基于BYOD的移動辦公及其解決方案研究

楊敬民 ，林偉俊

福建星網銳捷網絡有限公司，福建福州 350002

1 BYOD 簡介

1.1 什么是BYOD

BYOD（Bring Your Own Device）：指攜帶自己的設備辦公，這些設備包括個人電腦、手機、平板等。現在更多的情況指手機或平板這樣的移動智能終端設備。

1.2 BYOD 的需求驅動力

BYOD 是技術發展和客戶需求雙重驅動的產物。有三大技術力量驅動移動辦公的發展，分別是IT 移動化、IT 消費化和IT 虛擬化。IT 移動化使人們實現了從離線辦公到在線辦公；IT 消費化讓企業員工將自己的智能終端帶入企業的辦公場所辦公；IT 虛擬化的普及，很多應用將會走向云端。

首先是消費類電子設備普及。根據Gartner 的報告，2012年全球智能終端裝置（智能型手機和平板）的銷售量將達8 億2,100 萬臺，占整體裝置市場的七成，2013 年的銷量預期將突破10 億臺大關。在中國，2012 年智能移動終端出貨量達2.24億，2013 年更是高達3.9 億。

根據艾媒咨詢（iiMedia Research）發布的《2012Q1 中國移動應用市場季度監測報告》顯示，移動智能終端占比前三的操作系統包括：Andorid，Symbian，IOS。截止2012 年3 月，中國智能手機用戶數達到2.52 億人，55.4%的智能手機操作系統為Android 系統。

其次不同電子設備對應不同的應用需求。比如公司管理層開會更喜歡使用iphone，Andorid 等智能手機或者IPad，辦公則更喜歡使用筆記本。醫院醫生查房等；

第三，移動辦公隨時隨地。使用移動終端，員工可以隨時進行公務處理，個人時間支配更加便捷。3G，wifi 等網絡無處不在，使用移動終端即可方便接入。

第四，業務應用的支持。目前絕大部分的業務系統也開始支持移動終端的接入應用，比如視頻電話，文件傳輸等。

第五，許多企業開始考慮允許員工自帶智能設備使用企業內部應用。企業的目標是在滿足員工自身對于新科技和個性化追求的同時提高員工的工作效率。有的公司更是將BYOD作為提升企業競爭力的戰略工具，大力推進BYOD。Rebecca Copeland 通過對美國，德國，日本企業的調研發現，88%的公司員工使用他們自己的設備進行辦公，79%的企業在未來12 個月中有該項預算。BYOD 在教育，醫療，商業，制造業，政府等行業都存在。使用的設備也多樣化，包括平板電腦，智能手機，筆記本等。

1.3 BYOD 面臨的問題

移動終端的多樣性，隨之帶來如下五大方面的問題。

首先，終端的接入問題。智能移動終端一般只具備wifi，3G/4G 等接入功能，傳統的有線網絡環境不適用。

其次，網絡的運維問題。

1）網絡運維管理難度加大。有線、無線、vpn 網絡混雜在一起，使得管理員需要同時監控和管理三張網絡，難度加大。

2）移動終端的管理難度加大。終端類型繁多，終端的識別，授權，行為審計等管理工作也變得異常復雜。

3）移動終端的安全防護難度加大。移動智能終端操作系統存在例如病毒、流氓軟件、安全漏洞、攻擊行為等問題。

4）BYOD 環境所處無線網絡也存在安全隱患，例如可能存在AP 欺詐行為。

第三，數據的安全問題。移動終端的便攜性，訪問機密數據的隨意性，使實施BYOD 企業的機密數據也面臨被泄密的風險。根據移動和安全專家Jack Gold 的研究，每年大約有10%-20%的企業會經歷移動數據泄密的事件。

1）成本問題。企業實施BYOD 的五大類型成本包括：

（1）設備采購成本。員工的自有設備不一定支持企業的BYOD 方案，企業的統一采購是需要考慮的硬件成本；

（2）技術支持成本。企業為支持BYOD 需要投入一定的技術支持。比如員工使用移動終端無法使用公司業務，需要由企業提供相關技術培訓，故障處理等技術支持。

（3）基礎設施建設和運維成本。為了實現全面管理，企業將不得不斥資采購移動數據管理（Mobile Device Management，MDM）系統，VPN 網關，無線控制器，無線訪問接入器等產品。

（4）軟件及服務成本。BYOD 的實質是鼓勵員工在任何地點，任何時間處理公司業務。企業為此需要購置專門的軟件及服務來保證出門在外的員工能在下班后繼續訪問業務資源。比如iPad 上的文檔編輯類應用。

（5）運營商費用成本。語音及移動數據使用產生的移動費用，也是企業需要關注的一項成本。

5）用戶體驗問題。

（1）傳統網絡接入控制（Network Access Control，NAC）體驗差。在部署了接入認證的網絡環境，傳統1x認證、web認證、vpn 方式認證雖然可以實現接入認證，但是普遍存在認證客戶端易用性差，認證后的在線狀態不易控制、無線業務使用間歇性導致需要頻繁認證的問題。

（2）關鍵應用沒法得到保障。在BYOD 環境中，無線網絡中的各種噪音會占用有限的無線帶寬，嚴重影響網絡的可用性。另一方面，移動終端所使用的各種應用也可能過多的占用帶寬，導致一些關鍵的業務無法得到保證。

2 國內主要廠商BYOD 方案

2.1 思科BYOD 解決方案

2.1.1 整體架構

思科 BYOD 解決方案可以根據需要定制。它提供包括設計模板和服務、網絡基礎架構和接入點等在內的基本元素。

2.1.2 方案組件及其主要功能介紹

1） AnyConnect 客戶端

客戶端軟件，支持多種接入網絡、認證方式和移動終端平臺。

2） Jabber 客戶端

可以通過Wi-Fi 網絡查看到用戶是否有空、進行即時消息通信、訪問語音信箱、以及撥打和管理語音和視頻電話。

網絡基礎設施：設備在提供各種鏈接接入的通道的同時，還作為安全和策略的執行設備。這些設備包括交換機提供的有線網絡；無線AP+AC 提供的無線網絡；集成多業務路由器提供的VPN 遠程訪問網絡；

ISE（Identity Service Engine，身份服務引擎）：ISE 是集成網絡接入認證、分析、狀態檢測、訪客管理、安全組訪問服務（監測、報告和故障診斷能力）于一體的單一物理或虛擬設備。提供的主要功能包括：

認證：基于RADIUS 協議的認證方式。

授權：基于終端類型、屬性下發不同策略權限。

生命周期管理：管理員可通過portal 認證或授權的方式限制訪客用戶接入網絡的生命周期。

終端評估：可基于多維度對移動終端進行評估，如OS 類型、殺毒軟件屬性、注冊表、應用軟件等，同時支持周期性的基于策略的實時端點設備掃描，以便深入了解更多相關信息。

終端識別：設備感應器可最精確地識別網絡中新的設備類型，包括各種設備類型。

端點保護：基于終端評估的結果，對存在風險的進行策略隔離。

集中管理：基于web 頁面、簡易的網絡管理。

故障修復：通過監控、通告、修復解決網絡中的故障。

策略一體：能夠在整個組織內為有線、無線和 VPN 網絡提供同一策略。

MDM：是指將應用程序、數據和配置設置分配到移動通信設備（如筆記本電腦、手機和個人數字助手）的程序或工具。典型的功能包括設備配置、設備上的加密、強制密碼、自助配置服務、終端監控（要求 PIN 鎖定或禁止使用越獄設備），并可以對丟失或被盜的移動設備執行遠程數據擦除；

Prime 網絡控制系統（Network Control System，NCS）

實現整合式有線/無線監控和故障排除、無線生命周期管理，并提供新的分支機構管理功能。通過與ISE 集成， Prime NCS 還能夠監控端點的安全性策略幫助用戶根據整個有線和無線接入網絡中關于網絡、用戶和設備的實時環境信息來了解是否符合相關的規定；

6）第三方組件，包括CA 證書，微軟AD 域等，實現實現網絡設備接入認證的安全機制和身份的統一管理；

7） ScanSafe 云Web 安全

通過安全掃描Web 訪問過濾，檢測惡意軟件，發現異常行為，并提供實時反饋到公司等措施，引導BYOD 客戶端通過ScanSafe 云來安全訪問互聯網。

3 華為BYOD 解決方案

3.1 整體架構

華為的BYOD 解決方案側重點在于安全。華為認為移動安全和管理本質上要解決的問題可以概括為三個：身份和設備可識別（Identity），數據不泄密（Privacy），和設備可管理（Compliance）。

3.2 方案組件及其主要功能介紹

華為BYOD 方案組件包括AnyOffice 移動辦公客戶端、SVN2000/5000 系列的SSL/IPSec 一體化VPN 硬件網關設備、SACG、兼具防火墻和UTM 功能的USG2200/5100/5500 設備、統一策略管理服務器以及移動企業應用平臺（Mobile Enterprise Application Platform，MEAP）。

1） AnyOffice 客戶端：客戶端軟件，以one-agent 的形式集成了安全沙箱、安全郵件客戶端、安全瀏覽器、移動終端管理（MDM）軟件、VPN 客戶端、虛擬桌面等一系列應用；

2）SVN 安全接入網關：支持多種路由協議，IPv4/IPv6協議棧，雙機熱備，提供多種認證方式（VPNDB 本地認證，RADIUS/LDAP/SecurID/數字證書認證/短信認證等）和訪問控制策略，支持L3 VPN，SSL VPN 等多種VPN 安全服務；

3） SACG 安全準入控制網關：通過基于角色的ACL 規則（UCL）動態將用戶關聯到可以訪問的認證后域，未通過身份認證和安全檢查前，使用認證前域對應的ACL 規則進行數據包的過濾，限制用戶訪問的網絡資源；

4）USG 統一安全網關：主要用于內網安全和上網行為管理。集安全、路由、交換、無線（WiFi、3G）等特性于一體，接口類型豐富，融合Symantec 的入侵防御和反病毒技術，集成DPI（深度包檢測）識別技術；

5） 統一策略管理平臺：在整個組織內實施統一的安全策略。平臺根據不同的用戶角色、不同的設備類型、不同的場所、不同的時段、不同的區域采用不同的策略，確保對業務的安全訪問。提供涵蓋整個組織的單一策略來源；

6）MEAP：以HTML5 為技術基礎，集開發、部署、運行、監控為一體的企業移動應用系統。MEAP 還支持設備平臺多樣化，即一次開發任意部署的跨設備支持能力，支持移動設備API，如GPS、攝像頭、陀螺儀、重力感應等。主要平臺有SAP SUP，IBM Worklight 等。目前MEAP 支持設備有Android，iOS，Blackberry，Windows，WebOS 等。

4 結論

BYOD 的本質在于讓企業員工隨時隨地移動辦公，借此提升企業生產力和員工滿意度，增強企業競爭力。思科和華為都針對性推出了BYOD 解決方案，可以作為企業實施BYOD 的參考方案。

[1]BYOD介紹，http://baike.baidu.com/view/348696.htm.

[2]Avanade? Research & Insights “Global Survey: Dispelling Six Myths of Consumerization of IT” January 2012.

[3]Vendor Landscape: Mobile Device Management Suites, Info-Tech Research Group“Cisco Study: IT Saying Yes to BYOD,”Cisco, 16 May 2012; http://newsroom.cisco.com/release/854754/Cisco-Study-ITSaying-Yes-To-BYOD.

[4]華為BYOD移動辦公安全解決方案技術白皮書，華為技術有限公司.http://enterprise.huawei.com/cn/solutions/multimediasolu/move/safety/hw-148391.htm.