从iPhone到Droid、BlackBerry以及Nexus One,似乎每周都会有一个新的移动设备诞生,而且公司员工正试图在这些设备发布15分钟后就把它们接入公司的无线网络。 一个企业如何应对移动设备引起的风险,在将这些设备引入到企业网络中后又该如何进行控制呢?在本文中,我们将探讨网络访问控制(NAC)系统在移动环境中所起的作用。 移动设备的网络访问控制(NAC)策略 如果你已经在你的环境中使用了网络访问控制,那么你可能对笔记本电脑或者台式电脑的身份验证过程比较熟悉: 1. 用户试图把一个新的设备接入网络。 2. 网络访问控制服务器检测到新设备,……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
从iPhone到Droid、BlackBerry以及Nexus One,似乎每周都会有一个新的移动设备诞生,而且公司员工正试图在这些设备发布15分钟后就把它们接入公司的无线网络。
一个企业如何应对移动设备引起的风险,在将这些设备引入到企业网络中后又该如何进行控制呢?在本文中,我们将探讨网络访问控制(NAC)系统在移动环境中所起的作用。
移动设备的网络访问控制(NAC)策略
如果你已经在你的环境中使用了网络访问控制,那么你可能对笔记本电脑或者台式电脑的身份验证过程比较熟悉:
1. 用户试图把一个新的设备接入网络。
2. 网络访问控制服务器检测到新设备,并确定它还没有被验证。
3. 提示客户在终端上安装一个网络访问控制客户端。
4. 网络访问控制客户端把用户的身份证书提供给网络访问控制服务器,用于身份验证。
5. 网络访问控制客户端执行一个客户端安全状态评估,并把它提供给网络访问控制服务器。
6. 如果有需要的话,网络访问控制服务器将使用身份证书和评估结果来确定这个设备可以获得哪种网络访问权限。
不幸的是,当智能手机、平板电脑或者类似的“低能终端”设备试图接入网络的时候,这个过程在第三步就停止了,因为想要在这些小玩意上安装网络访问控制客户端是不可能的。而在这种情况下,网络访问控制系统通常会求助于以下两种方法:
- 采用“强制网络门户(captive portal)”的方法,即网络访问控制设备截取用户的网页请求,并重新引导用户到一个基于网络的身份认证页面。一旦用户通过验证,这个设备就被赋予了访问网络的权利,从而允许那些通过了验证的用户把任何移动设备接入到网络上。
- 另一个方法则是把通过验证的无线设备的MAC地址列入白名单。这涉及到更多的管理开销,因为每次部署一个新设备都需要你的IT员工把每个设备的MAC地址添加到网络访问控制系统中。然而,这个白名单选项的确给了企业对网络访问更大程度的控制。
这两个方法的缺点是:网络访问控制系统没有检测这类设备安全状态的能力,这就极大地减少了网络访问控制可以像在笔记本/台式电脑环境中那样所提供的传统功能。
充分利用移动网络访问控制
那么,企业应该如何利用其现有的网络访问控制基础设施来保证移动设备的安全呢?我建议使用一个三管齐下的方法,这个方法关键在于对公司拥有的设备和个人拥有的设备进行区分。你的利益可能会有所不同,这取决于企业的安全需要,但是这个框架为你提供了一个起点,你可以利用它来构建一个合适的移动网络控制策略以及同你业务环境相关的控制。
- 限制对公司拥有的智能手机的完全无线网络访问。在那些由你的IT员工拥有并由其管理的设备上你可以具备安全保密水平,但你永远不能在个人设备上保证这样的水平。出于这个原因,我鼓励对这些公司拥有并管理的设备进行完全网络访问限制。执行这个要求的最简单办法是使用上述的MAC白名单方法。
- 用移动设备管理对网络访问控制进行补充。虽然网络访问控制产品通常不允许你为了更彻底的控制智能手机访问,而进入智能手机的配置设置,但是移动设备管理软件却可以做到。我建议部署这些产品的其中一个来作为网络访问控制的补充,并用它在公司所拥有的设备上来执行加密、屏幕锁定以及其它安全设置。
- 考虑为个人拥有的设备配置一个隔离网络。在很多环境中,实用性要求允许个人拥有的设备访问网络。如果你的企业属于这种情况,那么你可能需要把这些设备放置在一个具有限制性访问权限的单独的隔离网络上。虽然你可能会允许个人拥有的设备自由地访问因特网,但是你应该谨慎地控制(如果有的话)它们可以访问公司的哪些资源。毕竟,你肯定不想将商业机密置于一个不属于你的手机上。
尽管很难把网络访问控制的优点引入到移动电话环境中,但这肯定是可以实现的。上述三个步骤提供了一个基本的框架,你可以按照它来设计满足你商业需求的智能电话管理策略。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
市场变局中 国产安全厂商的进击之路
未来EPP类厂商,将不仅仅局限于解决终端的各类管理问题,极有可能会将企业的网络边界管理等功能纳入,为企业用户提供更好的综合性解决方案。
-
用应用封装来提高移动安全,这合适吗?
听说有种BYOD和移动安全的方法,它涉及围绕各种应用(消费类和企业类)使用应用封装来部署加密、安全协议和其他措施。应用封装能否提供足够的安全性,这种方法比移动设备管理软件更好吗?
-
采购指南:网络访问控制产品一览
当企业选购最佳网络访问控制产品时,需要考虑多个因素。同时,并不是所有产品都适合所有类型的企业,有些供应商针对资金雄厚的较大型企业,而其他供应商则倾向较小型企业,这些企业不需要支持大量不同类型的新设备……
-
移动管理:过去式和现在进行时
移动应用正在深刻地改变着企业管理移动设备的方式。如今,企业的重点不再是如何保障设备自身的安全,而是保障设备上的应用程序的安全。