智能 安全 易用——給BYOD一個(gè)港灣

2012年，一個(gè)新的IT名詞進(jìn)入大家的視線：BYOD(Bing Your Own Device)。直譯是自己的設(shè)備去工作，即將個(gè)人終端與工作終端合二為一。這樣的好處是，員工可以不再必須使用單位指定的電腦，出差時(shí)可以不必背著笨重的筆記本電腦，通過(guò)手機(jī)、平板電腦、家里的電腦、賓館里的電視……等等接入網(wǎng)絡(luò)，完成辦公室里的一切工作。這種方式不僅方便了員工的選擇，同時(shí)讓企業(yè)節(jié)省一大筆辦公電腦的固定投資，并向綠色辦公更邁一步。最重要的是，它讓工作變得時(shí)尚和個(gè)性化。

IT服務(wù)的基本方式就是服務(wù)器通過(guò)網(wǎng)絡(luò)為終端提供服務(wù)，互聯(lián)網(wǎng)的出現(xiàn)促發(fā)了網(wǎng)絡(luò)連接的革命，使得協(xié)作互動(dòng)更加頻繁。服務(wù)器側(cè)的變革是云計(jì)算，它使得IT服務(wù)變成“自來(lái)水”，使用更加簡(jiǎn)單和靈活;而終端側(cè)的變革則是BYOD，接入網(wǎng)絡(luò)的不再只是一臺(tái)設(shè)備，而是一個(gè)“有血有肉”的“人”。

BYOD的出現(xiàn)，首先得益于BS開發(fā)架構(gòu)的編程日益成為主流，基于HTML和流媒體技術(shù)的Web瀏覽器規(guī)模應(yīng)用令客戶端形成“標(biāo)準(zhǔn)化”;其次是智能手機(jī)功能的日益強(qiáng)大，手機(jī)從消費(fèi)終端逐步成為個(gè)人業(yè)務(wù)處理的“PC”;再者，云服務(wù)的流行，讓更多的業(yè)務(wù)處理集中到云里，不同的業(yè)務(wù)提出了共同的終端接口需求：只要能接入網(wǎng)絡(luò)，一切交給“云”來(lái)管理。

BYOD的出現(xiàn)，對(duì)于員工而言，用自己的設(shè)備訪問(wèn)企業(yè)網(wǎng)絡(luò)并進(jìn)行辦公，帶來(lái)了更多的靈活性和人性化體驗(yàn);對(duì)于企業(yè)而言，BYOD潮流讓其不用再為員工配置設(shè)備，降低了企業(yè)成本。但同時(shí)對(duì)企業(yè)CIO們提出了安全、管理等難題。

一、 BYOD帶來(lái)的問(wèn)題與挑戰(zhàn)

1. 對(duì)企業(yè)IT管理/運(yùn)維者而言

BYOD所倡導(dǎo)的“Any deice、Anywhere、Anytime”恰恰是傳統(tǒng)網(wǎng)絡(luò)管理理念中最令人擔(dān)憂的需求，這使得他們面臨著前所未有的挑戰(zhàn)。

1) 提供更加靈活的設(shè)備選擇權(quán)利

傳統(tǒng)的網(wǎng)絡(luò)管理者會(huì)根據(jù)經(jīng)驗(yàn)確定辦公設(shè)備清單，包括臺(tái)式機(jī)、便攜機(jī)、打印機(jī)，以及少量的移動(dòng)終端。員工在這個(gè)授權(quán)清單中進(jìn)行選擇并獲得相應(yīng)的IT支持。出于管理安全的考慮，原則上不會(huì)輕易調(diào)整清單。

但是在BYOD背景下，終端的變化與革新常常迅速的超出人們的想象。原來(lái)越多的員工提出，希望把更“有意思”的終端帶入到企業(yè)的辦公使用中。IT管理者需要考慮更多的支撐手段(包括行政和軟硬件的方法)，來(lái)主動(dòng)應(yīng)對(duì)這個(gè)變化。

2) 更安全的網(wǎng)絡(luò)準(zhǔn)入

IT管理者需要制定一些企業(yè)內(nèi)部網(wǎng)絡(luò)安全基線，同時(shí)對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行有效識(shí)別感知，并實(shí)現(xiàn)安全的準(zhǔn)入策略。

3) 自帶新設(shè)備的管理

對(duì)于首次接入企業(yè)網(wǎng)絡(luò)的“新”設(shè)備，IT管理者非常希望能有一種簡(jiǎn)單、有效、自服務(wù)、無(wú)客戶端的快速部署方法，前提是相應(yīng)的軟硬件改變所產(chǎn)生的IT代價(jià)盡可能控制到最小。

4) 增強(qiáng)的安全策略

根據(jù)自身的行業(yè)特性和經(jīng)驗(yàn)累積，企業(yè)往往會(huì)部署大量的IT安全策略，確保業(yè)務(wù)的承載安全和IT架構(gòu)合規(guī)。很明顯，越來(lái)越多的消費(fèi)類電子設(shè)備(比如各種移動(dòng)電話和平板電腦)準(zhǔn)備接入企業(yè)網(wǎng)絡(luò)，將會(huì)對(duì)原有的安全架構(gòu)帶來(lái)無(wú)法回避的風(fēng)險(xiǎn)。

個(gè)人終端一旦進(jìn)入到企業(yè)網(wǎng)絡(luò)中，應(yīng)用的界限將不再那么明確，個(gè)人業(yè)務(wù)和辦公業(yè)務(wù)往往會(huì)同時(shí)在一個(gè)終端內(nèi)進(jìn)行處理，比如瀏覽微博的平板電腦會(huì)在下一時(shí)刻打開某個(gè)ERP系統(tǒng);運(yùn)行了微信程序的手機(jī)會(huì)進(jìn)入到OA流程審批的業(yè)務(wù)應(yīng)用程序中。針對(duì)同個(gè)終端在不同的適應(yīng)場(chǎng)景和時(shí)間段，IT管理者需要提供不同的安全策略，并對(duì)新的使用模型進(jìn)行增強(qiáng)。

5) 生產(chǎn)數(shù)據(jù)保護(hù)

BYOD實(shí)施的前提是確保企業(yè)數(shù)據(jù)的安全傳送。當(dāng)企業(yè)的固定資產(chǎn)，如筆記本電腦訪問(wèn)業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)時(shí)，通常會(huì)受到嚴(yán)格的IT安全策略控制以及類似于“信息安全等級(jí)保護(hù)”或“薩班斯法案”等法規(guī)的制約。

個(gè)人擁有的平板電腦或智能手機(jī)可能經(jīng)常被用于個(gè)人的訪問(wèn)和業(yè)務(wù)應(yīng)用。特別是在“云”為基礎(chǔ)的文件共享和存儲(chǔ)服務(wù)越來(lái)越普及的背景下，這樣的使用將會(huì)成為企業(yè)機(jī)密數(shù)據(jù)泄漏的潛在風(fēng)險(xiǎn)點(diǎn)。

6) 訪問(wèn)角色控制

如果移動(dòng)終端發(fā)生丟失或者被盜，IT人員需要迅速對(duì)該終端準(zhǔn)入策略進(jìn)行調(diào)整，甚至可以遠(yuǎn)程擦除設(shè)備上部分或所有的數(shù)據(jù)和應(yīng)用。同樣，如果員工角色和崗位發(fā)生了變化，也同樣存在策略調(diào)整的要求。傳統(tǒng)的策略控制是基于帳戶信息，在BYOD時(shí)代，則需要結(jié)合終端和業(yè)務(wù)的狀態(tài)。

7) 移動(dòng)終端系統(tǒng)所帶來(lái)的安全風(fēng)險(xiǎn)

由于接入企業(yè)網(wǎng)絡(luò)中的移動(dòng)終端種類繁多，IT人員很難將所有的終端功能性能逐一了解，部分移動(dòng)終端特殊的功能，會(huì)使得網(wǎng)絡(luò)內(nèi)部的風(fēng)險(xiǎn)明顯增多。

比如Wi-Fi存在ad hoc模式，這是一種允許點(diǎn)對(duì)點(diǎn)通信的無(wú)線互聯(lián)協(xié)議，這使得一些合法的用戶用終端開啟ad hoc或其它的代理模式，讓未授權(quán)的用戶取得了企業(yè)網(wǎng)絡(luò)內(nèi)部的訪問(wèn)能力。

再比如Android系統(tǒng)屬于相對(duì)開放的應(yīng)用平臺(tái)，隨著Android設(shè)備數(shù)量的增加，Android設(shè)備也成為了受攻擊的目標(biāo)。黑客越來(lái)越多地使用移動(dòng)設(shè)備傳播惡意代碼，而在2012年上半年，受到移動(dòng)惡意軟件攻擊的智能手機(jī)和平板電腦比2011年同期增加了373%。Android設(shè)備成為主要攻擊目標(biāo)，很大原因是接受第三方應(yīng)用程序(如游戲)的在線商店不對(duì)軟件進(jìn)行任何威脅檢查。

8) 確保Wi-Fi的性能和可靠性

隨著BYOD的不斷流行，Wi-Fi接入的無(wú)處不在，人們對(duì)Wi-Fi的期待，不再限于傳統(tǒng)的SOHO使用，而是需要其在易用性不降低的前提下具備類似有線網(wǎng)絡(luò)的高性能和高可靠性等。這種轉(zhuǎn)變，促使IT人員在設(shè)計(jì)和部署Wi-Fi網(wǎng)絡(luò)的時(shí)候，把更高速、更可靠、更平滑、更智能、更安全、更易用作為技術(shù)目標(biāo)。

9) 終端數(shù)量的激增與IP地址的有效使用

傳統(tǒng)網(wǎng)絡(luò)基本上是帳戶、PC、有線端口逐一對(duì)應(yīng)的邏輯結(jié)構(gòu)，但是在移動(dòng)互聯(lián)網(wǎng)極度爆發(fā)的今天，一個(gè)用戶擁有多個(gè)接入終端，已經(jīng)是無(wú)法回避的事實(shí)。Wi-Fi實(shí)現(xiàn)了賬戶和終端以及接入設(shè)備間的一對(duì)多邏輯，但是也帶來(lái)了IP地址數(shù)量幾何的增長(zhǎng)。普遍的解決辦法是通過(guò)NAT，進(jìn)行內(nèi)網(wǎng)私有地址的使用，或者進(jìn)行IPv4向IPv6遷移。

2. 對(duì)終端用戶而言

1) 易用好用

終端用戶對(duì)BYOD的樸素要求，就是簡(jiǎn)單的連接和安全的訪問(wèn)企業(yè)資源。但是實(shí)時(shí)地訪問(wèn)、設(shè)備的多樣性、業(yè)務(wù)的多樣性等等，都會(huì)導(dǎo)致這種需求難以達(dá)到完美。比如在企業(yè)內(nèi)部使用的設(shè)備，證書的準(zhǔn)入方式以及VPN的加密使用，都是普遍的基本規(guī)范，但不同終端的不同配置方式，會(huì)讓終端用戶和IT管理者都感到困難重重。

2) 安全界限的劃分

在BYOD模式中，移動(dòng)設(shè)備會(huì)同時(shí)扮演商務(wù)辦公和私人應(yīng)用的混合角色，應(yīng)用和數(shù)據(jù)的界限，變得更加模糊。但是從員工實(shí)際的想法和企業(yè)自身的要求出發(fā)，應(yīng)該能夠清晰界定這個(gè)界限。照片瀏覽、短信閱讀，私人電話、上網(wǎng)瀏覽等在個(gè)人時(shí)間進(jìn)行的活動(dòng)，需要有個(gè)人隱私，而在辦公時(shí)間發(fā)生的文件瀏覽、數(shù)據(jù)傳送、應(yīng)用程序使用、互聯(lián)網(wǎng)瀏覽等等，必須符合企業(yè)的政策和規(guī)定。

二、 Wi-Fi與BYOD結(jié)合

IT消費(fèi)化、云計(jì)算、移動(dòng)互聯(lián)等諸多技術(shù)趨勢(shì)所帶來(lái)的生產(chǎn)效率提升、投入成本降低、以及應(yīng)用多元化等，使得BYOD融入企業(yè)網(wǎng)絡(luò)應(yīng)用中已經(jīng)成為不可逆轉(zhuǎn)的必然趨勢(shì)。企業(yè)應(yīng)用從桌面、內(nèi)部服務(wù)器、Intranet，正在不斷向云端遷移。虛擬化、自動(dòng)化的變革，正在打破應(yīng)用的邊界。如圖1所示，BYOD的網(wǎng)絡(luò)準(zhǔn)入者和管理者按照“移動(dòng)準(zhǔn)入、服務(wù)提供、實(shí)時(shí)監(jiān)管”各司其職，企業(yè)內(nèi)部的員工和外部來(lái)賓，攜帶著多樣的智能終端，安全實(shí)時(shí)的接入到企業(yè)所提供的業(yè)務(wù)精細(xì)化管道，并接受必要的監(jiān)管和審計(jì)。

▲圖1 BYOD邏輯架構(gòu)圖

Wi-Fi在企業(yè)的大規(guī)模應(yīng)用，使得從任意位置根據(jù)策略訪問(wèn)桌面，無(wú)論使用何種設(shè)備或網(wǎng)絡(luò)成為可能。根據(jù)前面前文的分析，為了解決IT管理人員和用戶自身在BYOD實(shí)施中的困難和疑惑，Wi-Fi網(wǎng)絡(luò)應(yīng)該具備相應(yīng)的能力(如表1所示)。

▲表1 BYOD核心技術(shù)點(diǎn)

1. 智能

傳統(tǒng)用戶的準(zhǔn)入是通過(guò)單一的帳戶信息進(jìn)行鑒權(quán)并獲得授權(quán)信息，但是在移動(dòng)互聯(lián)時(shí)代，人們往往希望在企業(yè)內(nèi)部單一帳戶可以應(yīng)用到多個(gè)終端，(包括固定和移動(dòng)的設(shè)備)。同時(shí)因此，網(wǎng)絡(luò)管理者，也必須在這種需求下調(diào)整網(wǎng)絡(luò)準(zhǔn)入結(jié)構(gòu)，比如，固定設(shè)備進(jìn)行流量控制，移動(dòng)設(shè)備進(jìn)行時(shí)長(zhǎng)控制;固定設(shè)備允許進(jìn)入業(yè)務(wù)網(wǎng)，移動(dòng)設(shè)備僅允許獲得瀏覽權(quán)限等。

移動(dòng)互聯(lián)時(shí)代，當(dāng)人們都愿意采用BYOD來(lái)進(jìn)行相關(guān)操作時(shí)，Wi-Fi作為重要的智能管道，不能簡(jiǎn)單地沿襲傳統(tǒng)有線網(wǎng)絡(luò)的粗放承載模式，視頻、APP、社交媒體等等廣泛的使用，管道內(nèi)的應(yīng)用明顯產(chǎn)生了“高低參差”，對(duì)業(yè)務(wù)的識(shí)別，智能的調(diào)整業(yè)務(wù)在管道內(nèi)傳送的優(yōu)先能力，是網(wǎng)絡(luò)的管理者非常希望看到的結(jié)果。

為達(dá)到以上目標(biāo)，需要進(jìn)行終端和業(yè)務(wù)智能識(shí)別。以終端識(shí)別為例，在進(jìn)行無(wú)線登錄時(shí)，應(yīng)該遵從如圖2所示的流程。

▲圖2 終端準(zhǔn)入流程

SSID檢查：

檢查關(guān)聯(lián)的SSID是否部署了對(duì)應(yīng)的BYOD策略，同時(shí)，該接入位置，是否是用戶允許介入的區(qū)域。

準(zhǔn)入策略檢查：

根據(jù)帳戶對(duì)應(yīng)的權(quán)屬信息，推送合適的Portal準(zhǔn)入頁(yè)面，或802.1x認(rèn)證的證書配置。

終端類型檢查：

針對(duì)準(zhǔn)入用戶的設(shè)備硬件類型、操作系統(tǒng)類型以及安全級(jí)別，確定BYOD策略。

針對(duì)員工的可能策略：

可以單獨(dú)配置“可能策略”，它會(huì)在準(zhǔn)入最后階段發(fā)揮作用，更多的根據(jù)安全規(guī)范和業(yè)務(wù)需求而產(chǎn)生的策略，可以集中在此進(jìn)行部署。

2. 安全

傳統(tǒng)的安全策略僅滿足有線側(cè)的安全防護(hù)，BYOD模式下，Wi-Fi作為接入層重要技術(shù)，它的安全防護(hù)需要人們重新檢視。在空口(無(wú)線空間傳送接口)直接傳送的信號(hào)，是把802.3的報(bào)文進(jìn)行802.11封裝并進(jìn)行相應(yīng)的調(diào)制解調(diào)為電磁波，在大氣中進(jìn)行“看不見、摸不著”的黑夜傳送。對(duì)于Wi-Fi的傳送模式，物理層的頻譜安全防護(hù)(L1)和鏈路層的無(wú)線攻擊防護(hù)(L2)，以及如何將L1-L7實(shí)現(xiàn)有線無(wú)線的聯(lián)動(dòng)，會(huì)成為BYOD下移動(dòng)安全重要的關(guān)注點(diǎn)。

AP作為監(jiān)控設(shè)備，負(fù)責(zé)進(jìn)行空口射頻信號(hào)的抓取，然后對(duì)射頻芯片上送的原始FFT信號(hào)進(jìn)行分析和識(shí)別，從而判斷是否有傳統(tǒng)無(wú)線防御系統(tǒng)無(wú)法識(shí)別的非Wi-Fi干擾并同時(shí)進(jìn)行信道評(píng)估。在搜集完所需信息后，通過(guò)AP-AC間的通道上傳給AC，由AC集中處理，用戶可在網(wǎng)管的相關(guān)頁(yè)面獲取當(dāng)前的頻譜數(shù)據(jù)信息。同時(shí)，在日益擁擠的ISM頻段中，要想完全不受到非WLAN信號(hào)的干擾在實(shí)際環(huán)境中近乎于不可能，但客戶和工程師可以借助頻譜防護(hù)提供的多種圖表，從不同角度對(duì)信道的質(zhì)量和使用情況進(jìn)行監(jiān)控和評(píng)估。

WLAN發(fā)展至今，在安全性上也做了不少改進(jìn)。比如加密認(rèn)證體系已經(jīng)由原來(lái)的WEP過(guò)度到了802.11i。企業(yè)通過(guò)802.1X認(rèn)證與CCMP強(qiáng)加密，可以最大限度的保護(hù)無(wú)線數(shù)據(jù)安全，即使惡意攻擊者監(jiān)聽到了這些報(bào)文，由于報(bào)文已被強(qiáng)加密，因此他還是無(wú)法還原出原始數(shù)據(jù)。但是，使用802.11i仍然無(wú)法完全保護(hù)企業(yè)無(wú)線網(wǎng)絡(luò)不受惡意攻擊。例如，攻擊者可設(shè)置蜜罐AP誘惑用戶連接、或通過(guò)泛洪(FLOOD)各種WLAN協(xié)議報(bào)文使企業(yè)無(wú)線網(wǎng)絡(luò)無(wú)法使用。

無(wú)線攻擊防護(hù)系統(tǒng)(WIPS)被設(shè)計(jì)用于應(yīng)對(duì)各種各樣的WLAN攻擊。通過(guò)傳感器掃描企業(yè)內(nèi)部WLAN環(huán)境、通過(guò)AC進(jìn)行攻擊分析，最后將各種數(shù)據(jù)與攻擊檢測(cè)結(jié)果發(fā)送給網(wǎng)管呈現(xiàn)給用戶。

WIPS主要有以下幾類主要功能：

(1) 檢測(cè)并禁用非法設(shè)備：WIPS可以檢測(cè)Rogue AP、Adhoc網(wǎng)絡(luò)、授權(quán)/非授權(quán)STA等;

(2) 檢測(cè)并規(guī)避DOS攻擊：為每種攻擊設(shè)置速率閾值，當(dāng)某種報(bào)文的速率超過(guò)閾值時(shí)采取預(yù)先定義的動(dòng)作;

(3) 檢測(cè)并規(guī)避表項(xiàng)攻擊：當(dāng)報(bào)文的MAC變化率超過(guò)閾值時(shí)采取預(yù)先定義的動(dòng)作;

(4) 檢測(cè)并反制仿冒攻擊：例如，可以檢測(cè)中間人攻擊(如圖3所示)。攻擊者假冒成一個(gè)合法的AP為用戶提供服務(wù);

(5) 基于pattern的匹配(Signature)：對(duì)報(bào)文進(jìn)行預(yù)定義的pattern匹配，并執(zhí)行預(yù)定義的動(dòng)作;

(6) WLAN環(huán)境監(jiān)控：可監(jiān)控WLAN各個(gè)信道上的無(wú)線設(shè)備，以及各種WLAN管理報(bào)文、控制報(bào)文及數(shù)據(jù)報(bào)文的速率。

▲圖3 中間人攻擊示意圖

3. 易用

BYOD模式下，終端自身的硬件多樣性、應(yīng)用精細(xì)化，以及人們對(duì)實(shí)時(shí)接入的迫切要求，易用性成為了非常重要的甚至是影響到網(wǎng)絡(luò)評(píng)價(jià)的重要指標(biāo)。

終端數(shù)量幾何增長(zhǎng)帶來(lái)的IP地址浪費(fèi)與枯竭、高密覆蓋下2.4G/5G終端靈活接入、訪客來(lái)賓進(jìn)入企業(yè)快速安全的獲得移動(dòng)網(wǎng)絡(luò)訪問(wèn)能力、針對(duì)不同場(chǎng)景的AC快速虛擬實(shí)例化部署、分支節(jié)點(diǎn)業(yè)務(wù)永續(xù)能力提高等等，都會(huì)成為BYOD易用性提升的重要環(huán)節(jié)。

傳統(tǒng)的企業(yè)園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)使用者的物理位置和網(wǎng)絡(luò)信息節(jié)點(diǎn)原則上一一對(duì)應(yīng)，網(wǎng)絡(luò)管理難度相對(duì)可控。但是，在BYOD模式下，移動(dòng)終端數(shù)量和IP地址消耗量爆發(fā)增長(zhǎng)，同時(shí)，由于BYOD的移動(dòng)性，終端的接入存在空間和時(shí)間的潮汐性。比如早上10點(diǎn)，員工都在辦公室進(jìn)行業(yè)務(wù)處理，下午3點(diǎn)，員工都在各類會(huì)議室參加會(huì)議。

這種情況下如果將所有的用戶分配在一個(gè)VLAN中，意味著所有用戶在同一個(gè)子網(wǎng)中，龐大的廣播域會(huì)大大增加空口中的廣播流量，浪費(fèi)空口帶寬。另一方面，大量用戶在同一子網(wǎng)中，那么該子網(wǎng)需要一個(gè)很大的連續(xù)地址空間。企業(yè)可能會(huì)有多個(gè)不連續(xù)的C類地址，但沒(méi)有大的連續(xù)地址空間(如B類地址)。顯然，我們無(wú)法利用一個(gè)VLAN來(lái)為大量的同一類用戶來(lái)分配不連續(xù)的地址空間。

VLAN池優(yōu)化分配技術(shù)的出現(xiàn)，很好的解決了BYOD模式下IP地址浪費(fèi)與枯竭的問(wèn)題，提高了WiFi管道的易用性。如圖4所示，VLAN池包含多個(gè)VLAN，當(dāng)一個(gè)SSID和一個(gè)VLAN池綁定時(shí)，該SSID下的用戶將被均衡地分配在VLAN池的所有VLAN中，既能將用戶劃分在不同廣播域中，又能充分利用不連續(xù)的地址段為用戶分配地址。

▲圖4 VLAN池優(yōu)化分配技術(shù)示意圖

三、 結(jié)束語(yǔ)

新的執(zhí)行環(huán)境總會(huì)創(chuàng)造新的市場(chǎng)，而BYOD的興起無(wú)疑也將遵循這一規(guī)律。移動(dòng)互聯(lián)與云計(jì)算兩大技術(shù)交匯融合，催生出一套由用戶、服務(wù)提供商以及網(wǎng)絡(luò)設(shè)備商共同組成的完整生態(tài)系統(tǒng)。

作者：繆炎