移动办公 移动办公:能把“管不了”的事管好吗?

　　法力高强的魔法师，挥一挥手中的魔杖，就能把繁琐、复杂的事务变得井井有条。对于繁复的IT桌面管理工作，善用“魔杖”的企业，不仅能解开“死结”，还可能创造奇迹。 　　
　　移动办公被谈了很多年，但在大中型企业中，当前真正采用这种办公模式的却为数甚少。在采访了多家企业的IT部门主管后，记者发现，IT主管们普遍认为移动办公的最大挑战在于“难管理”。对于如何远程维护移动办公设备，如何确保这些设备不给公司内网带来安全威胁，如何管理这些丢失风险较大的IT资产等问题，他们还没有找到既经济又安全的管理工具或管理方法，更“Hold不住”移动办公可能带来的种种风险。
　　破除企业对移动办公的戒心，显然要从解开这些症结入手。如今，很多专门针对移动终端管理的方案都在努力解决这些问题。但是，传统方案依旧有不少“管不了”的事。比如：远程维护、管理只能解决一些软件层面的问题，难以贯彻和台式PC一样的管理机制；如没有及时进行安全防护软件的升级，极易感染病毒向公司内网传播；设备容易丢失，信息泄露风险大……突破移动办公的管理难题，我们到底忽略了哪些环节呢？
　　管理需要“互动”
　　在传统的终端管理方案中，管理工作大多由控制平台来承担。通过统一下发的策略和管理工具，只要让办公室里的终端乖乖地接受管理命令，维护人员就能完成相应的工作。这种管理思路，更适合台式PC时代。办公终端被固定在工位上，电源、网线基本长期处于连接状态，即使出现问题，维护人员“跑跑腿”也可以及时解决。但是，如果公司内使用笔记本电脑的员工越来越多，这样的管理平台就不那么好用了。
　　在知名保险公司从业且终端管理经验丰富的任经理告诉记者，他所在的公司大约有两千多台终端，其中30%是笔记本电脑。从2006年，公司就开始使用终端管理平台进行桌面管理。但从管理的效果来看，笔记本电脑的管理却一直很混乱。
　　“笔记本电脑不仅丢失率高，系统维护起来也很麻烦。特别是在领导出差的时候，一旦出现问题又有重要的事情需要使用笔记本电脑时，领导的习惯是立即给IT部的维护人员打电话。但仅靠电话沟通大多是修不好的，结果肯定是我们挨骂。”任经理表示，起初为了贯彻公司的管理制度，他们不得不严格限制公司员工提交的采购申请，要求各个部门如无特殊要求尽量采购台式PC。但随着近几年公司业务的扩张和分支机构的增加，笔记本电脑的采购量直线上升，IT部门“挨骂”的频率也直线上升，他们一直在寻找更好的解决办法。
　　任经理所面临的困扰非常典型，传统的终端管理平台是基于软件（操作系统）的，办公终端处于正常的被管理状态（开机、联网且操作系统正常运作的状态）时，相应的管理机制才能生效。一旦办公终端处于非正常状态（如操作系统崩溃、关机状态）时，管理机制也会随之失效。在移动办公时，后者反而是家常便饭。在这种情况下，如果终端本身具有自发的管理响应功能并能够与管理平台互动，这些问题便可以得到解决。
　　事实上，这类让终端具备管理互动功能的技术并非不存在。例如英特尔的博锐技术便可以为办公终端提供自发的硬件管理功能，让传统平台“管不了”的电脑具备完整的可管理性。英特尔博锐技术的神奇之处在于，它通过对计算平台功能的扩展，把传统的IT管理边界延伸到原来“听不懂”管理命令的硬件上。它能使远程硬件级的IT支持成为现实，同时让一系列管理性工作实现最大程度的自动化。比如，英特尔博锐平台提供的KVM（键盘、显示器、鼠标）远程控制特性，可以让维护人员经用户授权后远程查看并控制用户屏幕内容和键盘鼠标，即使被维护的电脑尚未进入操作系统或处于蓝屏状态，维护工作依旧可以进行。借此，IT维护人员还可以远程管理客户的BIOS设置，对系统进行侦测、备份、修复和启动等管理。利用博锐平台提供的远程管理功能，只要办公设备均联网，维护人员在任何时候都可以实时监管部署在其他城市的办公设备，不管被管理的电脑是否进入了操作系统，管理人员都能接管该设备，IT维护人员可以做的工作和在现场效果一样。
　　安全，不能“光脚站在雪中”
　　安全风险大向来是很多新技术、新应用难以被快速接受的主要原因。对安全的担忧，也是移动办公难以被企业用户广泛接受的核心阻力。
　　与在办公室办公不同，移动办公所处的网络环境更加开放，也面临更多危险。移动办公带来的最大安全威胁是易引发企业内网病毒的肆虐。因为移动设备难以管理，对擅自重装系统、卸载安全防护软件等行为控制起来难度大。即使安装了防病毒软件，想做到同步升级也不现实。此外，员工常会滥用下载、访问非法网站，当办公终端从外网连接到公司内网时，就会带来麻烦。
　　对付安全威胁，需要我们从多个维度去思考问题。“在一个没有打补丁的操作系统上安装防病毒软件，就好比一个穿着保暖大衣的人光脚站在雪里。”一位信息安全领域的资深技术人员，曾这样向记者描述安全防护手段与操作系统之间的关系。这个比喻恰好提醒了我们，如果办公终端底层的安全漏洞没有被堵住，在其上安装再安全的防护系统，破坏者、入侵者依旧有机可乘。为此，越来越多的安全解决方案开始向PC架构的底层下沉，从更具封闭性的硬件平台入手寻求解决问题的方法。但与此同时，硬件的安全特性也必须能够被软件加以利用，协同发挥作用才能实现体系化的安全防护。
　　在这一点上，英特尔博锐平台已经走在了前列。英特尔将安全特性构建在CPU和芯片组中，以便让台式机和移动平台达到最大的安全性。其最新的vPro安全技术包括可信执行技术（Trusted Execution Technology，即TXT），增强的主动式管理技术（Active Management Technology，即AMT）及嵌入式代理机制。新一代酷睿博锐平台中采用的AMT 7技术已经将检测可疑网络流量的功能集成到产品中。在日常运营时，一旦网络中的电脑受到感染，借助这一技术，被感染的电脑将会自动从公司网络中被隔离，避免将威胁传播到同一网络环境中的其他电脑上。不仅如此，博锐平台还提供了更智能的安全功能，即使因为网络攻击导致通信被阻断，借助博锐技术支持的独立网卡网络依旧可用，管理中心依然可以向客户端发送操作指令。待问题解决后，再恢复通信功能重新将客户端置于在线状态，能有效控制风险蔓延至整个网络。而英特尔主动管理技术带来的安全价值，则在于其将许多以往在服务器上才能看到的远程管理技术带到桌面平台。在关机时，管理人员仍能远程访问侦测工具，在以往的“非管理”状态下让计算机得到安全保障。
　　办公终端要“不怕丢”
　　在短短半年的时间里，几十名员工丢失自己的笔记本电脑。这是来自一家知名保险公司的数据。一份来自Ponemon Institute的调查报告显示，笔记本丢失所造成的直接和间接损失往往与使用者职位有关，职位越高，所掌握的有效信息量越大，笔记本丢失所造成的潜在损失也就越惨痛。该报告还指出，丢失笔记本电脑的更换成本只是总损失金额中的最小部分，因数据外泄造成的损失一般会占总损失金额的80%。
　　因为公司内部PC管理的不完善，某保险公司高层在与客户洽谈一个重要商业保险合同时，因醉酒不慎将笔记本电脑丢失，被其竞争对手在二手市场以2000元的成本回购。尽管当时操作系统已被重装，但借助硬盘恢复软件，这家保险公司的竞争对手依旧得到了笔记本电脑上的重要资料，并因此抢走了多个重要客户，使丢失电脑的保险公司几乎受到毁灭性的打击。这并不是谍战片中的情节，而是在一家保险公司真实上演过的案件。
　　不少曾经因数据泄露而品尝苦果的企业，都认识到了移动办公设备缺乏防盗功能的风险，也开始寻求数据防泄漏方案。目前，加载在笔记本电脑上的类似安全技术种类繁多，有物理安全技术、硬盘保护技术、生物指纹识别系统、安全芯片技术、警报器技术等。然而，大多数方案不是管理复杂，就是性价比不高。如果办公终端从一出厂就能从硬件层面支持这一功能，岂不一劳永逸。英特尔博锐平台附带的防盗技术（Intel Anti-Theft Technology，简称英特尔AT技术）就是一种可以达成这一愿望的技术之一。
　　通过博锐平台，这个技术便可在笔记本电脑中发挥作用。它能被内部侦测机制或由远程服务器触发启动，对遗失或被盗的笔记本电脑加锁，使其无法使用。根据笔记本电脑屏幕上的用户信息，在找回笔记本电脑后，用户还可以使用本地密码恢复口令重新激活笔记本。如果丢失后来不及立即“挂失”，英特尔防盗技术还可以监测多次登录失败的信号后，让笔记本电脑自动进入“冻结”状态，使敏感数据被盗的可能性不复存在。这种双管齐下的安全防护系统思路与目前主流数据放泄露方案的思路是一致的。只要是采用英特尔博锐技术平台的商用笔记本电脑，出厂时就可以享用这样的防盗技术，不必再为安全问题额外投入。