企業推動BYOD,必須確保員工私人的行動裝置符合公司的資安政策,可以透過安裝代理程式、App,或者是如同IBM規定要下載安全設定檔(SPI),就可以將iPhone預設的4位數密碼(圖右)變更為8位數密碼(圖左)。

企業讓員工自帶設備(Bring Your Own Device,BYOD)上班,是一個雙面刃的議題。員工使用自己的電腦或行動裝置的好處,對個人或公司都有好處,一方面員工使用自己喜歡、熟悉的設備,可以提升工作的生產效率,另一方面,公司不需要為員工採購相關的設備,可以節省成本。但缺點則是資訊安全控管的難題,因為企業勢必得面臨管理多種設備存取企業系統的挑戰。

如何在開放員工自帶設備之下,又確保資訊安全,是IT部門頭痛的事情。但若能做好企業最在意的安全控管問題,那麼BYOD對企業與員工而言,可能就會是一個雙贏的局面。

臺灣IDC企業應用研究部市場分析師吳乃沛表示,目前企業開放員工使用自己的行動設備存的範圍,主要是以電子郵件、行事曆和協同作業等系統,還沒到達完全開放行動裝置可存取所有系統的地步,所以目前主要採取3種資安控管做法,分別是行動裝置控管、用戶端虛擬化(Client Virtualization)和公有雲服務等方式。

行動裝置控管,避免手機資料外洩

最基本的作法是在手機安裝行動裝置管控軟體,許多資安廠商都已經跨足行動裝置管理這個市場,目前技術上都能做到遠端控管,例如當手機遺失的時候,可以自動鎖住手機,限制手機的使用,或者是直接刪除手機裏的資料,避免資料外洩的可能性。

以化妝品公司臺灣萊雅(L'Oreal)為例,公司開放所有同仁可使用自己的手機或平板電腦,連接在業務上有需要的系統,但必須要安裝公司規定的行動裝置控管App,而購買該軟體的費用則由公司支付。

臺灣萊雅資訊部協理陳明煌表示,萊雅開放的設備以iOS和Android平臺的手機與平板電腦為主,使用者必須安裝公司規定的Good App,在蘋果或Google的App軟體市集都可以下載得到。員工透過這個Good App可以存取企業內的所有系統和電子郵件,就好像在手機裏有一個虛擬的加密環境,存放所有企業內的資訊。

當萊雅的員工申請要自帶設備上班,公司就會要求員工註冊個人的手機號碼,一旦該員工的手機遺失,公司就可以透過控管平臺進行遠端刪除員工手機的資訊,而且,公司還可以預設是遠端只刪除存放公司資料的Good App,或是要刪除包含員工私人手機的所有資料。

臺灣賽門鐵克資深技術顧問張士龍表示,除了控管員工的行動裝置外,再進一步控管網路存取,則可獲得更好的安全管制效果。行動裝置要連網才能夠存取企業系統,若能夠從Mac Address、帳號或密碼等方式控管,只有經過申請的員工,才可以透過行動裝置存取企業網路,這樣也能提高安全性。

管控手機在技術上來說不難,另一個要注意的在於政策落實與隱私權問題。吳乃沛表示,企業推動BYOD的最大挑戰,就是要員工交出行動裝置的部分控制權,讓公司可以管控原本屬於員工個人的裝置,這也是員工和企業之間最大的矛盾所在。

員工若想要在上班時間用自己的設備,就得符合公司的資安政策,否則企業就得冒很大的風險。但企業要進一步控管員工個人的手機、電腦,則必須注意隱私權上的問題。以IBM為例,員工若想要帶自己的設備上班,就必須事先簽署一份同意書。

桌面虛擬化,運算環境統一派送

另一種顧及安全存取的作法,是採取用戶端虛擬化的方式。吳乃沛表示,IDC強調的用戶端虛擬化包括桌面虛擬化和應用程式虛擬化兩個層面,透過底層虛擬化的方式,都有助於企業推動BYOD。

透過桌面虛擬化的方式,可以讓員工以VPN安全的連線方式連回公司,系統即會推送虛擬桌面到使用者的行動裝置,讓使用者在獨立的環境中存取系統的資料。

VMware大中華區End User Computing產品行銷經理劉長春表示,若要確保不同設備存取企業內部網路的安全性,打造虛擬桌面架構(Virtual Desktop Infrastructure,VDI)是一種安全的作法。他認為,目前多數的行動裝置皆可透過企業虛擬桌面的方式,解決資安的問題,同時又維持員工的工作彈性。

劉長春認為,雖然VDI架構要先完成底層架構的虛擬化,必須投入比較高的成本,但對於IT部門而言,則具有統一控管桌面環境和便利部署、派送軟體的好處。他說,因為不論前端裝置的平臺差異,都可做到IT環境的標準化,徹底控管使用者端的環境,杜絕可能的資安威脅。

桌面虛擬化是由機房提供遠端存取服務,前提要能確保機房裏的資料安全性,所以除了伺服器的虛擬化,還必須做好主機高可用性(HA)、系統或異地備援等措施。

永慶房仲集團資訊處協理陳澤維表示,桌面虛擬化完全依賴透過網路遠端連線到機房,必須要在員工的行動裝置可以連網時候才能發揮作用,但有些情況下員工的行動裝置不見得可以連結網路,這樣就會影響提供客戶服務的效率。雖然虛擬桌面的資料安全性較高,但是若不能離線使用,就很難完全符合作業上的需求。

雲端服務,存取控管集中處理

第三種企業推動BYOD的方式,是將企業內部的系統透過公有雲服務的方式,讓員工以自己的行動裝置存取。吳乃沛說,當企業把內部資料和系統都往公有雲上丟,所有員工認證也都由公有雲平臺進行認證,因此,不論員工使用私人或者是公司配發的任何裝置,都可以直接連上該服務取得所需資料、系統和服務。她舉例,像是微軟的Office 365可滿足大部分中小企業的需求,所有應用都可以上網存取,如此一來,員工使用何種裝置就沒有差別了。

神通資科已在企業內部打造了雲端服務,資訊服務研發處處長趙元瀚表示,該公司目前只開放高階主管可以透過iPad存取公司系統,還沒有開放給所有的員工使用,他認為未來讓員工以雲端服務的方式存取所需要的企業系統,是可以預期的發展方向。

目前神通資科的許多專案都已經利用內部的MiCloud雲端服務平臺,建構專案開發所需要的系統或測試環境,隨著員工開始透過這個雲端平臺存取所需的各種資料,未來再進一步開放員工使用自己的設備,也是必然的趨勢。

另外,包括許多房仲、保險或銀行業者,則提供專屬的企業App供員工使用,這些企業開發的App往往都是一種雲端服務,員工只要可以安裝下載企業為員工開發的App,便可以直接在自己的行動裝置上,透過該App存取企業內部系統,所有App包括資料的更新,則可以透過雲端服務一併完成。

不過,透過開發App、打造企業內部雲端服務平臺時,信義房屋資訊長蔡祈岩認為,必須先針對員工進行使用者調查,也得從後臺的使用記錄,彙整員工最需要的系統功能,才能夠打造最適合員工使用的App。達友科技副總經理林皇興表示,企業推動BYOD時,不論採用哪一種控管方式,都必須要秉持「不因公害私」的心態,才會降低員工反彈、推動才會順利。


相關報導請參考「讓員工自帶設備上班?──BYOD的兩難」


熱門新聞

Advertisement