BYOD简介.pptx

BYOD简介.pptx

《BYOD简介.pptx》由会员分享，可在线阅读，更多相关《BYOD简介.pptx（41页珍藏版）》请在冰豆网上搜索。

1BYOD简介BYOD（BringYourOwnDevice）指携带自己的设备办公（上课），这些设备包括个人电脑、手机、平板等。

现在更多的情况指手机或平板这样的移动智能终端设备。

现在的移动设备越来越多，智能手机、平板电脑，增加了业务沟通渠道。

78%的跨国公司的员工将自己的移动设备带入到工作中，64%的人称利用智能手机和平板电脑工作更使工作更加有效率。

BYOD（BringYourOwnDevice）正在流行起来。

BYOD并不遥远，就在你身边2BYOD积极性提升服务能力丰富服务方式提高面向公众服务的主动性缩短等待时间，加快服务进程降低成本节省终端设备的投入促进虚拟团队的实现，利用社区的资源提高内部工作效率利用零碎时间，提高跨部门、跨地区工作的响应速度缩短日常工作的处理周期减少通过电话授权方式带来的不确定的因素促进内部文化建设高效的服务感受带来稳定的公众的认可形成高效与协作的工作氛围形成主动服务的工作态度捕获更多的机会远程快速获取单位内部信息及时跟进市场动态避免错失时机造成不必要的损失高效的服务感受带来良好的口碑BYOD的优势3BYOD时代来临LotusNotesLotusNotesIDC2011年的报告就指出，随着智能终端以惊人的速度快速普及，智能手机和平板电脑将取代PC的统治地位。

同时，大量传统PC上的企业应用Office、Mail、Web公文审批、虚拟桌面等陆续通过智能终端来访问。

企业IT将面临BYOD时代的挑战。

4BYOD应用场景（数据丢失防护？

）5BYOD时代带来的终端管理风险园区网无线网络有线网络广域网11、安全性、安全性l哪些人可以自带设备？

有没有统一注册备案？

哪些人可以自带设备？

有没有统一注册备案？

l什么人、什么终端、什么时间、地点可以访问桌面虚拟化？

什么人、什么终端、什么时间、地点可以访问桌面虚拟化？

l是否安装了企业的是否安装了企业的AppApp，是否安装了禁止的，是否安装了禁止的AppApp？

l企业设备、自带终端、移动终端的网络访问权限如何控制？

企业设备、自带终端、移动终端的网络访问权限如何控制？

l自带终端的安全防护、数据丢失、丢失管理、唯一性？

自带终端的安全防护、数据丢失、丢失管理、唯一性？

22、管理手段、管理手段l如何识别终端类型？

和现有的准入系统、应用系统如何集成如何识别终端类型？

和现有的准入系统、应用系统如何集成？

l自带设备私人数据、应用隐私性，企业数据的泄漏防护？

自带设备私人数据、应用隐私性，企业数据的泄漏防护？

l如何看到哪些终端接入网络，在干什么？

如何提升认证感受如何看到哪些终端接入网络，在干什么？

如何提升认证感受？

几个例子：

某制造业、金鹰商场、某医院、温州大学几个例子：

某制造业、金鹰商场、某医院、温州大学6网络准入控制的变革20112005200420091stGenNACEndpointCompliance（Worm/VirusEra）2ndGenNACAuthentication（GuestNetworking）3rdGenNACConsumerization（BYOD）NAChasmaturedandwillnowbeoneofthekeymechanismsformitigatingtherisksofconsumerization.GartnerStrategicRoadMapforNetworkAccessControlPublished:

11October2011ID:

G002190877我们理解BYOD概念AnyTimeAnyTime：

智能终端的随时远程访问企业网络的能力，使员工可以随时开展工作。

AnyWhereAnyWhere：

员工可以在任意地点访问企业网络（单位、家及路上）BYOD=BYOD=任何人在任何时间、地点通过任何设备都可以接入企业网任何人在任何时间、地点通过任何设备都可以接入企业网络，访问企业应用，开展工作。

络，访问企业应用，开展工作。

AnyOneAnyOne：

企业中的任何角色（员工、访客、合作伙伴）都可以按照角色权限访问网络。

AnyDeviceAnyDevice：

办公终端不再局限于PC，智能手机、平板电脑、瘦客户机都可以用于办公。

8BYOD的核心问题允许员工和访客携带私人的设备（允许员工和访客携带私人的设备（IPAD,IPAD,笔记本）进入公司的网络，网络要能笔记本）进入公司的网络，网络要能智能识别这些设备的型号，是否属于公司的资产，给予设备不同的权限。

智能识别这些设备的型号，是否属于公司的资产，给予设备不同的权限。

企业企业BYODBYOD的核心问题就是能够保证合适的人、使用合适的设备、的核心问题就是能够保证合适的人、使用合适的设备、合适的网络、在合适的地点和时间，获得合适的网络访问权限，合适的网络、在合适的地点和时间，获得合适的网络访问权限，最大限度的保证企业网络和资源的安全最大限度的保证企业网络和资源的安全9认证设备感知网络一体用户安全检查员工员工访客访客时间感知位置感知授权审计流量监控用户行为管理用户自助服务基于信任等级下发策略流量和用户行为分析用户设备注册总体解决方案智能识别各类终端和用户，通过统一平台实现每个终端的透明管理，实现有线无线一体化的智能管道。

10BYOD方案组网图UAMAAA认证服务器EWM无线网管11H3CBYOD功能一览DistributedPolicyservers终端端识别终端接入端接入身份身份识别接入策略接入策略统一管理一管理时间SSID位置终端类型iNode客户端设备指纹（与我司AC配合）HTTP识别DHCP识别MAC地址识别无无线u纯网页方式（支持各类操作系统，智能终端支持无感知认证）uiNode客户端VPNVPNuIPSecVPNuSSLVPN有有线u纯网页方式uiNode客户端职员u完整的身份生命周期管理u丰富的认证手段（密码、证书、RSA、智能卡）u多级用户分组及与LDAPOU层级关系的映射访客客u完整的访客审批管理u短信认证（与短信网关集成）u个性页面定制框架身份基于场景（身份、时间、位置、终端类型、SSID）和安全状态的接入授权策略u接入监控管理uBYOD接入可视化（接入用户、终端、操作系统、接入时间和位置）u图形化配置接入设备（802.1x和Portal参数配置）和终端（智能终端零配置下发），快速开展BYOD业务u多组件融合联动u高可用性安全状态12BYOD下的终端安全准入控制不合格不合格不合格不合格进入隔离区进入隔离区进入隔离区进入隔离区强制加固强制加固强制加固强制加固隔离区隔离区隔离区隔离区安全认证安全认证安全认证安全认证合法用户、合法用户、合法用户、合法用户、终端终端终端终端非法用户非法用户非法用户非法用户拒绝入网拒绝入网拒绝入网拒绝入网身份认证身份认证身份认证身份认证接入请求接入请求接入请求接入请求你是谁？

你是谁？

企业网络企业网络企业网络企业网络动态授权动态授权动态授权动态授权合格用户、合格用户、合格用户、合格用户、终端终端终端终端不同用户、不同用户、不同用户、不同用户、终端、时间、终端、时间、终端、时间、终端、时间、地点享受不地点享受不地点享受不地点享受不同的网络使同的网络使同的网络使同的网络使用权限用权限用权限用权限你安全吗？

你安全吗？

你可以做什你可以做什么？

么？

你在做你在做什么？

什么？

行为审计行为审计行为审计行为审计与桌面管理与桌面管理与桌面管理与桌面管理合法用户合法用户合法用户合法用户终端识别、注册终端识别、注册终端识别、注册终端识别、注册终端未注册终端未注册终端未注册终端未注册进入隔离区进入隔离区进入隔离区进入隔离区隔离区隔离区隔离区隔离区13iMC-EIR终端智能识别EEndUser：

终端终端不同的用户群多样的客户端IIntelligence：

智能智能基于场景的授权BYOD的可视化RRecognition：

识别识别多手段智能识别终端类型H3CiMC-UAM用户接入管理组件（不含用户）-纯软件（CD）H3CiMC-UAM用户接入管理组件管理-1000用户License费用H3CiMC-UAM访客管理功能-1000在线用户License费用H3CiMC-EIR终端智能识别-1000在线并发终端License费用14BYOD时代终端接入方式n典型典型BYODBYOD企业准入场景企业准入场景企业内网无线准入企业内网无线准入（笔记本、iPhone/Ipad、Android手机/平板、WM手机/平板）企业内网有线准入企业内网有线准入（笔记本）远程接入远程接入（笔记本、iPhone/iPAd、WM手机/平板）l纯网页（支持各类操作系统）liNode无线1x客户端（WinXP/Vista/7）liNodePortal客户端（WinXP/Vista/7、Linux、MACOS、IOS、Android）l计划支持Win8EADServeriMC平台UBA/NTAWSM对外接口开放公网l纯网页l有线1x客户端（WinXP/Vista/7、Linux、MACOS）lPortal客户端（支持WinXP/Vista/7、Linux、MACOS）l计划支持Win8lIPSecVpn客户端（WinXP/Vista/7）lSSLVPN客户端（仅WinXP/Vista/7）l规划支持iOS，Andorid，Win8无线有线VPN15移动智能终端iNode认证客户端企业网多平台支持多平台支持-支持iPhone、iPad、Android等移动智能客户端，支持Portal认证便捷的接入方式便捷的接入方式-一键自动认证接入网络，记忆用户名密码；与有线、笔记本、PC共用同一套用户名口令更强的安全保障更强的安全保障-提供额外的安全检查，限制只有安装客户端的移动终端才能接入无线网络16保障移动智能终端接入安全Android智能终端安全隐患较多，对企业内网的安全威胁和数据泄露隐患大。

需要对智能终端进行安全策略检查，不安全的智能终端拒绝接入企业网络：

u支持智能终端防病毒软件检查AvgbullguardlookoutSmrtphonesolutionssuperdroidSymantectrendmicrowebrootRetinaxstudiosSpybubbleu支持黑白软件检查-客户端能够检查出终端是否安装了服务器要求/禁止安装的软件，进行其是否安装和运行的检查。

u支持检查移动设备是否开启自动锁定u支持检查移动设备是否开启远程擦除u定时检查是否开启蓝牙点对点传输u支持检查移动设备是否开启远程定位和备份等功能17终端识别技术-MACOUI指纹分析MACMAC指纹识别指纹识别：

MAC地址信息用来定义设备在网络中的位置，每一个网卡都会有全球唯一固定的MAC地址。

该地址由IEEE统一管理和分配，未经认证和授权的厂家无权生产网卡。

MACOUI代表IEEE分配给各个厂商的公司ID，是MAC地址的前六位，通过MACOUI，系统可以判断终端设备的生产厂商。

优点优点：

简单，所有终端都支持，不依赖于特定的网络设备及环境。

缺点缺点：

只有网卡厂商信息，可被篡改。

18终端识别技术-Http指纹分析HttpHttp指纹识别指纹识别：

HTTP是Web访问的基础协议，为了提供功能和使用效果，这个协议的定义和实现中加入了很多客户端/服务器端的信息。

客户端主动把浏览器版本、操作系统类型、操作系统版本等信息积极主动地告诉服务器端。

该信息通常由Http头中User-Agent字段提供。

对于移动智能终端，各制造商通常在User-Agent字段中提供设备的类型、型号、操作系统和制造商信息。

优点优点：

可以提供终端更细致的信息。

缺点缺点：

终端必须有访问Http的能力，且UserAgent中携带的设备信息、操作系统信息虽然准确度很高，但是很容易用软件篡改。

可以访问http:

/DHCP指纹识别指纹识别：

DHCP协议本身是各个网络终端设备都能够支持的必备协议之一，用来申请获得动