伴隨BYOD的興起，它已成為助力企業(yè)實現(xiàn)無邊界移動辦公的重要環(huán)節(jié)。企業(yè)部署B(yǎng)YOD策略后，不僅可以讓員工的任意設(shè)備在任何時間、地點便捷可控的接入網(wǎng)絡(luò)，還能為企業(yè)間的合作提供高效的溝通平臺。

　　BYOD開放性易引發(fā)網(wǎng)絡(luò)安全風險

　　然而，面對辦公和個人業(yè)務(wù)瞬息切換，個人和企業(yè)應(yīng)用的界限越來越模糊。BYOD的開放性很容易為企業(yè)網(wǎng)絡(luò)帶來不可預(yù)知的安全風險。

　　首先，利用BYOD設(shè)備進行網(wǎng)頁瀏覽、收發(fā)郵件、應(yīng)用下載等方式訪問企業(yè)信息時，常處于無保護狀態(tài)。移動設(shè)備的智能化，集成PC的特性和功能，但缺乏同等級別的數(shù)據(jù)保護措施，讓設(shè)備或同樣的應(yīng)用程序，更容易遭受惡意攻擊。

　　其次，對于不同級別員工的BYOD接入，傳統(tǒng)的安全策略難以對其行有效區(qū)隔，并為之配備上相應(yīng)的認證策略。這就會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的可用性下降，嚴重時甚至引發(fā)企業(yè)數(shù)據(jù)丟失等情況。

　　另外，面對外來訪客、業(yè)務(wù)合作伙伴和潛在客戶的接入或數(shù)據(jù)分享需求，如何保障他們方便、快捷的完成認證，獲得與內(nèi)部員工不同的訪問權(quán)限，都是考校BYOD安全策略的實際問題。

　　那么BYOD作為企業(yè)辦公環(huán)境邊界的進一步延伸，如果快速有效地確認網(wǎng)絡(luò)接入者的身份，是內(nèi)部員工還是外來訪客呢？現(xiàn)在，網(wǎng)康上網(wǎng)行為管理網(wǎng)關(guān)（ICG）能夠提供豐富的認證識別，同時為企業(yè)網(wǎng)絡(luò)制定靈活的接入策略，來保障網(wǎng)絡(luò)安全。

網(wǎng)康ICG豐富認證策略應(yīng)對

　　對BYOD行為的管理，首先可以從對訪問網(wǎng)絡(luò)的人員身份進行快速 認證管理，即從是員工還是訪客的認證入手。網(wǎng)康ICG提供多種用戶認證和識別方式，包括基本的IP/MAC綁定、三層網(wǎng)絡(luò)環(huán)境下的IP/MAC綁定、網(wǎng)關(guān) Web認證、AD域透明認證、LDAP認證、RADIUS認證、POP3認證、ESMTP認證、SOCKS認證、PPPoE認證賬號識別、第三方用戶識別 等等。其中更支持多種Web認證方法，可以快速區(qū)分訪客與員工，讓他們盡快擁有符合身份的上網(wǎng)權(quán)限。

　　首先，網(wǎng)康ICG支持Web認證自定義。

　　不同于一般上網(wǎng)行為管理設(shè)備，網(wǎng)康ICG支持Web認證自定義功能，企業(yè)可以根據(jù)自身需要，對PC、平板電腦、手機移動終端等制定更有針對性的自定義策略、登陸界面和認證成功頁面等，豐富了應(yīng)用的多樣性。

用戶可對Web認證策略進行自定義調(diào)整

　　在“認證策略”中，還可細分為“IP識別”、“MAC識別”和“Web認證”三種不同的身份確認方式，令認證方式變得更為靈活。更貼心的是，在網(wǎng)康ICG里登錄界面和認證成功頁面也是可以自定義設(shè)置的。

“登錄界面”也可設(shè)定

網(wǎng)康ICG支持Web認證自定義功能，包括對不同終端的登陸界面定制

　　同時，Web認證自定義功能還可以細分為員工Web認證和訪客短信認證。

1.員工Web認證

　　網(wǎng)康ICG支持分段/混合認證，通過規(guī)劃并部署合適的認證方式，可以把互 聯(lián)網(wǎng)訪問管理應(yīng)用到具體用戶，實現(xiàn)基于用戶身份的訪問管理。對于有些企業(yè)，僅用IP或網(wǎng)卡MAC地址并不能確定一個人的身份，比如DHCP動態(tài)分配IP、 或多人共用一臺設(shè)備的時候，就需要其它方式確定用戶身份，如網(wǎng)關(guān)本地Web認證或第三方認證。

　　為了制定差異化的認證方法，需要先進入網(wǎng)康ICG的Web界面，通過圖形界面用戶可直觀地管理和設(shè)置網(wǎng)關(guān)設(shè)備。在Web界面左側(cè)有詳細的功能分類選項，選擇“用戶管理”類別，再點擊“認證管理”選項即可對認證方法進行設(shè)置。

“認證配置”界面（點擊看大圖）

　　在“認證配置”界面中，可以看到更為詳細的多種認證方式配置，包括較為常用的Web認證和短信認證方式，而點擊其中的“Web認證配置”，即可對Web認證源進行添加或刪除操作了。

認證高級配置

“組織結(jié)構(gòu)”界面

　　而在“用戶管理”界面的“組織結(jié)構(gòu)”中，可以快速建立企業(yè)的組織架構(gòu)，便于為等級不同的領(lǐng)導(dǎo)與員工劃分相應(yīng)的網(wǎng)絡(luò)權(quán)限。

2.訪客短信認證

　　訪客與員工的主要區(qū)別是訪客賬號是個臨時賬號，有時間日期或者上網(wǎng)時長限制；而且訪客的賬號申請，需要進行審核。對此，網(wǎng)康ICG不僅支持訪客Web認證，更支持快速的短信認證方式，方便了訪客的上網(wǎng)，而且令管理更為便捷。

網(wǎng)康ICG也支持快速的短信認證方式

　　通過網(wǎng)康ICG的短信認證方式，管理員也可以設(shè)定并分發(fā)統(tǒng)一的初始口令，并定義賬號緩存的有效時間，保障用戶身份的安全，使用戶身份的確定與具體上網(wǎng)設(shè)備完全無關(guān)。

　　其次，網(wǎng)康ICG支持簡單的IP/MAC識別。

　　在有些企業(yè)，實行規(guī)劃合理并且嚴格執(zhí)行的IP地址分配制度，那么通過IP地址和網(wǎng)卡MAC地址來確定用戶身份是可靠的，而網(wǎng)康ICG支持簡單的IP/MAC識別，在“認證策略”中，還可選擇“IP識別”、“MAC識別”等方式進行認證。

可基于IP識別

可基于MAC進行識別

　　而且根據(jù)需要，能夠?qū)Σ煌墑e的員工進行用戶綁定功能，根據(jù)他們設(shè)備的IP、MAC等進行綁定，達到更為簡便、有效的管控。

網(wǎng)康NI-3000支持用戶綁定

　 　綜上所述，對于當代企業(yè)網(wǎng)，訪問企業(yè)資源必須是安全、可靠和可管理的，與一貫執(zhí)行的政策，網(wǎng)康ICG上網(wǎng)行為管理網(wǎng)關(guān)除了具備一般的上網(wǎng)行為監(jiān)管功能 外，更支持豐富的認證策略，因此不僅可以進行簡單的IP/MAC識別，更能基于員工或訪客制定靈活的自定義Web認證，為企業(yè)用戶部署簡單、實用、可控的 安全網(wǎng)絡(luò)提供設(shè)備支撐。