BYOD不是簡(jiǎn)單意義上員工可以攜帶自己的設(shè)備在企業(yè)網(wǎng)絡(luò)環(huán)境中使用，其核心應(yīng)該是員工可以隨時(shí)隨地使用任何設(shè)備,，不論是自己的還是企業(yè)提供的設(shè)備接入企業(yè)網(wǎng)絡(luò),。這必將帶給企業(yè)網(wǎng)絡(luò)“四多”的變化：

l 更多的設(shè)備需要連接到企業(yè)網(wǎng)絡(luò);

l 多種網(wǎng)絡(luò)類(lèi)型，包括有線(xiàn),、Wi-Fi,、VPN等;

l 多種設(shè)備類(lèi)型;

l 多種操作系統(tǒng)。

以上這些不僅導(dǎo)致個(gè)人和企業(yè)之間的網(wǎng)絡(luò)界限變得模糊，同時(shí)由于語(yǔ)音,、視頻,、遠(yuǎn)程協(xié)作、多媒體文檔或頁(yè)面等應(yīng)用日益豐富,，加上移動(dòng)接入的需求,，要求網(wǎng)絡(luò)資源的分布能夠動(dòng)態(tài)調(diào)整。但與之相比,，網(wǎng)絡(luò)安全問(wèn)題卻是企業(yè)的IT部門(mén)接受BYOD的最大障礙,，IT部門(mén)希望能夠解決如下的問(wèn)題：

l 能夠掌控哪些用戶(hù)、使用何種設(shè)備,、在什么地方允許接入網(wǎng)絡(luò);

l 能夠根據(jù)用戶(hù),、設(shè)備、地方,、環(huán)境等因素實(shí)現(xiàn)不同的授權(quán),，其中環(huán)境是指用設(shè)備上硬件、反病毒,、操作系統(tǒng)等因素;

l 能夠基于應(yīng)用實(shí)現(xiàn)授權(quán),例如,，只允許iPad訪(fǎng)問(wèn)Internet，或者使用虛擬桌面;

l 能夠保持網(wǎng)絡(luò)一致性,，即整個(gè)網(wǎng)絡(luò)各個(gè)部分實(shí)施的安全策略是一致的,、集中的，而不是獨(dú)自實(shí)施自己的安全策略,，從而造成安全漏洞;

l 能夠?yàn)閬G失的數(shù)據(jù)采取措施,。例如，在自帶設(shè)備下載了企業(yè)具有保密性的文檔或數(shù)據(jù)后,，一旦自帶設(shè)備丟失,，需要及時(shí)發(fā)現(xiàn)丟失并擦除其上面的數(shù)據(jù)。

這些問(wèn)題的解決關(guān)鍵在于必須能夠監(jiān)控到網(wǎng)絡(luò)中的每一個(gè)元素,，而做到這點(diǎn)的前提就是對(duì)設(shè)備和應(yīng)用的識(shí)別,。

二、 終端智能識(shí)別

一個(gè)網(wǎng)絡(luò)完整地實(shí)施開(kāi)放的BYOD,，以下幾個(gè)功能必不可少：

l 注冊(cè)：自帶設(shè)備的首次連接和自注冊(cè);

l 識(shí)別：自帶設(shè)備的識(shí)別;

l 認(rèn)證：能夠針對(duì)不同用戶(hù),、設(shè)備類(lèi)型采用不同的認(rèn)證方式;

l 授權(quán)：基于用戶(hù)、設(shè)備類(lèi)型,、接入時(shí)間,、接入地點(diǎn)、設(shè)備環(huán)境的授權(quán);

l 監(jiān)控：網(wǎng)絡(luò)中所有自帶設(shè)備的狀態(tài),、接入時(shí)長(zhǎng)等要素的實(shí)時(shí)監(jiān)控,。

其中,，對(duì)自帶設(shè)備的類(lèi)型識(shí)別，是BYOD方案中實(shí)施差異化認(rèn)證方式和授權(quán)的基礎(chǔ),，也是BYOD方案實(shí)施的關(guān)鍵,。

目前,，終端類(lèi)型多種多樣,，包括便攜式電腦、筆記型電腦,、掌上電腦,、智能手機(jī)、電子閱讀器,、IP電子相機(jī)等等,，企業(yè)可以有選擇地允許其中部分類(lèi)型甚至是一些品牌的設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)。通過(guò)識(shí)別終端的設(shè)備類(lèi)型,，企業(yè)可以為不同的設(shè)備推送不同的終端軟件,，設(shè)置不同的認(rèn)證方式，或者在Web認(rèn)證方式下推送適合某種終端類(lèi)型的頁(yè)面,，也可以限制其訪(fǎng)問(wèn)網(wǎng)絡(luò)中的敏感數(shù)據(jù),，或者限制的應(yīng)用類(lèi)型等等。

對(duì)終端類(lèi)型的識(shí)別,，目前主要通過(guò)MAC地址的OUI,、DHCP的選項(xiàng)、Web訪(fǎng)問(wèn)請(qǐng)求中的User-agent字段等信息中提取特征字段來(lái)進(jìn)行,。一般采取專(zhuān)門(mén)的設(shè)備或軟件系統(tǒng),，從而方便整個(gè)網(wǎng)絡(luò)實(shí)施一致的識(shí)別措施，根據(jù)終端類(lèi)型采取相應(yīng)的安全策略,，也允許管理員能夠根據(jù)終端的不斷發(fā)展,，制定新的終端類(lèi)型識(shí)別方法。H3C是通過(guò)iMC軟件系統(tǒng),，思科是通過(guò)ISE(Identity Services Engine)系統(tǒng)來(lái)實(shí)現(xiàn),。通常，這種專(zhuān)門(mén)設(shè)備或軟件系統(tǒng)還集成了認(rèn)證功能,，從而為整個(gè)網(wǎng)絡(luò)提供集中,、統(tǒng)一的認(rèn)證和授權(quán)。同時(shí),，由于網(wǎng)絡(luò)流量的復(fù)雜性,，對(duì)終端指紋信息的獲取，需要在網(wǎng)絡(luò)邊緣的接入層設(shè)備上實(shí)施,。因此,，這種專(zhuān)門(mén)的設(shè)備或軟件系統(tǒng)往往需要與接入層設(shè)備進(jìn)行配合,，由邊緣的接入層設(shè)備根據(jù)專(zhuān)門(mén)識(shí)別設(shè)備的控制指令，提取并反饋接入到網(wǎng)絡(luò)中的終端設(shè)備指紋信息,，從而完成整個(gè)網(wǎng)絡(luò)對(duì)終端設(shè)備的類(lèi)型識(shí)別,。圖1是H3C iMC系統(tǒng)中已定義的智能終端識(shí)別模板。

 

圖1 H3C iMC中配置終端識(shí)別的類(lèi)型

三,、 應(yīng)用識(shí)別

智能終端的發(fā)展催生了其上的應(yīng)用層出不窮,。企業(yè)不僅需要能夠控制用戶(hù)所訪(fǎng)問(wèn)的目的網(wǎng)絡(luò)，還需要進(jìn)一步限制終端所能使用的應(yīng)用類(lèi)型,。例如,，企業(yè)要求員工如果使用自帶的iPad，則僅能訪(fǎng)問(wèn)Internet,。主要應(yīng)用類(lèi)型包括：

l 簡(jiǎn)單文本或超文本消息

l 因特網(wǎng)瀏覽

l 即時(shí)消息

l Email

l 語(yǔ)音呼叫

l 視頻播放

l 在線(xiàn)游戲

l 語(yǔ)音視頻

l 各種專(zhuān)門(mén)的網(wǎng)絡(luò)工具

傳統(tǒng)網(wǎng)絡(luò)利用ACL五元組來(lái)實(shí)現(xiàn)對(duì)接入用戶(hù)訪(fǎng)問(wèn)范圍的授權(quán),。然而，要實(shí)現(xiàn)基于應(yīng)用的授權(quán),，ACL這種方式在一些情況下不能更為細(xì)致的區(qū)分各種應(yīng)用,，也不能跟蹤動(dòng)態(tài)產(chǎn)生的連接。例如,，F(xiàn)TP服務(wù)中數(shù)據(jù)通道的端口是由服務(wù)器動(dòng)態(tài)分配的;H.323中的RTP數(shù)據(jù)通道是雙方動(dòng)態(tài)協(xié)商的,。對(duì)于這些應(yīng)用，必須跟蹤整個(gè)會(huì)話(huà)過(guò)程,，才能跟蹤其動(dòng)態(tài)產(chǎn)生的數(shù)據(jù)通道,，采取相應(yīng)的策略。

BYOD方案中對(duì)應(yīng)用的識(shí)別也不同于一般的狀態(tài)防火墻,，它需要配合授權(quán)產(chǎn)生效果,。正如前文所寫(xiě)，BYOD授權(quán)需要基于用戶(hù),、設(shè)備類(lèi)型,、接入時(shí)間、接入地點(diǎn),、設(shè)備環(huán)境等因素,。因此，應(yīng)用識(shí)別也需要針對(duì)用戶(hù),、設(shè)備類(lèi)型來(lái)進(jìn)行,，即需要跟蹤每個(gè)用戶(hù)在每個(gè)設(shè)備上各種會(huì)話(huà)狀態(tài)。目前,，H3C,、Aruba都提供了基于用戶(hù)的狀態(tài)防火墻，能夠識(shí)別每個(gè)用戶(hù)在每個(gè)設(shè)備上各種會(huì)話(huà)狀態(tài),。

應(yīng)用識(shí)別后采取的策略可以是允許或限制其數(shù)據(jù)流,，也可以是限制該應(yīng)用的網(wǎng)絡(luò)帶寬,，或是修改該應(yīng)用的QoS流標(biāo)識(shí)，使之滿(mǎn)足在整個(gè)網(wǎng)絡(luò)的QoS策略,。例如,，部分員工需要優(yōu)先保障VoIP服務(wù)，而另一部分員工則需要優(yōu)先使用RFID定位服務(wù),，那么可以將這兩種用戶(hù)的這些應(yīng)用識(shí)別出來(lái),，檢查并修改這些業(yè)務(wù)流的802.1p、DSCP,、WMM(Wi-Fi MultiMedia)優(yōu)先級(jí),，使之符合整個(gè)網(wǎng)絡(luò)的QoS策略，并形成端到端的部署,。圖2顯示對(duì)Voice應(yīng)用的識(shí)別并調(diào)整其QoS策略的過(guò)程。

 

圖2：Voice應(yīng)用調(diào)整QoS策略的過(guò)程

應(yīng)用識(shí)別后采取的策略也包括日志記錄,。企業(yè)在實(shí)施BYOD帶來(lái)效益提高的同時(shí),，也需要將網(wǎng)絡(luò)行為更加詳細(xì)地進(jìn)行記錄，以滿(mǎn)足網(wǎng)絡(luò)安全和審查需要,。既能夠針對(duì)每用戶(hù),、每設(shè)備的應(yīng)用識(shí)別和跟蹤記錄，也可以監(jiān)控某些關(guān)鍵業(yè)務(wù)的性能,。例如,，對(duì)VoIP業(yè)務(wù)，需要監(jiān)控其流量大小,、呼叫時(shí)長(zhǎng),、異常失敗等情況使整個(gè)網(wǎng)絡(luò)更為可見(jiàn)。

四,、 結(jié)束語(yǔ)

隨著智能終端的發(fā)展,，BYOD成為不可阻擋的趨勢(shì)，企業(yè)網(wǎng)絡(luò)必須適時(shí)應(yīng)變,，考慮如何融合BYOD,。在融合BYOD的過(guò)程中，傳統(tǒng)網(wǎng)絡(luò)中基于用戶(hù)角色的認(rèn)證和授權(quán)已經(jīng)不能滿(mǎn)足網(wǎng)絡(luò)安全的需要,，需要實(shí)現(xiàn)基于用戶(hù),、設(shè)備類(lèi)型、接入時(shí)間,、接入地點(diǎn),、設(shè)備環(huán)境的認(rèn)證和授權(quán)，從而使得設(shè)備類(lèi)型識(shí)別成為網(wǎng)絡(luò)必不可少的功能部件之一,。同樣,，對(duì)每用戶(hù),、每設(shè)備的應(yīng)用識(shí)別，讓每個(gè)用戶(hù)的網(wǎng)絡(luò)活動(dòng)處于被授權(quán),、記錄之下,，是BYOD方案更為詳盡的安全需求，也是實(shí)施更為細(xì)致的QoS策略,，更詳盡地監(jiān)控網(wǎng)絡(luò)性能的需要,。以BYOD為契機(jī)，推動(dòng)網(wǎng)絡(luò)業(yè)務(wù)更為豐富化,，更詳細(xì)的應(yīng)用識(shí)別或環(huán)境識(shí)別將成為企業(yè)網(wǎng)絡(luò)的下一步需求,。