費(fèi)鈺江

(杭州市中醫(yī)院,浙江杭州 310007)

BYOD解決方案的實(shí)施與部署探討

費(fèi)鈺江

(杭州市中醫(yī)院,浙江杭州 310007)

由于智能手機(jī)以及平板電腦的出現(xiàn)成爆炸式增長(zhǎng),IT部門不得不重新考慮如何在企業(yè)網(wǎng)絡(luò)中為不斷增加的移動(dòng)設(shè)備提供支持。BYOD方案的部署其實(shí)就是要通過(guò)各種場(chǎng)景綁定相應(yīng)的策略引導(dǎo)終端用戶按照一定的授權(quán)接入網(wǎng)絡(luò),同時(shí)在正確識(shí)別終端類型等各類信息的基礎(chǔ)上解決如何支持和管理它們以及如何保護(hù)它們安全的問題。BYOD的部署對(duì)IT部門的工作人員帶來(lái)了巨大的挑戰(zhàn)。尤其是BYOD的實(shí)施和部署階段,有諸多實(shí)際難題,例如如何和企業(yè)現(xiàn)有業(yè)務(wù)無(wú)縫結(jié)合、如何減少對(duì)現(xiàn)有網(wǎng)絡(luò)的改動(dòng)、如何實(shí)現(xiàn)企業(yè)數(shù)據(jù)安全保護(hù)等。目前業(yè)界各廠商實(shí)現(xiàn)方式不盡相同。本文主要以H3C BYOD方案為例進(jìn)行闡述。

BYOD方案 實(shí)例分析 部署要點(diǎn) 移動(dòng)辦公模式

1 BYOD方案的實(shí)施步驟

部署任何一家廠商提供的BYOD方案,在部署前都需要充分調(diào)研實(shí)際業(yè)務(wù)及需求。通常主要從如下幾個(gè)方面考慮。

(1)網(wǎng)絡(luò)類型。包括有線、Wi-Fi、VPN等。以便IT人員規(guī)劃設(shè)計(jì)合理的認(rèn)證方式和組網(wǎng)。

(2)網(wǎng)絡(luò)設(shè)備。多廠商設(shè)備之間是否存在適配,網(wǎng)絡(luò)設(shè)備的規(guī)格是否滿足BYOD業(yè)務(wù)需求,是否有必要進(jìn)行擴(kuò)容以滿足BYOD部署后的業(yè)務(wù)應(yīng)用。

(3)終端類型。BYOD業(yè)務(wù)和終端密切結(jié)合,需要充分了解終端的類型和應(yīng)用情況,例如用戶終端是企業(yè)派發(fā)還是私人購(gòu)買,是否存在部分終端有特殊應(yīng)用而無(wú)需進(jìn)行BYOD注冊(cè)等。

(4)企業(yè)中的APP應(yīng)用。BYOD是為了更好地讓用戶隨時(shí)隨地移動(dòng)辦公,其中APP是最關(guān)鍵的業(yè)務(wù),BYOD的實(shí)施和部署要充分考慮企業(yè)內(nèi)部APP的應(yīng)用情況,是否存在應(yīng)用權(quán)限控制、黑白APP列表、APP數(shù)據(jù)安全等。

(5)開放融合。用戶部署B(yǎng)YOD時(shí)是否需要和已有的業(yè)務(wù)系統(tǒng)對(duì)接或者是否存在二次開發(fā)的需求。

(6)數(shù)據(jù)安全。IT部門對(duì)終端數(shù)據(jù)的安全要求,是否需要進(jìn)行數(shù)據(jù)安全加密和終端權(quán)限控制等。

(7)訪客需求。用戶是否有訪客業(yè)務(wù)需求。

在充分調(diào)研用戶的實(shí)際需求后,需要規(guī)劃合理的組網(wǎng)方式。那么BYOD到底對(duì)組網(wǎng)有何要求呢？目前BYOD技術(shù)主要集中在如何解決移動(dòng)終端(手機(jī)、平板、POS機(jī)等)設(shè)備網(wǎng)絡(luò)認(rèn)證控制方案的層面上。因此,首先需要保證終端基于身份的認(rèn)證得以實(shí)現(xiàn),在此基礎(chǔ)之上再擴(kuò)展BYOD的特性。比如終端的MAC認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證、VPN認(rèn)證等多種認(rèn)證方式都可以用來(lái)實(shí)現(xiàn)BYOD。目前這些身份認(rèn)證方式已經(jīng)發(fā)展得非常成熟,相關(guān)的技術(shù)支持也很到位。

圖1 H3C BYOD解決方案組網(wǎng)圖

圖2 BYOD服務(wù)器上的配置

(8)H3C的BYOD解決方案實(shí)例。以H3C的BYOD方案為例,一個(gè)典型的BYOD解決方案的組網(wǎng)由四個(gè)體系構(gòu)成。①認(rèn)證設(shè)備:啟用身份認(rèn)證的設(shè)備,例如無(wú)線控制器。一般認(rèn)證方式為MAC認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證、VPN認(rèn)證等。②H3C iMC BYOD服務(wù)器:主要使用了H3CiMC EIP組件的功能。③認(rèn)證終端:有認(rèn)證接入網(wǎng)絡(luò)訪問資源的設(shè)備,一般是移動(dòng)設(shè)備如PAD、手機(jī),也可以是PC或POS、打印機(jī)等設(shè)備。④DHCP服務(wù)器:用于給終端設(shè)備分配IP地址,同時(shí)可以配合iMC BYOD的DHCP特征識(shí)別方式進(jìn)行終端識(shí)別。DHCP服務(wù)器可以是Windows DHCP服務(wù)器,也可以是支持DHCP特性的網(wǎng)絡(luò)設(shè)備。此外,實(shí)際組網(wǎng)中可能還會(huì)存在短信網(wǎng)關(guān)、用戶業(yè)務(wù)系統(tǒng)等其他元素。

確定組網(wǎng)并實(shí)施基礎(chǔ)網(wǎng)絡(luò)建設(shè)后,實(shí)施H3C BYOD業(yè)務(wù)可根據(jù)如下幾步開展:

①根據(jù)業(yè)務(wù)規(guī)模選擇合理的服務(wù)器,在此服務(wù)器上安裝部署iMC BYOD軟件；

②在網(wǎng)絡(luò)設(shè)備上配置基于身份的認(rèn)證方式。例如在圖1的組網(wǎng)中,在無(wú)線控制器上配置符合網(wǎng)絡(luò)需求的身份認(rèn)證；

③若DHCP服務(wù)器為WindowsDHCP服務(wù)器,則在此服務(wù)器上安裝iMC DHCP Agent程序,并根據(jù)要求設(shè)置合理參數(shù),啟用該程序；

④根據(jù)BYOD需求,在iMCBYOD服務(wù)器上設(shè)置合理的接入場(chǎng)景和接入策略,在iMC BYOD服務(wù)器上創(chuàng)建正式賬號(hào)或訪客使用的BYOD服務(wù)并與賬號(hào)相關(guān)聯(lián)。本步驟配置較多,主要流程如圖2所示。

從易于管理的角度上看,建議為BYOD匿名賬號(hào)、訪客、接入正常賬號(hào)均配置專用的BYOD服務(wù),而非三類賬號(hào)都共用同一個(gè)BYOD服務(wù)。另外,部分企業(yè)用戶可能會(huì)涉及需要部署MDM/MAM系統(tǒng)。隨著移動(dòng)終端大量接入網(wǎng)絡(luò),IT管理者不得不將關(guān)注點(diǎn)從物理設(shè)備的接入管理轉(zhuǎn)移到移動(dòng)用戶體驗(yàn)的管理上,尤其是會(huì)話管理控制,其中包括人表現(xiàn)形式數(shù)據(jù)安全和性能。對(duì)于用戶體驗(yàn)而言,最重要的因素在于移動(dòng)性的設(shè)計(jì)。這意味著IT部門需要參與移動(dòng)設(shè)備的移動(dòng)應(yīng)用開發(fā),用戶可以從企業(yè)應(yīng)用商店直接下載這些應(yīng)用?；蛘咄ㄟ^(guò)系統(tǒng)自動(dòng)推送客戶業(yè)務(wù)需求的各類APP應(yīng)用并完成大量復(fù)雜繁瑣的配置。此外,移動(dòng)應(yīng)用負(fù)責(zé)執(zhí)行本地解密和顯示操作。如果設(shè)置丟失或被盜,那么應(yīng)用可以通過(guò)程序遠(yuǎn)程擦除或自行銷毀。因此設(shè)計(jì)支持移動(dòng)訪問的應(yīng)用程序,通過(guò)加密實(shí)現(xiàn)數(shù)據(jù)安全性,并且在會(huì)話層管理網(wǎng)絡(luò)訪問,這些都是在部署B(yǎng)YOD需要考慮的要素。H3C BYOD解決方案中的MDM/MAM組件可以很好地協(xié)助IT管理者解決移動(dòng)終端在移動(dòng)辦公時(shí)面臨的終端安全問題和移動(dòng)應(yīng)用管理問題。

2 BYOD解決方案的部署要點(diǎn)

BYOD的實(shí)施和部署應(yīng)盡量做到簡(jiǎn)單易行,消除IT部門的實(shí)施投入和后續(xù)管理投入、減少對(duì)網(wǎng)絡(luò)的改動(dòng)、保護(hù)現(xiàn)有投資,同時(shí)又保證終端使用者的易用體驗(yàn)?？偨Y(jié)H3C BYOD的部署,需要關(guān)注以下要點(diǎn):(1)在已有網(wǎng)絡(luò)認(rèn)證方式上設(shè)計(jì)一個(gè)契合業(yè)務(wù)需求的BYOD方案,選擇合適的認(rèn)證方式。若選擇Portal方式,可根據(jù)不同終端、不同SSID推送不同的WEB認(rèn)證頁(yè)面,且頁(yè)面可實(shí)現(xiàn)靈活定制化。(2)終端用戶帳號(hào)實(shí)現(xiàn)自注冊(cè)。例如可部署短信網(wǎng)關(guān),訪客帳號(hào)通過(guò)短信注冊(cè)方式獲取認(rèn)證指令,免去繁瑣的開戶過(guò)程。(3)對(duì)于希望實(shí)現(xiàn)快速認(rèn)證的用戶,可部署B(yǎng)YOD智能終端無(wú)感知快速認(rèn)證,讓入網(wǎng)更加快捷方便。(4)根據(jù)不同的接入場(chǎng)景下發(fā)不同的網(wǎng)絡(luò)權(quán)限。同時(shí),在終端識(shí)別的基礎(chǔ)上,IT管理者能全盤控制終端接入,及時(shí)掌控終端類型,統(tǒng)籌IT資源規(guī)劃。(5)利用BYOD的MDM/MAM系統(tǒng),實(shí)現(xiàn)智能終端的數(shù)據(jù)加密或信息安全管控,為企業(yè)用戶推送所需APP應(yīng)用,特別是門戶APP。

隨著VDI越來(lái)越廣泛應(yīng)用,也需要結(jié)合BYOD方案來(lái)為企業(yè)打造一套便于員工辦公的智能化系統(tǒng)。不論是傳統(tǒng)的臺(tái)式機(jī)和筆記本電腦,亦或是各種豐富的智能移動(dòng)終端,都有其對(duì)應(yīng)的VDI客戶端用于訪問企業(yè)的虛擬化數(shù)據(jù)中心。如何發(fā)揮VDI和BYOD的各自優(yōu)勢(shì)來(lái)滿足客戶業(yè)務(wù)需求同樣成為BYOD方案部署時(shí)需要關(guān)注的對(duì)象。此外,如果部署H3C iMC的UBA組件(用戶行為審計(jì)),BYOD系統(tǒng)可以結(jié)合UBA系統(tǒng)通過(guò)行為審計(jì)功能詳細(xì)記錄終端用戶的行為,并在必要的時(shí)候和BYOD系統(tǒng)聯(lián)動(dòng)對(duì)用戶做出某些強(qiáng)制的管控動(dòng)作。

3 BYOD定制開發(fā)業(yè)務(wù)的部署

實(shí)際部署B(yǎng)YOD業(yè)務(wù)時(shí),用戶經(jīng)常會(huì)有需要將廠商的BYOD系統(tǒng)和自身業(yè)務(wù)系統(tǒng)進(jìn)行對(duì)接或者其他定制開發(fā)的需求。以H3C BYOD為例,其依賴的H3CiMC系統(tǒng)以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心,通過(guò)H3CiMC能夠靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。因此,H3C BYOD解決方案不是一個(gè)封閉固化的系統(tǒng),它可以根據(jù)用戶需求進(jìn)行靈活的定制開發(fā)?；趇MC的技術(shù)框架、二次開發(fā)接口等技術(shù),用戶的開發(fā)團(tuán)隊(duì)或H3C公司的定制開發(fā)團(tuán)隊(duì)可以為客戶提供基于客戶特定業(yè)務(wù)的定制開發(fā)。常見的可定制開發(fā)的項(xiàng)目包括:(1)和企業(yè)AD服務(wù)器的對(duì)接,以方便企業(yè)正式員工的開戶。(2)和第三方短信平臺(tái)實(shí)現(xiàn)對(duì)接,以方便訪客的短信開戶功能。(3)和客戶自身系統(tǒng)對(duì)接,諸如銀行排隊(duì)機(jī)等以滿足公共場(chǎng)所訪客的快速開戶。(4)系統(tǒng)web頁(yè)面定制,網(wǎng)頁(yè)鏈接、廣告推送等,以滿足企業(yè)個(gè)性化需求。(5)和企業(yè)其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)對(duì)接,方便企業(yè)IT管理者隨時(shí)調(diào)用系統(tǒng)數(shù)據(jù)庫(kù)以滿足自身業(yè)務(wù)需求。

通過(guò)定制開發(fā)業(yè)務(wù)的部署,用戶可以實(shí)現(xiàn)個(gè)性化需求,極大增強(qiáng)了使用BYOD的體驗(yàn)感,使得企業(yè)IT管理者能靈活地將各類系統(tǒng)完美結(jié)合,打造屬于企業(yè)自身的智能化移動(dòng)化辦公系統(tǒng)。

4 結(jié)語(yǔ)

BYOD解決方案是開放、多樣、靈活的,其實(shí)施和部署最關(guān)鍵是以充分了解用戶實(shí)際需求為前提,結(jié)合用戶網(wǎng)絡(luò)資源和BYOD解決方案的優(yōu)勢(shì),設(shè)計(jì)出符合用戶需求的部署方案。依賴H3CiMC系統(tǒng),IT管理者可以充分利用其靈活多維度的動(dòng)態(tài)授權(quán)策略,在終端識(shí)別的基礎(chǔ)上對(duì)各類移動(dòng)終端進(jìn)行智能管控和權(quán)限管理。利用iMC開放的開發(fā)接口,和用戶自身系統(tǒng)完美對(duì)接,同時(shí)通過(guò)部署MDM/MAM,協(xié)助IT管理者解決移動(dòng)終端在移動(dòng)辦公時(shí)面臨的終端安全問題和移動(dòng)應(yīng)用管理的問題。真正實(shí)現(xiàn)BYOD Anytime、Anywhere、Anyone、Anydevice的移動(dòng)辦公模式。