网络访问控制NAC之首字母的迷失

　　NAC——首字母的迷失

　　NAC是Network Admission control或Network Access Control的首字母缩写。对于这项最新的安全技术，厂商也是见仁见智。抛开宣传内容不谈，没有哪家NAC厂商能提供全面的产品，所以安全保障自然大打折扣。

　　先说说NAC。网络接入控制（Network Admission Control）是思科公司（Cisco，下称思科）的产物，对接入网络的设备进行检查和控制就是它的使命。设备是否遭受病毒感染？安全设置是否最新？如果不是，隔离。而网络访问控制[Network Access Control，微软（Microsoft，下称微软）称其为网络访问保护Network Access Protection]解决的，则是设备接入了网络之后的事情——对照目录服务器或者访问控制服务器的授权，检查PC或者打印机的配置文件。但目前尚无厂商同时提供两种服务，而厂商之间的合作也刚刚起步。

　　因此，如果放言要部署一个完整的网络接入和访问控制系统，肯定是自吹自擂而已。这个神秘的IT产物，还不大可能揭下面纱，露出真面目——除非思科、微软、可信赖计算联盟（Trusted Computing Group，TCG）以及互联网工程工作小组（Internet Engineering Task Force，IETF）的一个工作组就NAC部署标准的简化达成一致。

　　不过，对愿意等待的人来说，还是值得期盼的，毕竟工作已经展开了。费雷斯特的分析师罗伯特·怀特利（Robert Whiteley）表示，虽然一年内产品还未能面世，但思科、微软、迈克菲公司（McAfee）和赛门铁克公司（Symantec）都已在即将面世的产品中构建端点风险管理程序。

　　NAC概念适得其所——使用反恶意软件、访问控制以及身份验证和配置管理工具，一齐拦截流氓设备连接网络或搞小动作的企图。但现在，恶意行为从一系列服务器上抽取数据，使防范工作日益复杂。所以，NAC概念短期之内还不大可能发展成为一个独立产品，免得希望越大，失望越大。