【IT168 编译】BYOD所衍生出来的安全问题一直以来都是企业CSO们头疼的话题。如何有效解决BYOD所带来的安全问题业界也一直在研究。本篇文章中我们总结出了五种应对BYOD的办法和策略，希望对您和您的企业有所帮助。

　　1、对企业及员工持续的安全教育

　　不用说，教育很明显是很重要的。当涉及到公司有关个人移动设备管理的政策时，能够确保员工知晓;如果公司出台某种移动设备管理方案的时候，也需要确保员工知道如何执行。

　　因此积极的教育是管理条令中必不可少的。例如，在办公室启用新的无线设备时，告诉员工所需的操作步骤，包括不同的操作系统(譬如IOS和Android系统)所需的不同步骤。另外还有关于SSID和自动连接等操作的设置。

　　2、隐私问题

　　另外一个话题就是隐私，确保员工明白公司的哪些设施是有权限访问的，哪些是限制访问的，以及访问这些设施需要具备什么。

　　Dale曾经说过：“隐私是一个成功的BYOD项目中的重要组成部分，作为一名IT工作者，你不仅需要剖析自己的能力，还需要明白你为之工作的企业文化。”

　　关于隐私这个话题，一个CSO也曾表示他们的公司只有很少一部分员工使用BYOD，大部分原因就是由于公司的网络没有明确对隐私的保护。事实上，要不是这小小的用户群，BYOD早就不存在了。

　　“公司的BYOD政策明确表示了连接公司网络、使用公司系统的时候，不包括保护个人隐私。但在使用过程中，有很多人就因为这个原因放弃了使用BYOD，”该CSO解释道。

　　3、现存的对移动设备管理(MDM)的忧虑

　　即使在组织内部已经部署了MDM解决方案，也需要考虑几个关键因素，其中很重要的一条就是需要明确用户的需求。

　　“IT部门及工作人员如何实现这一目标?他们不仅要确保已经为这些新产品做好了充分准备，还要保证这些产品能够最大程度满足用户的需求。”

　　如果公司的移动管理解决方案已经拟定完毕，那么接下来就要按照公司政策，为每个用户或小组设定访问级别。

　　Dale补充说道：“不拟定限制性政策，并不是一件好事”，只要不违法乱纪，对设备采用加密技术也是可以接受的。

　　“另外，让用户了解可以去哪些地方获取公司支持和推荐的应用程序，这也是我们所建议的。这个可以通过企业移动管理(EMM)，提供应用程序目录去实现。因为用户一般都不太愿意去搜索公司支持哪些应用程序，更不愿意去支付某些应用程序，”Dale解释道。

　　最后，还要确保用户能够安全地访问公司的SharePoint 、网络驱动器以及其他站点，这个可以通过流动性管理方案去解决。

　　“我们不要回避安全问题，因为大多数用户都会经历，只是迟早的事。邮件、各种应用程序、各种文件访问，主动开通让员工访问这些功能的权限，不仅让员工获得了他们想要的，也让公司的IT人员对其有一个引导的作用，”Dale如是说。

　　4、没有配置MDM解决方案的企业组织，他们的忧虑：

　　我们从上可以看到已经部署了MDM解决方案的组织仍有大量的工作需要去完善，如果没有该解决方案的组织该怎么办呢?据Dale所说，这本不是一个困扰性的问题，直到用户获取不到或是不能在某些时间段获取到他们想要的资源的时候，才发现MDM的重要性。

　　Dale说：“如果公司允许使用移动设备，但是却没有管理这些设备，甚至是很少去使用它们，那么在短时间内，用户可能不会有所失，但IT部门失去的可就多了。如果不加以管理，用户可以使用好几种方式去获取他们所需要的资源，有可能是一些应用程序，也有可能是公司的一些数据。”

　　这意味着公司的数据很有可能通过多个私有云被共享，而公司却对此无能为力。这要是发生在销售、金融和医疗保健业等行业，将是一个可怕的噩梦。

　　“绝大多数企业在手动加载设备的时候都想摆脱对本地ActiveSync控制的依赖，为应用程序授权是很有必要的，这就牵扯到合规问题了，”Dale补充道。

　　可能会有人怀疑有些预装程序会对组织的网络安全带来威胁，那么是不是应该对其进行监控呢?

　　Dale说：“大多数应用程序都是十分安全的，尤其是预装的程序，如果用户能严格从App商店里下载应用程序，那么其潜在的危险或下载到恶意的应用程序的几率将大大减少，但也并不能保证100%安全。”

　　“IT部门应该随时留意用户下载那些需要消耗大量数据流量的应用程序的情况，有必要的时候还可以对其进行培训。当通过4G网络下载一部高清电影的时候，5G的数据流量很快就用完了。由于现在的很多家庭中，许多的设备都是家庭成员共享，其中也包括小孩，所以在使用过程中，需要多留意数据流量的使用情况。”

　　5、预算限制

　　MDM产品价格不菲，如果要使用它的话，就会导致预算紧张。不管厂商们如何强调他们的产品有多物美价廉，有些企业组织依然负担不起，此时他们就有可能会选择存在安全风险的BYOD方案。Dale指出如果没有一个适当的移动管理平台，就最好不要使用移动设备。

　　他还说：“据我们所了解的就有好几家公司不能为自己的销售团队配置平板电脑，或者是在没有一个合理的解决方案的时候就配置BYOD。因此现在对很多企业来说，企业移动管理的开销再也不是问题了，只要有需要就可以使用移动设备。”

　　Spiceworks是基于MDM的，具有监测、报告和安全管理等功能，其中安全管理包括监测应用程序的安装、检查越界使用的设备以及密码技术的执行。Spiceworks也是一个通用的IT应用程序，可以执行helpdesk和网络管理等服务。

　　但是，美中不足的是它是需要供应商支持的，有一些功能是需要购买许可证才能实现，包括远程擦除、组策略管理和移动应用分布。所以，虽然说Spiceworks是免费的，但其实不尽然。

　　另外一个比较不错的选择就是思科的Meraki。思科的云计算管理平台支持iOS、OS X、Windows和Android等操作系统，并且提供了安全和粒度管理等一系列功能。

　　思科的云计算管理平台是完全免费的，思科这样做是希望借此让各企业组织关注自己的其他产品，包括无线网络升级、交换机或者安全设备等等。

　　但事实证明，Meraki的配置文件可以从设备中移除，为了解决这个问题，思科提出了以下建议：

　　“由于苹果对iOS运行设备的限制，用户不能够自行移除该文件。因此，我们鼓励管理者对保留配置文件的用户提供奖励，比如在MDM策略的配置文件中提供无线网络的身份凭证。那样的话，如果该文件被移除了，网络接入也就断了。管理者还可以在用户要删除配置文件的时候设定电子邮件提醒。”

　　虽然免费的产品对企业组织来说可以节省一大笔开销，但是随着员工自行携带办公设备的流行，大部分员工都比较喜欢无论走到哪，都能够进行工作，而不是把办公环境固定在办公室而已。因此，从长远看来，免费的产品依然不是最理想的，其付出的代价可能更高。

　　原文链接：http://www.csoonline.com/article/745215/5-more-post-holiday-byod-strategies-and-considerations