【51CTO.com 原創(chuàng)】上一期，廉哥留了個尾巴：就是BYOD(Bring Your Own Device)，是"IT消費化"的典型衍生品。咱說白了也就是：用自己的移動設備給公司干活，還在那里傻樂呵。雖然它在2015年已脫離了加德納技術(shù)成熟度曲線，而且各大技術(shù)網(wǎng)站都已經(jīng)是老生常談的話題了，但是經(jīng)過幾年的技術(shù)迭代，卻已在我神舟大地(其實全球都一樣)成“你若盛開，蝴蝶自來!”的態(tài)勢了。所以對于“愛總結(jié)愛思考”的廉哥來說，這樣成熟和泛用的企業(yè)網(wǎng)絡的再次拓展，咱豈能不涉獵的?這次就讓我繼續(xù)來為大家"撥洋蔥"吧。

[[171197]]

正所謂“凡事預則立”，我直接從安全方面入手：

1設備策略層面

· 密碼更新

注意是"自動更新"，這一點很重要，多年來的運維經(jīng)驗告訴廉哥，***選一款能和現(xiàn)有域集成的移動設備管理軟件(MDM，業(yè)界所謂的BYOD 1.0)，實現(xiàn)屏幕鎖與域帳戶的密碼同步與更新。畢竟用戶大多不是電腦專業(yè)選手，而且從 best practice的角度來說，這將省去維護人員處理由于用戶由于域密碼更新而未能自動同步到移動設備上所導致的鎖死的各種求助電話。

· 自動鎖屏

這里實際上是兩個概念：一個是企業(yè)通過MDM設定好移動設備在多長時間沒觸碰的情況下(即Timeout)自動鎖屏;這個時間的把握***融合用戶的接受度以及需遵從的規(guī)范。另一個概念是必要是企業(yè)對移動設備的遠程鎖屏，以阻止被繼續(xù)盜用。這不但適用于設備被偷和丟失場合，也適合于用戶離職時。密碼復雜度的規(guī)定，這里就不贅述了。

· OS和Apps升級

常言道，“升不升是個問題!”不要操作系統(tǒng)一出新的就馬上升級的，有經(jīng)驗的小伙伴都知道這往往是一個坑啊。有實力的企業(yè)，就組織IT人員做pilot吧。體驗的重點是升級后，各種與工作相關(guān)特別是企業(yè)定制的那些Apps是否存在兼容性的問題;當然沒實力的話，先hold幾個月，就讓其他企業(yè)先去“嘗鮮”或“踩雷”吧。另外，擴展說明一下：同理，一些知名和常用Apps的更新包也可能存在類似的升級坑點和隱患。因此，把自動升級block掉，乃是極好的。

· 下載控制

比較強勢的企業(yè)可以通過阻止下載的手段來禁止用戶通過應用商店和瀏覽器進行隨便。但是要注意到是：這畢竟是用戶自己所有權(quán)的移動設備，而并非企業(yè)所配備，太嚴格了誰還陪你玩兒?上綱上線的說，這對"穩(wěn)定軍心"和"促進生產(chǎn)力"沒好處哦。另外，對禁用設備上的攝像頭以及截屏功能等安全管控策略也***慎用。那么怎么破?一.加強各種操作的系統(tǒng)日志管理;二.直接運用BYOD 2.0。君莫急，下文馬上談到。

另外，好學的您也許會追問，那么公司派發(fā)設備呢?那就比較easy啦，IT部門可以選擇運用策略進行推送(類似微軟的SCCM)，或是事先準備好一些權(quán)利受控的下載專用帳號，已備臨時之需。當然， IT人員要在后臺做好記錄(若能自帶則更好)，定期評估Apps的必要性，或是運用策略遠程刪除掉。

2網(wǎng)絡接入層面

當前所廣泛采用的有兩種身份認證的接入方式：一種是無線加密協(xié)議、如802.1x，而另一種是SSL方式的Portal認證模式。還記得那個老段子嗎?“等咱有了錢，我買兩個腎6，一個玩游戲，一個臭顯擺。”所以說在真實環(huán)境里，同一賬號可能在不同場合、不同時段，甚至是相同時段在不同的終端上要求訪問公司資源。因此認證時需要分配不同的控制策略，對于認證系統(tǒng)來看就是除了對賬號信息的判斷外，對接入場景的判斷也是非常重要的。在實際環(huán)境中，網(wǎng)絡接入的管控可以通過MAC地址，以及瀏覽器的HTTP_USER_AGENT頭等來識別并收集移動設備的廠商、型號、操作系統(tǒng)等信息，進而匹配不同的應用場景，實施相應的管控策略。

3應用層面

如果說MDM專注于設備本身的管控的話，移動應用管理 (MAM)更著眼于移動設備上的軟件和應用。對，MAM就是那個BYOD 2.0。常見的方法就是運用"沙盒"來將應用程序隔離在用戶的設備上，并防止其內(nèi)部數(shù)據(jù)被/向外部其他應用程序所訪問。所有與企業(yè)工作相關(guān)的應用都被"包裝"到了一個便于管控的集裝箱里，移動用戶要處理工作，就"快到碗里來"吧!

如今MAM的技術(shù)已經(jīng)非常成熟了，用不著我在這里道貌岸然的瞎嗶嗶，哥只分享一些自己在選型和測試上的運維心得：

· 軟件上能與企業(yè)現(xiàn)有AD、LDAP相集成，實現(xiàn)單點登錄(SSO)是非常必要的，用戶在各個應用間切換或同時使用時，若要屢次輸入不同的密碼，工作效率不但大打折扣，抱怨投訴也會滋生而出。

· 一般有MAM的都是一整套集工作文檔編輯、瀏覽器、郵件、報表等功能為一體的App工具包套件，流行的說法是"生態(tài)鏈"。那么其是否支持常見文件類型就顯得比較重要的。畢竟用戶直接點開郵件附件并進行編輯、轉(zhuǎn)存等操作是非常常見的。

· 大家還記得數(shù)月前百度網(wǎng)盤通過自動生成的iPhone文件夾capture用戶智能手機的圖片或文件，然后自動上次至云盤，且能被搜索到的案例嗎?這邊廂企業(yè)IT人員花大量防范資料外泄防護(DLP)，那邊廂無形中文檔被各種云應用自動分享出去了。估計哪個企業(yè)IT碰到這類事件都會懷著巨大的“心理陰影面積”，"整個人都不好了"。

· 另外，雖說現(xiàn)在3G/4G網(wǎng)絡已普及，但是城市里有免費WI-FI的地方并不多(娛樂消費場所最多，你懂的)，加上我們根深蒂固的"省流量"和"蹭網(wǎng)"等觀念，造就了我們在應用軟件選型的時候，要注意它是否有針對移動網(wǎng)絡延遲問題的各種流量優(yōu)化，如：是否簡化了圖片密集型內(nèi)容的交付，以及內(nèi)容QoS的調(diào)整等。

4 數(shù)據(jù)層面

說到移動信息的管理(MIM)或者是移動內(nèi)容的管理(MCM)，一般企業(yè)的各種移動應用與移動設備之間的往來數(shù)據(jù)有三種存放位置，即：服務端、移動端、云端。每種方式都有自身的效率與安全的利弊。

只要確保被適當加密，以及其文件格式等不被其他應用程序所輕易讀取，那么機密數(shù)據(jù)存儲在用戶移動設備也不是不可以的。畢竟現(xiàn)在是大數(shù)據(jù)的云時代了，如上期我們聊到的無線網(wǎng)絡，企業(yè)數(shù)據(jù)早就通過各種方式突破了有形的企業(yè)系統(tǒng)架構(gòu)，而“能即時獲取”的用戶體驗更被企業(yè)視為重要的競爭力之一。我們ITer正是要幫企業(yè)找準效率與安全的平衡點。

好了，技術(shù)上先談這么多，其實在管理方面還有一大塊呢：包括經(jīng)費控制、風控、合規(guī)以及用戶教育等。小伙伴們，是要下期接著講BYOD的管理呢?還是等技術(shù)都講完了，再放到后面進行庖丁解牛并潑墨重彩呢?我聽您的，請給我打賞點贊的同時，留言告訴我吧。下期會!

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處。】