网络准入控制保持网络开放性 抵御安全风险

网络化应用已经成为信息时代不可或缺的业务途径，是企业发展壮大过程中的必然选择。而与此同时，提供网上应用的企业和机构也在面临着重重挑战，确保访问安全就是其中的重要课题。

网上应用当然得面对众多用户。以前，为了保证网络资源和内容的安全性，需要安全保障的信息归入内联网，一般信息则可对外发布，外部用户只能访问这部分内容。但随着业务的深入发展和网络化应用的纵深演进，企业和机构已不能简单的坚持这一理念，许多业务的综合需要全面而安全的访问功能支持，企业员工、客户和供应商等等都需要进入企业的系统，业务畅通面临新的要求。由此，网络访问功能在扩展，而安全要求也在提高。

根据调查，当前企业在网络访问方面的实际需求大致是：希望控制访问者对网络资源的访问，但同时也尽可能地保持基础设施的开放性，而不是简单的拒绝访问。另外，企业不希望为了网络访问安全保障而添置大量的设备，或者在用户的设备上安装任何软件，这样就会影响应用的便捷性。而且，很多企业都是在原有的网络基础上再来考虑网络访问安全问题，因此不希望对整个网络架构进行调整。这些访问支持都是企业用户的实际需求，也是技术厂商需要解决的技术课题。正是在用户的上述迫切需求基础上，网络准入控制（NAC）理念应运而生。

NAC的今生

网络准入控制就是对每一个欲接入网络的用户进行认证，然后依照他们的身份和其他信息，如端点安全检查信息或者用户是通过有线还是无线接入等，而赋予其不同的访问控制策略。而专门编写NAC标准的可信计算集团则进一步从技术特点层面对NAC进行剖析，认为NAC是能够在端点连接至企业网络的过程中应用和执行各类安全要求的开放的、非专用的规格。

在NAC的世界里，有一些特性是需要达到的，这也是满足用户要求的必然选择。首先，NAC必须提供进入控制，有选择性地允许主机联入网络并保持其连接的能力。其次，NAC需要进行安全检查，查看连入系统的补丁、防病毒等功能是否已及时升级，是否具有潜在安全隐患。然后，NAC要提供访问控制，赋予联入主机特定的访问能力和访问内容。