NAC网络接入控制增加网络安全实施难度大

作者：Amteam.org

2007/8/10 9:32:00

本文关键字：存储技术

NAC（网络接入控制）是业界广泛讨论的一个巨大话题，也是很多厂商关注的焦点。随着时间的推移，这个缩写词几乎已成为一个使用过度了的流行术语，而且还伴随有很多定义上的变种。在我询问一些IT管理人员他们如何定义NAC时，他们一致认为，NAC涉及以下三个因素：
·进入控制，这是一种选择性地允许主机联入网络并保持其连接的能力——也是NAC的关键之一。这是所有回答我的问题的人一致认同的。
·安全检查，这是查看联入系统的补丁、防病毒等功能是否已及时升级的能力，这是大多数被询问者所定义的NAC中的重要部分。
·接入控制，这是控制联入的主机能看什么或者能做什么的能力。在被我询问过的人中间，只有很少一部分人认为这种能力是NAC系统的理想状态。在一家财务公司工作的CISO（信息审计员）解释说，这种能力是“一种在端点系统接入网络之前首先确认其合法性的能力，然后再控制该系统可以去哪里，这很类似于客户管理系统。”
有少数被询问者现在已经开始在实践NAC。只有14%的人说，他们会针对端点检查应用和操作系统的补丁升级；检查防火墙、防病毒和反间谍软件是否存在；检查USB接口设备；以及口令的保密程度。但是，有将近60%的人说，他们希望至少对防火墙、防病毒和反间谍件等工具进行检查；大约有40%的人会要求做口令和操作系统检查。三分之一不到的人希望做应用程序检查。
成本和复杂性就能解释为何在想要的检查级别和真正能实现的检查级别之间存在很大差异。实施NAC需要增加额外的网络基础设施，有时甚至需要更新现有的网络设备，比如说，在交换机端口进行网络接入的认证检查就需要能够支持802.1x标准的设备。虽然目前还很少有人会为实施NAC投入资金，但所有人都感到，企业未来对NAC的投入肯定会上升。
实施进入、安全以及对端点的接入控制，听上去的确很吸引人。不过迄今为止尚无企业因此而对其网络进行全面检修，由于还需要更多能被广泛接受的互操作协议的支持，所以对NAC的采用很可能会是缓慢而且零星的。

责编：