前年我参加过一个企业安全管理的论坛,有个CIO分享的案例让我印象深刻。他们公司支持BYOD政策,员工可以用自己的手机和电脑办公。有个员工离职的时候,IT部门要求他清除办公数据,他口头答应了,但时隔半年,公司在一个行业群里看到了一份内部资料截图,水印追踪发现就是从这个离职员工的个人手机上流出去的。原来这个员工虽然删除了公司邮箱和办公App,但手机相册里还存着大量工作截图没有清理。
BYOD模式让员工可以在个人设备上处理工作,确实提升了灵活性和满意度,但也带来了一个让企业管理者头疼的问题:公司的数据放在员工的个人设备上,公司能管到什么程度?
BYOD模式的数据安全难题主要在于边界不清。公司的数据和员工的个人数据混在同一台设备上,公司不可能像管理公司配发设备那样对个人设备进行全面管控。但如果完全不管控,数据泄露的风险又无法控制。
我见过一些企业在推行BYOD时走了极端。有的企业完全不管,员工用什么设备办公、设备上装了什么软件、数据怎么存储,一概不问。结果出现了多起因为员工设备中毒导致公司数据被盗的事件。有的企业又管得太严,要求员工在个人手机上安装管理配置描述文件,甚至能远程擦除整台手机。这种做法引发了员工抵触,有些人直接拒绝配合。
折中的方案是使用容器化技术或者工作区模式。现在主流手机操作系统中,苹果和安卓都提供了企业级的工作区和个人数据隔离功能。在这个模式下,手机上会划分出一个独立的工作区域,公司数据只能在这个区域内存储和操作,无法被个人应用访问。如果公司需要执行远程擦除,也只能擦除工作区的数据,不会影响员工的个人照片和联系人。
对于电脑设备,容器化方案同样适用。可以在员工的个人电脑上创建一个加密的工作区或者虚拟机,所有工作相关软件和数据都安装在这个隔离环境中。员工用个人用途的软件时在外部操作,处理工作时用隔离环境。即使个人电脑中了病毒,工作区内的数据也不会受到影响。
北京企密安信息安全技术有限公司在为企业设计BYOD管理政策时,通常采用分级管理的思路。首要级是基础管理,适用于所有支持BYOD的员工。要求设备必须设置锁屏密码、启用系统自动更新、不越过狱或者root。公司通过移动设备管理平台对这些条件进行检查,不满足条件的设备无法访问公司资源。第二级是增强管理,适用于能接触到敏感数据的员工。在基础管理之上,要求设备安装容器化工作区,所有公司数据在工作区内操作。第三级是严格管理,适用于核心涉密岗位。这类岗位建议直接使用公司配发的专用设备,不支持BYOD。
BYOD管理还有一个不能忽视的环节是数据出口的控制。员工在个人设备上处理工作时,能不能把公司文件的截图发到个人社交账号?能不能把邮件转发到个人邮箱?能不能通过第三方云盘备份手机数据?这些行为如果没有明确的政策约束和技术控制,数据很容易脱离公司的管理范围。
我建议在BYOD政策中明确几个场景的处理方式。员工离职或设备丢失时,公司有权远程擦除工作区内的全部数据。员工不得在个人设备上截屏、录制或保存涉及公司商业秘密的信息。员工不得使用个人云盘来备份或同步公司数据。员工的个人设备接入公司网络时,应当仅用于处理工作事务,避免同时运行可能造成数据泄露的个人应用。
另外,BYOD政策应该以书面形式告知所有参与员工,并要求签署确认。政策内容不能只说员工有义务保护公司数据,也应该说明公司的管理边界,比如公司在什么情况下会执行远程擦除、公司能访问哪些数据、员工有哪些隐私保护。透明的政策比强硬的管控更容易被员工接受。
BYOD本身不是问题,问题在于企业有没有配套的管理政策和技术手段。好的BYOD管理,应该让员工感到便利的同时,也让公司感到安全。
常见问题
问:容器化工作区会影响手机的正常使用吗?
答:基本上不影响。工作区在手机上就是一个独立的应用,打开后输入工作区密码即可使用。工作区内应用的推送通知也会显示在工作区的专属通知中,跟个人通知分开。日常使用手机时,不需要进入工作区也能正常接打电话和使用个人应用。
问:如果员工拒绝在个人手机上安装管理配置描述文件怎么办?
答:可以给员工两个选择:安装管理配置描述文件后使用BYOD模式,或者由公司配发工作手机。对于一些小型企业或员工数量不多的情况,也可以使用轻量级的方案,通过网页版应用访问公司系统,不在手机上安装任何管理软件,但相应的访问权限和功能会受限。
