随着平板电脑和智能手机日益进入企业,BYOD已经成为了当前企业CIO信息化建设的热点。根据Info-tech预测2013年将有35%的企业实现BYOD移动办公。让员工BYOD可以说是企业实现无边界移动办公的重要环节,这将意味着员工在工作中将更多的使用自己的设备,但同时这种无边界移动办公的趋势意味着更多,我们可以先看几个例子:
• 员工使用自己的智能手机在家或咖啡厅收发工作邮件;
• 银行的客户经理在营业大厅使用Pad为等候办理业务的客户提供金融理财业务介绍服务;
• 电力、石油等能源企业员工在工地现场使用Pad或智能手机做移动巡检。
在上面的例子里,终端设备有员工个人私有,但也可能由雇主统一购买和派发。事实上 “Bring your own device”并非实现无边界移动办公的唯一主要特征,最终用户关注更多的是接入网络并使用业务的便捷体验,和如何实现任意设备可在任何时间、地点便捷可控的接入网络,实质上这是一种工作方式和企业运作模式上的趋势创新。
这种趋势将给企业IT架构建设带来更大挑战,如果聚焦在携带自己设备办公,企业往往关注如何隔离个人和企业数据,防止个人终端丢失给企业带来的影响,避免个人终端的安全威胁给整个网络运行带来影响等安全方面的问题,事实上建设关键点远不止于此。
无处不在的接入需求将导致网络边界逐渐模糊:逐渐普及的Wi-fi、3G/4G网络为用户便捷接入提供了基础,但这也导致原有的企业园区网络清晰的边界逐渐模糊化,一方面企业需要对有线/无线多张网络统一规划,复杂度急剧增加,另一方面用户却需要和有线网络一样的快速、稳定的体验。
不同身份、时间、地点的接入需求导致应用场景多样化:员工、顾问等不同身份在咖啡店和园区内等不同地点的接入不应该被授权相同网络资源,这就带来了对接入人员身份、接入网络的工作场景以及用户可访问业务做识别和鉴权的需求。
另外,“如何避免员工用移动设备做不该做的事?”也成为CIO关注的焦点,担心员工工作时玩游戏、微博影响工作效率;担心电影下载或者流媒体会拖慢公司网络;当然还有智能终端广泛应用带来的企业数据安全性问题和智能终端可管理性问题也仍然是持续关注的重点。
为满足这些需求,需要从泛BYOD的视角出发,构建泛BYOD的融合企业网络,包括融合有线无线的网络,基于情景感知的统一策略和统一管理、无漏洞的安全防护,确保企业员工可以在任意工作场所、使用任意终端设备自由畅享可移动的网络服务。
有线无线融合网络构成BYOD的基础:大量智能终端进入企业,引起接入流量增加,VOIP、虚拟桌面、视频会议、智真等应用的逐渐普及要求企业的核心网络拥有大容量转发的能力、稳定的性能。千兆接入、万兆汇聚、40GE核心将是建网标准,网络核心需要具备更高转发能力,汇聚节点需要更智能以接受策略频繁变更,接入则需要更轻量和自动化。
同时,网络资源不应再受地域和业务形态限制,网络会协同融合全网安全设备,适应BYOD移动化趋势下的全面安全管理;网络资源能全面虚拟化,有线、无线网络向深度融合演进,比如从设备层面实现AC随板,融合成一个网元;把AP当成交换机的而一个端口,统一网管、发现、配置等,通过这些方式大幅度降低管理的复杂度,从而让网络敏捷地为业务服务。
另外,BYOD带来的可移动性流量往往在小范围内密集接入,所以无线接入网络需要选择全覆盖、高速、高密的方案,比如支持基于终端自动逐包控制发送功率、限制低速率用户接入、提供5GHz/2.4GHz双频智能混合接入,从而减少高密度时同频用户终端干扰,提高可用带宽。最后,面向未来网络演进的趋势,需要考虑将SDN架构引入园区,为支撑企业网络动态化、云化发展提供保障。
统一接入、策略和管理提供用户无以伦比的接入体验:统一的接入协助企业提供内部LAN有线、Wi-Fi无线、分支远程以及企业外部VPN远程等多种接入认证手段,保障用户平滑地从一种接入环境迁移到另一种接入环境(比如员工从3G网络迁移到企业内网Wi-fi),享受无感知的网络切换体验。
统一的情景感知策略需要遵从5W1H(Who,Whose,What,When,Where,How)的控制策略,根据接入用户身份、终端类型、位置和网络接入方式等,来判断并自动下发网络权限和带宽等控制策略。比如:在工作时间员工手持Pad或智能手机在企业内网办公时,可以访问企业的高密级业务,获得高优先级QoS从而保障良好的视频会议等业务体验,但不能够使用微博以及诸如“愤怒的小鸟”等游戏,甚至在某些更严格的场景中不能使用蓝牙、照相、摄影等功能。当这名员工离开受限区域,对其终端功能的限制将自动解除,而当其在非工作时间通过运营商3G或者Wi-fi网络接入公司时,将不能访问企业高密业务,并限制QoS为低优先级。
最后,网络中并存多种网络设备、多种来自不同厂商的移动终端、iOS、Android等多种操作系统、员工/访客/VIP多种身份的用户等,这些组成元素需要IT管理者统一关注。因而需要考虑通过统一集成的管理平台,实现设备、终端、用户多维度统一管理,及时了解各项业务、资源、终端的运转状态。
端到端立体防护保障BYOD安全:BYOD新引入的安全问题首要在如何防止数据泄漏和隔离终端安全威胁对内网的影响,在移动终端可以通过安全沙箱技术,隔离存放个人和企业数据,防止数据外泄;通过移动设备管理(MDM)实现终端设备全生命周期的管理,包括功能控制、应用管理、设备丢失时远程锁定和擦除等,同时在移动终端入网前可实施安全检查,检测终端越狱/root、软件安装情况等,防止不安全的智能终端接入企业网络。在此基础上还需要结合L3/L4 VPN高强度加密传输、用户上网行为管控、全面的DDos、防病毒、IPS/IDS、WIPS/WIDS等传统安全方案,为用户在云、管、端整个网络架构中提供安全保障。
BYOD的建设需要统筹考虑到网络、安全、策略、管理等多方面,需要切实可行、行之有效。华为早自2009年起就在公司内部实践BYOD,截止目前面向全球410多个办事处、15个地区部、覆盖140多个国家的15万员工提供Push Mail、移动电话会议、业务审批流程等多种BYOD办公服务。从自身实践出发,华为提出了泛BYOD融合网络解决方案,涵盖高效网络建设、统一情景感知策略和管理、无漏洞安全等所有BYOD建设应关注的领域,协助企业和华为一样逐步走向无边界自由移动办公。