IT服務(wù)的基本方式就是服務(wù)器通過網(wǎng)絡(luò)為終端提供服務(wù)，互聯(lián)網(wǎng)的出現(xiàn)促發(fā)了網(wǎng)絡(luò)連接的革命，使得協(xié)作互動更加頻繁。服務(wù)器側(cè)的變革是云計算，它使得IT服務(wù)變成"自來水"，使用更加簡單和靈活；而終端側(cè)的變革則是BYOD，接入網(wǎng)絡(luò)的不再只是一臺設(shè)備，而是一個"有血有肉"的"人"。

BYOD的出現(xiàn)，首先得益于BS開發(fā)架構(gòu)的編程日益成為主流，基于HTML和流媒體技術(shù)的Web瀏覽器規(guī)模應(yīng)用令客戶端形成"標(biāo)準(zhǔn)化"；其次是智能手機(jī)功能的日益強(qiáng)大，手機(jī)從消費(fèi)終端逐步成為個人業(yè)務(wù)處理的"PC"；再者，云服務(wù)的流行，讓更多的業(yè)務(wù)處理集中到云里，不同的業(yè)務(wù)提出了共同的終端接口需求：只要能接入網(wǎng)絡(luò)，一切交給"云"來管理。

BYOD的出現(xiàn)，對于員工而言，用自己的設(shè)備訪問企業(yè)網(wǎng)絡(luò)并進(jìn)行辦公，帶來了更多的靈活性和人性化體驗；對于企業(yè)而言，其不用再為員工配置設(shè)備，降低了企業(yè)成本。但同時對企業(yè)CIO們提出了安全、管理等難題。

一、BYOD帶來的問題與挑戰(zhàn)

1.對企業(yè)IT管理/運(yùn)維者而言

BYOD所倡導(dǎo)的"Any deice、Anywhere、Anytime"恰恰是傳統(tǒng)網(wǎng)絡(luò)管理理念中最令人擔(dān)憂的需求，這使得他們面臨著前所未有的挑戰(zhàn)。

1)提供更加靈活的設(shè)備選擇權(quán)利

傳統(tǒng)的網(wǎng)絡(luò)管理者會根據(jù)經(jīng)驗確定辦公設(shè)備清單，包括臺式機(jī)、便攜機(jī)、打印機(jī)，以及少量的移動終端。員工在這個授權(quán)清單中進(jìn)行選擇并獲得相應(yīng)的IT支持。出于管理安全的考慮，原則上不會輕易調(diào)整清單。

但是在BYOD背景下，終端的變化與革新常常迅速的超出人們的想象。原來越多的員工提出，希望把更"有意思"的終端帶入到企業(yè)的辦公使用中。IT管理者需要考慮更多的支撐手段（包括行政和軟硬件的方法），來主動應(yīng)對這個變化。

2)更安全的網(wǎng)絡(luò)準(zhǔn)入

IT管理者需要制定一些企業(yè)內(nèi)部網(wǎng)絡(luò)安全基線，同時對接入網(wǎng)絡(luò)的終端進(jìn)行有效識別感知，并實現(xiàn)安全的準(zhǔn)入策略。

3)自帶新設(shè)備的管理

對于首次接入企業(yè)網(wǎng)絡(luò)的"新"設(shè)備，IT管理者非常希望能有一種簡單、有效、自服務(wù)、無客戶端的快速部署方法，前提是相應(yīng)的軟硬件改變所產(chǎn)生的IT代價盡可能控制到最小。#p#

4)增強(qiáng)的安全策略

根據(jù)自身的行業(yè)特性和經(jīng)驗累積，企業(yè)往往會部署大量的IT安全策略，確保業(yè)務(wù)的承載安全和IT架構(gòu)合規(guī)。很明顯，越來越多的消費(fèi)類電子設(shè)備（比如各種移動電話和平板電腦）準(zhǔn)備接入企業(yè)網(wǎng)絡(luò)，將會對原有的安全架構(gòu)帶來無法回避的風(fēng)險。

個人終端一旦進(jìn)入到企業(yè)網(wǎng)絡(luò)中，應(yīng)用的界限將不再那么明確，個人業(yè)務(wù)和辦公業(yè)務(wù)往往會同時在一個終端內(nèi)進(jìn)行處理，比如瀏覽微博的平板電腦會在下一時刻打開某個ERP系統(tǒng)；運(yùn)行了微信程序的手機(jī)會進(jìn)入到OA流程審批的業(yè)務(wù)應(yīng)用程序中。針對同個終端在不同的適應(yīng)場景和時間段，IT管理者需要提供不同的安全策略，并對新的使用模型進(jìn)行增強(qiáng)。

5)生產(chǎn)數(shù)據(jù)保護(hù)

BYOD實施的前提是確保企業(yè)數(shù)據(jù)的安全傳送。當(dāng)企業(yè)的固定資產(chǎn)，如筆記本電腦訪問業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)時，通常會受到嚴(yán)格的IT安全策略控制以及類似于"信息安全等級保護(hù)"或"薩班斯法案"等法規(guī)的制約。

個人擁有的平板電腦或智能手機(jī)可能經(jīng)常被用于個人的訪問和業(yè)務(wù)應(yīng)用。特別是在"云"為基礎(chǔ)的文件共享和存儲服務(wù)越來越普及的背景下，這樣的使用將會成為企業(yè)機(jī)密數(shù)據(jù)泄漏的潛在風(fēng)險點(diǎn)。

6)訪問角色控制

如果移動終端發(fā)生丟失或者被盜，IT人員需要迅速對該終端準(zhǔn)入策略進(jìn)行調(diào)整，甚至可以遠(yuǎn)程擦除設(shè)備上部分或所有的數(shù)據(jù)和應(yīng)用。同樣，如果員工角色和崗位發(fā)生了變化，也同樣存在策略調(diào)整的要求。傳統(tǒng)的策略控制是基于帳戶信息，在BYOD時代，則需要結(jié)合終端和業(yè)務(wù)的狀態(tài)。

7)移動終端自身所帶來的安全風(fēng)險

由于接入企業(yè)網(wǎng)絡(luò)中的移動終端種類繁多，IT人員很難將所有的終端功能性能逐一了解，部分移動終端特殊的功能，會使得網(wǎng)絡(luò)內(nèi)部的風(fēng)險明顯增多。

比如Wi-Fi存在adhoc模式，這是一種允許點(diǎn)對點(diǎn)通信的無線互聯(lián)協(xié)議，這使得一些合法的用戶用終端開啟adhoc或其它的代理模式，讓未授權(quán)的用戶取得了企業(yè)網(wǎng)絡(luò)內(nèi)部的訪問能力。

再比如Android系統(tǒng)屬于相對開放的應(yīng)用平臺，隨著Android設(shè)備數(shù)量的增加，Android設(shè)備也成為了受攻擊的目標(biāo)。黑客越來越多地使用移動設(shè)備傳播惡意代碼，而在2012年上半年，受到移動惡意軟件攻擊的智能手機(jī)和平板電腦比2011年同期增加了373%。Android設(shè)備成為主要攻擊目標(biāo)，很大原因是接受第三方應(yīng)用程序(如游戲)的在線商店不對軟件進(jìn)行任何威脅檢查。

8)確保Wi-Fi的性能和可靠性

隨著BYOD的不斷流行，Wi-Fi接入的無處不在，人們對Wi-Fi的期待，不再限于傳統(tǒng)的SOHO使用，而是需要其在易用性不降低的前提下具備類似有線網(wǎng)絡(luò)的高性能和高可靠性等。這種轉(zhuǎn)變，促使IT人員在設(shè)計和部署Wi-Fi網(wǎng)絡(luò)的時候，把更高速、更可靠、更平滑、更智能、更安全、更易用作為技術(shù)目標(biāo)。

9)終端數(shù)量的激增與IP地址的有效使用

傳統(tǒng)網(wǎng)絡(luò)基本上是帳戶、PC、有線端口逐一對應(yīng)的邏輯結(jié)構(gòu)，但是在移動互聯(lián)網(wǎng)極度爆發(fā)的今天，一個用戶擁有多個接入終端，已經(jīng)是無法回避的事實。Wi-Fi實現(xiàn)了賬戶和終端以及接入設(shè)備間的一對多邏輯，但是也帶來了IP地址數(shù)量幾何的增長。普遍的解決辦法是通過NAT，進(jìn)行內(nèi)網(wǎng)私有地址的使用，或者進(jìn)行IPv4向IPv6遷移。

2.對終端用戶而言

1)易用好用

終端用戶對BYOD的樸素要求，就是簡單的連接和安全的訪問企業(yè)資源。但是實時地訪問、設(shè)備的多樣性、業(yè)務(wù)的多樣性等等，都會導(dǎo)致這種需求難以達(dá)到完美。比如在企業(yè)內(nèi)部使用的設(shè)備，證書的準(zhǔn)入方式以及VPN的加密使用，都是普遍的基本規(guī)范，但不同終端的不同配置方式，會讓終端用戶和IT管理者都感到困難重重。

2)安全界限的劃分

在BYOD模式中，移動設(shè)備會同時扮演商務(wù)辦公和私人應(yīng)用的角色，應(yīng)用和數(shù)據(jù)的界限，變得更加模糊。但是從員工實際的想法和企業(yè)自身的要求出發(fā)，應(yīng)該能夠清晰界定這個界限。照片瀏覽、短信閱讀，私人電話、上網(wǎng)瀏覽等在個人時間進(jìn)行的活動，需要有個人隱私，而在辦公時間發(fā)生的文件瀏覽、數(shù)據(jù)傳送、應(yīng)用程序使用、互聯(lián)網(wǎng)瀏覽等等，必須符合企業(yè)的政策和規(guī)定。#p#

二、Wi-Fi與BYOD結(jié)合

IT消費(fèi)化、云計算、移動互聯(lián)等諸多技術(shù)趨勢所帶來的生產(chǎn)效率提升、投入成本降低、以及應(yīng)用多元化等，使得BYOD融入企業(yè)網(wǎng)絡(luò)應(yīng)用中已經(jīng)成為不可逆轉(zhuǎn)的必然趨勢。企業(yè)應(yīng)用從桌面、內(nèi)部服務(wù)器、Intranet，正在不斷向云端遷移。虛擬化、自動化的變革，正在打破應(yīng)用的邊界。如圖1所示，BYOD的網(wǎng)絡(luò)準(zhǔn)入者和管理者按照"移動準(zhǔn)入、服務(wù)提供、實時監(jiān)管"各司其職，企業(yè)內(nèi)部的員工和外部來賓，攜帶著多樣的智能終端，安全實時的接入到企業(yè)所提供的業(yè)務(wù)精細(xì)化管道，并接受必要的監(jiān)管和審計。

圖1BYOD邏輯架構(gòu)圖

Wi-Fi在企業(yè)的大規(guī)模應(yīng)用，使得從任意位置根據(jù)策略訪問桌面，無論使用何種設(shè)備或網(wǎng)絡(luò)成為可能。根據(jù)前文的分析，為了解決IT管理人員和用戶自身在BYOD實施中的困難和疑惑，Wi-Fi網(wǎng)絡(luò)應(yīng)該具備相應(yīng)的能力（如表1所示）。

表1BYOD核心技術(shù)點(diǎn)

1.智能

傳統(tǒng)用戶的準(zhǔn)入是通過單一的帳戶信息進(jìn)行鑒權(quán)并獲得授權(quán)信息，但是在移動互聯(lián)時代，人們往往希望在企業(yè)內(nèi)部單一帳戶可以應(yīng)用到多個終端（包括固定和移動的設(shè)備）。因此，網(wǎng)絡(luò)管理者，也必須在這種需求下調(diào)整網(wǎng)絡(luò)準(zhǔn)入結(jié)構(gòu)，比如，固定設(shè)備進(jìn)行流量控制，移動設(shè)備進(jìn)行時長控制；固定設(shè)備允許進(jìn)入業(yè)務(wù)網(wǎng)，移動設(shè)備僅允許獲得瀏覽權(quán)限等。

移動互聯(lián)時代，當(dāng)人們都愿意采用BYOD來進(jìn)行相關(guān)操作時，Wi-Fi作為重要的智能管道，不能簡單地沿襲傳統(tǒng)有線網(wǎng)絡(luò)的粗放承載模式，視頻、APP、社交媒體等等廣泛的使用，管道內(nèi)的應(yīng)用明顯產(chǎn)生了"高低參差"，對業(yè)務(wù)的識別，智能的調(diào)整業(yè)務(wù)在管道內(nèi)傳送的優(yōu)先能力，是網(wǎng)絡(luò)的管理者非常希望看到的結(jié)果。

為達(dá)到以上目標(biāo)，需要進(jìn)行終端和業(yè)務(wù)智能識別。以終端識別為例，在進(jìn)行無線登錄時，應(yīng)該遵從如圖32所示的流程。

圖2 終端準(zhǔn)入流程

SSID檢查：

檢查關(guān)聯(lián)的SSID是否部署了對應(yīng)的BYOD策略，同時，該接入位置，是否是用戶允許介入的區(qū)域。

準(zhǔn)入策略檢查：

根據(jù)帳戶對應(yīng)的權(quán)屬信息，推送合適的Portal準(zhǔn)入頁面，或802.1x認(rèn)證的證書配置。

終端類型檢查：

針對準(zhǔn)入用戶的設(shè)備硬件類型、操作系統(tǒng)類型以及安全級別，確定BYOD策略。

針對員工的可能策略：

可以單獨(dú)配置"可能策略"，它會在準(zhǔn)入最后階段發(fā)揮作用，更多的根據(jù)安全規(guī)范和業(yè)務(wù)需求而產(chǎn)生的策略，可以集中在此進(jìn)行部署。#p#

2.安全

傳統(tǒng)的安全策略僅滿足有線側(cè)的安全防護(hù)，BYOD模式下，Wi-Fi作為接入層重要技術(shù)，它的安全防護(hù)需要人們重新檢視。在空口（無線空間傳送接口）直接傳送的信號，是把802.3的報文進(jìn)行802.11封裝并進(jìn)行相應(yīng)的調(diào)制解調(diào)為電磁波，在大氣中進(jìn)行"看不見、摸不著"的黑夜傳送。對于Wi-Fi的傳送模式，物理層的頻譜安全防護(hù)（L1）和鏈路層的無線攻擊防護(hù)（L2），以及如何將L1-L7實現(xiàn)有線無線的聯(lián)動，會成為BYOD下移動安全重要的關(guān)注點(diǎn)。

AP作為監(jiān)控設(shè)備，負(fù)責(zé)進(jìn)行空口射頻信號的抓取，然后對射頻芯片上送的原始FFT信號進(jìn)行分析和識別，從而判斷是否有傳統(tǒng)無線防御系統(tǒng)無法識別的非Wi-Fi干擾并同時進(jìn)行信道評估。在搜集完所需信息后，通過AP-AC間的通道上傳給AC，由AC集中處理，用戶可在網(wǎng)管的相關(guān)頁面獲取當(dāng)前的頻譜數(shù)據(jù)信息。同時，在日益擁擠的ISM頻段中，要想完全不受到非WLAN信號的干擾在實際環(huán)境中近乎于不可能，但客戶和工程師可以借助頻譜防護(hù)提供的多種圖表，從不同角度對信道的質(zhì)量和使用情況進(jìn)行監(jiān)控和評估。

WLAN發(fā)展至今，在安全性上也做了不少改進(jìn)。比如加密認(rèn)證體系已經(jīng)由原來的WEP過渡到了802.11i。企業(yè)通過802.1x認(rèn)證與CCMP強(qiáng)加密，可以最大限度的保護(hù)無線數(shù)據(jù)安全，即使惡意攻擊者監(jiān)聽到了這些報文，由于報文已被強(qiáng)加密，因此他還是無法還原出原始數(shù)據(jù)。但是，使用802.11i仍然無法完全保護(hù)企業(yè)無線網(wǎng)絡(luò)不受惡意攻擊。例如，攻擊者可設(shè)置蜜罐AP誘惑用戶連接、或通過泛洪（FLOOD）各種WLAN協(xié)議報文使企業(yè)無線網(wǎng)絡(luò)無法使用。

無線攻擊防護(hù)系統(tǒng)（WIPS）被設(shè)計用于應(yīng)對各種各樣的WLAN攻擊。通過傳感器掃描企業(yè)內(nèi)部WLAN環(huán)境、通過AC進(jìn)行攻擊分析，最后將各種數(shù)據(jù)與攻擊檢測結(jié)果發(fā)送給網(wǎng)管呈現(xiàn)給用戶。

WIPS主要有以下幾類主要功能：

(1)檢測并禁用非法設(shè)備：WIPS可以檢測RogueAP、Adhoc網(wǎng)絡(luò)、授權(quán)/非授權(quán)STA等；

(2)檢測并規(guī)避DOS攻擊：為每種攻擊設(shè)置速率閾值，當(dāng)某種報文的速率超過閾值時采取預(yù)先定義的動作；

(3)檢測并規(guī)避表項攻擊：當(dāng)報文的MAC變化率超過閾值時采取預(yù)先定義的動作；

(4)檢測并反制仿冒攻擊：例如，可以檢測中間人攻擊（如圖3所示）。攻擊者假冒成一個合法的AP為用戶提供服務(wù)；

(5)基于pattern的匹配（Signature）：對報文進(jìn)行預(yù)定義的pattern匹配，并執(zhí)行預(yù)定義的動作；

(6)WLAN環(huán)境監(jiān)控：可監(jiān)控WLAN各個信道上的無線設(shè)備，以及各種WLAN管理報文、控制報文及數(shù)據(jù)報文的速率。

圖3中間人攻擊示意圖#p#

3.易用

BYOD模式下，終端自身的硬件多樣性、應(yīng)用精細(xì)化，以及人們對實時接入的迫切要求，使得易用性成為了非常重要的甚至是影響到網(wǎng)絡(luò)評價的重要指標(biāo)。

終端數(shù)量幾何增長帶來的IP地址浪費(fèi)與枯竭、高密覆蓋下2.4G/5G終端靈活接入、訪客來賓進(jìn)入企業(yè)快速安全的獲得移動網(wǎng)絡(luò)訪問能力、針對不同場景的AC快速虛擬實例化部署、分支節(jié)點(diǎn)業(yè)務(wù)永續(xù)能力提高等等，都會成為BYOD易用性提升的重要環(huán)節(jié)。

傳統(tǒng)的企業(yè)園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)使用者的物理位置和網(wǎng)絡(luò)信息節(jié)點(diǎn)原則上一一對應(yīng)，網(wǎng)絡(luò)管理難度相對可控。但是，在BYOD模式下，移動終端數(shù)量和IP地址消耗量爆發(fā)增長，同時，由于BYOD的移動性，終端的接入存在空間和時間的潮汐性。比如早上10點(diǎn)，員工都在辦公室進(jìn)行業(yè)務(wù)處理，下午3點(diǎn)，員工都在各類會議室參加會議。

這種情況下如果將所有的用戶分配在一個VLAN中，意味著所有用戶在同一個子網(wǎng)中，龐大的廣播域會大大增加空口中的廣播流量，浪費(fèi)空口帶寬。另一方面，大量用戶在同一子網(wǎng)中，那么該子網(wǎng)需要一個很大的連續(xù)地址空間。企業(yè)可能會有多個不連續(xù)的C類地址，但沒有大的連續(xù)地址空間（如B類地址）。顯然，我們無法利用一個VLAN來為大量的同一類用戶來分配不連續(xù)的地址空間。

VLAN池優(yōu)化分配技術(shù)的出現(xiàn)，很好的解決了BYOD模式下IP地址浪費(fèi)與枯竭的問題，提高了Wi-Fi管道的易用性。如圖4所示，VLAN池包含多個VLAN，當(dāng)一個SSID和一個VLAN池綁定時，該SSID下的用戶將被均衡地分配在VLAN池的所有VLAN中，既能將用戶劃分在不同廣播域中，又能充分利用不連續(xù)的地址段為用戶分配地址。

圖4 VLAN池優(yōu)化分配技術(shù)示意圖

三、結(jié)束語

新的執(zhí)行環(huán)境總會創(chuàng)造新的市場，而BYOD的興起無疑也將遵循這一規(guī)律。移動互聯(lián)與云計算兩大技術(shù)交匯融合，催生出一套由用戶、服務(wù)提供商以及網(wǎng)絡(luò)設(shè)備商共同組成的完整生態(tài)系統(tǒng)。