尽管可能对现有IT系统带来安全威胁,但面对BYOD(Bring-your-own-device,自带设备上班)带来的方便性、生产效率的提高以及更高的员工满意度,BYOD的诱惑挡也挡不住。因此,CIO现在的考虑不应是是否要支持BYOD,而是如何支持的问题。
本报记者 邹大斌
你用自己的手机或者平板电脑收发过公司的邮件吗?你用自己的电脑处理过公司的业务,比如,接入公司的网络获取文件或者进入报销流程吗?如果答案是肯定的,你就是BYOD一族。
所谓BYOD(Bring-your-own-device,自带设备上班)是指公司员工利用自己的设备(智能手机、平板电脑和笔记本电脑等)来处理公司业务,包括如上所说的收发邮件、获取文档、审批以及登录公司的核心业务系统。BYOD的好处显而易见,给员工带来了很大方便,员工不用同时带2个手机、在多台电脑间同步资料,而且能更好地平衡了工作和生活,而对企业而言则获得了更高的生产率和员工满意度。不过,BYOD对企业IT部门而言意味着一种全新的工作场景和方式,这种方式直接挑战过去几十年来逐步建立并完善的IT秩序,包括IT架构、管理策略等,特别是企业的信息安全,更进一步说,可能要颠覆IT部门的传统价值观。
正因为如此,有些保守的CIO坚决拒绝BYOD的“入侵”。然而,BYOD代表的是一种发展趋势。Gartner在去年年度的一份预测报告中表示,BYOD是创建未来工作场所的主导趋势之一,它将有助于简化IT流程,进一步激发员工的潜力。因此,对CIO而言,现在的问题不是要不要BYOD,而是如何支持BYOD的问题。CIO们更明智的办法应该是,顺应这一大趋势,扬BYOD之长,同时避BYOD之短。
BYOD时代来临
关于BYOD,有太多的市场研究数据。Gartner估计,2012年年底至少15%的中小企业允许员工在公司内部用自己个人的笔记本电脑进行工作,而允许使用智能手机和平板电脑的中小企业比率可能高达40%~70%。美国Aberdeen的数据显示,美国80%的企业已经进入到BYOD大潮,不管企业允不允许,员工都已经将自己的手机和平板电脑用于工作。
实际上,从企业移动办公的流行程度也可以佐证BYOD大潮的到来——移动办公是BYOD大潮的主要推动者。来自IDC的数据显示,移动终端将超过PC成为访问互联网时使用最多的终端,企业用户对移动应用的需求也已从收发邮件、办公自动化,拓展到 业务类应用的移动化。IDC统计还显示,移动办公市场在未来三年将保持稳步增长。预计到2013年,采用移动办公模式的办公人员将超过12亿人,占全球办公人员总数的35%。到2014年企业员工在业务中使用智能手机和平板电脑的比率会翻番。
思杰公司曾对全球19个国家的1900名IT高管进行了有关未来工作场所的调查,其调查结果显示,移动办公已经被大多数企业所接受,约有24%的企业已经部署了移动办公,38%的企业计划扩大当前的部署,预计到2014年,将有86%的企业会实现移动办公。
值得一提的是,中国目前拥有全球最多的移动设备,同时,中国市场的BYOD或者移动办公需求也将更为强烈。根据《2013年VMware新生活方式研究报告》,94%的中国受访员工拥有多种个人便携式设备,位列亚太区之首。最常见的是智能手机(95%)和笔记本电脑(92%),而且平板电脑(74%)也日渐普及。这份报告是VMware委托Acorn Research公司在亚太区12个国家进行调查产生的,共有2100多名受访者参与了此次调查。调查结果显示,个人便携设备风行中国,同时被越来越多地用于工作。另外,随着个人便携设备的日趋流行,工作文化也在逐步改变。调查结果显示,在私人时间工作已经逐渐为中国员工所接受,工作时间与私人生活之间的界限日渐模糊。
BYOD背后的推手
正如前面所述,移动办公需求是BYOD背后的主要推动力。实际上,随时、随地通过任意设备办公是人们一直就有的愿望,只是过去由于技术条件的限制而不能实现罢了。而今随着电脑和智能移动设备的普及,这一愿望终于有了实现的技术条件。而当移动办公条件成熟,我们很自然地就会通过个人设备来访问公司邮件、审批等,毕竟同时带两个手机或者两台电脑实在不方便,这就引发了BYOD大潮。
“IT技术的不断进步让我们的工作越来越方便。以前,电脑昂贵,不是每个家庭都拥有电脑的,你要办公就要去公司。后来,家里有了电脑,我们就可以在家办公。如今,随着智能移动设备的出现,随时随地办公也成为现实。”思杰大中华区总裁曹衡康在接受记者采访时表示,“工作是你必须要做的,但工作场所并非你一定要去的,今天的IT技术已经可以做到。”
当然,笔记本电脑、智能移动设备的普及只是为移动办公提供了一个基本条件,相关软件、网络基础设施的改进以及相关应用软件的跟进都必不可少。比如,互联网带宽的不断增加,Wi-Fi热点的普及,还有3G乃至4G的落地,都为移动设备接入互联网和企业网奠定了基础,也为桌面虚拟化技术等BYOD相关技术的落地提供了先决条件。另外,云Office、CRM等SaaS等云服务的兴起更是为移动办公再“添了一把火”。
移动办公的好处是显而易见的。思杰的一份调查报告显示,最为突出的是方便、个性化和选择权。对企业而言,95%的中国受访企业IT高管表示,移动办公可以建立更为弹性、灵活的工作空间,从而吸引更多高端人才;对员工而言,可以因移动办公而使工作具有更多弹性,从而可减少通勤时间,提高个人生产力。
谈到BYOD,人们常和IT消费化联系在一起。这两者的确关系紧密,在一定程度上说,IT消费化也是BYOD的推动力之一。
IT消费化的本质上是由员工来控制他们所使用的技术。人们习惯于把2年前iPhone上市,员工通过iPhone登录企业Wi-Fi网络访问公司的邮件系统作为标志。其实,IT消费化最早可以从第一台个人PC和个人Mac开始,而智能移动终端的诞生让IT消费化成为一种潮流,如Salesforce.com的CRM这样的云服务又进一步让普通员工摆脱了IT部门的控制,从而加速了IT消费化趋势。
从技术演进的角度而言,IT消费化源于市场上出现了专门面向消费者的技术,这在20年甚至10年前是根本没有的,而且这些技术非常简单、易用,比如支持触控,具有直观的图形界面;从社会学的角度来看,IT消费化与现代企业中员工结构的变化有关。现代企业往往以知识型员工为主,这些员工流动性强,有一定的IT技能,他们不再只是企业的各种IT标准和规范的被动接受者,相反,他们讲究个性,更愿意成为这些标准的参与者。面对这些员工,企业IT部门不可能把他们像婴儿一样保护起来,而是应该像成人一样通过一些规则来引导。另一方面,现代企业员工与企业的关系不再像以前一样,企业会包办员工的所有事务,比如配置IT设备。这些都助长了IT消费化的趋势,最终引发了BYOD潮流的到来。
堵不如疏
和过去一样,面对新的变化,IT部门的第一个反应是说“No”,而其最充分的理由就是BYOD会给企业IT系统带来极大的安全隐患。比如,移动设备容易丢失。BYOD的员工通常会在他的移动设备中保存一些企业数据,如公司的电子邮件或是演示文稿、通信录,有些是很敏感的信息,设备丢失可能给公司带来严重后果。还有些设备会保存登录密码和登录凭证,这些设备可以自动登录企业的IT系统,设备丢失对企业的信息安全更是一个威胁。
另外,恶意软件威胁也不得不防。员工很容易通过一些移动商店给自己的移动设备下载一些未经企业认证的移动应用程序。这些程序是合法的还是恶意,并没有人能够保证,这样的设备进入企业肯定会让那些对风险很敏感的公司产生巨大的担忧。
尽管BYOD面临很大的安全威胁,但在节约成本、企业员工喜欢以及安全问题没有想象的那么大等诸多现实面前,IT部门还是不得不从“No”转变成“How”。现实是,即使IT部门不对BYOD提供技术支持,员工照样能以他们自己的方式实现BYOD。比如,员工可以把公司邮件转发到Gmail邮箱、QQ邮箱,通过这些邮箱提供的手机客户端或者Pad客户端来收发邮件。对于企业IT部门而言,他们的这些操作将置公司的数据于危险境地。事实证明,对于那些拒绝支持BYOD的企业,数据泄漏的风险更高。
因此,面对BYOD,CIO或者IT部门首先要做的是调整心态,认识到对BYOD“堵不如疏”。必须承认,过去的几年里,企业IT环境发生了很多的变化:移动互联技术和Wi-Fi使得IT的网络边界被打破;云、虚拟化使得应用的边界被打破。企业员工在任何时间、任何地点、和任何人可实现任何形式的通讯、协作和办公,这是一个客观现实的需求。
其实,这些年移动设备的安全状况已经有了很大改变,大部分安全问题(如远程删除、加密等)都已经可以解决。比如,对于苹果公司的iPhone手机和iPad,很多MDM(移动设备管理软件)可以利用苹果公司提供MDM接口来满足企业绝大多数安全需求,而对安卓设备也可以通过安装各种客户端来满足安全需求。如果后台安装的是微软的Exchange或者兼容Exchange ActiveSync的邮件服务器,无需第三方软件的支持,企业可以确保iOS设备和安卓设备符合安全要求。
值得一提的是,邮件完全可以作为IT部门规范员工BYOD行为的一个非常好的开端,“如果你需要访问公司的邮箱,就必须符合公司的各种规定”。毕竟,无论公司员工所持的是什么样的移动设备,他一定需要访问公司的邮件系统,为此,他的设备必须符合公司的安全规范,比如,数据必须在设备上加密,需要凭密码登录,如果多次登录失败能自动远程删除等。换句话说,就是让员工知道,他能访问公司邮箱,但IT部门也具有控制权可以在需要时阻止其访问。
真能省钱?
BYOD会给企业省钱吗?实践中省钱也是很多企业决定支持BYOD的原因之一,或者被很多人拿来说服公司CIO或者高层允许BYOD。在不少人看来,原因很简单,企业不用为员工提供设备应该会给企业省下一笔开支。
业内专家认为,这是一种误解。在现代企业IT的各项投入中,硬件成本已经占比不多,企业的很多投入主要在“软”成本上。就BYOD而言,虽然硬件成本节省,但是可能会带来一定的隐性成本。这些隐性成本可能包括支持(服务支持)、基础设施(购买新的移动管理套件和网络升级)、软件(存储、在线文档编辑的购买)、通信费用等。而最终能不能省钱还在于企业的IT部门如何对BYOD提供支持。
另外,省钱的一个前提之一,需要企业制定一个好的统一管理策略。根据来自不同市场机构的调查,至少60%的组织不仅没有因为BYOD而省钱,反而还增加了成本,只有1/4的组织可能会因为BYOD而省钱。
正确的态度是支持BYOD不应纯粹追求节省成本。因为这很难,涉及到很多环节。专家建议,企业与其关注成本,还不如考虑如何制定一个更为完善的BYOD战略,让员工可以在公司定义的菜单中选择适合自己的设备和服务,使他们能够充分利用规模来降低成本同时更方便工作。如果能如此,即使在短时间BYOD不会节省成本,随着时间的推移,随着BYOD的流行和策略成熟,这项投资很有可能产生回报,可能是在成本上,也可以是其他方面。
事实上,和过去几十年中企业采用的很多新技术一样,成本节约不是BYOD的最主要驱动力,提升了敏捷性、灵活性和增加了生产力才是最终的推动力。W
链接一
谁该拥有移动终端
员工手中用来办公的移动设备到底该谁所有,这是BYOD项目最常遇到的问题之一。实际上,除了一些事关敏感数据的组织,如政府、医疗、国防等单位,这个问题答案会比较明确——应该给组织而不是个人,大多数时候答案并不明确。尽管如此,出于安全的目的,对于这些移动设备组织至少应该有一定的控制权。总体上,就移动设备的管理有三种形式:
员工所有。员工自己购买设备,企业支付一定补贴,包括通信补贴等,但是,员工和企业之间会达成一个基本的协议,如果员工通过该设备接入公司网络,他应该允许企业对其设备进行管理,包括数据的及时备份和远程删除等。如果员工离职,需要及时删除设备中的数据,禁止该设备访问公司网络。
企业拥有。设备完全由公司所有,因此而产生的通信费用也由公司承担。如果员工不喜欢该设备,或者公司禁止用于私人目的,员工很可能还要携带一台私人用的设备。如果员工离职,设备交还企业。
企业购买,以低价转售给员工。这种形式通常允许员工将设备用作私人目的。而员工离职时,常会被要求以同样的价格让公司收回该设备。
链接二
关于BYOD安全的几个建议
1.教育员工,让其认识到移动设备的安全风险。
2.制订安全策略,在移动设备上实现远程锁定、擦除功能。
3.安装反恶意应用的软件。
4.谨慎使用Wi-Fi,尤其是公共Wi-Fi。
5.在企业网络内部划分不同区域,分别制定不同的安全策略。比如,高度敏感数据,要求VPN接入。
BYOD,别忘了桌面虚拟化
BYOD并不一定就是部署移动设备管理(MDM)解决方案或者各种移动设备防毒安全软件,桌面虚拟化也可以实现同样的目的。
本报记者 邹大斌
IT产业正处在激烈的变革之中,其中最大的变革之一是工作与个人之间的界限日趋模糊,而其背后的推动力之一就是BYOD(Bring your own dvice,自带设备上班)。各种市场调查显示,BYOD正是不少CIO眼下正在做的工作。对此热潮,专家提醒,BYOD并不一定是部署移动设备管理(MDM)解决方案或者各种移动设备防毒安全软件,桌面虚拟化也可以实现同样的目的。
所谓桌面虚拟化是当今流行的虚拟化技术中的一种。与服务器虚拟化侧重于服务器资源的灵活调度和提高资源利用率不同,桌面虚拟化技术关注的是用户终端的集中管控。目前,思杰和VMware是目前市场上最主要的桌面虚拟化技术供应商,
“与服务器虚拟化不同,桌面虚拟化距离普通用户更近一些,它的部署可以让用户实实在在感觉到工作方便,让我们可以用自己喜欢的设备随时随地地开展工作。”VMware大中华区终端用户计算业务总监石峰告诉记者。
而之所以能带来这些方便,是因为桌面虚拟化通过在服务器端集中配置、存储和管理用户电脑的应用和个人配置,而这些应用实际运行在服务器端,形成“桌面云”。用户电脑基本只是承担显示任务,显示出操作画面而已。这就给用户带来很大方便,首先,用户无需专门的电脑,只要能接入网络,即使是一台网吧中配置很低的电脑、平板电脑甚至是智能手机也可以像用自己的电脑一样方便。比如,思杰的XenDesktop和VMware的View桌面虚拟化套件,都支持在iPad、智能手机上像普通电脑一样进行办公,如收发邮件、编辑文档、审批流程等。
来自思杰的一份关于企业用户准备采用哪些设备来支持移动办公的调查显示,在已经部署移动办公的企业中,90%的企业选择了桌面虚拟化,位于其后的分别是应用虚拟化(84%)、移动设备管理(83%)、基于Web的远程支持(81%)、文件共享和存储(79%)、在线会议、企业应用商店(73%)等等。从中也可以看出桌面虚拟化在BYOD市场的应用潜力。
桌面虚拟化的独特技术还带来了前所未有的安全,这一点对于BYOD用户有很大的吸引力。因为在桌面虚拟化技术的支持下,用户虽然仍然像操作传统桌面一样操作,但所有数据和应用实际上并没有在用户所使用的电脑上落地,这就为确保企业信息的安全提供了方便。事实上,正因为用户与服务器之间只传递图像和鼠标位置等变化的信息,所以桌面虚拟化很容易就可实现防止非法下载和拷贝。同时,由于采用统一的终端信息保存与维护,再配合基于角色的访问控制以及安全的远程接入,可使企业远离病毒与黑客的侵扰;而在管理方面,由于系统的补丁和升级都可以在服务器端一次性完成,从而极大地提供了工作效率,同时也增加了安全性。实际上,根据记者的了解,目前在桌面虚拟化技术用户中,最大的采购需求恰恰来自安全。
“一旦企业选择支持BYOD,如果不对这些安全策略进行调整,就把企业信息安全置于非常危险的境地。”Citrix公司大中华区技术总监侯继涛告诉记者,“部署桌面虚拟化技术是一种简单有效的方法,这将在不用改变现有的IT架构和IT流程的前提下,保证企业信息安全。”
值得一提的是,除了支持BYOD之外,桌面虚拟化还具有另外两个好处,就是降低用户使用终端维护成本和有助于节能降耗。因为采用桌面虚拟化之后,由于所有的系统都保存在服务器端,升级和补丁可以由IT部分集中一次完成,从而降低维护成本;而桌面虚拟化架构中可以用瘦客户端代替以前的个人电脑(一台瘦客户端的电能消耗是一般PC机的1/10),从而实现节能。W
部分主流移动设备
管理软件
本报记者 邹大斌
进入BYOD世界,员工通过自己的设备接入公司的IT系统,收发办公邮件、处理公司业务,这给员工带来了很大方便,但对企业IT系统带来了很大冲击,特别是对企业的信息安全。因此,如何确保企业信息安全是CIO必须考虑的问题。幸运的是,市场上出现不少移动设备管理软件(MDM),通过它们可以实现对智能终端设备的接入管理和终端设备上的数据加密、删除等,从而解除了CIO的安全和管理之忧。以下是市场上流行的几款MDM软件。
1.IBM Endpoint Manager for Mobile Devices 。该套件基于 IBM Bigfix 技术构建,将端点和安全性管理结合到单一的解决方案中,以支持管理传统终端设备和iOS、Android、Symbian 及 Microsoft Windows 手机,从而帮助企业应对安全性、复杂性以及BYOD策略的问题。具体而言,其功能包括保护企业终端数据、获取企业可视性 、使用单一的平台来管理所有企业设备。
2. 赛门铁克移动安全管理套件。这是一个能够帮助用户安全地实现其BYOD计划以及移动电子邮件部署的整体解决方案。该套件基于新的移动安全策略和产品组合,能够给用户提供业界全面的企业级移动平台,以及更强大的移动设备管理、移动应用管理和威胁防护能力。该解决方案包含如下为智能移动设备提供应用分析和威胁探测功能的安全软件Mobile Security for Android、配置管理器Symantec Mobile Management for Configuration Manager等。
3.McAfee Mobile Security。其最新版本采用了应用程序锁定 (App Lock) 这一创新性应用程序隐私保护技术以及全新用户界面,可为 Android 智能手机和平板电脑用户提供全面保护,确保其移动应用程序中的个人信息不会被窃取。Android 用户能够使用与其 McAfee Mobile Security 账户关联的同一 PIN 码锁定安装的应用程序,从而可以有效地防止应用程序的滥用。
4. 瞻博网络Simply Connected。借助该工具IT管理者可对所有有线、无线和移动连接进行设置,并自动执行一致的安全和访问策略,无论这些连接是来自公司还是个人或访客的设备。这一方案最终将降低IT管理人员的负担,解决BYOD管理和安全执行准入政策方面的困扰。其中的Junos Pulse接入控制服务/UAC和Junos Pulse安全接入服务/SSL VPN 可为Mac OS、iOS和安卓设备提供增强的端口设备完整性检查、评估和安全配置,满足企业组织的安全接入政策要求。
5. 华为BYOD移动办公解决方案。该方案依托AnyOffice移动办公平台,在终端方面,能广泛接入多种智能终端,并通过强认证方式保障用户的接入安全;在网络方面,通过高效安全的WLAN网络和领先的LTE技术,实现移动设备的高效接入和无缝漫游;在数据管理上,通过完善的MDM功能,实现访问数据的多策略控制和终端设备的安全防护;在应用方面,通过移动VDI、移动会议、Pushmail和安全浏览器等移动应用,满足客户移动办公需求,实现企业移动办公的安全、效率和体验的完美融合。
6. Aruba ClearPass 接入管理系统。该系统可以帮助用户管理有线、无线和 VPN 上的网络访问并保障其安全。通过在整个网络中集中访问策略,ClearPass 可以自动处理不同用户和设备的访问,自动管理策略,自动设置设备,进而实现安全的网络访问以及安全状况评估。这可以确保各用户拥有与其角色和所使用设备相符的相应访问权限。