BYOD移动办公信息安全

BYOD即自带设备办公的模式在企业中日益普遍。员工使用自己的手机和平板电脑处理工作事务，企业节省了设备采购成本，员工获得了设备使用的灵活性。但BYOD模式下，企

BYOD即自带设备办公的模式在企业中日益普遍。员工使用自己的手机和平板电脑处理工作事务，企业节省了设备采购成本，员工获得了设备使用的灵活性。但BYOD模式下，企业数据和个人数据共存于同一设备，信息安全边界模糊，管理难度显著增加。

BYOD面临的核心矛盾是企业控制权和员工隐私权之间的平衡。企业需要在员工个人设备上施加安全策略来保护企业数据，但过度管控会引发员工对隐私被侵犯的担忧。这一矛盾处理不好，既影响员工体验，也可能带来法律风险。

从技术层面看，BYOD的安全策略应当围绕数据隔离这一核心目标展开。移动设备管理是基础方案，通过在设备上安装管理配置文件，企业可以对设备实施安全策略下发，包括强制密码复杂度、启用设备加密、远程锁定和擦除等。但MDM的突出问题是企业可能获取设备的位置信息、应用安装列表等个人数据，引发隐私争议。

更优的方案是使用移动应用管理加安全容器技术。MAM只管控企业应用而非整个设备，企业可以在员工设备上部署安全的工作容器，容器内的企业应用访问、数据存贮和网络通信全部在隔离环境中运行。员工在容器之外的个人应用不受管控，企业也无法获取容器外的任何数据。当员工离职时，IT管理员只需擦除容器内的企业数据，不影响员工的照片、联系人等个人资料。

BYOD场景中的数据防泄露需要多层面控制。企业邮件附件、文件共享链接、移动办公应用中的文档流转都需要实施权限控制。对于含有商业秘密的文档，应当启用文档水印功能，在屏幕截图或打印时自动叠加员工身份信息。复制粘贴控制也很重要。企业应限制数据从企业容器向个人区域的复制粘贴操作，防止员工无意中将工作数据粘贴到个人社交媒体或第三方应用中。

网络接入安全是BYOD架构的关键环节。员工通过移动网络或公共WiFi访问企业资源时，需要使用VPN建立加密通道。企业应当在VPN接入点实施设备健康度检查，只有安装了最新安全补丁、未越狱或未Root、未安装恶意应用的设备才能接入企业内网。网络接入后的身份认证不应仅依赖设备识别，而应结合多因素认证确保访问者的身份真实性。

BYOD策略的制定需要充分考虑不同操作系统的安全特性。iOS和安卓系统在安全机制上存在差异。iOS系统对应用权限的管控更为严格，应用的沙箱隔离效果较好。安卓系统虽然版本更新中不断强化安全特性，但因碎片化问题，大量低版本设备存在已知漏洞。企业应当制定操作系统版本最低要求，低于标准的设备不得接入企业应用。

从管理规范角度，BYOD策略应当包含明确的设备准入标准、安全基线要求、违规处理流程和数据归属条款。员工使用个人设备接入企业网络前，需签署BYOD协议，明确双方的权利义务。协议应当载明企业有权在哪些情况下对设备实施擦除操作、如何保护员工个人数据、设备丢失后的责任划分等。

BYOD安全不是一次性部署就能解决的问题。移动操作系统在持续更新，新型恶意软件不断出现，给企业带来持续的挑战。企业应当建立BYOD安全策略的定期评审机制，收集员工使用反馈，评估新兴风险，及时调整安全控制措施。

FAQ

问：BYOD模式下员工离职后企业数据如何彻底清除 答：通过企业移动管理平台远程擦除企业容器中的数据。在MDM方案中可执行设备部分擦除，只删除企业配置文件、企业应用和企业证书，不删除个人数据。在MAM加安全容器方案中，直接移除容器即可清除全部企业数据，员工个人数据不受影响。

问：员工设备丢失后如何保护其中企业数据的安全 答：设备丢失后应立即通知IT管理员通过管理平台执行远程锁定和擦除操作。在BYOD安全方案设计阶段就应当确保设备在丢失后无法被绕过锁屏密码读取企业容器数据。设备硬盘加密是必选项，密码猜测达到设定次数后自动擦除设备数据。

北京企密安 010-63711822 baomiwang.com