构建泛BYOD融合网络:企业如何走向移动办公



  移动应用正在深刻地改变着企业管理移动设备的方式。如今,企业的重点不再是如何保障设备自身的安全,而是保障设备上的应用程序的安全。随着平板电脑和智能手机日益进入企业,BYOD已经成为了当前企业CIO信息化建设的热点。根据Info-tech预测2013年将有35%的企业实现BYOD移动办公。让员工BYOD可以说是企业实现无边界移动办公的重要环节,这将意味着员工在工作中将更多的使用自己的设备,但同时这种无边界移动办公的趋势意味着更多,我们可以先看几个例子:

  ● 员工使用自己的智能手机在家或咖啡厅收发工作邮件;

  ● 银行的客户经理在营业大厅使用Pad为等候办理业务的客户提供金融理财业务介绍服务;

  ● 电力、石油等能源企业员工在工地现场使用Pad或智能手机做移动巡检。

  在上面的例子里,终端设备有员工个人私有,但也可能由雇主统一购买和派发。事实上 “Bring your own device”并非实现无边界移动办公的唯一主要特征,最终用户关注更多的是接入网络并使用业务的便捷体验,和如何实现任意设备可在任何时间、地点便捷可控的接入网络,实质上这是一种工作方式和企业运作模式上的趋势创新。

  这种趋势将给企业IT架构建设带来更大挑战,如果聚焦在携带自己设备办公,企业往往关注如何隔离个人和企业数据,防止个人终端丢失给企业带来的影响,避免个人终端的安全威胁给整个网络运行带来影响等安全方面的问题,事实上建设关键点远不止于此。

  对员工进行BYOD方面的教育和培训是一件棘手的事情。这一政策与其它的IT政策一样,也就是说难以理解。大多数人都会略过内容部分,直达底部,选择上同意复选框,然后点击“ok”按钮,完成了所有动作,就没有阅读一个字。其实用户不尽然就了解一切,因为他们必须要阅读,要学习

  无处不在的接入需求将导致网络边界逐渐模糊:逐渐普及的Wi-fi、3G/4G网络为用户便捷接入提供了基础,但这也导致原有的企业园区网络清晰的边界逐渐模糊化,一方面企业需要对有线/无线多张网络统一规划,复杂度急剧增加,另一方面用户却需要和有线网络一样的快速、稳定的体验。

  不同身份、时间、地点的接入需求导致应用场景多样化:员工、顾问等不同身份在咖啡店和园区内等不同地点的接入不应该被授权相同网络资源,这就带来了对接入人员身份、接入网络的工作场景以及用户可访问业务做识别和鉴权的需求。

  另外,“如何避免员工用移动设备做不该做的事?”也成为CIO关注的焦点,担心员工工作时玩游戏、微博影响工作效率;担心电影下载或者流媒体会拖慢公司网络;当然还有智能终端广泛应用带来的企业数据安全性问题和智能终端可管理性问题也仍然是持续关注的重点。

  为满足这些需求,需要从泛BYOD的视角出发,构建泛BYOD的融合企业网络,包括融合有线无线的网络,基于情景感知的统一策略和统一管理、无漏洞的安全防护,确保企业员工可以在任意工作场所、使用任意终端设备自由畅享可移动的网络服务。

  有线无线融合网络构成BYOD的基础:大量智能终端进入企业,引起接入流量增加,VOIP、虚拟桌面、视频会议、智真等应用的逐渐普及要求企业的核心网络拥有大容量转发的能力、稳定的性能。千兆接入、万兆汇聚、40GE核心将是建网标准,网络核心需要具备更高转发能力,汇聚节点需要更智能以接受策略频繁变更,接入则需要更轻量和自动化。

  同时,网络资源不应再受地域和业务形态限制,网络会协同融合全网安全设备,适应BYOD移动化趋势下的全面安全管理;网络资源能全面虚拟化,有线、无线网络向深度融合演进,比如从设备层面实现AC随板,融合成一个网元;把AP当成交换机的而一个端口,统一网管、发现、配置等,通过这些方式大幅度降低管理的复杂度,从而让网络敏捷地为业务服务。

  另外,BYOD带来的可移动性流量往往在小范围内密集接入,所以无线接入网络需要选择全覆盖、高速、高密的方案,比如支持基于终端自动逐包控制发送功率、限制低速率用户接入、提供5GHz/2.4GHz双频智能混合接入,从而减少高密度时同频用户终端干扰,提高可用带宽。最后,面向未来网络演进的趋势,需要考虑将SDN架构引入园区,为支撑企业网络动态化、云化发展提供保障。

  统一接入、策略和管理提供用户无以伦比的接入体验:统一的接入协助企业提供内部LAN有线、Wi-Fi无线、分支远程以及企业外部VPN远程等多种接入认证手段,保障用户平滑地从一种接入环境迁移到另一种接入环境(比如员工从3G网络迁移到企业内网Wi-fi),享受无感知的网络切换体验。

  统一的情景感知策略需要遵从5W1H(Who,Whose,What,When,Where,How)的控制策略,根据接入用户身份、终端类型、位置和网络接入方式等,来判断并自动下发网络权限和带宽等控制策略。比如:在工作时间员工手持Pad或智能手机在企业内网办公时,可以访问企业的高密级业务,获得高优先级QoS从而保障良好的视频会议等业务体验,但不能够使用微博以及诸如“愤怒的小鸟”等游戏,甚至在某些更严格的场景中不能使用蓝牙、照相、摄影等功能。当这名员工离开受限区域,对其终端功能的限制将自动解除,而当其在非工作时间通过运营商3G或者Wi-fi网络接入公司时,将不能访问企业高密业务,并限制QoS为低优先级。

  在如今的互联时代,背离了时代需求,无论企业是否愿意,BYOD已经是他们不得不去面对的事实。试图阻止BYOD并不能把控制权返还给企业,实际上会适得其反。如果企业抵制BYOD,员工会把数据转移到未经批准的设备,其可能会丢失,也可能会降低公司治理的完整性和数据保护义务。禁止使用还将会让员工在没有IT允许和没有他们监督情况下使用他们自己的设备。从企业安全角度来说,这无疑是一大挑战。

  最后,网络中并存多种网络设备、多种来自不同厂商的移动终端、iOS、Android等多种操作系统、员工/访客/VIP多种身份的用户等,这些组成元素需要IT管理者统一关注。因而需要考虑通过统一集成的管理平台,实现设备、终端、用户多维度统一管理,及时了解各项业务、资源、终端的运转状态。

  端到端立体防护保障BYOD安全:BYOD新引入的安全问题首要在如何防止数据泄漏和隔离终端安全威胁对内网的影响,在移动终端可以通过安全沙箱技术,隔离存放个人和企业数据,防止数据外泄;通过移动设备管理(MDM)实现终端设备全生命周期的管理,包括功能控制、应用管理、设备丢失时远程锁定和擦除等,同时在移动终端入网前可实施安全检查,检测终端越狱/root、软件安装情况等,防止不安全的智能终端接入企业网络。在此基础上还需要结合L3/L4 VPN高强度加密传输、用户上网行为管控、全面的DDos、防病毒、IPS/IDS、WIPS/WIDS等传统安全方案,为用户在云、管、端整个网络架构中提供安全保障。

  在如今的企业中,IT已不再是技术的单一“守门人”,员工可以任意使用他们想使用的设备和软件,这对于企业来说是不能被忽视且具有巨大潜力的:他们为了个人生活,在其了解的设备上更好地工作,这也等同于为企业创造了更高的生产力。根据采用何种BYOD模式,企业将能够显著地减少与硬件投入相关的成本。

  总之,BYOD的建设需要统筹考虑到网络、安全、策略、管理等多方面,需要切实可行、行之有效。