网络安全 频道

CIO实践:看3W如何玩转上网行为管理

  【IT168 应用】提起3W咖啡,相信很多朋友都不陌生。在创业大潮的驱动下,致力于互联网圈子经营的3W咖啡在互联网行业从业者乃至大众心中都有着越来越高的知名度。也正因其定位,来这里的每一个人都对3W咖啡的网络使用体验有着极高的期望值。在业界诸多知名厂商的协助下,3W咖啡北京店逐步建成具备高性能、高可靠性特点的基础网络,力求将优异IT服务带给所有互联网创业者。但与之对应的,网络管理面临的挑战也愈发突出,通过技术手段节制资源滥用、提升管理效率成为当务之急。经过沟通,网康科技针对3W的一些实际需求借助其ICG系列上网行为管理产品(以下简称ICG)给出一套很有意思的解决方案,我们也在实际环境中进行了一系列测试验证。

  除了认证,微信还能干点啥

  可能很多人都觉得一个咖啡馆的网络管理起来没什么难度,至少我接触这个工作前就这么认为。但现实真的很残酷,准确地讲,3W咖啡北京店只是个泛指,两千多平的空间内实际包括了3W咖啡北京中关村店(餐饮业务)、3W创新传媒(公关传播业务)、拉勾网(招聘业务)、3W孵化器(孵化业务)四个3W平台下的独立业务群。由于经营领域有所不同,这些同在一个屋檐下的业务群的网络应用模型也有着不小的差异,但从节省成本的角度出发,四大业务群却又共享一套网络基础架构,为管理和运维带来不小的挑战。

  以餐饮业务为例,咖啡馆属于典型的公众场所,其需求主要是任何顾客或参加活动的嘉宾都能通过无线接入互联网。熟悉这个领域的朋友应该知道,相关法律法规对公众场所提供上网有一些政策性要求,而用传统的技术手段去实现会降低用户的接入体验。试想一下,如果在3W咖啡执行输入手机号接收短信进行密码验证的准入方式,估计没几个人还会去用这里的网络,这势必会在很大程度上影响客流量。

  对于这个矛盾,微信认证上网是个不错的解决方案,技术上并不复杂,应用场景也越来越多。网康ICG与时俱进地提供了微信认证功能,我也绑定在咖啡馆的VLAN做了功能验证。微信认证上网除了满足认证需求,本身也等于是给经营者提供了一个有效的营销平台,存在额外的价值。不过在我看来,如果ICG只做微信上网认证,那并不是一个高性价比的解决方案。网康的ICG做了十年,强项在于应用层面的控制和数据收集分析,认证准入如果和能它们挂钩,就能实现更强大的功能。而这样的想象空间,恰恰是3W咖啡需要的。

除了认证,微信还能干点啥

  在网康工程师的协助下,我主要进行了两方面与业务有关的尝试。首先是消费与网络接入的强绑定,3W咖啡很早就开始尝试线上售卖,入口正是微信,如果能打通ICG和在线销售平台,就能把两个原本不想干的业务流整合起来。3W咖啡的无线网络无需密码登录,但只能使用微信这一种应用;当消费者完成在线购买后,CRM要将微信ID传给ICG,由ICG根据ID与设备MAC的对应关系,动态加载访问控制策略。如果会员系统也和ICG打通,甚至还能根据会员级别来加载不同的访问控制策略。

CIO实践:看3W如何玩转上网行为管理

  另一个尝试是在之前基础上与无线定位系统对接,实现顾客在店内位置的准实时更新,给送餐的服务生提供顾客相对准确的位置信息。ICG本身就是一个部分开放的数据收集平台,除了自己收集数据,也可以通过第三方系统获取数据(我甚至还尝试过把其他设备的日志吐给ICG整合输出报表……)。经过与3W的无线定位提供方沟通,网康工程师确认可以将终端位置信息与其绑定的微信ID进行关联,这样就有足够的技术手段去呈现给服务生,达到预期目的。

  邮件认证:也许是最适合中小企业的认证方式

  除了餐饮业务,常驻3W咖啡北京店的其他业务群组的网络应用模型相对统一,其需求基本等同于中小互联网企业。其特点是麻雀虽小五脏俱全,无论在安全、管理还是其它什么方面,都与咖啡馆有着很大的不同。孵化器平台比较特殊,每半年算一期,每期大约十几个团队,再加上3W旗下的3个业务群,等于一张物理网络要为小二十个不同的业务实体服务,管理运维方面的压力可想而知。

  把问题简化来看,管理的基础还是身份认证和网络准入,只有精确定位到团队和个人身份,才能制定有效的访问控制策略。微信是不行了,开放的办公环境和较高的人员流动率又决定了无法使用Port VLAN等传统方式对不同人员/团队进行区分,技术上趋近完美的802.1x和PPPoE又因为体验不好很难被大家接受。本地认证或者搞个LDAP?还让不让人活了!

  就在一筹莫展的时刻,网康的工程师强烈建议我试用ICG中的邮件认证功能,据说是最适合这种场景的一种认证方式。它的逻辑是推送Web认证页给未经认证的终端,让用户输入自己的企业邮箱账户及密码;拿到账户密码后,ICG会以邮件客户端的角色去邮件服务器进行验证,再根据登录结果确定认证是否成功。实际测试证明网康的工程师并没有吹牛,我甚至认为邮件认证是目前最适合中小企业的一种认证方式。

CIO实践:看3W如何玩转上网行为管理

  简而言之,邮件认证有三个明显特点令我印象深刻。首先是部署简单,如果要问中国中小企业IT系统里哪个部署最多、包含身份信息最齐全,那必须是邮件系统。ICG打通了和邮件系统的关系,意味着IT人员不必再费劲为了认证弄一套身份数据库,再说库多了保持同步更新也是个麻烦事。其次,邮件认证的基础是Web认证,这也是普及程度最高的一种认证方式,基本所有人都会用,不像802.1x之类那么生僻。Web页面又可以针对不同大小的屏幕做适配,交互体验能够保证(至少网康ICG提供的模版还行,更有追求的用户也可以自己设计认证页面)。最后也是最关键的,部署邮件认证非但不会给IT来带额外的工作量,反而会减轻负担,因为IT人员要做的就是一次性配置。这一切都是因为中小企业邮件系统的账户更新往往不是由IT人员而是由行政人员来负责的,一般在IT人员得知来了新同事或和老同事吃散伙饭之前,行政人员就已经做完了开/关邮箱的操作。有了这样一个长期助力,IT人员真的可以高枕无忧了。

  如果只是为了认证,通过企业邮件系统可能是最完美的方式。但之前也说了,认证的目的是做网络准入,此时邮件系统维度单一、无组织架构信息的弊端就显露出来。缺少了组织架构信息,单纯针对每个用户设定访问控制策略只是理论可行,实际中毫无操作性可言。不过在测试中也发现,某些企业邮箱提供商已经给出了自己的解决方案,比如3W使用的腾讯企业邮箱就在后台支持包括组织架构在内的诸多设定,同时提供了名为OpenAPI的接口,可以将这些信息吐给第三方系统。网康的工程师经过评估,确认该信息可以同步到ICG,从而支持部门/工作组为单位的访问控制策略设定,再次降低了中小企业的使用门槛。

CIO实践:看3W如何玩转上网行为管理

  助力业务方能体现价值

  无论是微信认证还是邮件认证,主要还是在提升IT管理效率这个层面体现价值,与业务的关联还不是很紧密。所以客观现实就是,我认为ICG带来的价值很大,但其他人没这样的感觉(反而觉得比在家里上网多了认证的步骤)。所以我也在尝试用ICG干更多的事情,希望能找到一些IT之外能体现价值的地方。

  尝试的思路无非是利用数据,这也是大势所在(要么现在包括网康在内的行为管理设备提供商都商量好似的转向BI领域呢)。从产品品类上看,上网行为管理的本质是网络审计,其数据收集存储的能力比其它任何网络设备都强许多。就说ICG吧,它基本把基础架构层面能够收集的东西都收全了,可以给分析提供足够的数据基础。该设备在3W上线测试了一段时间,数据呈现出的很多特点都是定位于互联网的3W咖啡所独有的。不敢说这些数据能高大上到对经营能起辅助决策作用,至少给来3W咖啡的主流消费者做标签画像是没有问题的。

  数据分析辅助营销本就不是一朝一夕之事,暂且先放一放。ICG其实已经帮助3W小范围地解决了一些问题,比如困扰厨师长很久的员工餐数量问题。做为追求用户体验的互联网企业,3W为员工和孵化器入驻团队提供了一天两顿的高质量员工餐,但按固定数量供餐,有时在办公室的人不多就会浪费,有时在办公室的人很多又不够吃。这种情况经常出现,厨师长是左右为难,压力山大。

  我想到的办法是利用ICG收集的数据和提醒功能去解决问题,首先可以确定的是就餐人员与需要进行邮件认证的是同一人群,每天有多少人经过邮件认证在线,大概就有多少人需要就餐。接下来我在ICG上干了这么一件事:厨师长每天两次开伙前半小时,自动整理经过邮件认证且半小时之内存在活动流量的用户,将结果发邮件给厨师长。邮件标题包含活跃用户数,邮件正文则为具体的邮件账户,这样,开通了邮件到达短信提醒的厨师长就能第一时间了解需要就餐的大概人数,控制好供餐的数量。

CIO实践:看3W如何玩转上网行为管理

CIO实践:看3W如何玩转上网行为管理

CIO实践:看3W如何玩转上网行为管理

  客观地说,这种方法做不到100%准确,只能说是次优之选。但100%准确的方式,比如谁要吃饭每天提前主动报备,往往又不具备可行性。ICG在不增加人工成本的情况下,给3W解决员工餐数量问题提供了相对准确的参考依据,就是价值的体现。这件事也让我充分理解了为什么说IT的事再大也是小事,业务的事再小也是大事——就这么个网康和我都认为微不足道的小功能,高管们一个接一个地发朋友圈感叹之神奇;之前准入认证的测试配置费了那么大劲,对其他人而言却像是透明的……

  好吧,既然助力业务才能体现价值,就多在业务层面挖掘挖掘。眼瞅着ICG解决了员工餐数量的问题,我马上又联想到一个新的需求:目前取餐制度是通过刷工卡的形式,体验其实并不是很好(比如没拿到工卡的新员工或者实习生就比较麻烦),并且取餐用的刷卡机只做身份认证,没有历史数据可供参考。ICG既然强在身份认证和数据收集,是不是可以改善取餐环节的功能体验呢?

  我的设想是,每次取餐刷特定二维码对应到ICG的认证模块,ICG判断扫码终端是否经过邮件认证,如果是且今天没超过扫码认证次数阈值,则显示“ID+欢迎用餐,”同时更新数据库;如果不是则提示先认证再扫码。这样可以有两个好处,第一是认证体验的加强(还记得之前说过的邮件认证的优点么?),第二是每天的就餐数据可以保留下来,日积月累肯定可以看到一些规律,从而修正就餐人员估算的加权值。当3W规模逐渐扩大,这种方式显然可以产生更大价值。

  当然,ICG目前还没有提供这种深度定制化的功能,但我认为未来可以有。认证+数据收集+脚本控制是一个比较通用的流程,有着越来越多的应用场景。比如对于咖啡馆来说,同样的功能就可以给每个场地租赁客户提供来宾清单(微信认证+扫码入场=活动后生成清单),这对每个客户都是有价值的;如果再和室内定位系统提供的终端位置信息相关联,甚至能知道来宾的实时位置,对之前办过并且将来一定还会继续办的相亲类活动来说,想象空间可就太大了……

  值得欣慰的是,网康的工程师认为这个功能的技术实现是没有任何问题的,因为功能都是现成的,只不过要把它们变得模块化并且可定义。我认为这也是上网行为管理这种产品在企业应用的发展方向,只有丰富数据量和数据种类,并且平台更开放,才能更好地满足用户定制化的业务需求。当那一天到来时,上网行为管理就不在是为IT服务的基础架构类产品,而是CIO手中提升业务价值的利器了。

  期待那一天尽早到来。

6
相关文章