智能 安全 易用——給BYOD一個港灣

2012年，一個新的IT名詞進入大家的視線：BYOD(Bing Your Own Device)。直譯是自己的設備去工作，即將個人終端與工作終端合二為一。這樣的好處是，員工可以不再必須使用單位指定的電腦，出差時可以不必背著笨重的筆記本電腦，通過手機、平板電腦、家里的電腦、賓館里的電視……等等接入網(wǎng)絡，完成辦公室里的一切工作。這種方式不僅方便了員工的選擇，同時讓企業(yè)節(jié)省一大筆辦公電腦的固定投資，并向綠色辦公更邁一步。最重要的是，它讓工作變得時尚和個性化。

IT服務的基本方式就是服務器通過網(wǎng)絡為終端提供服務，互聯(lián)網(wǎng)的出現(xiàn)促發(fā)了網(wǎng)絡連接的革命，使得協(xié)作互動更加頻繁。服務器側的變革是云計算，它使得IT服務變成“自來水”，使用更加簡單和靈活;而終端側的變革則是BYOD，接入網(wǎng)絡的不再只是一臺設備，而是一個“有血有肉”的“人”。

BYOD的出現(xiàn)，首先得益于BS開發(fā)架構的編程日益成為主流，基于HTML和流媒體技術的Web瀏覽器規(guī)模應用令客戶端形成“標準化”;其次是智能手機功能的日益強大，手機從消費終端逐步成為個人業(yè)務處理的“PC”;再者，云服務的流行，讓更多的業(yè)務處理集中到云里，不同的業(yè)務提出了共同的終端接口需求：只要能接入網(wǎng)絡，一切交給“云”來管理。

BYOD的出現(xiàn)，對于員工而言，用自己的設備訪問企業(yè)網(wǎng)絡并進行辦公，帶來了更多的靈活性和人性化體驗;對于企業(yè)而言，BYOD潮流讓其不用再為員工配置設備，降低了企業(yè)成本。但同時對企業(yè)CIO們提出了安全、管理等難題。

一、 BYOD帶來的問題與挑戰(zhàn)

1. 對企業(yè)IT管理/運維者而言

BYOD所倡導的“Any deice、Anywhere、Anytime”恰恰是傳統(tǒng)網(wǎng)絡管理理念中最令人擔憂的需求，這使得他們面臨著前所未有的挑戰(zhàn)。

1) 提供更加靈活的設備選擇權利

傳統(tǒng)的網(wǎng)絡管理者會根據(jù)經(jīng)驗確定辦公設備清單，包括臺式機、便攜機、打印機，以及少量的移動終端。員工在這個授權清單中進行選擇并獲得相應的IT支持。出于管理安全的考慮，原則上不會輕易調整清單。

但是在BYOD背景下，終端的變化與革新常常迅速的超出人們的想象。原來越多的員工提出，希望把更“有意思”的終端帶入到企業(yè)的辦公使用中。IT管理者需要考慮更多的支撐手段(包括行政和軟硬件的方法)，來主動應對這個變化。

2) 更安全的網(wǎng)絡準入

IT管理者需要制定一些企業(yè)內部網(wǎng)絡安全基線，同時對接入網(wǎng)絡的終端進行有效識別感知，并實現(xiàn)安全的準入策略。

3) 自帶新設備的管理

對于首次接入企業(yè)網(wǎng)絡的“新”設備，IT管理者非常希望能有一種簡單、有效、自服務、無客戶端的快速部署方法，前提是相應的軟硬件改變所產(chǎn)生的IT代價盡可能控制到最小。

4) 增強的安全策略

根據(jù)自身的行業(yè)特性和經(jīng)驗累積，企業(yè)往往會部署大量的IT安全策略，確保業(yè)務的承載安全和IT架構合規(guī)。很明顯，越來越多的消費類電子設備(比如各種移動電話和平板電腦)準備接入企業(yè)網(wǎng)絡，將會對原有的安全架構帶來無法回避的風險。

個人終端一旦進入到企業(yè)網(wǎng)絡中，應用的界限將不再那么明確，個人業(yè)務和辦公業(yè)務往往會同時在一個終端內進行處理，比如瀏覽微博的平板電腦會在下一時刻打開某個ERP系統(tǒng);運行了微信程序的手機會進入到OA流程審批的業(yè)務應用程序中。針對同個終端在不同的適應場景和時間段，IT管理者需要提供不同的安全策略，并對新的使用模型進行增強。

5) 生產(chǎn)數(shù)據(jù)保護

BYOD實施的前提是確保企業(yè)數(shù)據(jù)的安全傳送。當企業(yè)的固定資產(chǎn)，如筆記本電腦訪問業(yè)務應用程序和數(shù)據(jù)時，通常會受到嚴格的IT安全策略控制以及類似于“信息安全等級保護”或“薩班斯法案”等法規(guī)的制約。

個人擁有的平板電腦或智能手機可能經(jīng)常被用于個人的訪問和業(yè)務應用。特別是在“云”為基礎的文件共享和存儲服務越來越普及的背景下，這樣的使用將會成為企業(yè)機密數(shù)據(jù)泄漏的潛在風險點。

6) 訪問角色控制

如果移動終端發(fā)生丟失或者被盜，IT人員需要迅速對該終端準入策略進行調整，甚至可以遠程擦除設備上部分或所有的數(shù)據(jù)和應用。同樣，如果員工角色和崗位發(fā)生了變化，也同樣存在策略調整的要求。傳統(tǒng)的策略控制是基于帳戶信息，在BYOD時代，則需要結合終端和業(yè)務的狀態(tài)。

7) 移動終端系統(tǒng)所帶來的安全風險

由于接入企業(yè)網(wǎng)絡中的移動終端種類繁多，IT人員很難將所有的終端功能性能逐一了解，部分移動終端特殊的功能，會使得網(wǎng)絡內部的風險明顯增多。

比如Wi-Fi存在ad hoc模式，這是一種允許點對點通信的無線互聯(lián)協(xié)議，這使得一些合法的用戶用終端開啟ad hoc或其它的代理模式，讓未授權的用戶取得了企業(yè)網(wǎng)絡內部的訪問能力。

再比如Android系統(tǒng)屬于相對開放的應用平臺，隨著Android設備數(shù)量的增加，Android設備也成為了受攻擊的目標。黑客越來越多地使用移動設備傳播惡意代碼，而在2012年上半年，受到移動惡意軟件攻擊的智能手機和平板電腦比2011年同期增加了373%。Android設備成為主要攻擊目標，很大原因是接受第三方應用程序(如游戲)的在線商店不對軟件進行任何威脅檢查。

8) 確保Wi-Fi的性能和可靠性

隨著BYOD的不斷流行，Wi-Fi接入的無處不在，人們對Wi-Fi的期待，不再限于傳統(tǒng)的SOHO使用，而是需要其在易用性不降低的前提下具備類似有線網(wǎng)絡的高性能和高可靠性等。這種轉變，促使IT人員在設計和部署Wi-Fi網(wǎng)絡的時候，把更高速、更可靠、更平滑、更智能、更安全、更易用作為技術目標。

9) 終端數(shù)量的激增與IP地址的有效使用

傳統(tǒng)網(wǎng)絡基本上是帳戶、PC、有線端口逐一對應的邏輯結構，但是在移動互聯(lián)網(wǎng)極度爆發(fā)的今天，一個用戶擁有多個接入終端，已經(jīng)是無法回避的事實。Wi-Fi實現(xiàn)了賬戶和終端以及接入設備間的一對多邏輯，但是也帶來了IP地址數(shù)量幾何的增長。普遍的解決辦法是通過NAT，進行內網(wǎng)私有地址的使用，或者進行IPv4向IPv6遷移。

2. 對終端用戶而言

1) 易用好用

終端用戶對BYOD的樸素要求，就是簡單的連接和安全的訪問企業(yè)資源。但是實時地訪問、設備的多樣性、業(yè)務的多樣性等等，都會導致這種需求難以達到完美。比如在企業(yè)內部使用的設備，證書的準入方式以及VPN的加密使用，都是普遍的基本規(guī)范，但不同終端的不同配置方式，會讓終端用戶和IT管理者都感到困難重重。

2) 安全界限的劃分

在BYOD模式中，移動設備會同時扮演商務辦公和私人應用的混合角色，應用和數(shù)據(jù)的界限，變得更加模糊。但是從員工實際的想法和企業(yè)自身的要求出發(fā)，應該能夠清晰界定這個界限。照片瀏覽、短信閱讀，私人電話、上網(wǎng)瀏覽等在個人時間進行的活動，需要有個人隱私，而在辦公時間發(fā)生的文件瀏覽、數(shù)據(jù)傳送、應用程序使用、互聯(lián)網(wǎng)瀏覽等等，必須符合企業(yè)的政策和規(guī)定。

二、 Wi-Fi與BYOD結合

IT消費化、云計算、移動互聯(lián)等諸多技術趨勢所帶來的生產(chǎn)效率提升、投入成本降低、以及應用多元化等，使得BYOD融入企業(yè)網(wǎng)絡應用中已經(jīng)成為不可逆轉的必然趨勢。企業(yè)應用從桌面、內部服務器、Intranet，正在不斷向云端遷移。虛擬化、自動化的變革，正在打破應用的邊界。如圖1所示，BYOD的網(wǎng)絡準入者和管理者按照“移動準入、服務提供、實時監(jiān)管”各司其職，企業(yè)內部的員工和外部來賓，攜帶著多樣的智能終端，安全實時的接入到企業(yè)所提供的業(yè)務精細化管道，并接受必要的監(jiān)管和審計。

▲圖1 BYOD邏輯架構圖

Wi-Fi在企業(yè)的大規(guī)模應用，使得從任意位置根據(jù)策略訪問桌面，無論使用何種設備或網(wǎng)絡成為可能。根據(jù)前面前文的分析，為了解決IT管理人員和用戶自身在BYOD實施中的困難和疑惑，Wi-Fi網(wǎng)絡應該具備相應的能力(如表1所示)。

▲表1 BYOD核心技術點

1. 智能

傳統(tǒng)用戶的準入是通過單一的帳戶信息進行鑒權并獲得授權信息，但是在移動互聯(lián)時代，人們往往希望在企業(yè)內部單一帳戶可以應用到多個終端，(包括固定和移動的設備)。同時因此，網(wǎng)絡管理者，也必須在這種需求下調整網(wǎng)絡準入結構，比如，固定設備進行流量控制，移動設備進行時長控制;固定設備允許進入業(yè)務網(wǎng)，移動設備僅允許獲得瀏覽權限等。

移動互聯(lián)時代，當人們都愿意采用BYOD來進行相關操作時，Wi-Fi作為重要的智能管道，不能簡單地沿襲傳統(tǒng)有線網(wǎng)絡的粗放承載模式，視頻、APP、社交媒體等等廣泛的使用，管道內的應用明顯產(chǎn)生了“高低參差”，對業(yè)務的識別，智能的調整業(yè)務在管道內傳送的優(yōu)先能力，是網(wǎng)絡的管理者非常希望看到的結果。

為達到以上目標，需要進行終端和業(yè)務智能識別。以終端識別為例，在進行無線登錄時，應該遵從如圖2所示的流程。

▲圖2 終端準入流程

SSID檢查：

檢查關聯(lián)的SSID是否部署了對應的BYOD策略，同時，該接入位置，是否是用戶允許介入的區(qū)域。

準入策略檢查：

根據(jù)帳戶對應的權屬信息，推送合適的Portal準入頁面，或802.1x認證的證書配置。

終端類型檢查：

針對準入用戶的設備硬件類型、操作系統(tǒng)類型以及安全級別，確定BYOD策略。

針對員工的可能策略：

可以單獨配置“可能策略”，它會在準入最后階段發(fā)揮作用，更多的根據(jù)安全規(guī)范和業(yè)務需求而產(chǎn)生的策略，可以集中在此進行部署。

2. 安全

傳統(tǒng)的安全策略僅滿足有線側的安全防護，BYOD模式下，Wi-Fi作為接入層重要技術，它的安全防護需要人們重新檢視。在空口(無線空間傳送接口)直接傳送的信號，是把802.3的報文進行802.11封裝并進行相應的調制解調為電磁波，在大氣中進行“看不見、摸不著”的黑夜傳送。對于Wi-Fi的傳送模式，物理層的頻譜安全防護(L1)和鏈路層的無線攻擊防護(L2)，以及如何將L1-L7實現(xiàn)有線無線的聯(lián)動，會成為BYOD下移動安全重要的關注點。

AP作為監(jiān)控設備，負責進行空口射頻信號的抓取，然后對射頻芯片上送的原始FFT信號進行分析和識別，從而判斷是否有傳統(tǒng)無線防御系統(tǒng)無法識別的非Wi-Fi干擾并同時進行信道評估。在搜集完所需信息后，通過AP-AC間的通道上傳給AC，由AC集中處理，用戶可在網(wǎng)管的相關頁面獲取當前的頻譜數(shù)據(jù)信息。同時，在日益擁擠的ISM頻段中，要想完全不受到非WLAN信號的干擾在實際環(huán)境中近乎于不可能，但客戶和工程師可以借助頻譜防護提供的多種圖表，從不同角度對信道的質量和使用情況進行監(jiān)控和評估。

WLAN發(fā)展至今，在安全性上也做了不少改進。比如加密認證體系已經(jīng)由原來的WEP過度到了802.11i。企業(yè)通過802.1X認證與CCMP強加密，可以最大限度的保護無線數(shù)據(jù)安全，即使惡意攻擊者監(jiān)聽到了這些報文，由于報文已被強加密，因此他還是無法還原出原始數(shù)據(jù)。但是，使用802.11i仍然無法完全保護企業(yè)無線網(wǎng)絡不受惡意攻擊。例如，攻擊者可設置蜜罐AP誘惑用戶連接、或通過泛洪(FLOOD)各種WLAN協(xié)議報文使企業(yè)無線網(wǎng)絡無法使用。

無線攻擊防護系統(tǒng)(WIPS)被設計用于應對各種各樣的WLAN攻擊。通過傳感器掃描企業(yè)內部WLAN環(huán)境、通過AC進行攻擊分析，最后將各種數(shù)據(jù)與攻擊檢測結果發(fā)送給網(wǎng)管呈現(xiàn)給用戶。

WIPS主要有以下幾類主要功能：

(1) 檢測并禁用非法設備：WIPS可以檢測Rogue AP、Adhoc網(wǎng)絡、授權/非授權STA等;

(2) 檢測并規(guī)避DOS攻擊：為每種攻擊設置速率閾值，當某種報文的速率超過閾值時采取預先定義的動作;

(3) 檢測并規(guī)避表項攻擊：當報文的MAC變化率超過閾值時采取預先定義的動作;

(4) 檢測并反制仿冒攻擊：例如，可以檢測中間人攻擊(如圖3所示)。攻擊者假冒成一個合法的AP為用戶提供服務;

(5) 基于pattern的匹配(Signature)：對報文進行預定義的pattern匹配，并執(zhí)行預定義的動作;

(6) WLAN環(huán)境監(jiān)控：可監(jiān)控WLAN各個信道上的無線設備，以及各種WLAN管理報文、控制報文及數(shù)據(jù)報文的速率。

▲圖3 中間人攻擊示意圖

3. 易用

BYOD模式下，終端自身的硬件多樣性、應用精細化，以及人們對實時接入的迫切要求，易用性成為了非常重要的甚至是影響到網(wǎng)絡評價的重要指標。

終端數(shù)量幾何增長帶來的IP地址浪費與枯竭、高密覆蓋下2.4G/5G終端靈活接入、訪客來賓進入企業(yè)快速安全的獲得移動網(wǎng)絡訪問能力、針對不同場景的AC快速虛擬實例化部署、分支節(jié)點業(yè)務永續(xù)能力提高等等，都會成為BYOD易用性提升的重要環(huán)節(jié)。

傳統(tǒng)的企業(yè)園區(qū)網(wǎng)絡，網(wǎng)絡使用者的物理位置和網(wǎng)絡信息節(jié)點原則上一一對應，網(wǎng)絡管理難度相對可控。但是，在BYOD模式下，移動終端數(shù)量和IP地址消耗量爆發(fā)增長，同時，由于BYOD的移動性，終端的接入存在空間和時間的潮汐性。比如早上10點，員工都在辦公室進行業(yè)務處理，下午3點，員工都在各類會議室參加會議。

這種情況下如果將所有的用戶分配在一個VLAN中，意味著所有用戶在同一個子網(wǎng)中，龐大的廣播域會大大增加空口中的廣播流量，浪費空口帶寬。另一方面，大量用戶在同一子網(wǎng)中，那么該子網(wǎng)需要一個很大的連續(xù)地址空間。企業(yè)可能會有多個不連續(xù)的C類地址，但沒有大的連續(xù)地址空間(如B類地址)。顯然，我們無法利用一個VLAN來為大量的同一類用戶來分配不連續(xù)的地址空間。

VLAN池優(yōu)化分配技術的出現(xiàn)，很好的解決了BYOD模式下IP地址浪費與枯竭的問題，提高了WiFi管道的易用性。如圖4所示，VLAN池包含多個VLAN，當一個SSID和一個VLAN池綁定時，該SSID下的用戶將被均衡地分配在VLAN池的所有VLAN中，既能將用戶劃分在不同廣播域中，又能充分利用不連續(xù)的地址段為用戶分配地址。

▲圖4 VLAN池優(yōu)化分配技術示意圖

三、 結束語

新的執(zhí)行環(huán)境總會創(chuàng)造新的市場，而BYOD的興起無疑也將遵循這一規(guī)律。移動互聯(lián)與云計算兩大技術交匯融合，催生出一套由用戶、服務提供商以及網(wǎng)絡設備商共同組成的完整生態(tài)系統(tǒng)。

作者：繆炎