如何控制智能手机访问网络

从iPhone到Droid、BlackBerry以及Nexus One，似乎每周都会有一个新的移动设备诞生，而且公司员工正试图在这些设备公布15分钟后就把它们接入公司的无线网络。

一个企业如何应对移动设备引起的风险，在将这些设备引入到企业网络中后又该如何进行操纵 呢？在本文中，我们将探讨网络访问操纵 （NAC）系统在移动环境中所起的作用。

移动设备的网络访问操纵 （NAC）策略

如果你已经在你的环境中使用了网络访问操纵 ，那么你可能对笔记本电脑或者台式电脑的身份验证过程比较熟悉：

1. 用户试图把一个新的设备接入网络。

2. 网络访问操纵 服务器检测到新设备，并确定它还没有被验证。

3. 提示客户在终端上安装一个网络访问操纵 客户端。

4. 网络访问操纵 客户端把用户的身份证书提供给网络访问操纵 服务器，用于身份验证。

5. 网络访问操纵 客户端执行一个客户端安全状态评估，并把它提供给网络访问操纵 服务器。

6. 如果有需要的话，网络访问操纵 服务器将使用身份证书和评估结果来确定这个设备可以获得哪种网络访问权限。

不幸的是，当智能手机、平板电脑或者类似的“低能终端”设备试图接入网络的时候，这个过程在第三步就停止了，因为想要在这些小玩意上安装网络访问操纵 客户端是不可能的。而在这种情况下，网络访问操纵 系统通常会求助于以下两种方法：

·采纳“强制网络门户（captive portal）”的方法，即网络访问操纵 设备截取用户的网页请求，并重新引导用户到一个基于网络的身份认证页面。一旦用户通过验证，这个设备就被给予了访问网络的权利，从而同意那些通过了验证的用户把任何移动设备接入到网络上。

·另一个方法则是把通过验证的无线设备的MAC地址列入白名单。这涉及到更多的治理 开销，因为每次部署一个新设备都需要你的IT员工把每个设备的MAC地址添加到网络访问操纵 系统中。然而，这个白名单选项的确给了企业对网络访问更大程度的操纵 。

这两个方法的缺点是：网络访问操纵 系统没有检测这类设备安全状态的能力，这就极大地减少了网络访问操纵 可以像在笔记本/台式电脑环境中那样所提供的传统功能。

充分利用移动网络访问操纵

那么，企业应该如何利用其现有的网络访问操纵 基础设施来保证移动设备的安全呢？我建议使用一个三管齐下的方法，这个方法关键在于对公司拥有的设备和个人拥有的设备进行区分。你的利益可能会有所不同，这取决于企业的安全需要，但是这个框架为你提供了一个起点，你可以利用它来构建一个合适的移动网络操纵 策略以及同你业务环境相关的操纵 。

·限制对公司拥有的智能手机的完全无线网络访问。在那些由你的IT员工拥有并由其治理 的设备上你可以具备安全保密水平，但你永远不能在个人设备上保证这样的水平。出于这个原因，我鼓舞 对这些公司拥有并治理 的设备进行完全网络访问限制。执行这个要求的最简单办法是使用上述的MAC白名单方法。

·用移动设备治理 对网络访问操纵 进行补充。虽然网络访问操纵 产品通常不同意你为了更彻底的操纵 智能手机访问，而进入智能手机的配置设置，但是移动设备治理 软件却可以做到。我建议部署这些产品的其中一个来作为网络访问操纵 的补充，并用它在公司所拥有的设备上来执行加密、屏幕锁定以及其它安全设置。

·考虑为个人拥有的设备配置一个隔离网络。在很多环境中，有用 性要求同意个人拥有的设备访问网络。如果你的企业属于这种情况，那么你可能需要把这些设备放置在一个具有限制性访问权限的单独的隔离网络上。虽然你可能会同意个人拥有的设备自由地访问因特网，但是你应该慎重地操纵 （如果有的话）它们可以访问公司的哪些资源。毕竟，你肯定不想将商业机密置于一个不属于你的手机上。

尽管很难把网络访问操纵 的优点引入到移动电话环境中，但这肯定是可以实现的。上述三个步骤提供了一个基本的框架，你可以按照它来设计满足你商业需求的智能电话治理 策略。