[ＮＡＣ到底有没有戏？] 有没有戏

　　网络准入控制（NAC）是防范企业网络安全风险的救星吗？NAC是否有作用，专家一直在争论。 　　 　　美国中西部地区一家保险企业的IT人员发现，公司的许多业务代表在为公司带来收入的同时，还带回来了病毒！IT人员跟踪分析，发现是装在业务代表笔记本电脑中的反病毒软件失效后导致了安全漏洞，因为这些业务代表在公司很少花时间更新安全软件或者打补丁。
　　这对拥有许多流动性员工的企业来说是个教训。
　　如今，很多企业工作人员的流动性很强，加上企业采用了许多的新技术、可以随地接入互联网，公司网络的安全风险随之加大。笔记本电脑、个人数字助理和手机只是个开始，VoIP电话的采用，员工可从酒店、宿舍、机场和咖啡店访问互联网，甚至还有公司内部的蓄意破坏，都让网络威胁数量急剧增加。
　　网络访问控制（NAC）解决方案因此变得越来越重要，它确保只有完全打上了补丁、采取了反病毒保护的授权用户才能访问公司的网络资源。它不仅针对访问内部网络的外来访客，还针对无权访问公司更高级敏感数据的员工。
　　NAC解决方案的过程如下：准入前检查与准入后监控、决策然后执行、隔离及补救不符合要求的机器。具体而言，用户请求访问时，其机器必须被检查；如果发现符合要求，就允许访问网络。准入后，监控程序将定期再次启动评估/决策/执行程序，确保用户一直符合要求。如果发现用户不符合要求，NAC解决方案就会提供隔离及补救的手段，让这个用户符合要求。然后，用户可以访问网络，再次受到准入后的监控。
　　
　　NAC的绊脚石
　　
　　NAC从理论上来说很不错，但现实情况是，NAC一直没有得到广泛采用。虽然针对网络的攻击很多，但有些专家认为NAC不能解决问题。弗雷斯特研究公司调查声称，截至2007年11月，在员工不少于1000人的欧美公司中，只有27%采用了NAC；15%会在接下来的12个月里试用NAC。
　　Gartner公司的研究主任Lawrence Orans表示，有三大障碍导致网管员推迟部署NAC。
　　一、观望心态
　　很多人认为NAC技术太不成熟。思科的网络准入控制（NAC）解决方案早已经发布，但没有达到一些分析师和用户期望的目标。弗雷斯特公司的高级分析师Robert Whiteley说：“NAC是一种产品、一个框架。这个框架目前已经存在了，许多公司在零星部署，但到目前为止，他们并没有规模部署。”这些事件让人们觉得这项技术还不成熟。
　　不过这也为小厂商提供了机会，Gartner跟踪分析了18家这样的小公司。有些小公司提供了事实证明非常可靠的解决方案，而一些大厂商同样如此。比如，微软在今年2月开始推出了Windows Server 2008随带的网络访问保护（NAP）解决方案。
　　但企业等不及了。医疗急救信息服务提供商MedicAlert需要保护约45万个客户的健康记录，同时又能让员工、护工及病人自己安全地访问，以便更新信息。这家非营利机构考虑过要等一等，看看市场会出现怎样的变化，它还试用了一些自行开发的开源解决方案，但最后还是决定选择采用面向服务架构的Web访问控制解决方案。
　　MedicAlert的IT副总裁Martin Fisher说：“让我最终下定决心的是，不部署会带来很大的损失。虽然部署成本比较昂贵，但不部署的话，万一出现了安全事件导致名誉受损，那损失就大了。虽然我之前从事过开发工作，也曾考虑自己开发NAC，但显而易见，如果求助这个领域的专家，我们的处境会更好。”
　　二、资金问题
　　Orans说：“很多反对NAC的人声称部署NAC解决方案费用过高。”但实际是，实施NAC有很多办法，不是每种办法都很昂贵。目前有三类NAC解决方案：安装在所有桌面和笔记本电脑上的端点软件、连接到网络上的专业设备（appliance），以及嵌入在基础设施中的NAC。
　　要部署NAC，最经济的方法就是借助于现有的基础设施、网络和安全产品中的功能。看一下现有的供应商是否有一些嵌入的NAC功能可以启用，比如入侵防预系统（IPS）中内嵌的NAC功能，或是微软Vista平台上Windows Server内嵌的NAC功能。端点保护软件也具有NAC功能，如迈克菲、赛门铁克和Sophos的软件等等。
　　北电网络和惠普这些交换机厂商也有NAC解决方案，如果你的网络中使用了这些厂商提供的交换机，就可以添加一些组件，启用NAC。
　　此外，一些专业的NAC设备也非常流行，但成本比较高；如果要用几个专业的NAC设备处理数量众多的网络用户，成本会更高。专业设备有的嵌在所有网络流量当中；有的在“带外”监控特定的流量。基础设施中的NAC费用最难量化，因为无法确认具体哪些软硬件用于网络访问控制功能。
　　由于市场上有众多的选择，用户表示价格最终会跌下来。
　　MedicAlert的首席架构师Jorge Mercado预测：五年内，NAC产品将成为大路货，价格会跌到很容易承受的地步。目前，NAC解决方案通常面向大公司，因此厂商们的定价模式是针对大客户。可是对小公司来说未必是这样，所以，一段时间后，像MediAlert这样的非营利机构会买得起NAC方案，从而保护自身网站，不必担心会花大笔钱。
　　三、安于现状
　　还有公司策略问题。IT部门担心：如果由于员工没打上补丁或反病毒软件过时了就不让他们访问网络，这会妨碍他们完成工作。这就是为什么我们看到，在NAC的早期阶段，NAC的许多工作是监控而不是阻止。一旦网络出现了问题，系统管理人员只能解决问题，而不能隔离导致问题的PC机。
　　另一个问题很令人担心：如果严禁高层主管访问网络，后果会很严重。这一直是阻碍NAC采用的主要因素。
　　以前面那家保险公司为例，决策者希望确保业务代表继续为公司带来业务，尽管知道可能也会带回病毒，于是他们继续监控及清除病毒，而不是关闭网络。Langston解释：这就像任何安全问题一样，如果面向互联网的电子商务服务器感染上了病毒，网站做的第一件事是不管它。因为关闭系统意味着会损失上百万美元。如果网站感染的是普通病毒，就会随它去，直到想出对策为止。
　　此外，美国的《健康保险可携性及责任性法案》和《萨班斯－奥克斯利法案》在数据隐私方面也没有具体要求必须采用NAC解决方案。
　　
　　哪种NAC适合你?
　　
　　用户面临一个问题：面对众多的NAC方案，如何选择？
　　NAC方案一般可分为基于架构的方案、纯软件方案和专业NAC设备。Frost & Sullivan公司的研究分析师Chris Rodriguez忠告用户，应该根据自己的公司规模和业务类型来选择NAC方案。
　　需要最高安全级别的公司应当考虑部署基于架构的方案，因为这种方案提供了全面的端到端安全。它还便于灵活部署：可以根据预算、时间、测试要求和地区等方面的制约条件来逐步部署。这种方案还易于扩展：它能直接根据网络规模来相应扩展，因为它本身是网络基础设施的一部分。在基础设施领域市场份额靠前的几家厂商有Juniper、惠普和思科。
　　专业设备在价格上比基于架构的解决方案有优势，对小公司来说更是如此。单一的专门设备易于部署及维护，但它能支持的用户数有限制，每个设备可支持的用户数在2000～4000个之间。这样，小公司就要考虑可扩展性问题。另外，在线连接设备意味着会带来单点故障，所以势必要采用冗余设备，但这增加了成本。提供NAC专业设备的厂商包括Mirage Networks、ForeScout、TippingPoint和Nevis。
　　端点软件方案适用于各种类型的公司，领先厂商包括赛门铁克、迈克菲以及总部设在伦敦的Sophos等。
　　其实人们需要两个产品：先在公司的所有机器上部署端点软件，然后部署专业设备来处理准入前的检查、准入后的监控工作，从而巡视所有来访的机器。最重要的是，两个产品要彼此联系――这并非易事。
　　各大厂商都保证会与标准组织合作，如微软的网络访问保护（NAP）和可信网络连接（Trusted Network Connect）组织制订的可信网络连接规范，实现相互兼容。2007年5月，微软和TNC答应让各自的框架彼此兼容。
　　在网络的两头部署NAC解决方案会提高网络的可靠性。
　　如果你购买补丁配置管理工具或者其他安全工具，只有得到广泛部署并正确配置后，才会有效果。用户怀疑这可能是导致笔记本电脑变慢的原因，所以会时不时地禁用这些产品。如果使用NAC，就可以确保不会出现这些事情、安全能得到保障。