楊敬民 ，林偉俊

福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司，福建福州 350002

1 BYOD 簡介

1.1 什么是BYOD

BYOD（Bring Your Own Device）：指攜帶自己的設(shè)備辦公，這些設(shè)備包括個人電腦、手機、平板等?，F(xiàn)在更多的情況指手機或平板這樣的移動智能終端設(shè)備。

1.2 BYOD 的需求驅(qū)動力

BYOD 是技術(shù)發(fā)展和客戶需求雙重驅(qū)動的產(chǎn)物。有三大技術(shù)力量驅(qū)動移動辦公的發(fā)展，分別是IT 移動化、IT 消費化和IT 虛擬化。IT 移動化使人們實現(xiàn)了從離線辦公到在線辦公；IT 消費化讓企業(yè)員工將自己的智能終端帶入企業(yè)的辦公場所辦公；IT 虛擬化的普及，很多應(yīng)用將會走向云端。

首先是消費類電子設(shè)備普及。根據(jù)Gartner 的報告，2012年全球智能終端裝置（智能型手機和平板）的銷售量將達(dá)8 億2,100 萬臺，占整體裝置市場的七成，2013 年的銷量預(yù)期將突破10 億臺大關(guān)。在中國，2012 年智能移動終端出貨量達(dá)2.24億，2013 年更是高達(dá)3.9 億。

根據(jù)艾媒咨詢（iiMedia Research）發(fā)布的《2012Q1 中國移動應(yīng)用市場季度監(jiān)測報告》顯示，移動智能終端占比前三的操作系統(tǒng)包括：Andorid，Symbian，IOS。截止2012 年3 月，中國智能手機用戶數(shù)達(dá)到2.52 億人，55.4%的智能手機操作系統(tǒng)為Android 系統(tǒng)。

其次不同電子設(shè)備對應(yīng)不同的應(yīng)用需求。比如公司管理層開會更喜歡使用iphone，Andorid 等智能手機或者IPad，辦公則更喜歡使用筆記本。醫(yī)院醫(yī)生查房等；

第三，移動辦公隨時隨地。使用移動終端，員工可以隨時進(jìn)行公務(wù)處理，個人時間支配更加便捷。3G，wifi 等網(wǎng)絡(luò)無處不在，使用移動終端即可方便接入。

第四，業(yè)務(wù)應(yīng)用的支持。目前絕大部分的業(yè)務(wù)系統(tǒng)也開始支持移動終端的接入應(yīng)用，比如視頻電話，文件傳輸?shù)取?/p>

第五，許多企業(yè)開始考慮允許員工自帶智能設(shè)備使用企業(yè)內(nèi)部應(yīng)用。企業(yè)的目標(biāo)是在滿足員工自身對于新科技和個性化追求的同時提高員工的工作效率。有的公司更是將BYOD作為提升企業(yè)競爭力的戰(zhàn)略工具，大力推進(jìn)BYOD。Rebecca Copeland 通過對美國，德國，日本企業(yè)的調(diào)研發(fā)現(xiàn)，88%的公司員工使用他們自己的設(shè)備進(jìn)行辦公，79%的企業(yè)在未來12 個月中有該項預(yù)算。BYOD 在教育，醫(yī)療，商業(yè)，制造業(yè)，政府等行業(yè)都存在。使用的設(shè)備也多樣化，包括平板電腦，智能手機，筆記本等。

1.3 BYOD 面臨的問題

移動終端的多樣性，隨之帶來如下五大方面的問題。

首先，終端的接入問題。智能移動終端一般只具備wifi，3G/4G 等接入功能，傳統(tǒng)的有線網(wǎng)絡(luò)環(huán)境不適用。

其次，網(wǎng)絡(luò)的運維問題。

1）網(wǎng)絡(luò)運維管理難度加大。有線、無線、vpn 網(wǎng)絡(luò)混雜在一起，使得管理員需要同時監(jiān)控和管理三張網(wǎng)絡(luò)，難度加大。

2）移動終端的管理難度加大。終端類型繁多，終端的識別，授權(quán)，行為審計等管理工作也變得異常復(fù)雜。

3）移動終端的安全防護(hù)難度加大。移動智能終端操作系統(tǒng)存在例如病毒、流氓軟件、安全漏洞、攻擊行為等問題。

4）BYOD 環(huán)境所處無線網(wǎng)絡(luò)也存在安全隱患，例如可能存在AP 欺詐行為。

第三，數(shù)據(jù)的安全問題。移動終端的便攜性，訪問機密數(shù)據(jù)的隨意性，使實施BYOD 企業(yè)的機密數(shù)據(jù)也面臨被泄密的風(fēng)險。根據(jù)移動和安全專家Jack Gold 的研究，每年大約有10%-20%的企業(yè)會經(jīng)歷移動數(shù)據(jù)泄密的事件。

1）成本問題。企業(yè)實施BYOD 的五大類型成本包括：

（1）設(shè)備采購成本。員工的自有設(shè)備不一定支持企業(yè)的BYOD 方案，企業(yè)的統(tǒng)一采購是需要考慮的硬件成本；

（2）技術(shù)支持成本。企業(yè)為支持BYOD 需要投入一定的技術(shù)支持。比如員工使用移動終端無法使用公司業(yè)務(wù)，需要由企業(yè)提供相關(guān)技術(shù)培訓(xùn)，故障處理等技術(shù)支持。

（3）基礎(chǔ)設(shè)施建設(shè)和運維成本。為了實現(xiàn)全面管理，企業(yè)將不得不斥資采購移動數(shù)據(jù)管理（Mobile Device Management，MDM）系統(tǒng)，VPN 網(wǎng)關(guān)，無線控制器，無線訪問接入器等產(chǎn)品。

（4）軟件及服務(wù)成本。BYOD 的實質(zhì)是鼓勵員工在任何地點，任何時間處理公司業(yè)務(wù)。企業(yè)為此需要購置專門的軟件及服務(wù)來保證出門在外的員工能在下班后繼續(xù)訪問業(yè)務(wù)資源。比如iPad 上的文檔編輯類應(yīng)用。

（5）運營商費用成本。語音及移動數(shù)據(jù)使用產(chǎn)生的移動費用，也是企業(yè)需要關(guān)注的一項成本。

5）用戶體驗問題。

（1）傳統(tǒng)網(wǎng)絡(luò)接入控制（Network Access Control，NAC）體驗差。在部署了接入認(rèn)證的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)1x認(rèn)證、web認(rèn)證、vpn 方式認(rèn)證雖然可以實現(xiàn)接入認(rèn)證，但是普遍存在認(rèn)證客戶端易用性差，認(rèn)證后的在線狀態(tài)不易控制、無線業(yè)務(wù)使用間歇性導(dǎo)致需要頻繁認(rèn)證的問題。

（2）關(guān)鍵應(yīng)用沒法得到保障。在BYOD 環(huán)境中，無線網(wǎng)絡(luò)中的各種噪音會占用有限的無線帶寬，嚴(yán)重影響網(wǎng)絡(luò)的可用性。另一方面，移動終端所使用的各種應(yīng)用也可能過多的占用帶寬，導(dǎo)致一些關(guān)鍵的業(yè)務(wù)無法得到保證。

2 國內(nèi)主要廠商BYOD 方案

2.1 思科BYOD 解決方案

2.1.1 整體架構(gòu)

思科 BYOD 解決方案可以根據(jù)需要定制。它提供包括設(shè)計模板和服務(wù)、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和接入點等在內(nèi)的基本元素。

2.1.2 方案組件及其主要功能介紹

1） AnyConnect 客戶端

客戶端軟件，支持多種接入網(wǎng)絡(luò)、認(rèn)證方式和移動終端平臺。

2） Jabber 客戶端

可以通過Wi-Fi 網(wǎng)絡(luò)查看到用戶是否有空、進(jìn)行即時消息通信、訪問語音信箱、以及撥打和管理語音和視頻電話。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施：設(shè)備在提供各種鏈接接入的通道的同時，還作為安全和策略的執(zhí)行設(shè)備。這些設(shè)備包括交換機提供的有線網(wǎng)絡(luò)；無線AP+AC 提供的無線網(wǎng)絡(luò)；集成多業(yè)務(wù)路由器提供的VPN 遠(yuǎn)程訪問網(wǎng)絡(luò)；

ISE（Identity Service Engine，身份服務(wù)引擎）：ISE 是集成網(wǎng)絡(luò)接入認(rèn)證、分析、狀態(tài)檢測、訪客管理、安全組訪問服務(wù)（監(jiān)測、報告和故障診斷能力）于一體的單一物理或虛擬設(shè)備。提供的主要功能包括：

認(rèn)證：基于RADIUS 協(xié)議的認(rèn)證方式。

授權(quán)：基于終端類型、屬性下發(fā)不同策略權(quán)限。

生命周期管理：管理員可通過portal 認(rèn)證或授權(quán)的方式限制訪客用戶接入網(wǎng)絡(luò)的生命周期。

終端評估：可基于多維度對移動終端進(jìn)行評估，如OS 類型、殺毒軟件屬性、注冊表、應(yīng)用軟件等，同時支持周期性的基于策略的實時端點設(shè)備掃描，以便深入了解更多相關(guān)信息。

終端識別：設(shè)備感應(yīng)器可最精確地識別網(wǎng)絡(luò)中新的設(shè)備類型，包括各種設(shè)備類型。

端點保護(hù)：基于終端評估的結(jié)果，對存在風(fēng)險的進(jìn)行策略隔離。

集中管理：基于web 頁面、簡易的網(wǎng)絡(luò)管理。

故障修復(fù)：通過監(jiān)控、通告、修復(fù)解決網(wǎng)絡(luò)中的故障。

策略一體：能夠在整個組織內(nèi)為有線、無線和 VPN 網(wǎng)絡(luò)提供同一策略。

MDM：是指將應(yīng)用程序、數(shù)據(jù)和配置設(shè)置分配到移動通信設(shè)備（如筆記本電腦、手機和個人數(shù)字助手）的程序或工具。典型的功能包括設(shè)備配置、設(shè)備上的加密、強制密碼、自助配置服務(wù)、終端監(jiān)控（要求 PIN 鎖定或禁止使用越獄設(shè)備），并可以對丟失或被盜的移動設(shè)備執(zhí)行遠(yuǎn)程數(shù)據(jù)擦除；

Prime 網(wǎng)絡(luò)控制系統(tǒng)（Network Control System，NCS）

實現(xiàn)整合式有線/無線監(jiān)控和故障排除、無線生命周期管理，并提供新的分支機構(gòu)管理功能。通過與ISE 集成， Prime NCS 還能夠監(jiān)控端點的安全性策略幫助用戶根據(jù)整個有線和無線接入網(wǎng)絡(luò)中關(guān)于網(wǎng)絡(luò)、用戶和設(shè)備的實時環(huán)境信息來了解是否符合相關(guān)的規(guī)定；

6）第三方組件，包括CA 證書，微軟AD 域等，實現(xiàn)實現(xiàn)網(wǎng)絡(luò)設(shè)備接入認(rèn)證的安全機制和身份的統(tǒng)一管理；

7） ScanSafe 云Web 安全

通過安全掃描Web 訪問過濾，檢測惡意軟件，發(fā)現(xiàn)異常行為，并提供實時反饋到公司等措施，引導(dǎo)BYOD 客戶端通過ScanSafe 云來安全訪問互聯(lián)網(wǎng)。

3 華為BYOD 解決方案

3.1 整體架構(gòu)

華為的BYOD 解決方案側(cè)重點在于安全。華為認(rèn)為移動安全和管理本質(zhì)上要解決的問題可以概括為三個：身份和設(shè)備可識別（Identity），數(shù)據(jù)不泄密（Privacy），和設(shè)備可管理（Compliance）。

3.2 方案組件及其主要功能介紹

華為BYOD 方案組件包括AnyOffice 移動辦公客戶端、SVN2000/5000 系列的SSL/IPSec 一體化VPN 硬件網(wǎng)關(guān)設(shè)備、SACG、兼具防火墻和UTM 功能的USG2200/5100/5500 設(shè)備、統(tǒng)一策略管理服務(wù)器以及移動企業(yè)應(yīng)用平臺（Mobile Enterprise Application Platform，MEAP）。

1） AnyOffice 客戶端：客戶端軟件，以one-agent 的形式集成了安全沙箱、安全郵件客戶端、安全瀏覽器、移動終端管理（MDM）軟件、VPN 客戶端、虛擬桌面等一系列應(yīng)用；

2）SVN 安全接入網(wǎng)關(guān)：支持多種路由協(xié)議，IPv4/IPv6協(xié)議棧，雙機熱備，提供多種認(rèn)證方式（VPNDB 本地認(rèn)證，RADIUS/LDAP/SecurID/數(shù)字證書認(rèn)證/短信認(rèn)證等）和訪問控制策略，支持L3 VPN，SSL VPN 等多種VPN 安全服務(wù)；

3） SACG 安全準(zhǔn)入控制網(wǎng)關(guān)：通過基于角色的ACL 規(guī)則（UCL）動態(tài)將用戶關(guān)聯(lián)到可以訪問的認(rèn)證后域，未通過身份認(rèn)證和安全檢查前，使用認(rèn)證前域?qū)?yīng)的ACL 規(guī)則進(jìn)行數(shù)據(jù)包的過濾，限制用戶訪問的網(wǎng)絡(luò)資源；

4）USG 統(tǒng)一安全網(wǎng)關(guān)：主要用于內(nèi)網(wǎng)安全和上網(wǎng)行為管理。集安全、路由、交換、無線（WiFi、3G）等特性于一體，接口類型豐富，融合Symantec 的入侵防御和反病毒技術(shù)，集成DPI（深度包檢測）識別技術(shù)；

5） 統(tǒng)一策略管理平臺：在整個組織內(nèi)實施統(tǒng)一的安全策略。平臺根據(jù)不同的用戶角色、不同的設(shè)備類型、不同的場所、不同的時段、不同的區(qū)域采用不同的策略，確保對業(yè)務(wù)的安全訪問。提供涵蓋整個組織的單一策略來源；

6）MEAP：以HTML5 為技術(shù)基礎(chǔ)，集開發(fā)、部署、運行、監(jiān)控為一體的企業(yè)移動應(yīng)用系統(tǒng)。MEAP 還支持設(shè)備平臺多樣化，即一次開發(fā)任意部署的跨設(shè)備支持能力，支持移動設(shè)備API，如GPS、攝像頭、陀螺儀、重力感應(yīng)等。主要平臺有SAP SUP，IBM Worklight 等。目前MEAP 支持設(shè)備有Android，iOS，Blackberry，Windows，WebOS 等。

4 結(jié)論

BYOD 的本質(zhì)在于讓企業(yè)員工隨時隨地移動辦公，借此提升企業(yè)生產(chǎn)力和員工滿意度，增強企業(yè)競爭力。思科和華為都針對性推出了BYOD 解決方案，可以作為企業(yè)實施BYOD 的參考方案。

[1]BYOD介紹，http://baike.baidu.com/view/348696.htm.

[2]Avanade? Research & Insights “Global Survey: Dispelling Six Myths of Consumerization of IT” January 2012.

[3]Vendor Landscape: Mobile Device Management Suites, Info-Tech Research Group“Cisco Study: IT Saying Yes to BYOD,”Cisco, 16 May 2012; http://newsroom.cisco.com/release/854754/Cisco-Study-ITSaying-Yes-To-BYOD.

[4]華為BYOD移動辦公安全解決方案技術(shù)白皮書，華為技術(shù)有限公司.http://enterprise.huawei.com/cn/solutions/multimediasolu/move/safety/hw-148391.htm.