則更好)，定期評(píng)估Apps的必要性，或是運(yùn)用策略遠(yuǎn)程刪除掉。

2網(wǎng)絡(luò)接入層面

當(dāng)前所廣泛采用的有兩種身份認(rèn)證的接入方式：一種是無(wú)線加密協(xié)議、如802.1x，而另一種是SSL方式的Portal認(rèn)證模式。還記得那個(gè)老段子嗎?“等咱有了錢，我買兩個(gè)腎6，一個(gè)玩游戲，一個(gè)臭顯擺。”所以說(shuō)在真實(shí)環(huán)境里，同一賬號(hào)可能在不同場(chǎng)合、不同時(shí)段，甚至是相同時(shí)段在不同的終端上要求訪問(wèn)公司資源。因此認(rèn)證時(shí)需要分配不同的控制策略，對(duì)于認(rèn)證系統(tǒng)來(lái)看就是除了對(duì)賬號(hào)信息的判斷外，對(duì)接入場(chǎng)景的判斷也是非常重要的。在實(shí)際環(huán)境中，網(wǎng)絡(luò)接入的管控可以通過(guò)MAC地址，以及瀏覽器的HTTP_USER_AGENT頭等來(lái)識(shí)別并收集移動(dòng)設(shè)備的廠商、型號(hào)、操作系統(tǒng)等信息，進(jìn)而匹配不同的應(yīng)用場(chǎng)景，實(shí)施相應(yīng)的管控策略。

3應(yīng)用層面

如果說(shuō)MDM專注于設(shè)備本身的管控的話，移動(dòng)應(yīng)用管理 (MAM)更著眼于移動(dòng)設(shè)備上的軟件和應(yīng)用。對(duì)，MAM就是那個(gè)BYOD 2.0。常見(jiàn)的方法就是運(yùn)用"沙盒"來(lái)將應(yīng)用程序隔離在用戶的設(shè)備上，并防止其內(nèi)部數(shù)據(jù)被/向外部其他應(yīng)用程序所訪問(wèn)。所有與企業(yè)工作相關(guān)的應(yīng)用都被"包裝"到了一個(gè)便于管控的集裝箱里，移動(dòng)用戶要處理工作，就"快到碗里來(lái)"吧!

如今MAM的技術(shù)已經(jīng)非常成熟了，用不著我在這里道貌岸然的瞎嗶嗶，哥只分享一些自己在選型和測(cè)試上的運(yùn)維心得：

· 軟件上能與企業(yè)現(xiàn)有AD、LDAP相集成，實(shí)現(xiàn)單點(diǎn)登錄(SSO)是非常必要的，用戶在各個(gè)應(yīng)用間切換或同時(shí)使用時(shí)，若要屢次輸入不同的密碼，工作效率不但大打折扣，抱怨投訴也會(huì)滋生而出。

· 一般有MAM的都是一整套集工作文檔編輯、瀏覽器、郵件、報(bào)表等功能為一體的App工具包套件，流行的說(shuō)法是"生態(tài)鏈"。那么其是否支持常見(jiàn)文件類型就顯得比較重要的。畢竟用戶直接點(diǎn)開郵件附件并進(jìn)行編輯、轉(zhuǎn)存等操作是非常常見(jiàn)的。

· 大家還記得數(shù)月前百度網(wǎng)盤通過(guò)自動(dòng)生成的iPhone文件夾capture用戶智能手機(jī)的圖片或文件，然后自動(dòng)上次至云盤，且能被搜索到的案例嗎?這邊廂企業(yè)IT人員花大量防范資料外泄防護(hù)(DLP)，那邊廂無(wú)形中文檔被各種云應(yīng)用自動(dòng)分享出去了。估計(jì)哪個(gè)企業(yè)IT碰到這類事件都會(huì)懷著巨大的“心理陰影面積”，"整個(gè)人都不好了"。

· 另外，雖說(shuō)現(xiàn)在3G/4G網(wǎng)絡(luò)已普及，但是城市里有免費(fèi)WI-FI的地方并不多(娛樂(lè)消費(fèi)場(chǎng)所最多，你懂的)，加上我們根深蒂固的"省流量"和"蹭網(wǎng)"等觀念，造就了我們?cè)趹?yīng)用軟件選型的時(shí)候，要注意它是否有針對(duì)移動(dòng)網(wǎng)絡(luò)延遲問(wèn)題的各種流量?jī)?yōu)化，如：是否簡(jiǎn)化了圖片密集型內(nèi)容的交付，以及內(nèi)容QoS的調(diào)整等。

4 數(shù)據(jù)層面

說(shuō)到移動(dòng)信息的管理(MIM)或者是移動(dòng)內(nèi)容的管理(MCM)，一般企業(yè)的各種移動(dòng)應(yīng)用與移動(dòng)設(shè)備之間的往來(lái)數(shù)據(jù)有三種存放位置，即：服務(wù)端、移動(dòng)端、云端。每種方式都有自身的效率與安全的利弊。

只要確保被適當(dāng)加密，以及其文件格式等不被其他應(yīng)用程序所輕易讀取，那么機(jī)密數(shù)據(jù)存儲(chǔ)在用戶移動(dòng)設(shè)備也不是不可以的。畢竟現(xiàn)在是大數(shù)據(jù)的云時(shí)代了，如上期我們聊到的無(wú)線網(wǎng)絡(luò)，企業(yè)數(shù)據(jù)早就通過(guò)各種方式突破了有形的企業(yè)系統(tǒng)架構(gòu)，而“能即時(shí)獲取”的用戶體驗(yàn)更被企業(yè)視為重要的競(jìng)爭(zhēng)力之一。我們ITer正是要幫企業(yè)找準(zhǔn)效率與安全的平衡點(diǎn)。

好了，技術(shù)上先談這么多，其實(shí)在管理方面還有一大塊呢：包括經(jīng)費(fèi)控制、風(fēng)控、合規(guī)以及用戶教育等。小伙伴們，是要下期接著講BYOD的管理呢?還是等技術(shù)都講完了，再放到后面進(jìn)行庖丁解牛并潑墨重彩呢?我聽您的，請(qǐng)給我打賞點(diǎn)贊的同時(shí)，留言告訴我吧。下期會(huì)!

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)注明作者及出處。】