移动设备的网络访问控制(NAC)策略
从iPhone到Droid、BlackBerry以及Nexus One,似乎每周都会有一个新的移动设备诞生,而且公司员工正试图在这些设备发布15分钟后就把它们接入公司的无线网络。一个企业如何应对移动设备引起的风险,在将这些设备引入到企业网络中后又该如何进行控制呢?
如果你已经在你的环境中使用了网络访问控制,那么你可能对笔记本电脑或者台式电脑的身份验证过程比较熟悉:
1. 用户试图把一个新的设备接入网络。
2. 网络访问控制服务器检测到新设备,并确定它还没有被验证。
3. 提示客户在终端上安装一个网络访问控制客户端。
4. 网络访问控制客户端把用户的身份证书提供给网络访问控制服务器,用于身份验证。
5. 网络访问控制客户端执行一个客户端安全状态评估,并把它提供给网络访问控制服务器。
6. 如果有需要的话,网络访问控制服务器将使用身份证书和评估结果来确定这个设备可以获得哪种网络访问权限。
不幸的是,当智能手机、平板电脑或者类似的“低能终端”设备试图接入网络的时候,这个过程在第三步就停止了,因为想要在这些小玩意上安装网络访问控制客户端是不可能的。而在这种情况下,网络访问控制系统通常会求助于以下两种方法:
采用“强制网络门户(captive portal)”的方法,即网络访问控制设备截取用户的网页请求,并重新引导用户到一个基于网络的身份认证页面。一旦用户通过验证,这个设备就被赋予了访问网络的权利,从而允许那些通过了验证的用户把任何移动设备接入到网络上。
另一个方法则是把通过验证的无线设备的MAC地址列入白名单。这涉及到更多的管理开销,因为每次部署一个新设备都需要你的IT员工把每个设备的MAC地址添加到网络访问控制系统中。然而,这个白名单选项的确给了企业对网络访问更大程度的控制。
这两个方法的缺点是:网络访问控制系统没有检测这类设备安全状态的能力,这就极大地减少了网络访问控制可以像在笔记本/台式电脑环境中那样所提供的传统功能。
充分利用移动网络访问控制
那么,企业应该如何利用其现有的网络访问控制基础设施来保证移动设备的安全呢?我建议使用一个三管齐下的方法,这个方法关键在于对公司拥有的设备和个人拥有的设备进行区分。你的利益可能会有所不同,这取决于企业的安全需要,但是这个框架为你提供了一个起点,你可以利用它来构建一个合适的移动网络控制策略以及同你业务环境相关的控制。
限制对公司拥有的智能手机的完全无线网络访问。在那些由你的IT员工拥有并由其管理的设备上你可以具备安全保密水平,但你永远不能在个人设备上保证这样的水平。出于这个原因,我鼓励对这些公司拥有并管理的设备进行完全网络访问限制。执行这个要求的最简单办法是使用上述的MAC白名单方法。
用移动设备管理对网络访问控制进行补充。虽然网络访问控制产品通常不允许你为了更彻底的控制智能手机访问,而进入智能手机的配置设置,但是移动设备管理软件却可以做到。我建议部署这些产品的其中一个来作为网络访问控制的补充,并用它在公司所拥有的设备上来执行加密、屏幕锁定以及其它安全设置。
考虑为个人拥有的设备配置一个隔离网络。在很多环境中,实用性要求允许个人拥有的设备访问网络。如果你的企业属于这种情况,那么你可能需要把这些设备放置在一个具有限制性访问权限的单独的隔离网络上。虽然你可能会允许个人拥有的设备自由地访问因特网,但是你应该谨慎地控制(如果有的话)它们可以访问公司的哪些资源。毕竟,你肯定不想将商业机密置于一个不属于你的手机上。
网络访问控制策略的应用的叙述就结束了,上述三个步骤提供了一个基本的框架,你可以按照它来设计满足你商业需求的智能电话管理策略。
【编辑推荐】