由于智能手机以及平板电脑的出现成爆炸式增长,IT部门不得不重新考虑如何在企业网络中为不断增加的移动设备提供支持。BYOD方案的部署其实就是要通过各种场景绑定相应的策略引导终端用户按照一定的授权接入网络,同时在正确识别终端类型等各类信息的基础上解决如何支持和管理它们以及如何保护它们安全的问题。
BYOD的部署对IT部门的工作人员带来了巨大的挑战。尤其是BYOD的实施和部署阶段,有诸多实际难题,例如如何和企业现有业务无缝结合、如何减少对现有网络的改动、如何实现企业数据安全保护等。目前业界各厂商实现方式不尽相同。本文主要以H3C BYOD方案为例进行阐述。
一、BYOD方案的实施步骤
部署任何一家厂商提供的BYOD方案,在部署前都需要充分调研实际业务及需求。通常主要从如下几个方面考虑。
网络类型。包括有线、Wi-Fi、VPN等。以便IT人员规划设计合理的认证方式和组网。
网络设备。多厂商设备之间是否存在适配,网络设备的规格是否满足BYOD业务需求,是否有必要进行扩容以满足BYOD部署后的业务应用。
终端类型。BYOD业务和终端密切结合,需要充分了解终端的类型和应用情况,例如用户终端是企业派发还是私人购买,是否存在部分终端有特殊应用而无需进行BYOD注册等。
企业中的APP应用。BYOD是为了更好地让用户随时随地移动办公,其中APP是最关键的业务,BYOD的实施和部署要充分考虑企业内部APP的应用情况,是否存在应用权限控制、黑白APP列表、APP数据安全等。
开放融合。用户部署BYOD时是否需要和已有的业务系统对接或者是否存在二次开发的需求。
数据安全。IT部门对终端数据的安全要求,是否需要进行数据安全加密和终端权限控制等。
访客需求。用户是否有访客业务需求。
在充分调研用户的实际需求后,需要规划合理的组网方式。那么BYOD到底对组网有何要求呢?目前BYOD技术主要集中在如何解决移动终端(手机、平板、POS机等)设备网络认证控制方案的层面上。因此,首先需要保证终端基于身份的认证得以实现,在此基础之上再扩展BYOD的特性。比如终端的MAC认证、Portal认证、802.1x认证、VPN认证等多种认证方式都可以用来实现BYOD。目前这些身份认证方式已经发展得非常成熟,相关的技术支持也很到位。
以H3C的BYOD方案为例,一个典型的BYOD解决方案的组网由四个体系构成。
认证设备:启用身份认证的设备,例如无线控制器。一般认证方式为MAC认证、Portal认证、802.1x认证、VPN认证等。
H3C iMC BYOD服务器:主要使用了H3CiMC EIP组件的功能。
认证终端:有认证接入网络访问资源的设备,一般是移动设备如PAD、手机,也可以是PC或POS、打印机等设备。
DHCP服务器:用于给终端设备分配IP地址,同时可以配合iMC BYOD的DHCP特征识别方式进行终端识别。DHCP服务器可以是Windows DHCP服务器,也可以是支持DHCP特性的网络设备。
此外,实际组网中可能还会存在短信网关、用户业务系统等其他元素。
图1 H3C BYOD解决方案组网图
确定组网并实施基础网络建设后,实施H3C BYOD业务可根据如下几步开展:
根据业务规模选择合理的服务器,在此服务器上安装部署iMC BYOD软件;
在网络设备上配置基于身份的认证方式。例如在图1的组网中,在无线控制器上配置符合网络需求的身份认证;
若DHCP服务器为Windows DHCP服务器,则在此服务器上安装iMC DHCP Agent程序,并根据要求设置合理参数,启用该程序;
根据BYOD需求,在iMC BYOD服务器上设置合理的接入场景和接入策略,在iMC BYOD服务器上创建正式账号或访客使用的BYOD服务并与账号相关联。本步骤配置较多,主要流程如图2所示。
图2 BYOD服务器上的配置
从易于管理的角度上看,建议为BYOD匿名账号、访客、接入正常账号均配置专用的BYOD服务,而非三类账号都共用同一个BYOD服务。
另外,部分企业用户可能会涉及需要部署MDM/MAM系统。随着移动终端大量接入网络,IT管理者不得不将关注点从物理设备的接入管理转移到移动用户体验的管理上,尤其是会话管理控制,其中包括人表现形式数据安全和性能。对于用户体验而言,最重要的因素在于移动性的设计。这意味着IT部门需要参与移动设备的移动应用开发,用户可以从企业应用商店直接下载这些应用。或者通过系统自动推送客户业务需求的各类APP应用并完成大量复杂繁琐的配置。此外,移动应用负责执行本地解密和显示操作。
如果设置丢失或被盗,那么应用可以通过程序远程擦除或自行销毁。因此设计支持移动访问的应用程序,通过加密实现数据安全性,并且在会话层管理网络访问,这些都是在部署BYOD需要考虑的要素。H3C BYOD解决方案中的MDM/MAM组件可以很好地协助IT管理者解决移动终端在移动办公时面临的终端安全问题和移动应用管理问题。
二、BYOD解决方案的部署要点
BYOD的实施和部署应尽量做到简单易行,消除IT部门的实施投入和后续管理投入、减少对网络的改动、保护现有投资,同时又保证终端使用者的易用体验。总结H3C BYOD的部署,需要关注以下要点:
在已有网络认证方式上设计一个契合业务需求的BYOD方案,选择合适的认证方式。若选择Portal方式,可根据不同终端、不同SSID推送不同的WEB认证页面,且页面可实现灵活定制化;
终端用户帐号实现自注册。例如可部署短信网关,访客帐号通过短信注册方式获取认证指令,免去繁琐的开户过程;
对于希望实现快速认证的用户,可部署BYOD智能终端无感知快速认证,让入网更加快捷方便;
根据不同的接入场景下发不同的网络权限。同时,在终端识别的基础上,IT管理者能全盘控制终端接入,及时掌控终端类型,统筹IT资源规划;
利用BYOD的MDM/MAM系统,实现智能终端的数据加密或信息安全管控,为企业用户推送所需APP应用,特别是门户APP。
随着VDI越来越广泛应用,也需要结合BYOD方案来为企业打造一套便于员工办公的智能化系统。不论是传统的台式机和笔记本电脑,亦或是各种丰富的智能移动终端,都有其对应的VDI客户端用于访问企业的虚拟化数据中心。如何发挥VDI和BYOD的各自优势来满足客户业务需求同样成为BYOD方案部署时需要关注的对象。
此外,如果部署H3C iMC的UBA组件(用户行为审计),BYOD系统可以结合UBA系统通过行为审计功能详细记录终端用户的行为,并在必要的时候和BYOD系统联动对用户做出某些强制的管控动作。
三、BYOD定制开发业务的部署
实际部署BYOD业务时,用户经常会有需要将厂商的BYOD系统和自身业务系统进行对接或者其他定制开发的需求。以H3C BYOD为例,其依赖的H3CiMC系统以业务管理和业务流程模型为核心,通过H3CiMC能够灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。因此,H3C BYOD解决方案不是一个封闭固化的系统,它可以根据用户需求进行灵活的定制开发。基于iMC的技术框架、二次开发接口等技术,用户的开发团队或H3C公司的定制开发团队可以为客户提供基于客户特定业务的定制开发。
常见的可定制开发的项目包括:
和企业AD服务器的对接,以方便企业正式员工的开户;
和第三方短信平台实现对接,以方便访客的短信开户功能;
和客户自身系统对接,诸如银行排队机等以满足公共场所访客的快速开户;
系统web页面定制,网页链接、广告推送等,以满足企业个性化需求;
和企业其他业务系统数据库对接,方便企业IT管理者随时调用系统数据库以满足自身业务需求。
通过定制开发业务的部署,用户可以实现个性化需求,极大增强了使用BYOD的体验感,使得企业IT管理者能灵活地将各类系统完美结合,打造属于企业自身的智能化移动化办公系统。
四、结束语
BYOD解决方案是开放、多样、灵活的,其实施和部署最关键是以充分了解用户实际需求为前提,结合用户网络资源和BYOD解决方案的优势,设计出符合用户需求的部署方案。依赖H3C iMC系统,IT管理者可以充分利用其灵活多维度的动态授权策略,在终端识别的基础上对各类移动终端进行智能管控和权限管理。利用iMC开放的开发接口,和用户自身系统完美对接,同时通过部署MDM/MAM,协助IT管理者解决移动终端在移动办公时面临的终端安全问题和移动应用管理的问题。真正实现BYOD Anytime、Anywhere、Anyone、Anydevice的移动办公模式。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:BYOD解决方案实施与部署