《案例：4种BYOD网络安全方法（一）》介绍了Rowan-Salisbury学校的BYOD安全方法，本文将继续介绍Hartwick、Central Michigan大学和田纳西州医疗中心各自的方法。

    身份管理：BYOD安全的核心

　　纽约州的Hartwick学院使用IDM工具和下一代防火墙来处理其设备管理和访问。Meru身份管理器（Identity Manager）通过Smart Connect和Guest Connect模块来同时控制访客和员工设备的网络访问。当该学院的新员工首次尝试打开一个网页时，他将被重定向到Meru IDM设备上的强制门户页。

　　Hartwick学院IT执行主管Davis Conley表示，“我们的IDM设备有2048位VeriSign证书，该证书用于加密该强制门户网站的网页，然后员工下载SmartConnect作为applet或者网络配置文件。”

　　SmartConnect配置该设备使用加密的网络，自动验证用户，让设备将其作为首选网络，然后从设备的SSID列表移除开放式网络。而访客用户可以在Guest Connect注册Guest SSID。Smart Connect和 Guest Connect都有自动化基于角色和政策的BYOD配置。Conley称，“Guest Connect要求用户填写真实的姓名、电话号码以及他们所要访问的校园内的人，如果有问题的话，我们可以关闭他们的网络访问。”然后，Meru IDM使用一个机制来收集设备MAC地址用于未来的设备识别。

　　然而，Hartwick学院没有使用Meru解决方案的活动监控、政策管理和政策执行部分。Conley称：“我们已经有了自己的政策管理，我们使用Bluecoat数据包成型器、Palo Alto下一代防火墙和Tipping Point设备来查看哪些设备在传输带有病毒的内容，然后我们会要求用户解决这个问题。”

　　BYOD管理：带有NAC的WLAN分析工具

　　密歇根州的Central Michigan大学使用Lancope的StealthWatch网络分析仪来检测WLAN上的行为以及跟踪用户活动。该大学网络管理人员Ryan Laus表示，“我们使用StealthWatch来查找异常行为，并找出用户正试图做什么。然后，我们使用NAC设备（来自Bradford Networks）来识别用户，这是一个手动过程。”

　　通过StealthWatch，Central Michigan大学能够发现外部发起的僵尸网络攻击、蠕虫和高级持续攻击，以及内部滥用、违反政策的行为和数据泄露，无论设备类型。NetFlow为StealthWatch的分析提供数据。

　　现在该大学正在测试来自不同供应商的MDM工具用以执行政策。MDM将可以使用政策来控制用户可以在设备上的行为，这与Active Directory使用组策略来控制有些类似。它将阻止未经授权的软件安装，并能使管理员为BYOD部署设置配置和权限。

　　Central Michigan大学预计将使用StealthWatch来支持新的MDM工具包。Laus表示：“如果用户知道如何绕过MDM来安装未经批准的应用，StealthWatch可以查找超出政策范围的流量，并向NAC设备发出警报，这会将用户/设备转移到隔离的网络。”

　　BYOD安全：整合IDM与NAC

　　田纳西州的地区医疗中心正在使用Aruba Networks的ClearPass集成移动管理和NAC软件来为BYOD创建一个自配置系统。医疗中心的用户将使用标准的登录名和密码来登录，而ClearPass将基于预先确定的政策来进行配置。该医疗中心的IT主管Tony Alphier表示：“我们不需要让他们带来他们的设备以及手动安装安全/网络配置文件。”经过这个过程，NAC控制器将可以防止设备不注册和确保安全登录到网络。

　　“目前我们不允许员工BYOD（内部访问），除非他们是医生，并带来一台笔记本，这样我们将手动在其设备上配置文件，”Alphier表示，“当我们添加Aruba的NAC模块时，我们将能够允许所有员工的BYOD访问。”

　　该医疗中心还使用Aruba的AirWave来记录和监控设备活动，Aruba技术允许Alphier提供访客网络。Alphier表示：“我们曾使用Aruba的Amogopod访客解决方案，Aruba现在还把AirWave与Clear Pass结合。我们可以让家人、病人和朋友访问我们的网络，同时保持安全。”访客现在可以自我配置，接收代码连接到互联网，同时保持与内部网络的隔离。