《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設(shè)計應用 > 網(wǎng)絡訪問控制策略:如何控制智能手機訪問網(wǎng)絡
網(wǎng)絡訪問控制策略:如何控制智能手機訪問網(wǎng)絡
來源:TechTarget中國
摘要: 一個企業(yè)如何應對移動設(shè)備引起的風險,在將這些設(shè)備引入到企業(yè)網(wǎng)絡中后又該如何進行控制呢?在本文中,我們將探討網(wǎng)絡訪問控制(NAC)系統(tǒng)在移動環(huán)境中所起的作用。
Abstract:
Key words :

摘要:一個企業(yè)如何應對移動設(shè)備引起的風險,在將這些設(shè)備引入到企業(yè)網(wǎng)絡中后又該如何進行控制呢?在本文中,我們將探討網(wǎng)絡訪問控制NAC)系統(tǒng)在移動環(huán)境中所起的作用。

從iPhone到Droid、BlackBerry以及Nexus One,似乎每周都會有一個新的移動設(shè)備誕生,而且公司員工正試圖在這些設(shè)備發(fā)布15分鐘后就把它們接入公司的無線網(wǎng)絡。

一個企業(yè)如何應對移動設(shè)備引起的風險,在將這些設(shè)備引入到企業(yè)網(wǎng)絡中后又該如何進行控制呢?在本文中,我們將探討網(wǎng)絡訪問控制(NAC)系統(tǒng)在移動環(huán)境中所起的作用。

移動設(shè)備的網(wǎng)絡訪問控制(NAC)策略

如果你已經(jīng)在你的環(huán)境中使用了網(wǎng)絡訪問控制,那么你可能對筆記本電腦或者臺式電腦的身份驗證過程比較熟悉:

1.  用戶試圖把一個新的設(shè)備接入網(wǎng)絡。

2.  網(wǎng)絡訪問控制服務器檢測到新設(shè)備,并確定它還沒有被驗證。

3.  提示客戶在終端上安裝一個網(wǎng)絡訪問控制客戶端。

4.  網(wǎng)絡訪問控制客戶端把用戶的身份證書提供給網(wǎng)絡訪問控制服務器,用于身份驗證。

5.  網(wǎng)絡訪問控制客戶端執(zhí)行一個客戶端安全狀態(tài)評估,并把它提供給網(wǎng)絡訪問控制服務器。

6. 如果有需要的話,網(wǎng)絡訪問控制服務器將使用身份證書和評估結(jié)果來確定這個設(shè)備可以獲得哪種網(wǎng)絡訪問權(quán)限。

不幸的是,當智能手機、平板電腦或者類似的“低能終端”設(shè)備試圖接入網(wǎng)絡的時候,這個過程在第三步就停止了,因為想要在這些小玩意上安裝網(wǎng)絡訪問控制客戶端是不可能的。而在這種情況下,網(wǎng)絡訪問控制系統(tǒng)通常會求助于以下兩種方法:

·采用“強制網(wǎng)絡門戶(captive portal)”的方法,即網(wǎng)絡訪問控制設(shè)備截取用戶的網(wǎng)頁請求,并重新引導用戶到一個基于網(wǎng)絡的身份認證頁面。一旦用戶通過驗證,這個設(shè)備就被賦予了訪問網(wǎng)絡的權(quán)利,從而允許那些通過了驗證的用戶把任何移動設(shè)備接入到網(wǎng)絡上。

·另一個方法則是把通過驗證的無線設(shè)備的MAC地址列入白名單。這涉及到更多的管理開銷,因為每次部署一個新設(shè)備都需要你的IT員工把每個設(shè)備的MAC地址添加到網(wǎng)絡訪問控制系統(tǒng)中。然而,這個白名單選項的確給了企業(yè)對網(wǎng)絡訪問更大程度的控制。

這兩個方法的缺點是:網(wǎng)絡訪問控制系統(tǒng)沒有檢測這類設(shè)備安全狀態(tài)的能力,這就極大地減少了網(wǎng)絡訪問控制可以像在筆記本/臺式電腦環(huán)境中那樣所提供的傳統(tǒng)功能。

充分利用移動網(wǎng)絡訪問控制

那么,企業(yè)應該如何利用其現(xiàn)有的網(wǎng)絡訪問控制基礎(chǔ)設(shè)施來保證移動設(shè)備的安全呢?我建議使用一個三管齊下的方法,這個方法關(guān)鍵在于對公司擁有的設(shè)備和個人擁有的設(shè)備進行區(qū)分。你的利益可能會有所不同,這取決于企業(yè)的安全需要,但是這個框架為你提供了一個起點,你可以利用它來構(gòu)建一個合適的移動網(wǎng)絡控制策略以及同你業(yè)務環(huán)境相關(guān)的控制。

·限制對公司擁有的智能手機的完全無線網(wǎng)絡訪問。在那些由你的IT員工擁有并由其管理的設(shè)備上你可以具備安全保密水平,但你永遠不能在個人設(shè)備上保證這樣的水平。出于這個原因,我鼓勵對這些公司擁有并管理的設(shè)備進行完全網(wǎng)絡訪問限制。執(zhí)行這個要求的最簡單辦法是使用上述的MAC白名單方法。

·用移動設(shè)備管理對網(wǎng)絡訪問控制進行補充。雖然網(wǎng)絡訪問控制產(chǎn)品通常不允許你為了更徹底的控制智能手機訪問,而進入智能手機的配置設(shè)置,但是移動設(shè)備管理軟件卻可以做到。我建議部署這些產(chǎn)品的其中一個來作為網(wǎng)絡訪問控制的補充,并用它在公司所擁有的設(shè)備上來執(zhí)行加密、屏幕鎖定以及其它安全設(shè)置。

·考慮為個人擁有的設(shè)備配置一個隔離網(wǎng)絡。在很多環(huán)境中,實用性要求允許個人擁有的設(shè)備訪問網(wǎng)絡。如果你的企業(yè)屬于這種情況,那么你可能需要把這些設(shè)備放置在一個具有限制性訪問權(quán)限的單獨的隔離網(wǎng)絡上。雖然你可能會允許個人擁有的設(shè)備自由地訪問因特網(wǎng),但是你應該謹慎地控制(如果有的話)它們可以訪問公司的哪些資源。畢竟,你肯定不想將商業(yè)機密置于一個不屬于你的手機上。

盡管很難把網(wǎng)絡訪問控制的優(yōu)點引入到移動電話環(huán)境中,但這肯定是可以實現(xiàn)的。上述三個步驟提供了一個基本的框架,你可以按照它來設(shè)計滿足你商業(yè)需求的智能電話管理策略。

 

 
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。