从iPhone到Droid、BlackBerry以及Nexus One,似乎每周都会有一个新的移动设备诞生,而且公司员工正试图在这些设备发布15分钟后就把它们接入公司的无线网络。
一个企业如何应对移动设备引起的风险,在将这些设备引入到企业网络中后又该如何进行控制呢?在本文中,我们将探讨网络访问控制(NAC)系统在移动环境中所起的作用。
移动设备的网络访问控制(NAC)策略
如果你已经在你的环境中使用了网络访问控制,那么你可能对笔记本电脑或者台式电脑的身份验证过程比较熟悉:
1. 用户试图把一个新的设备接入网络。
2. 网络访问控制服务器检测到新设备,并确定它还没有被验证。
3. 提示客户在终端上安装一个网络访问控制客户端。
4. 网络访问控制客户端把用户的身份证书提供给网络访问控制服务器,用于身份验证。
5. 网络访问控制客户端执行一个客户端安全状态评估,并把它提供给网络访问控制服务器。
6. 如果有需要的话,网络访问控制服务器将使用身份证书和评估结果来确定这个设备可以获得哪种网络访问权限。
不幸的是,当智能手机、平板电脑或者类似的“低能终端”设备试图接入网络的时候,这个过程在第三步就停止了,因为想要在这些小玩意上安装网络访问控制客户端是不可能的。而在这种情况下,网络访问控制系统通常会求助于以下两种方法:
·采用“强制网络门户(captive portal)”的方法,即网络访问控制设备截取用户的网页请求,并重新引导用户到一个基于网络的身份认证页面。一旦用户通过验证,这个设备就被赋予了访问网络的权利,从而允许那些通过了验证的用户把任何移动设备接入到网络上。
·另一个方法则是把通过验证的无线设备的MAC地址列入白名单。这涉及到更多的管理开销,因为每次部署一个新设备都需要你的IT员工把每个设备的MAC地址添加到网络访问控制系统中。然而,这个白名单选项的确给了企业对网络访问更大程度的控制。
这两个方法的缺点是:网络访问控制系统没有检测这类设备安全状态的能力,这就极大地减少了网络访问控制可以像在笔记本/台式电脑环境中那样所提供的传统功能。
充分利用移动网络访问控制
那么,企业应该如何利用其现有的网络访问控制基础设施来保证移动设备的安全呢?我建议使用一个三管齐下的方法,这个方法关键在于对公司拥有的设备和个人拥有的设备进行区分。你的利益可能会有所不同,这取决于企业的安全需要,但是这个框架为你提供了一个起点,你可以利用它来构建一个合适的移动网络控制策略以及同你业务环境相关的控制。
(责任编辑:武林网)
新闻热点
疑难解答
