随着越来越多未经管理的、启用Wi-Fi的智能手机连接到企业网络，网络管理员应该使用无线网络访问控制(NAC)来监控接入网络设备以及保证这些设备的安全。

　　“最近我在与一个医院相关人员交流时了解到他们的网络上有很多智能手机接入，但他们并不是很确定，”Infonetics Research的主任分析师Jeff Wilson说道。“他们认为他们共有大约8,000台设备接入网络，但当他们访问ForeScout的一个网络访问控制设备时，他们发现了12,000台设备。其中大多数他们之前没有计算到的是各种智能手机。”

　　当网络管理员知道他们网络上的设备时，他们需要了解2个主要分类的智能手机使用情况：IT能够访问的属于公司资产的设备，以及员工自己拥有的、用来访问电子邮件和企业敏感信息的设备。

　　“你必须了解的是，现实中哪些是我知道且能控制的设备，哪些是我不知道且不能够控制的设备，”Wilson说道。“然后你可以对你知道的设备制定一个安全策略，而对于不知道的设备则制定另一个安全策略。或者是阻止对这些设备的所有访问，或者是允许访问但需要采取方法进行限制或[访问]控制，这个决定权在你。”

　　对于网络上受管理的智能手机的控制是一个关系到与IT组织中的移动设备管理员合作的问题。未受管理的设备则是一个更大的挑战，Wilson说到，“因为你不能够物理上连接它们。”

　　企业可以使用NAC，它不仅能够发现连接到网络上的设备类型，也能发现客户端上运行的（如果有）软件和安全性设置，他说。这些信息能够帮助网络管理员确定应该对未受管理的智能手机实现哪些种类的安全性策略。

　　Bill Perry是位于England Taunton的Richard Huish College的IT服务经理，他最近安装了一个ForeScout的NAC产品，专门用于查看接入到网络的iPhone和USB设备的数量。

　　“[教授们]通过网络进行授课的课程很多，”Perry说道。“如果网络出现问题，他们就无法上课。我认为iPhone可能会访问网络，并会带来一些可能影响网络运行的东西。”

　　Perry的ForeScout设备目前是处于监控模式，它负责监控网络状况。这个月他将开始实现一些规则和策略来控制访问他的Cisco无线LAN和有线网络的设备。

　　无线网络访问控制：监控设备行为

　　在得到网络上的智能手机详细列表后，网络管理员需要了解这些设备正在做什么。

　　“一个重要的方面是了解它们在网络上是怎么使用的，”Wilson说。“当这些设备连接后用户会做什么？可能会出现什么类型的威胁？这就是使用某种NAC或应用控制或应用发现产品能够帮助你的地方。”

　　“其次，考虑一下其余问题的数据，”他说。“我们有相应的策略应对某人电话丢失的意外事件吗？我们应该如如何决定我们是否在IT方面考虑了设备丢失的事件？我们如何在无法访问这些设备的前提下保护我们的网络？”

　　对于未受管理的智能手机视而不见是有风险的。“我们还没有遇到许多专门针对移动设备的攻击，但是我相信这些攻击迟早会出现。并且，特别专注于智能手机安全性的公司[正在这样做]，因为他们知道如果设备丢失或被盗，一定会有他们需要担心的敏感数据。”

　　编外无线NAC解决方案

　　并不是每一个NAC方案都将提供对未受管理的智能手机相同的控制和可见性，Wilson说。例如，来自诸如McAfee和Symantec等终端保护供应商的NAC产品也许并不足够好，因为他们依赖的是一些智能手机可能不会安装的客户端软件。Microsoft NAP可能在管理Windows Mobile智能手机上做得很好，但对于其它的智能手机平台可能就不适用了。只跟踪支持802.1x设备的NAC产品将不能识别没有这些软件的设备，特别是智能手机。

　　“所以你需要寻找不局限于802.1x的编外方案，同时还需要使用其它方法，如捕捉MAC地址和机器ID，”Wilson说。

　　智能手机安全性之外

　　NAC也能帮助Perry处理网络中其它与受管理和未受管理的笔记本电脑相关的问题。例如，他检测到一组未受管理的PC在扫描他的网络，特别是密码扫描，所以他尝试用ForeScout跟踪这些机器。他不认为是某些人在尝试攻击网络，但是当他找到这个机器时他会知道更多的信息。

　　这个技术也能帮助他查找一台学校拥有而已经丢失的外借笔记本电脑。

　　“我们检查了记录，并且看到它最后一次出现在网络的时间、使用它的人和它访问的端口号，”Perry说。“所以你可以跟踪它，然后找到它。这个财务部门过去一直使用的笔记本，接下来的命运是被锁在一个壁橱中一个半月。”