个人终端一旦进入到企业网络中,应用的界限将不再那么明确,个人业务和办公业务往往会同时在一个终端内进行处理,比如浏览微博的平板电脑会在下一时刻打开某个ERP系统;运行了微信程序的手机会进入到OA流程审批的业务应用程序中。针对同个终端在不同的适应场景和时间段,IT管理者需要提供不同的安全策略,并对新的使用模型进行增强。
5) 生产数据保护
BYOD实施的前提是确保企业数据的安全传送。当企业的固定资产,如笔记本电脑访问业务应用程序和数据时,通常会受到严格的IT安全策略控制以及类似于“信息安全等级保护”或“萨班斯法案”等法规的制约。
个人拥有的平板电脑或智能手机可能经常被用于个人的访问和业务应用。特别是在“云”为基础的文件共享和存储服务越来越普及的背景下,这样的使用将会成为企业机密数据泄漏的潜在风险点。
6) 访问角色控制
如果移动终端发生丢失或者被盗,IT人员需要迅速对该终端准入策略进行调整,甚至可以远程擦除设备上部分或所有的数据和应用。同样,如果员工角色和岗位发生了变化,也同样存在策略调整的要求。传统的策略控制是基于帐户信息,在BYOD时代,则需要结合终端和业务的状态。
7) 移动终端系统所带来的安全风险
由于接入企业网络中的移动终端种类繁多,IT人员很难将所有的终端功能性能逐一了解,部分移动终端特殊的功能,会使得网络内部的风险明显增多。
比如Wi-Fi存在ad hoc模式,这是一种允许点对点通信的无线互联协议,这使得一些合法的用户用终端开启ad hoc或其它的代理模式,让未授权的用户取得了企业网络内部的访问能力。
再比如Android系统属于相对开放的应用平台,随着Android设备数量的增加,Android设备也成为了受攻击的目标。黑客越来越多地使用移动设备传播恶意代码,而在2012年上半年,受到移动恶意软件攻击的智能手机和平板电脑比2011年同期增加了373%。Android设备成为主要攻击目标,很大原因是接受第三方应用程序(如游戏)的在线商店不对软件进行任何威胁检查。
8) 确保Wi-Fi的性能和可靠性
随着BYOD的不断流行,Wi-Fi接入的无处不在,人们对Wi-Fi的期待,不再限于传统的SOHO使用,而是需要其在易用性不降低的前提下具备类似有线网络的高性能和高可靠性等。这种转变,促使IT人员在设计和部署Wi-Fi网络的时候,把更高速、更可靠、更平滑、更智能、更安全、更易用作为技术目标。
9) 终端数量的激增与IP地址的有效使用
传统网络基本上是帐户、PC、有线端口逐一对应的逻辑结构,但是在移动互联网极度爆发的今天,一个用户拥有多个接入终端,已经是无法回避的事实。Wi-Fi实现了账户和终端以及接入设备间的一对多逻辑,但是也带来了IP地址数量几何的增长。普遍的解决办法是通过NAT,进行内网私有地址的使用,或者进行IPv4向IPv6迁移。
2. 对终端用户而言
1) 易用好用
终端用户对BYOD的朴素要求,就是简单的连接和安全的访问企业资源。但是实时地访问、设备的多样性、业务的多样性等等,都会导致这种需求难以达到完美。比如在企业内部使用的设备,证书的准入方式以及VPN的加密使用,都是普遍的基本规范,但不同终端的不同配置方式,会让终端用户和IT管理者都感到困难重重。
