随着智能终端的普及,越来越多员工乐于使用Pad、智能手机随时随地处理工作,带来办公便利性和业务创新,但传统企业网络建设思路已经难以应对用户多样化的接入场景,难以满足移动设备带来安全风险,难以管理丰富的设备类型…
-
- 背景/挑战
IDC报告显示,到2015年底,用户上网使用的设备中,移动设备将超过PC。随着智能终端的普及,越来越多的员工开始乐于使用Pad、智能手机来随时随地的处理工作,由此带来的是办公的便利性和企业办公效率的提高。移动办公也带来了企业业务的创新,比如:医院的护士使用Pad查房,银行的客户经理使用Pad为VIP客户上门服务,保险业务员使用Pad为用户远程办理保险业务,电子商务企业使用Pad进行远程的供应链管理等等。
另一方面,企业员工将自己的智能终端带入办公场所,或者将工作内容带出办公场所随时随地办公的行为,也给企业带来了信息安全的风险。传统的IT建设思路已经难以管理如此丰富的设备类型,难以满足如此丰富的移动设备使用需求,这给企业的IT部门带来了挑战。这些挑战主要体现在:
网络边界模糊化
在固定网络的架构下,每个电脑接入的位置基本上是固定的,即便是笔记本电脑,因为需要插网线,能够接入的范围也容易控制,所以有着明显的网络边界的概念。但是自从Wi-Fi、3G/4G网络逐渐普及,越来越多的设备采用无线的方式接入企业网络,网络的边界变得模糊,若不加限制,可能会让不该接入的人员接入到企业的网络中。
应用场景多样化
需要接入企业网络的角色很多,有普通员工、合作方员工、访客以及VIP等;场景又分有线、无线、内网、外网、场景切换等。对于不同的角色,企业希望他们能够访问的资源是不同的,需要不同的策略和认证方式。另外,时间、地点等其他因素也是经常要考虑的要素。
管理复杂化
移动设备的种类繁多、操作系统多样化、应用移动化、移动应用种类繁多等都是企业的IT管理员面临的新问题,管理变的复杂化。
业务安全威胁
相当一部分企业在考虑建设无线网络的时候,第一个关心的问题往往就是安全问题。访客接入企业网络,使得企业数据的安全成为问题;员工持有企业的移动设备在外办公,设备若丢失会带来设备数据的泄露问题;移动网络的开放性使得企业受到恶意攻击的可能性增加,使企业的业务受到安全威胁。
方案概述
华为总结业界最佳实践经验,结合自身移动办公的网络建设思路,为指导企业的无线网络建设规划,建设一个高效、统一、安全的移动网络,提供了一整套华为泛BYOD融合网络解决方案。
企业在规划无线网络建设的时候,面临的情况往往不尽相同。有的企业已经建设了有线网络,只是希望建设无线网络,有的需要建设一张全新的网络,包括有线和无线,也有的已经建设了无线网络,但是不知道怎么解决安全的问题。面对多样的需求场景,华为泛BYOD融合网络解决方案通过实现有线无线一体化来解决边界模糊的问题,统一的接入认证和策略设计来解决应用场景多样化的问题,统一管理来解决管理复杂化的问题,端到端立体防护的网络安全策略来解决业务安全威胁的问题。
高效网络承载BYOD业务
大量智能终端进入企业,引起接入流量增加,VOIP、虚拟桌面、视频会议、智真等应用的逐渐普及要求企业的核心网络拥有大容量转发的能力、稳定的性能。华为交换机提供千兆接入、万兆汇聚、40G核心的网络架构,帮助用户轻松应对这些挑战。面向未来网络演进的趋势,华为第一次将SDN架构引入园区,重新定义了“敏捷”网络,为支撑动态、云化、业务多变的下一代网络提供有效地保障。
蜂群式的流量模型,带来高密度接入的要求,华为WLAN产品拥有智能调度功能,可基于终端自动逐包控制发送功率、限制低速率用户接入、提供5GHz/2.4GHz双频智能混合接入,从而减少高密度时同频用户终端干扰,使可用带宽得到提高,无线环境更加“绿色”、“顺畅” 。独有的Beamforming+技术增加了WLAN产品的无线灵敏度,提高移动信号的稳定性,让用户畅享移动网络。
在施工方面,人性化把手、燕尾槽倒扣设计、挂墙和抱杆归一化等人性化设计,使得WLAN建网周期缩短30%,后期网络运维问题减少20%。基于智能手机的专业手持测试终端PHU,动态、静态网络评估,智能输出优化方案,降低了网络规划的工作难度。
统一接入、策略、管理,提升BYOD体验
统一接入
华为泛BYOD融合网络解决方案为用户提供一张统一的网络,满足用户无处不在的接入需求。用户可能是公司内通过Wi-Fi接入、有线接入或者是从分支接入网络,也有可能是通过3G/4G在公司外接入。华为提供各种情形下的安全无缝的用户体验,从而为用户提供一个业务随行的网络。
其次,华为泛BYOD融合网络解决方案提供有线/无线/VPN一体化的认证中心,对不同的场景进行统一控制。通过业界领先的VPN与MDM深度融合技术,保证内外网一致体验,保证3G与Wi-Fi,以及Wi-Fi网络之间平滑切换,无需重新认证,用户无感知。
统一策略
通过精细化的感知用户的角色、时间、地点、设备类型、设备所有者、接入方式(5W1H)等信息,IT管理员可以对不同的用户提供不同策略,帮助企业应对复杂的策略需求。
Who(用户角色):管理员可以对所有可能访问企业网络的人员进行分类,根据企业自身的需要来定义这些角色,例如:访客、普通员工、管理人员、销售人员等等。
Whose Device(设备所有者):主要是区分是公司设备,还是私人设备。对于私人的设备,公司倾向于暴露尽可能少的公司数据,仅仅满足工作需要即可,同时,由于所有权的问题,公司不适合做太多的限制;而公司自己配发的设备,则可以定制化,做相当程度的限制,或用于业务创新。
What Device(设备类型):手机、Pad、便携机、台式机等。对不同的便携设备,根据其用途的不同,功能的差异,设置的策略也可能不同。
When(时间段):企业可以根据工作的安排划分时间段,比如对上班时间、下班时间设置不同的策略。
Where(位置):例如区分公司内、公司外。
How(接入方案):针对用户不用的使用习惯与场景,需要选择最合适的接入方案,例如:是802.1X接入还是SSL VPN接入;是有线接入,还是无线接入;是从外网接入,还是内网接入等。
根据不同的5W1H,企业可以做出不同的策略控制,常见的策略控制有:QoS策略控制、带宽策略控制、时间段策略控制、权限管理、路由策略控制等等。
统一管理
华为泛BYOD融合网络解决方案可对网络设备、移动终端、用户进行统一的管理,高度集成的管理平台可以帮助IT运维人员减少维护的复杂度。
网络设备管理方面,华为的eSight管理平台智能融合有线、无线,可基于资源做分权分域的管理。可视化的设计使得IT运维人员可以直观的看到网络上有线、无线设备的运行状态,对无线设备,还能做射频可视、终端定位、干扰源识别和定位。一键式故障诊断可以帮助网络运维人员做到快速的端到端故障定位,并对智真等应用提供硬件探针的主动检测方案。
在终端设备管理方面,华为的Anyoffice移动办公平台采用全生命周期管理的理念,在设备整个生命周期内提供管理,包括设备的发现、注册、准入控制、使用监控、数据管理、挂失和注销。面对海量设备,可提供用户自助式服务,不仅可以提升用户体验,也能有效提升管理效率和降低运维成本。
在用户管理方面,华为的Agile Controller管理组件提供用户组策略的管理方式,实现对内网、外网、有线、无线、员工和访客的统一管理。在访客管理方面,采用GRE隧道的方式隔离访客流量与员工流量,并通过ASG做上网行为审计,满足法律法规对访客行为审计的需求,防止企业重要信息外泄。
端到端立体防护保障BYOD安全
华为泛BYOD融合网络解决方案的立体安全防护体系,保证用户在云、管、端的整个网络架构中都得到保障。
数据防泄漏方面,华为通过Anyoffice终端软件对移动进行管理,当移动设备丢失时,用户可通过服务器远程控制终端进行锁定和擦除,及时销毁敏感信息;对于希望隔离企业数据和个人数据的场景,华为还提供安全沙箱的功能;对于需要防止内部人员主动泄露信息的场景,可通过互联网外发管控、越狱截屏检测、终端外泄管控等方式进行综合管控。
在应用管控方面,华为通过专门的应用管控设备在网关处进行控制,对应用进行黑白名单的管理,对上网行为进行管控。
在传输安全方面,华为支持国密算法、无线空口加密、IPsec、SSL VPN等等。
在威胁防护方面,华为提供全面的DDos、防病毒、IPS/IDS方案;在无线设备安全方面,提供了设备级的WIPS/WIDS防护方案;对于有等保要求的用户,或者想进一步加强企业信息安全的用户,华为的智能威胁联动方案能够做出更进一步的安全防护策略。
-
- 客户价值
发表评论