BYOD——一场没有冲锋号的战争

而对BYOD(Bring Your Own Device,自带设备办公)这场自下而上的变革而言,却并没有一个明显的标志。如果把BYOD也称之为一场战争的话,显然,这场战争缺少了标志性的冲锋号,但是其普及的速度却好像病毒一样在全球蔓延。

星期五的晚上,张三抱着一大捧鲜花,走在为女朋友庆祝生日的路上,满脸焦虑。他不时查看一下自己的iPhone,“叮”的一声,来了一封新邮件,果然是客户的确认邮件,项目策划通过了,可以安心地过个周末了。张三脚步轻快起来,大步奔向前。

星期一的上午,网管员王二忽然接到老板的电话,电话那头老板在咆哮:“为什么我的iPad不能上Wi-Fi!下午我就要登录公司内网进行操作!”王二一头雾水,大清早的怎么遇到这么一通骂,又不好在老板气头上和他解释,自带iPad如果登录公司的财务系统,会带来一系列管理的复杂和安全的风险。

这些场景是不是似曾相识?只是故事的主人公不是张三、王二,而是现在的你和我。显然,自带设备进入工作领域已经在不经意之间进入我们的生活,BYOD趋势正在快速地改变我们的某些工作和生活习惯。

BYOD是什么?

“从字面上来看,BYOD就是Bring Your Own Device的缩写,也就是把自己的设备带到企业环境中,这些自带设备运行一些与工作相关的业务和应用。从广义上来看,只要不是企业配备,而是员工自带的设备,并且用于工作相关的事宜,都属于BYOD的范畴。” IDC电信研究部高级研究经理相斌斌如是说。相对于广义的概念,“当下多数厂商提及和推广的BYOD概念更多的是集中在一些无线的、可移动的设备。”

显然,在很多人的眼中,BYOD是与移动性趋势紧密相联的。如果不是移动互联网的兴起,BYOD趋势不会这么快就来到眼前。“推动BYOD的动力主要来源于两个部分,其一是终端本身的发展;其二就是移动化趋势。” 相斌斌表示,现在智能终端的处理能力越来越强,所以可以承担一些过去无法完成的任务,在娱乐功能之外,也可以满足商务应用。而移动化趋势在最近两年来非常明显,设备商、软件开发商等都在关注这个市场的变化,也在挖掘企业市场应用的新机会。从数据来看,智能终端的普及非常强势,根据Gartner最近发布的调研数据,全球90%的企业已经使用移动设备,86%的企业在2012年计划使用平板电脑。IDC最近对亚太区IT消费化的研究也显示,到2015年,亚太地区将有40%的员工实现移动办公。另外一项来自IDC的调查显示,有将近33%的人在工作环境里使用iPad,其中甚至有66%的人在考虑是不是可以用iPad取代目前的笔记本电脑。

“从表象上看,是IT技术的发展驱动了BYOD的发展,但是真正的推动力来源于IT技术和CT技术的融合(ICT)。”华为BYOD移动办公解决方案首席架构师赵爱明把ICT的融合按照几个方面进行剖析:在终端上的融合,使得终端更加智能化,同时能够通过3G/LTE等网络通信技术,随时随地接入网络实现办公和个人娱乐;在网络上的结合,使得办公网络已经不局限在办公楼内部的局域网络,而是可以通过2G/3G/LTE等移动网络,或者Wi-Fi 接入,为智能终端随时随地的接入提供了入口。此外,IT和CT的融合,使得云计算、数据中心、虚拟化等技术把企业资源带出了Intranet。资源可以到处分布,员工可以通过智能终端在一定的安全措施下,随时访问企业资源,而不再需要回到固定的办公环境中接入网络。H3C无线产品部总工缪炎则总结道,BYOD的出现,首先得益于B/S开发架构的编程日益成为主流,基于HTML和流媒体技术的Web浏览器规模应用,令客户端形成“标准化”;其次,智能手机功能的日益强大,再者,云服务日益流行。

产品技术的进步把BYOD拉到了人们面前,而个人面对自有设备使用更加自由和适应,企业也寄希望于自带设备的增多可以减少购买终端带来的财务压力。因此BYOD的超高热度也就不难理解了。根据美国CIO杂志今年4月所做的调查,75%的被调查者目前都已制定了BYOD政策。

BYOD需要如何应对?

不管愿意不愿意,BYOD都已经来到眼前。面对这一渐变的趋势,用户该如何面对呢?提出BYOD解决方案的厂商不在少数,针对的方向也各有不同。无线厂商Aruba的关注重点在于连接的一致性,据称其软件解决方案ClearPass可以对所有设备提供单一管理平台。瞻博网络的策略与Junos Pulse相关,用户策略可以和局域网环境保持一致。思科的方案称为“Beyond BYOD”,是与无边界网络相关的一整套方案。思杰的方案基于Citrix XenDesktop,通过安装Citrix Receiver,把个人设备融入工作环境。Avaya对BYOD的支持重点有三个方面,Flare Experience、Sipera和IDEntity Engine(IDE) 8.0,协作与安全是关注点。锐捷网络的方案称之为BEYOND(Bring Evaluated Your Own Network Device)解决方案,自带设备可控入网解决方案。华为移动办公解决方案是“BeYOnD limitation, Connected Possibilities”,即“超悦极限,畅享联接”;博科提出了打造企业”无忧网络”的解决方案;阿尔卡特朗讯则从自带设备扩展到掌控未来;深信服从“可用”和“可控”两个角度去思考,推出“EasyConnect解决方案”。而众多安全厂商的BYOD方案则一早就把目光聚焦到连接的安全性上。

如果说用户的感知是一个渐进的过程,那与之对应的各类BYOD解决方案也都不是完全创新的产品和技术,同样也是一个渐进的过程。

Avaya在不久之前发布了Identity Engines 8.0(IDE 8.0),其中新增的两项功能分别为:有线和无线用户提供了统一接入体验的Ignition Access Portal;实现设备的自动化配置,确保安全网络接入的Ignition CASE Client,是BYOD方案中的重点。此外,之前对SBC(Session Border Controller,会话边界控制器)厂商Sipera的收购也是Avaya整体方案非常重要的一部分。“事实上,不只是这些关键组件,用户在实施整体方案的时候,需要后台策略控制和管理的一些功能来完成整体的方案,也需要与用户沟通具体的应用场景来支撑。” Avaya中国网络产品总监徐震这样说。

思科的方案称之为“超越BYOD”,在思科大中华区副总裁倪殿令的微博里,把以下的四个统一作为该方案的关键,Unified Access:统一有线/无线/蜂窝/VPN的网络接入——植入的一体化媒体及安全能力;Unified Policy:统一的情景感知策略及执行能力;Unified Experience: 简单而完美的网络使用/协作应用体验;Unified Management: 统一的网络/业务应用及移动设备管理。

华为移动办公解决方案包括:安全解决方案、高效网络解决方案、应用体验解决方案,主要涵盖了几个核心点:安全、高效和体验。而 “安全防护,一网通行”, “高效网络,无处不在”,以及“办公协同,一致体验”是其主要特点。

锐捷的BEYOND解决方案关注在无线覆盖和BYOD安全两个方面,增加了Evalutated(评估)和Network(入网)两个新的元素,强调自带设备进入网络,须要先经过评估,然后入网,以及重点关注自带设备的网络行为而非其他。“同时,作为一个传统网络设备厂商,锐捷网络的 BEYOND解决方案还通过锐捷独家的智分解决方案,实现了更好的信号覆盖,更低的无线部署难度,以及更高的带宽。”锐捷网络解决方案部经理曲景洋如是说。

深信服的EasyConnect解决方案从“可用”和“可控”两个角度去思考,“通过EC实现各类终端内网访问,通过AC实现智能终端统一管控。”深信服市场行销部技术总监殷浩总结道。

瞻博网络的解决方案与园区网方案Simply Connected相关,不只有负责策略控制的MAG,“由MAG来负责做验证,以及配置相应的策略,这种策略是由身份来控制的。”瞻博网络大中国区市场营销总监谭俊说。另外有一个在移动终端上安装的JUNOS Pulse套件,以此保证在连接时的安全,以及在终端丢失时的数据保护。

阿尔卡特朗讯把BYOD解读成三个部分,不只是设备自带,同时也是购你所需,更重要的是掌控未来(Build You Own Destiny)。在整体的方案中,“NAC(Network Access Control)保证了任何有权限的人能使用适合的设备访问到需要的资源。”阿尔卡特朗讯企业集团网络产品中国区总监张小鹏说。针对所有网络的基础架构,重点组件包括第三方网络设备的动态NAC;阿尔卡特朗讯的VitalQIP 组合套件;阿尔卡特朗讯的有线OmniSwitch和OmniAccess 无线 LAN 交换机执行完整硬件系统, 由访问人身份决定其访问能力。

博科的“无忧网络”解决方案是通过简化企业网的安装、部署、维护,增强企业网络的整体性能和提高用户的投资保护。同时博科的无忧网络还提供了全面的网络可视性,为保障网络的安全运行提供有力的帮助。“博科推出的企业无忧网络是一个开放的网络体系结构,并且具备与众多NAC厂商(如McAfee、 Impulse Point等公司)良好合作的伙伴生态系统。” 博科公司高级技术顾问沈之千这样解释。

去年,Aruba收购了安全厂商Avenda Systems。该厂商是专注于用户及其个人移动设备安全连接到企业网络。这与几个月后Aruba推出的ClearPass解决方案关系密切。这套方案是一套纯软件的解决方案。“Aruba ClearPass可以对所有设备提供单一的管理平台,也就是Policy Manager。目前这个集中管理平台可以配备四个不同的软件:Onboard、Profile、OnGuard、Guest。” Aruba中国分公司总裁徐涌这样说:“用户可以根据自身情况选择需要的四种功能的全部或者一部分。”

BYOD不只是个技术命题

面对五花八门的技术和产品,用户应该如何选择呢?相斌斌的建议非常中肯:“用户需要根据自己的企业特点和需要移动起来的业务流程来进行判断,确定是迎合员工自带设备的趋势,还是由企业牵头进行统一的企业移动应用部署。无论哪种情况,移动安全管理都是非常重要和关键的。尤其是针对BYOD,由于其终端和操作系统的多样化,以及终端自用与工作相结合的性质,给企业带来更大的安全挑战和威胁。如果确实需要在自有终端上运营保密级别较高的数据和应用,那就需要对安全管理有预先的规划和部署,设置一定的门槛。对于目前中国企业来说,安全的门槛不只是在技术上,更多的应该是观念和意识上。”

美国《Network World》曾经就用户在部署BYOD时需要考虑的问题进行过一次总结,以下是需要用户特殊关照的十点注意事项:在采购技术之前先制定政策;探索管理设备的方法;登记应该尽量简单;应该通过无线而不是有线来配置设备;尽量向用户提供自助服务;对员工个人信息进行保护;隔离企业和个人数据;自动监视设备而非手动;合理管理数据的使用以及获得适当的投资回报。用户需要考虑的不只是技术如何实现方便、安全的用户接入,还要考虑一些使用中的细节:企业在员工购买设备时的补贴策略,以及使用中的流量套餐计划;把个人信息与企业信息隔离开,不只是对企业的内容进行保护,也需要考虑如何划清界限,不会把私人信息过多地暴露出来等等。

“在BYOD部署前,有两个重要的环节要做,一是咨询评估,二是安全策略制定。”赵爱明把这些内容总结为以上两点。在这些考虑之后,还需要考虑部署的细节。“网络设计人员需要检查现有无线以太网接入系统的容量,接入交换机的能力和BYOD带来的性能影响,容量是否满足。”沈之千说。一般来说, “对原有的网络架构,增加无线点数,增强无线性能是必须的,如果已有准入、安全系统,那么兼容更多类型的终端也是必须的。此外对于客人来访、客户业务等多种应用情况,也要提供丰富、易用的接入、管理手段。” 曲景洋说。

盘点:那些与BYOD有关的应用

与完全创新的产品技术不同,与BYOD相关的应用很早就开始了。很多IT厂商自身就是最早开始尝试的用户。“华为在2009年就已经开始了 BYOD的使用,员工可以通过手机和Pad等终端进行企业邮件的处理、流程审批、机票预订、资料查看等。每天同时有2万人通过移动终端接入公司网络,每月有100万次的移动终端通过iAccess接入公司网络办公,有1.6亿封邮件通过移动终端处理。”赵爱明如是说。

有一些案例是打包的解决方案。“长虹在北京新的总部大楼,全套用的都是我们Avaya的解决方案。”徐震介绍说,在这个案例中,长虹的员工可以帮助临时来访的用户开一个临时的权限,这些用户就可以使用自己的终端来接入。还可以进行不同权限的设置,允许访问不同的内部资源。有线和无线都需要通过后台的认证和授权,包括前端入口来使用统一的解决方案。

网络准入控制是一个核心设备,在英国卡迪夫大学的案例中,就是集成了第三方厂商提供的网络准入控制设备来提供安全性的。NAC设备能够识别用户及其携带的设备,并实施针对每个用户和设备的策略。这些策略反过来又由网络基础设施来执行。

有些案例是与BYOD相反,但是策略都是类似的。如国内一个学校的应用是把解决方案架设在学校提供的终端上,用于这些终端的入网控制、检测。学生自带设备由于没有客户端,所以只能访问互联网,而不能作为教学设备访问学校应用。在这个案例中,实际上是把个人设备隔离在办公应用之外,而只允许学校配发的设备进行访问。

云计算可以租赁和购买,BYOD也有这方面的尝试。在日本NTT通信公司,BYOD被作为一种安全服务提供给客户,其实现的办法是把安全和远程接入技术集成到移动连接(Mobile Connect)服务中。