從歷史上看，企業(yè)安全策略通過(guò)書面或電子郵件傳播，并指望用戶遵守，但是遵從性難以執(zhí)行。利用網(wǎng)絡(luò)訪問(wèn)控制（NAC）實(shí)現(xiàn)自動(dòng)化執(zhí)行是可能的。但是，必須想清楚策略執(zhí)行在實(shí)踐中的含義。

令人吃驚的是，盡管出現(xiàn)了各種有關(guān)NAC的炒作，但這個(gè)話題卻沒(méi)有引起人們的多少注意，而它卻可能是某個(gè)部門取得成功的最重要的決定因素之一。

NAC的目標(biāo)不是將設(shè)備擋在網(wǎng)絡(luò)之外，而是確保網(wǎng)絡(luò)免受問(wèn)題設(shè)備或非法接入的傷害。

考慮以下策略：所有的計(jì)算機(jī)必須在72小時(shí)內(nèi)更新殺毒軟件病毒庫(kù)，每周掃描病毒，運(yùn)行防火墻，并且在96小時(shí)內(nèi)安裝操作系統(tǒng)補(bǔ)丁。

一些NAC解決方案使這項(xiàng)策略可以被自動(dòng)執(zhí)行，但存在著令人感興趣的部分：如果CEO的計(jì)算機(jī)病毒特征過(guò)時(shí)，會(huì)將它隔離并執(zhí)行補(bǔ)救措施嗎？對(duì)待郵件服務(wù)器是否應(yīng)當(dāng)像對(duì)待便攜機(jī)一樣？答案幾乎總是否定的。

這是因?yàn)镹AC并不是實(shí)現(xiàn)策略執(zhí)行的全能方式。考慮周全的策略很像是好的新聞報(bào)道。它必須回答“誰(shuí)”、“什么”、“何時(shí)”、“何地”以及“為什么”，否則結(jié)果可能不能與企業(yè)的目標(biāo)相適應(yīng)。

從NAC的角度看，“誰(shuí)”對(duì)應(yīng)于針對(duì)用戶和設(shè)備的基于身份的決定，如：

● 如果不認(rèn)識(shí)/未經(jīng)過(guò)認(rèn)證，我該做什么？

● 用戶/設(shè)備是至關(guān)重要的嗎？

● 用戶可能暴露在威脅之下嗎？

“什么”涉及與問(wèn)題本質(zhì)有關(guān)的因素：

●  存在對(duì)設(shè)備或網(wǎng)絡(luò)的直接威脅嗎？

● 違規(guī)事件是需要立即糾正？還是“很快”糾正就足夠了？

●  這是位客戶嗎？

“何時(shí)”包括以下參數(shù)：

● 我何時(shí)必須解決這個(gè)問(wèn)題？現(xiàn)在，還是將來(lái)？

● 一天里有進(jìn)行某些測(cè)試或跳過(guò)某些測(cè)試的時(shí)候嗎？

● 我的行動(dòng)根據(jù)時(shí)間的不同而不同嗎？

“何地”對(duì)策略具有巨大影響，這些地點(diǎn)包括：會(huì)議室、休息廳、修理中心等。

例如，安裝在數(shù)據(jù)中心或測(cè)試試驗(yàn)室的設(shè)備可能應(yīng)當(dāng)執(zhí)行與用于電子郵件或上網(wǎng)沖浪的PC的不同標(biāo)準(zhǔn)。

最后是“為什么”。在NAC中必須存在采取行動(dòng)的動(dòng)機(jī)。“為什么”高度依賴于企業(yè)目標(biāo)，一些例子包括：

● 記錄執(zhí)行遵從性規(guī)定（如Sarbanes-Oxley法和醫(yī)療保險(xiǎn)便攜與責(zé)任法）。

● 減少因漏洞利用而造成的終端補(bǔ)救/幫助臺(tái)費(fèi)用。

● 消除客戶造成的反復(fù)出現(xiàn)的安全問(wèn)題。

綜合以上觀點(diǎn)，可以考慮一些策略例子：

● 如果地點(diǎn)是數(shù)據(jù)中心，則每天掃描二十大漏洞（SANS-20）。如果設(shè)備未通過(guò)掃描，則通知管理員。

● 如果用戶是經(jīng)理，則允許進(jìn)入網(wǎng)絡(luò)并執(zhí)行背景審計(jì)。如果未通過(guò)，則通知管理員。

● 如果是在現(xiàn)場(chǎng)辦公室中，則在允許進(jìn)入網(wǎng)絡(luò)之前進(jìn)行快速掃描。如果通過(guò)，則允許進(jìn)入網(wǎng)絡(luò)，否則隔離并采取補(bǔ)救措施。