提及IT消费化与BYOD，大家想到的可能就是安全与遵从。当用户带着自己的设备上班，IT部门就会很头疼。我们来看看TechTarget特约专家Brian Madden如何看待IT消费化下安全与遵从的问题。

　　谈到消费化，我用下面的韦恩图表来总结遵从与安全的关系。

 

　　人们都觉得如果你是安全的，那么你就是遵从的，关于这点我可不买账（尤其是在消费化与FUIT语境下）。遵从的世界里有太多奇奇奇怪怪的事情与安全一点不沾边。

　　这个很好理解。问题在于遵从部分，法规都是由非常严格的条款写成，现在却用来描述已存在十年或二十年之久的概念与最佳实践。如果规则能这样写就太好了：你必须是安全的。但这是个主观声明，不可能通过审计，所以规则就成为举例说明，例如：你必须在笔记本上使用AES-256加密。这样，审计员就能轻松在审计形式上查看，核查遵从或没遵从。

　　下面这张照片清晰地显示了遵从的同时还是不安全。

　　我确信照片中的大门遵从了规则说的封闭大门，有着正常高度。上面缠绕着铁丝网，符合安全级别。订购它的人可能说：“我们需要限行。”因此，他们商量好了法规：使用大门保护公路。大门必须六尺高，由金属组成。然后他们走了，留下了一道建好的门。这道门甚至通过了审计，因为审计员可能咨询了与构建大门的人相同的规则。“你需要确保公路安全。手则上说你需要个大门。让我们看看哈~哇哦，有一个合适高度合适电线网的大门！这就是你的遵从标志。”

　　坦白吧，其实就是关于成本。

　　可能很多人目前同意本文中的观点。那么最大的问题在哪？任何事情都如同一枚硬币有着正反面。公司只有有限的资金花费在IT（与IT安全）上，所以这些钱都要符合遵从的特点。但需要用这些钱确保安全？答案是NO。（你只有双指合十，祈祷自己没违法，如果有就责怪其他人，然后另觅工作。）

　　将钱花在遵从上很容易。购买X产品解决笔记本要求AES-256加密的需求，购买Y产品启用双重认证，购买Z服务搜寻简单密码。这些花费都可预测，还能实现遵从，真是爽。

　　但是如何确保安全并抵御未知的威胁？我刚写了一篇文章，关于如何重新构思网络与设备安全。很多人感同身受，当然也有人不喜欢我提的观点，因为我推荐的方法比现有的开销更大。我觉得要高安全，就得给所有用户（所有设备）使用SSL-VPN，并购买更高级的网络产品（让每个用户在自己的VLAN上）与更高级的无线产品（每个用户四台设备标准）。这些加起来成本蹭蹭蹭就上去了。

　　视而不见好了，买些能满足最低需求，符合遵从就得了。由于一个用户带自己设备并将信息保存到Dropbox里，因此要为两百万用户购置一年的信用评分监控服务，这也行。如果觉得你遵从了法规，开除了不收规矩的雇员，同样可以。