描述

IDC 报告显示，到2015 年底，用户上网使用的设备中，移动设备将超过PC。随着智能终端的普及，越来越多的员工开始乐于使用Pad、智能手机来随时随地的处理工作，由此带来的是办公的便利性和企业办公效率的提高。另一方面，企业员工将自己的智能终端带入办公场所，或者将工作内容带出办公场所随时随地办公的行为，也给企业带来了信息安全的风险。

企业实现BYOD的主要挑战

1.网络边界模糊化

在固定网络的架构下，每个电脑接入的位置基本上是固定的，即便是笔记本电脑，因为需要插网线，能够接入的范围也容易控制，所以有着明显的网络边界的概念。但是自从Wi-Fi、3G/4G 网络逐渐普及，越来越多的设备采用无线的方式接入企业网络，网络的边界变得模糊，若不加限制，可能会让不该接入的人员接入到企业的网络中。

2.应用场景多样化

需要接入企业网络的角色很多，有普通员工、合作方员工、访客以及VIP 等；场景又分有线、无线、内网、外网、场景切换等。对于不同的角色，企业希望他们能够访问的资源是不同的，需要不同的策略和认证方式。另外，时间、地点等其他因素也是经常要考虑的要素。

3.管理复杂化

移动设备的种类繁多、操作系统多样化、应用移动化、移动应用种类繁多等都是企业的IT 管理员面临的新问题，管理变的复杂化。

4.业务安全威胁

相当一部分企业在考虑建设无线网络的时候，第一个关心的问题往往就是安全问题。访客接入企业网络，使得企业数据的安全成为问题；员工持有企业的移动设备在外办公，设备若丢失会带来设备数据的泄露问题；移动网络的开放性使得企业受到恶意攻击的可能性增加，使企业的业务受到安全威胁。

的安全防护策略。

解决方案

方案架构

 

各设备的功能及作用

1.使用POE交换机对无线接入点、IP电话、VDI工作站等供电。

2.使用集成服务路由器可为分支机构和家庭办公室提供WAN连接，并为分支机构中有线和WLAN基础架构提供连接。

3.无线局域网控制器（WLC）用来自动执行无线配置和管理功能，并允许查看控制无线局域网。

4.自适应安全设备（SAS）可提供传统的边缘安全功能，并且为通过Internet进行的移动设备提供重要的安全VPN终止点，包括公共WIFI热点和3G/4G移动网络。

5.身份服务引擎（ISE）可提供自助式注册和登记门户、身份验证、授权、设备分析、设备注册和资源调配、证书登记、报告丢失或被盗的设备并将其列入黑名单等服务。

6.Prime NCS可提供网络管理和控制能力，包括主要用户和设备可见性，以及网络设备资源调配。

7.Scan Safe云网络安全可通过基于云的解决方案扩展大多数企业客户通过内部设备实施的安全功能，用于 BYOD 客户端位于公司之外时对其进行保护 ，指导 BYOD 客户端通过ScanSafe 云访问 Internet 来执行安全扫描，以过滤 Web 访问、检测恶意软件、发现反常行为并对公司提供实时反馈。

8. RSA SecurID 标记和身份验证服务器可用来在通过 VPN 连接时，提供二元（密码 PIN 和一次性密码代码）身份验证以实现安全防护。

9. 移动设备管理器 (MDM) 可为多个 BYOD 设备操作系统提供集中式端点管理。功能和支持在不同的 MDM 供应商之间有所不同，但是典型功能包括设备配置、在设备上加密、强制实施密码和自助式资源调配。

10. 证书权限 (CA) 可用来向设备颁发数字证书，以利用公共密钥基础架构 (PKI) 实施建立对网络访问的信任。许多标准的 CA 实施可用作 BYOD 解决方案的一部分。

11. Microsoft Active Directory (AD) 可提供身份和工作组的中央数据库，并且通常被许多企业用来进行集中式身份管理。

实现

使用自带设备办公给企业提升工作效率的同时，通过无线控制器、自适应安全设备、移动设备管理器、身份认证等安全设备的相结合，从而达到避免企业信息泄露的风险 ，还能实现统一管理接入企业的移动设备，对接入者进行身份认证并依照不同身份做资源获取的限制。