对于非盈利性组织来说,志愿者是成功的重要因素,但对于 IT 经理和网络安全人员来说,他们在这方面也会遇到一个安全威胁,特别是当志愿者使用自己电脑访问网络时。本文将为大家介绍一个法律援助公司如何通过使用网络访问控制(NAC)来消除这个威胁。
“我们有12个办公点,而每个位置有时会有志愿学生使用,”Georgia Legal Services Program (GLSP) 的 IT 主管 Joseph Mays 说。“我认为需要增加一个我们原有网络之外的网络,这样当学生接入他们的电脑时,他们不会向我们的网络传播可能导致我们原来网络完全瘫痪的病毒。”
GLSP 是一个 Cisco Systems 部门,在 12 个办公点有大量的 Catalyst 3560 和 2950,所以 Mays 考虑将 Cisco 作为他NAC 项目的一个潜在供应商。可惜,他认为使用 Cisco NAC 产品可能需要更新他的基础架构的 IOS,这是他无法实现的,因为他的大多数远程公办点都没有现场 IT 人员。作为一个非盈利性组织,GLSP 对价格很敏感。NAC 的价格是一个问题,但是实现的成本也是重要的一部分。
“实现这个需求和升级所有的交换机可能会增加我们的差旅成本以及需要派一个工程师去现场实施这个升级,”他说。
Mays 在研究了一些其它 NAC 供应商后发现了 InfoExpress 的 CyberGatekeeper 和 Dynamic Network Access Control (DNAC)。
“通过使用 CyberGatekeeper 产品,我们能够在一天内实施 NAC,”他说。“在将客户端安装到所有桌面电脑并设置为监控模式后,它能清晰地告诉我们电脑上加载了什么软件,有什么类型的应用,以及[它允许我们]看到我们的 McAfee [电脑安全]技术是否已经升级了它的桌面客户端。没有这个工具,我们就无法知道我们的桌面电脑的状况。”
选择一个独立的 NAC 供应也使 GLSP 避免过于依赖某个供应商。“通过使用这个 DNAC 产品,我们能够在任何位置部署任何一个供应商的交换机,而不需要关心它是 Cisco 还是 HP 还是其他供应商的产品,”Mays 说。“DNC 都能支持这些产品。”
他使用 NAC 控制员工和志愿者在网络中使用的这些应用。例如,AOL Instant Messenger (AIM) 在网络中是禁止的,替代的是一个内部的 IM 工具。如果一个用户打开 AIM 或某些 P2P 文件共享工具,InfoExpress 就能够隔离这些设备并提示用户点击一个修复链接。点击这个链接会关闭这个禁止的应用。
InfoExpress 实际上已经帮助 Mays 避免了可能的严重安全性问题。
“我们曾经遇到这样一个情况,有一个用户浏览一个网站,感染了一种蠕虫病毒,它试图禁用 McAfee,”他说。“DNAC 禁用了这个蠕虫并将这个用户从网络隔离以便进行修复。我们有一个脚本程序,它能够弹出窗口,提示用户‘请联系帮助台。’这个用户就会呼叫帮助台,我们就能够前往查看造成问题的原因。因为 NAC 已经将该桌面电脑从网络隔离,所以我们能够将它带到实验室,然后修复这个问题。”
转载请注明:IT运维空间 » 安全防护 » 使用网络访问控制来保证非盈利组织安全
发表评论