一、 BYOD的產生和安全

BYOD不是簡單意義上員工可以攜帶自己的設備在企業網絡環境中使用，其核心應該是員工可以隨時隨地使用任何設備，不論是自己的還是企業提供的設備接入企業網絡。這必將帶給企業網絡“四多”的變化：

更多的設備需要連接到企業網絡;

多種網絡類型，包括有線、Wi-Fi、VPN等;

多種設備類型;

多種操作系統。

以上這些不僅導致個人和企業之間的網絡界限變得模糊，同時由于語音、視頻、遠程協作、多媒體文檔或頁面等應用日益豐富，加上移動接入的需求，要求網絡資源的分布能夠動態調整。但與之相比，網絡安全問題卻是企業的IT部門接受BYOD的最大障礙，IT部門希望能夠解決如下的問題：

能夠掌控哪些用戶、使用何種設備、在什么地方允許接入網絡;

能夠根據用戶、設備、地方、環境等因素實現不同的授權，其中環境是指用設備上硬件、反病毒、操作系統等因素;

能夠基于應用實現授權,例如，只允許iPad訪問Internet，或者使用虛擬桌面;

能夠保持網絡一致性，即整個網絡各個部分實施的安全策略是一致的、集中的，而不是獨自實施自己的安全策略，從而造成安全漏洞;

能夠為丟失的數據采取措施。例如，在自帶設備下載了企業具有保密性的文檔或數據后，一旦自帶設備丟失，需要及時發現丟失并擦除其上面的數據。

這些問題的解決關鍵在于必須能夠監控到網絡中的每一個元素，而做到這點的前提就是對設備和應用的識別。

二、 終端智能識別

一個網絡完整地實施開放的BYOD，以下幾個功能必不可少：

注冊：自帶設備的首次連接和自注冊;

識別：自帶設備的識別;

認證：能夠針對不同用戶、設備類型采用不同的認證方式;

授權：基于用戶、設備類型、接入時間、接入地點、設備環境的授權;

監控：網絡中所有自帶設備的狀態、接入時長等要素的實時監控。

其中，對自帶設備的類型識別，是BYOD方案中實施差異化認證方式和授權的基礎，也是BYOD方案實施的關鍵。

目前，終端類型多種多樣，包括便攜式電腦、筆記型電腦、掌上電腦、智能手機、電子閱讀器、IP電子相機等等，企業可以有選擇地允許其中部分類型甚至是一些品牌的設備進入企業網絡。通過識別終端的設備類型，企業可以為不同的設備推送不同的終端軟件，設置不同的認證方式，或者在Web認證方式下推送適合某種終端類型的頁面，也可以限制其訪問網絡中的敏感數據，或者限制的應用類型等等。

對終端類型的識別，目前主要通過MAC地址的OUI、DHCP的選項、Web訪問請求中的User-agent字段等信息中提取特征字段來進行。一般采取專門的設備或軟件系統，從而方便整個網絡實施一致的識別措施，根據終端類型采取相應的安全策略，也允許管理員能夠根據終端的不斷發展，制定新的終端類型識別方法。H3C是通過iMC軟件系統，思科是通過ISE(Identity Services Engine)系統來實現。通常，這種專門設備或軟件系統還集成了認證功能，從而為整個網絡提供集中、統一的認證和授權。同時，由于網絡流量的復雜性，對終端指紋信息的獲取，需要在網絡邊緣的接入層設備上實施。因此，這種專門的設備或軟件系統往往需要與接入層設備進行配合，由邊緣的接入層設備根據專門識別設備的控制指令，提取并反饋接入到網絡中的終端設備指紋信息，從而完成整個網絡對終端設備的類型識別。圖1是H3C iMC系統中已定義的智能終端識別模板。

圖1 H3C iMC中配置終端識別的類型

三、 應用識別

智能終端的發展催生了其上的應用層出不窮。企業不僅需要能夠控制用戶所訪問的目的網絡，還需要進一步限制終端所能使用的應用類型。例如，企業要求員工如果使用自帶的iPad，則僅能訪問Internet。主要應用類型包括：

簡單文本或超文本消息

因特網瀏覽

即時消息

Email

語音呼叫

視頻播放

在線游戲

語音視頻

各種專門的網絡工具

傳統網絡利用ACL五元組來實現對接入用戶訪問范圍的授權。然而，要實現基于應用的授權，ACL這種方式在一些情況下不能更為細致的區分各種應用，也不能跟蹤動態產生的連接。例如，FTP服務中數據通道的端口是由服務器動態分配的;H.323中的RTP數據通道是雙方動態協商的。對于這些應用，必須跟蹤整個會話過程，才能跟蹤其動態產生的數據通道，采取相應的策略。

BYOD方案中對應用的識別也不同于一般的狀態防火墻，它需要配合授權產生效果。正如前文所寫，BYOD授權需要基于用戶、設備類型、接入時間、接入地點、設備環境等因素。因此，應用識別也需要針對用戶、設備類型來進行，即需要跟蹤每個用戶在每個設備上各種會話狀態。目前，H3C、Aruba都提供了基于用戶的狀態防火墻，能夠識別每個用戶在每個設備上各種會話狀態。

應用識別后采取的策略可以是允許或限制其數據流，也可以是限制該應用的網絡帶寬，或是修改該應用的QoS流標識，使之滿足在整個網絡的QoS策略。例如，部分員工需要優先保障VoIP服務，而另一部分員工則需要優先使用RFID定位服務，那么可以將這兩種用戶的這些應用識別出來，檢查并修改這些業務流的802.1p、DSCP、WMM(Wi-Fi MultiMedia)優先級，使之符合整個網絡的QoS策略，并形成端到端的部署。圖2顯示對Voice應用的識別并調整其QoS策略的過程。

圖2：Voice應用調整QoS策略的過程

應用識別后采取的策略也包括日志記錄。企業在實施BYOD帶來效益提高的同時，也需要將網絡行為更加詳細地進行記錄，以滿足網絡安全和審查需要。既能夠針對每用戶、每設備的應用識別和跟蹤記錄，也可以監控某些關鍵業務的性能。例如，對VoIP業務，需要監控其流量大小、呼叫時長、異常失敗等情況使整個網絡更為可見。

四、 結束語

隨著智能終端的發展，BYOD成為不可阻擋的趨勢，企業網絡必須適時應變，考慮如何融合BYOD。在融合BYOD的過程中，傳統網絡中基于用戶角色的認證和授權已經不能滿足網絡安全的需要，需要實現基于用戶、設備類型、接入時間、接入地點、設備環境的認證和授權，從而使得設備類型識別成為網絡必不可少的功能部件之一。同樣，對每用戶、每設備的應用識別，讓每個用戶的網絡活動處于被授權、記錄之下，是BYOD方案更為詳盡的安全需求，也是實施更為細致的QoS策略，更詳盡地監控網絡性能的需要。以BYOD為契機，推動網絡業務更為豐富化，更詳細的應用識別或環境識別將成為企業網絡的下一步需求。