原创 Janky 2025-10-19 14:57 浙江
你半夜里在自己的手机里,用微信回复老板的消息,毫无疑问,那就是属于用自己的私有设备在工作。老板其实从没有担忧过,自己是否跨越了某种界限,迫使员工使用了私有财产来服务于工作。相反,只要员工能够随时随地,都能保有响应工作的“自由”,那便是好事。
需要详尽 BYOD 概念科普的读者,可以问问你用得最趁手的 AI 工具。我这里只做个简单定义:
凡使用非公司(企业)产权所有的设备,进行办公事务处理的设备,即算做自带设备办公(BYOD)。
Janky
因此,你半夜里在自己的手机里,用微信回复老板的消息,毫无疑问,那就是属于用自己的私有设备在工作。
老板其实从没有担忧过,自己是否跨越了某种界限,迫使员工使用了私有财产来服务于工作。相反,只要员工能够随时随地,都能保有响应工作的“自由”,那便是好事。
转折点,发生在企业的上升阶段,或者稳定期。这也是任何一个企业,开始关注企业信息安全的转折点。打江山的时候需要众人的奉献和牺牲精神,要开始享福的时候反而需要立规矩和守规矩。这个规律放之四海而皆准。
当企业开始关注和寻找 BYOD 安全治理方案的时候,就可以判断这企业过去几年混得应该很不错。安全厂商通常也非常给面子的,从供应链安全、病毒防护、员工保护的角度,来宣传自身的产品,也给予甲方企业正当的名义。
但实事求是来讲,企业开始 BYOD 治理,既不是出于保护员工的目的,也不是要和员工私有财产做分割,更多的还是因为担忧企业的数据(资产),遗落在了企业外部的设备上。
01
BYOD 的原则只有「切割」,没有「共存」
BYOD 安全治理的方案,眼花缭乱, 正如安全行业通常的习惯一样,任何安全产品和技术,都会不自觉的宣称能解决任何安全名词背后的安全需求。
因此 BYOD 的解决方案背后,排着队的还是熟悉的 VPN、零信任、DLP、VDI、IDAAS、EDR、病毒查杀(AV)、防火墙、CASB、SASE、MDM、Sandbox、EDM。这个列表可以一直列下去,直到穷尽所有的安全技术和产品名称。
在所有真实能落地的 BYOD 场景背后,我看到了一条十分清晰的脉络和原则:
凡是倡导企业数据和个人数据共存的方案和技术,都无法落地或者成为甲乙双方项目推进者伪造的邀功项目。唯有能够实现或者趋于基本实现,企业数据和个人数据完全分离的方案,才是真正的 BYOD 治理方案。
02
有实力的企业选择“完全”切割私人设备办公
以 BAT 类型的企业为代表,这类企业有充分的实力为员工配备移动办公设备(办公笔记本,不包含手机),他们不允许私人设备入网,以将公司配发的办公设备打造成铜墙铁壁为手段,满足各类的信息安全要求。
这里所谓的实力,并非仅包含企业采购办公电脑的成本,而是要配备健全的 IT 团队、信息安全团队、员工管理流程、设备管理(采购、换新、维修、IT 支持等)、安全技术投入(VPN、DLP、EDR、AV、防火墙,等等)。这一套组合拳算下来,员工人数在 3000 人以下的企业,大抵都还是玩不转的。
这类通过消灭 BYOD 从而达到治理 BYOD 的策略,最是彻底和有效,但只适合富有的企业。
03
侵入性的隔离,只会招来不满
如果你老板告诉你,他想去你家里,用砖头从你的卧室里隔离出一个小房间来,方便你工作。你怎么想?
这便是一众沙箱和 MDM 面临的窘境,实施难度大不讲,员工不提刀相向就得烧高香了。
尤其是 MDM,在员工看来,就是纯粹的技术散发出最不纯粹的恶意(远程设备擦除、访问通讯录和相册、录屏)。
04
企业浏览器,成为越来越流行的选择
如果不能改造员工的卧室,那何不在员工家附近就近造一个办公室,这样员工既不侵犯员工隐私,又能在需要的时方便且及时的工作,这就是企业浏览器和 VDI 的奥义。
各人自扫门前雪,哪管他人瓦上霜。这就是 VDI 和企业浏览器的处世哲学,他们仅仅是画了一个圈,把最重要的唐僧围在中间,这样谁都可以看得到唐僧,但谁也伤害不到他。
05
移动端的管理,似乎自有「收紧权限」一条路可走
再有实力的企业,都很难决定给每个员工发一部办公专用的手机,而移动互联网时代,移动端的数据安全,却始终且将一直难以得到有效解决。
被移动端安全折磨过的安全从业者们,其实早就放弃了拥有银弹的幻想。大家已经自发形成了一套有效且务实的最佳实践,不是学院理论派天天鼓吹隐私计算、透明计算、区块链,仅仅是朴实的收紧权限和加强审计。
收紧的权限包括,禁止下载、禁止第三方应用打开、禁止组织外分享等。
而这些基本的权限管理,无法依赖第三方安全方案,仅仅依托于企业主力 APP 能提供的安全能力。也许是飞书、企微和钉钉中的一个,也许是传统 OA 的一种。
更多阅读
曾经 SaaS 之痛,十倍砸向了今天的 AI (仅限中国市场环境)
www.dsphere.com.cn
