摘要:一個(gè)企業(yè)如何應(yīng)對(duì)移動(dòng)設(shè)備引起的風(fēng)險(xiǎn),在將這些設(shè)備引入到企業(yè)網(wǎng)絡(luò)中后又該如何進(jìn)行控制呢?在本文中,我們將探討網(wǎng)絡(luò)訪問(wèn)控制(NAC)系統(tǒng)在移動(dòng)環(huán)境中所起的作用。
從iPhone到Droid、BlackBerry以及Nexus One,似乎每周都會(huì)有一個(gè)新的移動(dòng)設(shè)備誕生,而且公司員工正試圖在這些設(shè)備發(fā)布15分鐘后就把它們接入公司的無(wú)線網(wǎng)絡(luò)。
一個(gè)企業(yè)如何應(yīng)對(duì)移動(dòng)設(shè)備引起的風(fēng)險(xiǎn),在將這些設(shè)備引入到企業(yè)網(wǎng)絡(luò)中后又該如何進(jìn)行控制呢?在本文中,我們將探討網(wǎng)絡(luò)訪問(wèn)控制(NAC)系統(tǒng)在移動(dòng)環(huán)境中所起的作用。
移動(dòng)設(shè)備的網(wǎng)絡(luò)訪問(wèn)控制(NAC)策略
如果你已經(jīng)在你的環(huán)境中使用了網(wǎng)絡(luò)訪問(wèn)控制,那么你可能對(duì)筆記本電腦或者臺(tái)式電腦的身份驗(yàn)證過(guò)程比較熟悉:
1. 用戶試圖把一個(gè)新的設(shè)備接入網(wǎng)絡(luò)。
2. 網(wǎng)絡(luò)訪問(wèn)控制服務(wù)器檢測(cè)到新設(shè)備,并確定它還沒(méi)有被驗(yàn)證。
3. 提示客戶在終端上安裝一個(gè)網(wǎng)絡(luò)訪問(wèn)控制客戶端。
4. 網(wǎng)絡(luò)訪問(wèn)控制客戶端把用戶的身份證書提供給網(wǎng)絡(luò)訪問(wèn)控制服務(wù)器,用于身份驗(yàn)證。
5. 網(wǎng)絡(luò)訪問(wèn)控制客戶端執(zhí)行一個(gè)客戶端安全狀態(tài)評(píng)估,并把它提供給網(wǎng)絡(luò)訪問(wèn)控制服務(wù)器。
6. 如果有需要的話,網(wǎng)絡(luò)訪問(wèn)控制服務(wù)器將使用身份證書和評(píng)估結(jié)果來(lái)確定這個(gè)設(shè)備可以獲得哪種網(wǎng)絡(luò)訪問(wèn)權(quán)限。
不幸的是,當(dāng)智能手機(jī)、平板電腦或者類似的“低能終端”設(shè)備試圖接入網(wǎng)絡(luò)的時(shí)候,這個(gè)過(guò)程在第三步就停止了,因?yàn)橄胍谶@些小玩意上安裝網(wǎng)絡(luò)訪問(wèn)控制客戶端是不可能的。而在這種情況下,網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)通常會(huì)求助于以下兩種方法:
·采用“強(qiáng)制網(wǎng)絡(luò)門戶(captive portal)”的方法,即網(wǎng)絡(luò)訪問(wèn)控制設(shè)備截取用戶的網(wǎng)頁(yè)請(qǐng)求,并重新引導(dǎo)用戶到一個(gè)基于網(wǎng)絡(luò)的身份認(rèn)證頁(yè)面。一旦用戶通過(guò)驗(yàn)證,這個(gè)設(shè)備就被賦予了訪問(wèn)網(wǎng)絡(luò)的權(quán)利,從而允許那些通過(guò)了驗(yàn)證的用戶把任何移動(dòng)設(shè)備接入到網(wǎng)絡(luò)上。
·另一個(gè)方法則是把通過(guò)驗(yàn)證的無(wú)線設(shè)備的MAC地址列入白名單。這涉及到更多的管理開(kāi)銷,因?yàn)槊看尾渴鹨粋€(gè)新設(shè)備都需要你的IT員工把每個(gè)設(shè)備的MAC地址添加到網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)中。然而,這個(gè)白名單選項(xiàng)的確給了企業(yè)對(duì)網(wǎng)絡(luò)訪問(wèn)更大程度的控制。
這兩個(gè)方法的缺點(diǎn)是:網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)沒(méi)有檢測(cè)這類設(shè)備安全狀態(tài)的能力,這就極大地減少了網(wǎng)絡(luò)訪問(wèn)控制可以像在筆記本/臺(tái)式電腦環(huán)境中那樣所提供的傳統(tǒng)功能。
充分利用移動(dòng)網(wǎng)絡(luò)訪問(wèn)控制
那么,企業(yè)應(yīng)該如何利用其現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制基礎(chǔ)設(shè)施來(lái)保證移動(dòng)設(shè)備的安全呢?我建議使用一個(gè)三管齊下的方法,這個(gè)方法關(guān)鍵在于對(duì)公司擁有的設(shè)備和個(gè)人擁有的設(shè)備進(jìn)行區(qū)分。你的利益可能會(huì)有所不同,這取決于企業(yè)的安全需要,但是這個(gè)框架為你提供了一個(gè)起點(diǎn),你可以利用它來(lái)構(gòu)建一個(gè)合適的移動(dòng)網(wǎng)絡(luò)控制策略以及同你業(yè)務(wù)環(huán)境相關(guān)的控制。
·限制對(duì)公司擁有的智能手機(jī)的完全無(wú)線網(wǎng)絡(luò)訪問(wèn)。在那些由你的IT員工擁有并由其管理的設(shè)備上你可以具備安全保密水平,但你永遠(yuǎn)不能在個(gè)人設(shè)備上保證這樣的水平。出于這個(gè)原因,我鼓勵(lì)對(duì)這些公司擁有并管理的設(shè)備進(jìn)行完全網(wǎng)絡(luò)訪問(wèn)限制。執(zhí)行這個(gè)要求的最簡(jiǎn)單辦法是使用上述的MAC白名單方法。
·用移動(dòng)設(shè)備管理對(duì)網(wǎng)絡(luò)訪問(wèn)控制進(jìn)行補(bǔ)充。雖然網(wǎng)絡(luò)訪問(wèn)控制產(chǎn)品通常不允許你為了更徹底的控制智能手機(jī)訪問(wèn),而進(jìn)入智能手機(jī)的配置設(shè)置,但是移動(dòng)設(shè)備管理軟件卻可以做到。我建議部署這些產(chǎn)品的其中一個(gè)來(lái)作為網(wǎng)絡(luò)訪問(wèn)控制的補(bǔ)充,并用它在公司所擁有的設(shè)備上來(lái)執(zhí)行加密、屏幕鎖定以及其它安全設(shè)置。
·考慮為個(gè)人擁有的設(shè)備配置一個(gè)隔離網(wǎng)絡(luò)。在很多環(huán)境中,實(shí)用性要求允許個(gè)人擁有的設(shè)備訪問(wèn)網(wǎng)絡(luò)。如果你的企業(yè)屬于這種情況,那么你可能需要把這些設(shè)備放置在一個(gè)具有限制性訪問(wèn)權(quán)限的單獨(dú)的隔離網(wǎng)絡(luò)上。雖然你可能會(huì)允許個(gè)人擁有的設(shè)備自由地訪問(wèn)因特網(wǎng),但是你應(yīng)該謹(jǐn)慎地控制(如果有的話)它們可以訪問(wèn)公司的哪些資源。畢竟,你肯定不想將商業(yè)機(jī)密置于一個(gè)不屬于你的手機(jī)上。
盡管很難把網(wǎng)絡(luò)訪問(wèn)控制的優(yōu)點(diǎn)引入到移動(dòng)電話環(huán)境中,但這肯定是可以實(shí)現(xiàn)的。上述三個(gè)步驟提供了一個(gè)基本的框架,你可以按照它來(lái)設(shè)計(jì)滿足你商業(yè)需求的智能電話管理策略。