對于非盈利性組織來說，志愿者是成功的重要因素，但對于 IT 經(jīng)理和網(wǎng)絡(luò)安全人員來說，他們在這方面也會遇到一個安全威脅，特別是當(dāng)志愿者使用自己電腦訪問網(wǎng)絡(luò)時。本文將為大家介紹一個法律援助公司如何通過使用網(wǎng)絡(luò)訪問控制（NAC）來消除這個威脅。

“我們有12個辦公點，而每個位置有時會有志愿學(xué)生使用，”Georgia Legal Services Program (GLSP) 的 IT 主管 Joseph Mays 說?！拔艺J為需要增加一個我們原有網(wǎng)絡(luò)之外的網(wǎng)絡(luò)，這樣當(dāng)學(xué)生接入他們的電腦時，他們不會向我們的網(wǎng)絡(luò)傳播可能導(dǎo)致我們原來網(wǎng)絡(luò)完全癱瘓的病毒?！?/P>

GLSP 是一個 Cisco Systems 部門，在 12 個辦公點有大量的 Catalyst 3560 和 2950，所以 Mays 考慮將 Cisco 作為他NAC 項目的一個潛在供應(yīng)商?？上ВJ為使用 Cisco  NAC 產(chǎn)品可能需要更新他的基礎(chǔ)架構(gòu)的 IOS，這是他無法實現(xiàn)的，因為他的大多數(shù)遠程公辦點都沒有現(xiàn)場 IT 人員。作為一個非盈利性組織，GLSP 對價格很敏感。NAC 的價格是一個問題，但是實現(xiàn)的成本也是重要的一部分。

“實現(xiàn)這個需求和升級所有的交換機可能會增加我們的差旅成本以及需要派一個工程師去現(xiàn)場實施這個升級，”他說。

Mays 在研究了一些其它 NAC 供應(yīng)商后發(fā)現(xiàn)了 InfoExpress 的 CyberGatekeeper 和 Dynamic Network Access Control (DNAC)。

“通過使用 CyberGatekeeper 產(chǎn)品，我們能夠在一天內(nèi)實施 NAC，”他說。“在將客戶端安裝到所有桌面電腦并設(shè)置為監(jiān)控模式后，它能清晰地告訴我們電腦上加載了什么軟件，有什么類型的應(yīng)用，以及[它允許我們]看到我們的 McAfee [電腦安全]技術(shù)是否已經(jīng)升級了它的桌面客戶端。沒有這個工具，我們就無法知道我們的桌面電腦的狀況。”

選擇一個獨立的 NAC 供應(yīng)也使 GLSP 避免過于依賴某個供應(yīng)商?！巴ㄟ^使用這個 DNAC 產(chǎn)品，我們能夠在任何位置部署任何一個供應(yīng)商的交換機，而不需要關(guān)心它是 Cisco 還是 HP 還是其他供應(yīng)商的產(chǎn)品，”Mays 說。“DNC 都能支持這些產(chǎn)品。”

他使用 NAC 控制員工和志愿者在網(wǎng)絡(luò)中使用的這些應(yīng)用。例如，AOL Instant Messenger (AIM) 在網(wǎng)絡(luò)中是禁止的，替代的是一個內(nèi)部的 IM 工具。如果一個用戶打開 AIM 或某些 P2P 文件共享工具，InfoExpress 就能夠隔離這些設(shè)備并提示用戶點擊一個修復(fù)鏈接。點擊這個鏈接會關(guān)閉這個禁止的應(yīng)用。

InfoExpress 實際上已經(jīng)幫助 Mays 避免了可能的嚴重安全性問題?！　?/P>

“我們曾經(jīng)遇到這樣一個情況，有一個用戶瀏覽一個網(wǎng)站，感染了一種蠕蟲病毒，它試圖禁用 McAfee，”他說。“DNAC 禁用了這個蠕蟲并將這個用戶從網(wǎng)絡(luò)隔離以便進行修復(fù)。我們有一個腳本程序，它能夠彈出窗口，提示用戶‘請聯(lián)系幫助臺?！@個用戶就會呼叫幫助臺，我們就能夠前往查看造成問題的原因。因為 NAC 已經(jīng)將該桌面電腦從網(wǎng)絡(luò)隔離，所以我們能夠?qū)⑺鼛У綄嶒炇遥缓笮迯?fù)這個問題?！?/P>

【編輯推薦】

1. 自己動手打造企業(yè)網(wǎng)絡(luò)訪問控制器
2. 將NAC措施擴展到網(wǎng)絡(luò)安全設(shè)備