BYOD以及BYOT(Bring Your Own Technology,带自己的技术上班)已经成为一股风潮。许多企业开始借此机会尝试允许其员工使用私人的移动设备办公,并访问企业的私密商业信息,包括email、企业名录、日志、文档、应用软件以及其它内容;但与此同时,这些移动设备上还保留着各种员工的私人信息、应用软件和社交账户等,不在企业IT的监控范围之内。BYOD/BYOT的这种双重使用特性意味着这些私人设备需要经常穿梭于完全不同的IT策略域,由此IT经理的工作变得更加复杂和艰巨:一方面,他们要为每一个员工制定一个安全的IT活动域,同时还要保护员工的个人隐私、保证他们能够自由访问处于不同IT域中的信息;另一方面,IT经理还要考虑,企业怎样才能制定一套商业策略,通过引入BYOD/BYOT的优势,实现降低IT成本、提高员工的生产率和满意度的目标。
IT经理感到“压力山大”,而BYOD追捧者的要求却有增无减。
- 他们希望总能够即时地访问自己想要的信息;
- 他们需要的不仅仅是文本信息,还包括视频以及富媒体内容;
- 他们无法忍受企业传统的刻板的通信、协作和与客户交流的方式;
- 他们还总想把带有强烈消费性色彩的行为方式带到办公场合来……
受此影响,未来企业的办公和运营需求也随之改变:
- 未来企业的员工组成将更加全球化和虚拟化;
- IT运维成本将迫使企业特别是中小企业不得不允许员工使用私人设备办公;
- 对企业信息的访问将来自世界各个角落,经由公网、私网、安全的或不安全的网络;
- 访问者将从公司的经理和雇员,扩展至集成商、合作伙伴、供应商、客户乃至普通公众……
实际上,在应对BYOD/BYOT所带来的上述挑战时,企业IT面临的最大问题不在于技术能力的缺失,而是如何实行一系列正确和可行的原则和技术,以达到自由访问和严密控制的访问策略之间的平衡。在“自由”与“控制”两者之间寻找平衡,企业IT需要理清3个关键点:
- 员工和企业IT如何协商访问模式?
- 考虑到实时变化的环境,员工和企业IT如何实现双向的动态访问管理?
- 如何让企业IT能接纳个人设备和技术的改变?
为了更加直观地了解上述问题,我们不妨参考文后所附的一个真实的例子——《BYOD的一天》,看看访客James Brown进入华为美研所(Santa Clara园区)后是如何与IT系统互动的,这也是如何设计、管理以及实施企业动态安全策略的一个很好实例。其可行性成立的关键在于,采用一套双边的、动态的、颗粒状的、可实时确定的信任机制。
事实上,企业以往基于鉴权以及公钥基础设施建立起来的静态IT策略是BYOD/BYOT大规模实施的绊脚石。信任必须要持续地进行重新评估,而评估的依据来自于设备和基础设施传感器收集来的动态痕迹和相关信息。需要注意的是,动态推行的策略是需要根据用户及其设备所处的环境、情况以及意图持续地进行协商和再推行的。
总之,如果参考如下机制,那么,一个介于用户以及企业间的健康的、双边的访问策略是可以实现的:
- 动态化:未来企业的IT策略不可能面面俱到、无视终端用户的角色差异而保持一成不变,它会是智能的、动态的,并且在核定终端用户的接入能力前,就能够识别用户所处的动态环境。
- 可协商:用户(及其设备)应该可以和企业协商IT策略。在不经过双边协商以及用户同意的情况下,不能把IT策略强加于人。这意味着,IT系统在为某位员工制定个性化的网络访问策略之前,应该充分考虑用户隐私以及访问需求。
- 个性化:IT策略应该有能力根据输入的用户名确定用户背后的“人”是谁——无论是通过企业内部名录数据还是公共数据,它应该有能力根据信息鉴别每一个用户的身份,并提供选项可以把私人推荐作为上述确定流程的一部分。如此一来,IT策略为每个人量身打造,做到个性化,是为一个独立个人而非一群人设定。
未来企业的BYOD策略需要紧跟并围绕消费领域的诸多革新趋势,这些革新在个人消费领域蔓延的速度往往比在企业市场要快。为了保护企业信息而进行的访问授权必须基于睿智的决断,由此能够帮助终端用户在正确的时间获得正确的信息,而同时不会对企业的专有或者保密信息造成泄露。这些策略应该是透明的、可协商的以及可快速实现的,以更好地满足未来企业的用户需求和技术需求。
BYOD的一天
人物:James Brown先生
地点:华为美研所
剧情:
James Brown先生是一位“社交达人”,他总是随身携带自己的iPhone和iPad,以便能够安全且无障碍地登陆社交网络,随时随地和亲朋好友以及工作伙伴分享自己的一举一动;与此同时,James还是一位工作狂,希望充分利用时间参与到工作中去,和合作伙伴交流、沟通、协作;当然,James也明白,他此次访问的是华为的研发重地,关键问题上,必须遵从“主人家”的规矩,不能乱来,所以他也愿意入乡随俗。
因此,他给自己制定的目标是:通过Santa Clara园区中的公共Wi-Fi网络使用电子邮箱、Skype、登陆Facebook以及参加华为召开的在线会议,与此同时,允许园区IT系统监控他是否在未经授权的情况下在研究室拍摄照片或做记录。
那么,园区的IT策略管理系统又是如何与他互动的呢?
第1幕:识别
IT系统首先要识别James Brown的证书,确定其用户分类以及角色(例如:员工、合作伙伴、供应商、访客)。经过迅速的“望闻问切”,系统断定James的属性系——访客。
第2幕:配置
根据James的访客属性,系统开始对James配置接入能力。允许的,开绿灯放行;不允许的,就亮红灯阻止。IT系统是这样填写选项的:无线(允许);Gmail(允许);企业邮箱(不允许);公共Skype(允许);企业Skype(不允许);Facebook(允许);企业Facebook(不允许);摄像头功能(不允许)。
允许与否取决于James的角色及其授权证书。可以看到,IT一方面充分保证了他访问公共网络的自由,与此同时,也对他使用企业服务的权限进行了限制。
第3幕:协商
与此同时,James的设备也毫不客气,加入和IT的博弈,它的大门上也列着管理选项:访问我的应用数据(不允许);控制我的设备传感器(允许)。也就是说,BYOD/BYOT能力的设计必须考虑企业与用户双方面的权益,双方资源的开放与否都是可协商的。
如果James认为,自己的需求已经能够满足,他可以选择达成协议,接受被授予的访问权限;如果他发现自己还需要更多的权限,而且也有资格拿到,他可以选择提供更多的用户授权证书,然后继续申请。
第4幕:调整
James突然想到,自己还要参加华为的在线会议呢,这可是他来此的重要目的之一,而作为华为的合作伙伴,他应该有这个权限。于是,他补充提供了这样的信息:“我是华为重要的合作伙伴,我在华为的推荐联系人是Susan Tran”。搬出Susan Tran这个“内线”可谓是明智之举,因为对于系统而言,内部人员的举荐非常重要。
接下来,系统就“传唤”Susan来确认James的“重要合作伙伴”这一身份。Susan即刻对此事进行了确认,并要求系统给James增加额外的访问权限——比如登录企业在线会议系统等。
接下来,IT策略管理系统以及James的移动设备会将它们协商后的策略应用下去。通过协商以及动态调整,James终于如愿以偿,大功告成,通过BYOD在华为美研所渡过了开心、充实的一天。
