使用網絡訪問控制來保證非盈利組織安全
對于非盈利性組織來說,志愿者是成功的重要因素,但對于 IT 經理和網絡安全人員來說,他們在這方面也會遇到一個安全威脅,特別是當志愿者使用自己電腦訪問網絡時。本文將為大家介紹一個法律援助公司如何通過使用網絡訪問控制(NAC)來消除這個威脅。
“我們有12個辦公點,而每個位置有時會有志愿學生使用,”Georgia Legal Services Program (GLSP) 的 IT 主管 Joseph Mays 說。“我認為需要增加一個我們原有網絡之外的網絡,這樣當學生接入他們的電腦時,他們不會向我們的網絡傳播可能導致我們原來網絡完全癱瘓的病毒。”
GLSP 是一個 Cisco Systems 部門,在 12 個辦公點有大量的 Catalyst 3560 和 2950,所以 Mays 考慮將 Cisco 作為他NAC 項目的一個潛在供應商。可惜,他認為使用 Cisco NAC 產品可能需要更新他的基礎架構的 IOS,這是他無法實現的,因為他的大多數遠程公辦點都沒有現場 IT 人員。作為一個非盈利性組織,GLSP 對價格很敏感。NAC 的價格是一個問題,但是實現的成本也是重要的一部分。
“實現這個需求和升級所有的交換機可能會增加我們的差旅成本以及需要派一個工程師去現場實施這個升級,”他說。
Mays 在研究了一些其它 NAC 供應商后發現了 InfoExpress 的 CyberGatekeeper 和 Dynamic Network Access Control (DNAC)。
“通過使用 CyberGatekeeper 產品,我們能夠在一天內實施 NAC,”他說。“在將客戶端安裝到所有桌面電腦并設置為監控模式后,它能清晰地告訴我們電腦上加載了什么軟件,有什么類型的應用,以及[它允許我們]看到我們的 McAfee [電腦安全]技術是否已經升級了它的桌面客戶端。沒有這個工具,我們就無法知道我們的桌面電腦的狀況。”
選擇一個獨立的 NAC 供應也使 GLSP 避免過于依賴某個供應商。“通過使用這個 DNAC 產品,我們能夠在任何位置部署任何一個供應商的交換機,而不需要關心它是 Cisco 還是 HP 還是其他供應商的產品,”Mays 說。“DNC 都能支持這些產品。”
他使用 NAC 控制員工和志愿者在網絡中使用的這些應用。例如,AOL Instant Messenger (AIM) 在網絡中是禁止的,替代的是一個內部的 IM 工具。如果一個用戶打開 AIM 或某些 P2P 文件共享工具,InfoExpress 就能夠隔離這些設備并提示用戶點擊一個修復鏈接。點擊這個鏈接會關閉這個禁止的應用。
InfoExpress 實際上已經幫助 Mays 避免了可能的嚴重安全性問題。
“我們曾經遇到這樣一個情況,有一個用戶瀏覽一個網站,感染了一種蠕蟲病毒,它試圖禁用 McAfee,”他說。“DNAC 禁用了這個蠕蟲并將這個用戶從網絡隔離以便進行修復。我們有一個腳本程序,它能夠彈出窗口,提示用戶‘請聯系幫助臺。’這個用戶就會呼叫幫助臺,我們就能夠前往查看造成問題的原因。因為 NAC 已經將該桌面電腦從網絡隔離,所以我們能夠將它帶到實驗室,然后修復這個問題。”
【編輯推薦】
