有效的BYOD策略旨在保护数据而非设备

　　“如果你自己拥有某个设备，那可以对设备进行管理，”Apperian高级副主席Alan Murray称。Apperian是一家基于云的移动应用管理方案供应商。“如果公司拥有设备，就应该对设备进行管理。任何时候管理都是有效的。”

　　BYOD唤醒了人们对数据丢失的恐惧

　　智能手机现在是出现在全球成千上万的公司员工手中，而其他移动设备，如平板电脑的数量也在增长。消费者自带设备在企业环境中使用的现象已经引起了企业IT部门的担忧。如果你觉得这种现象没有在你公司发生，不妨再仔细观察一下。

　　企业正在对自身进行调整以适应新的形势。据赛门铁克2012年的移动现状调查发现，6275位受访者中有59%的人认为自己的企业正在制作可从移动设备访问的应用，71%的人称自己的企业打算为移动应用进行企业统一存储。

　　很难说清是为什么。企业认为对移动运算的接纳会增加员工的工作效率。赛门铁克调查发现73%的受访者期望通过移动运算增加工作效率，而且他们都认为效率也确实增加了。

　　“四到五年前，这些都还只是关乎移动行业精英的事情，”安全移动方案供应商Good Technology公司负责企业策略的高级副总John Herrema称。“他们用企业的设备从事与邮件，浏览器和PIM相关的基本事项。应用从未离开过这一平台。但是我们现在看到的是这些BYOD设备被大量使用。用户称在移动设备上从事的工作量并不少。用户希望使用这些设备，你越让他们使用，他们花在工作上的时间就越长，工作也越努力。如果你找不到克服安全威胁的办法，在员工产能上就会有缺失。”

　　通过移动应用管理保护数据安全

　　现在有很多策略可以帮助企业控制移动环境中的数据。其中一种就是移动应用管理MAM。MAM的意图是通过控制能访问重要数据的应用，将企业资源专注于重要数据的管理上，同时让员工控制自己的设备。MAM可以让企业为应用进行加密，设置和执行基于角色的策略，包括如何保存和共享文档，甚至是在员工离开公司或是丢失设备的时候删除数据。换言之，即便销售人员在自己设备上玩游戏，敏感数据也不会从客户关系管理应用上泄露。

　　“我们一般都认为安全和服从性问题归根结底是有没有控制数据，”Herrema说，“在很多情况下，并没有必要控制设备。很多设备管理方法在BYOD的案例中并不适用。你不可能禁止一个有iPhone的BYOD用户不去使用Siri或iCloud或是其他应用商店。如果你能控制你自己的数据并确保数据没有从个人应用和服务上泄露，就无需对设备多加管制。你不需要告诉用户，不可以使用Dropbox。只需要确保企业敏感文档不会在Dropbox中终结。”

　　即便是在管理应用的时候时候，需要对某些有着高风险的应用类型给予特别关注。例如，除了要管理内部开发的应用和第三方应用外，Good公司还提供安全的邮件应用和浏览器应用。Herrema称之所以这样做是因为设备上的一些本地应用可能从内部泄露数据。如果不能保护和管理核心浏览器，核心地址簿以及核心邮件应用，就还是会出现数据泄露。

　　用Hypervisor运行第二个虚拟电话

　　与MAM相反，Red Bend Software采用的是一种替代办法。它在特定的安卓手持设备上使用type 1 hypervisoer来为相同物理硬件上同时运行两个虚拟电话创造条件。一个电话是用来使用社交网络和其他消费者应用的标准消费型设备。另一个则是运行专门的安卓操作系统。

　　“我们允许企业完全掌控手机的某些部分，”Red Bend公司企业发展执行副总Morten Grauballe称。

　　Grauballe解释称，通过利用type 1 supervisor，Red Bend有能力实现更卓越的性能，因为它是直接在手机的硬件上运行。而且，Red Bend能显著改善安全性，因为它不能作为其他消费型应用在相同操作系统内运行。

　　“可用性从两方面来体现，”他说。“它可以给予IT企业更好的控制力，也允许用户保留隐私和自由。”

　　此方法唯一的不足在于无法在所有智能手机上部署。它需要手机厂商或芯片厂商为设备提供裸金属虚拟化支持。Red Bend正就此问题努力。

　　“我们在与客户商讨，希望能改变他们的产品架构，以及下一代大众市场的设备应该如何设计，”Red Bend营销执行副总Lori Sylvia解释道。

　　Red Bend并不是孤军奋战。虚拟化巨头VMware发布了名为Horizon 移动虚拟化的类似计划，目的是让企业把自己的安全虚拟手机映像部署到员工的私有智能手机中。

　　在手机上放置一个虚拟桌面

　　DaaS(Desktop as a Service)专家Desktone公司也在使用虚拟化来解决BYOD的难题，但是使用的方法与Red Bend有些不同。Desktone不是将手机虚拟化，而是将用户的桌面虚拟化，然后将其作为服务来提供，这样他们就可以通过不同设备访问虚拟桌面(从物理桌面或笔记本电脑访到平板电脑或智能手机)。

　　“和设备管理不同，它更倾向于管理用户，”Desktone CTO Danny Allan说。他也是IB负责安全研究的前主管。

　　Desktone的方案让企业可以设置策略规定如何访问服务，用什么设备访问服务。例如，可以让用户在路上或办公室从iPad访问特定服务。

　　最后，无论你采用哪种策略来解决BYOD的问题，供应商都认同问题的关键在于在允许终端用户自由灵活使用设备改进产能的同时保护敏感数据的安全。如果你的方案太难执行，终端用户就不会使用你的应用，而你也将无法体会到移动设备为产能带来的改善作用。