1BYOD简介BYOD(BringYourOwnDevice)指携带自己的设备办公(上课),这些设备包括个人电脑、手机、平板等。现在更多的情况指手机或平板这样的移动智能终端设备。现在的移动设备越来越多,智能手机、平板电脑,增加了业务沟通渠道。78%的跨国公司的员工将自己的移动设备带入到工作中,64%的人称利用智能手机和平板电脑工作更使工作更加有效率。BYOD(BringYourOwnDevice)正在流行起来。BYOD并不遥远,就在你身边……12BYOD积极性提升服务能力丰富服务方式提高面向公众服务的主动性缩短等待时间,加快服务进程降低成本节省终端设备的投入促进虚拟团队的实现,利用社区的资源提高内部工作效率利用零碎时间,提高跨部门、跨地区工作的响应速度缩短日常工作的处理周期减少通过电话授权方式带来的不确定的因素促进内部文化建设高效的服务感受带来稳定的公众的认可形成高效与协作的工作氛围形成主动服务的工作态度捕获更多的机会远程快速获取单位内部信息及时跟进市场动态避免错失时机造成不必要的损失高效的服务感受带来良好的口碑BYOD的优势23BYOD时代来临LotusNotesIDC2011年的报告就指出,随着智能终端以惊人的速度快速普及,智能手机和平板电脑将取代PC的统治地位。同时,大量传统PC上的企业应用—Office、Mail、Web公文审批、虚拟桌面等陆续通过智能终端来访问。企业IT将面临BYOD时代的挑战。34BYOD应用场景(数据丢失防护?)45BYOD时代带来的终端管理风险园区网无线网络有线网络广域网1、安全性哪些人可以自带设备?有没有统一注册备案?什么人、什么终端、什么时间、地点可以访问桌面虚拟化?是否安装了企业的App,是否安装了禁止的App?企业设备、自带终端、移动终端的网络访问权限如何控制?自带终端的安全防护、数据丢失、丢失管理、唯一性?2、管理手段如何识别终端类型?和现有的准入系统、应用系统如何集成?自带设备私人数据、应用隐私性,企业数据的泄漏防护?如何看到哪些终端接入网络,在干什么?如何提升认证感受?几个例子:某制造业、金鹰商场、某医院、温州大学56网络准入控制的变革20112005200420091stGenNACEndpointCompliance(Worm/VirusEra)2ndGenNACAuthentication(GuestNetworking)3rdGenNACConsumerization(BYOD)NAChasmaturedandwillnowbeoneofthekeymechanismsformitigatingtherisksofconsumerization.GartnerStrategicRoadMapforNetworkAccessControlPublished:11October2011ID:G0021908767我们理解BYOD概念AnyTime:智能终端的随时远程访问企业网络的能力,使员工可以随时开展工作。AnyWhere:员工可以在任意地点访问企业网络(单位、家及路上)BYOD=任何人在任何时间、地点通过任何设备都可以接入企业网络,访问企业应用,开展工作。AnyOne:企业中的任何角色(员工、访客、合作伙伴)都可以按照角色权限访问网络。AnyDevice:办公终端不再局限于PC,智能手机、平板电脑、瘦客户机都可以用于办公。78BYOD的核心问题允许员工和访客携带私人的设备(IPAD,笔记本)进入公司的网络,网络要能智能识别这些设备的型号,是否属于公司的资产,给予设备不同的权限。企业BYOD的核心问题就是能够保证合适的人、使用合适的设备、合适的网络、在合适的地点和时间,获得合适的网络访问权限,最大限度的保证企业网络和资源的安全89认证设备感知网络一体用户安全检查员工访客时间感知位置感知授权审计流量监控用户行为管理用户自助服务基于信任等级下发策略流量和用户行为分析用户设备注册BYOD总体解决方案智能识别各类终端和用户,通过统一平台实现每个终端的透明管理,实现有线无线一体化的智能管道。910BYOD方案组网图UAMAAA认证服务器EWM无线网管1011H3CBYOD功能一览DistributedPolicyservers终端识别终端接入身份识别接入策略统一管理时间SSID位置终端类型iNode客户端设备指纹(与我司AC配合)HTTP识别DHCP识别MAC地址识别无线纯网页方式(支持各类操作系统,智能终端支持无感知认证)iNode客户端VPNIPSecVPNSSLVPN有线纯网页方式iNode客户端职员完整的身份生命周期管理丰富的认证手段(密码、证书、RSA、智能卡)多级用户分组及与LDAPOU层级关系的映射访客完整的访客审批管理短信认证(与短信网关集成)个性页面定制框架身份基于场景(身份、时间、位置、终端类型、SSID)和安全状态的接入授权策略接入监控管理BYOD接入可视化(接入用户、终端、操作系统、接入时间和位置)图形化配置接入设备(802.1x和Portal参数配置)和终端(智能终端零配置下发),快速开展BYOD业务多组件融合联动高可用性安全状态12BYOD下的终端安全准入控制不合格进入隔离区强制加固隔离区安全认证合法用户、终端非法用户拒绝入网身份认证接入请求你是谁?企业网络动态授权合格用户、终端不同用户、终端、时间、地点享受不同的网络使用权限你安全吗?你可以做什么?你在做什么?行为审计与桌面管理合法用户终端识别、注册终端未注册进入隔离区隔离区13iMC-EIR终端智能识别EndUser:终端不同的用户群多样的客户端Intelligence:智能基于场景的授权BYOD的可视化Recognition:识别多手段智能识别终端类型H3CiMC-UAM用户接入管理组件(不含用户)-纯软件(CD)H3CiMC-UAM用户接入管理组件管理-1000用户License费用H3CiMC-UAM访客管理功能-1000在线用户License费用H3CiMC-EIR终端智能识别-1000在线并发终端License费用1314BYOD时代终端接入方式典型BYOD企业准入场景企业内网无线准入(笔记本、iPhone/Ipad、Android手机/平板、WM手机/平板)企业内网有线准入(笔记本)远程接入(笔记本、iPhone/iPAd、WM手机/平板)1415移动智能终端iNode认证客户端企业网多平台支持-----支持iPhone、iPad、Android等移动智能客户端,支持Portal认证便捷的接入方式-----一键自动认证接入网络,记忆用户名密码;与有线、笔记本、PC共用同一套用户名口令更强的安全保障-----提供额外的安全检查,限制只有安装客户端的移动终端才能接入无线网络1516保障移动智能终端接入安全Android智能终端安全隐患较多,对企业内网的安全威胁和数据泄露隐患大。需要对智能终端进行安全策略检查,不安全的智能终端拒绝接入企业网络:支持智能终端防病毒软件检查•Avgbullguardlookout•Smrtphonesolutionssuperdroid•Symantectrendmicrowebroot•RetinaxstudiosSpybubble支持黑白软件检查--客户端能够检查出终端是否安装了服务器要求/禁止安装的软件,进行其是否安装和运行的检查。支持检查移动设备是否开启自动锁定支持检查移动设备是否开启远程擦除定时检查是否开启蓝牙点对点传输支持检查移动设备是否开启远程定位和备份等功能1617终端识别技术-MACOUI指纹分析MAC指纹识别:MAC地址信息用来定义设备在网络中的位置,每一个网卡都会有全球唯一固定的MAC地址。该地址由IEEE统一管理和分配,未经认证和授权的厂家无权生产网卡。MACOUI代表IEEE分配给各个厂商的公司ID,是MAC地址的前六位,通过MACOUI,系统可以判断终端设备的生产厂商。优点:简单,所有终端都支持,不依赖于特定的网络设备及环境。缺点:只有网卡厂商信息,可被篡改。1718终端识别技术-Http指纹分析Http指纹识别:HTTP是Web访问的基础协议,为了提供功能和使用效果,这个协议的定义和实现中加入了很多客户端/服务器端的信息。客户端主动把浏览器版本、操作系统类型、操作系统版本等信息积极主动地告诉服务器端。该信息通常由Http头中User-Agent字段提供。对于移动智能终端,各制造商通常在User-Agent字段中提供设备的类型、型号、操作系统和制造商信息。优点:可以提供终端更细致的信息。缺点:终端必须有访问Http的能力,且UserAgent中携带的设备信息、操作系统信息虽然准确度很高,但是很容易用软件篡改。可以访问体验User-Agent提供的信息1819终端识别技术-DHCP指纹分析DHCP指纹识别:DHCP协议本身是各个网络终端设备都能够支持的必备协议之一,用来申请获得动态IP地址。Dhcp的所有部分都是以Option的方式描述,每类Option字段都有不同的含义。不同的操作系统在发送DHCP请求的时候的Option数量、顺序和组合都可能完全不同,因此仅仅先区分DHCP的参数排列组合就可以进行快捷的操作系统识别。例如类型55的Option里的子参数排列组合会根据不同的操作系统而不同,根据该Option的参数排列,可以区分数百种终端设备类型及操作系统类型。优点:最精确的终端指纹分析,无法仿冒篡改。缺点:需要DHCP服务器转发报文以解析终端类型。1920基于场景的接入授权策略位置用户身份时间SSID终端类型基于场景的授权模式:根据【用户、位置、SSID、接入时段、终端类型】进行网络接入授权2021BYOD统一管理融合联动•与WSM的融合:直观的看到在线用户是从哪个AP上来的,定位精确度更高,管理员的工作(比如审计、问题定位)更为有效。•与UBA的融合:在用户行为审计中,直观看到该用户的操作系统、版本、终端生产厂商,使得对行为的监管更为有效BYOD配套设备图形化部署•设备全部AAA相关配置命令图形化操作,支持通过页面配置AAA、802.1x、Portal配置。业务快速体验•通过一个配置页面快速完成接入认证所需要的iMCUAM/BYOD/EAD和接入设备的所有的配置21酒店营业厅(金融、公共事业、管委会等)咖啡馆、饭店企业、机关单位访客展馆、体育馆、图书馆交通侯客厅学校、科研机构无线访客管理使用场景外包合作员工商场、超市流动访客数量大,自动根据手机号码生成上网账号,短信发送密码严格控制访客账号,账号发放需要经过访客管理员审批2223无线访客服务(公共场所短信认证模式)1.访客连接专门的“访客”SSID;2.访客输入手机号,点击“获取密码”;3.iMCUAM为该手机号自动注册访客账号并自动分配默认网络接入策略(ACL/VLAN)、有效生命周期;(该自动处理过程可关闭,由管理员手工分配并发送短信通知)4.iMCUAM将帐号及密码通过短信方式发送给访客;5.访客手机接收短信,在页面中输入获取到的密码;6.访客身份验证成功后,根据访客策略通过ACL、VLAN控制访问范围;7.访客可以手动注销或者超时自动注销8.UAM服务器定期自动删除失效访客账号工作流程:Internet无线AP接入区无线控制器核心交换机汇聚交换机访客SSIDiMCUAM服务器1236短信猫或短信网关4582324通过为各个SSID和接入区域(机场、不同的连锁酒店、咖啡厅、宾馆)或不同终端类型(PC、手机、平板)推送不同的认证页面,用户上网时,将会看到有针对性的特色页面;访客账号通知短信内容支持自定义,企业可自行定义广告信息;十分适合进行品牌定向推广基于SSID、接入位置的页面推送基于终端类型的页面推送灵活的页面推送2425自定义页面框架提供对登录页面和自助页面的框架式定制(13年6月):•支持针对PC、智能终