在現代企業(yè)的內部終端管理中，

網(wǎng)絡(luò )準入控制系統（NAC）

可以說(shuō)是企業(yè)終端安全管理的基礎。

缺少了它

上述多種問(wèn)題無(wú)法處理好

再多的數據保護、防病毒系統也沒(méi)有意義。

而當我們談NAC時(shí)，

其實(shí)不是只重視防護手段，

更要先敲定保護對象，

再來(lái)談措施，

因為系統是無(wú)法保護你“看不到”的東西的。

資產(chǎn)管理的重要性、復雜性

《企業(yè)安全建設指南》中稱(chēng)，

“資產(chǎn)管理是 IT 安全治理永恒的主題之一，

就像陽(yáng)光、空氣和水，不起眼卻不可或缺”。

在企業(yè)網(wǎng)絡(luò )中，

資產(chǎn)有硬件資產(chǎn)、軟件資產(chǎn)和數據資產(chǎn)，

類(lèi)型含網(wǎng)站、信息系統、主機、數據庫、數據等。

資產(chǎn)為什么容易遭受攻擊？

這就好比我們現實(shí)生活中最有價(jià)值的東西一樣，

是最容易遭受攻擊，

也是最想要保護的。

當今企業(yè)中的網(wǎng)絡(luò )安全威脅主要集中

在整個(gè)網(wǎng)絡(luò )連接設備范圍內的多個(gè)攻擊面上。

由于泛終端化的進(jìn)程，終端被攻擊的面越來(lái)越廣：

據IDC發(fā)布的相關(guān)數據顯示，在2020年，50%的教育機構和大型企業(yè)將考慮使用VR/AR、智能手環(huán)等產(chǎn)品來(lái)提升效率。

當各類(lèi)終端進(jìn)入企業(yè)網(wǎng)絡(luò )時(shí)

為了做到資產(chǎn)安全管理

就需要做到對資產(chǎn)進(jìn)行多維度的收集（如下圖）

資產(chǎn)管理的重要程度↑、復雜化↑

急需高效安全的方案來(lái)解決這一問(wèn)題

傳統/下一代網(wǎng)絡(luò )準入控制系統的資產(chǎn)管控

傳統意義上的NAC是無(wú)法做好資產(chǎn)管控的

談這個(gè)問(wèn)題前

我們先來(lái)看看NAC的一些小發(fā)展史

●2004年，思科首次推出NAC，其主要作用在于對計算機進(jìn)行入網(wǎng)前的安全檢測

●2005-2007年，NAC市場(chǎng)十分火爆

●2008年，熱度逐漸消退

●2014年，NAC重返江湖且勢頭更猛

據相關(guān)報告稱(chēng)，企業(yè)（機構）使用NAC的主要原因中排名前三的是：

?移動(dòng)設備和BYOD策略使用的增加

?用戶(hù)移動(dòng)需求的增加

?遠程訪(fǎng)問(wèn)企業(yè)內網(wǎng)需求的增加

......

近年來(lái)，企業(yè)數字化業(yè)務(wù)逐步向移動(dòng)化、自動(dòng)化、云化發(fā)展，企業(yè)內部網(wǎng)絡(luò )架構逐步向適應新的業(yè)務(wù)場(chǎng)景下轉變。同時(shí)，在網(wǎng)絡(luò )攻擊呈現產(chǎn)業(yè)化、系統化、智能化的趨勢下，新的攻擊方式不斷涌現。為解決當前、未來(lái)業(yè)務(wù)發(fā)展及新式網(wǎng)絡(luò )攻擊防御的需求，NAC也必須進(jìn)行新一輪的迭代更新。

傳統NAC的資產(chǎn)管理短板：

（1）傳統NAC在管理終端時(shí)是通過(guò)交換機識別終端IP/MAC，但無(wú)法更詳細，而設備IP/MAC有仿冒隱患。

（2）在安裝客戶(hù)端模式下，企業(yè)通過(guò)NAC收集到更加全面的信息，但是依然是沒(méi)有終端的網(wǎng)絡(luò )行為數據，也不利于后續網(wǎng)絡(luò )安全體系的管理運維。

下一代網(wǎng)絡(luò )準入控制系統如何進(jìn)行資產(chǎn)管理？

1提供資產(chǎn)的全面可視化

支持通過(guò)多種采集技術(shù)對網(wǎng)絡(luò )資產(chǎn)全面發(fā)現掃描，包括網(wǎng)絡(luò )設備、PC終端、移動(dòng)終端、IoT 等資產(chǎn)類(lèi)型，精準識別客戶(hù)網(wǎng)絡(luò )資產(chǎn)。用自動(dòng)化、智能化的技術(shù)，取代人工方式，實(shí)現網(wǎng)絡(luò )資產(chǎn)發(fā)現識別統計，以資產(chǎn)為視角提供安全可視。

2建立數字資產(chǎn)圖譜

自動(dòng)生成樹(shù)狀結構網(wǎng)絡(luò )拓撲圖，含設備的類(lèi)型、設備廠(chǎng)家、設備狀態(tài)、設備安全狀態(tài)、設備之間的連接關(guān)系等，支持對PC設備、網(wǎng)絡(luò )設備、移動(dòng)設備、IoT設備（含視頻終端等）、ICS設備等主流設備類(lèi)型和廠(chǎng)家的自動(dòng)識別。同時(shí)支持基于IP/MAC、廠(chǎng)商、部門(mén)、設備名稱(chēng)、操作系統信息、開(kāi)放端口、連接關(guān)系、設備類(lèi)型等方式自動(dòng)分類(lèi)，生成資產(chǎn)設備指紋。

3持續監控資產(chǎn)變動(dòng)+威脅檢測

對資產(chǎn)設備進(jìn)行持續的監控跟蹤，結合資產(chǎn)全景報表，主動(dòng)掌控資產(chǎn)動(dòng)態(tài)。區別于傳統準入的一次性合規檢查，新一代網(wǎng)絡(luò )控制準入系統會(huì )從漏洞、異常行為、威脅行為等多維度對資產(chǎn)脆弱性進(jìn)行安全檢測，有效發(fā)現未知威脅，準確發(fā)現內部失陷終端。

4自動(dòng)發(fā)現識別資產(chǎn)，可視化呈現資產(chǎn)態(tài)勢

系統會(huì )依據設備的行為和價(jià)值，計算企業(yè)全網(wǎng)的安全系數；并以定性或者定量的方式展現設備以及全網(wǎng)風(fēng)險狀態(tài)；支持全網(wǎng)安全態(tài)勢系數分析。同時(shí)在布控全景中，系統會(huì )實(shí)時(shí)跟蹤并展現智能準入、異常行為感知、合規感知、攻擊行為感知、脆弱性感知等主要安全防護模塊的運行情況（開(kāi)啟、關(guān)閉、數量）。

下一代網(wǎng)絡(luò )準入控制系統的建設之路

應由資產(chǎn)管理開(kāi)始，

延伸至入網(wǎng)管控和持續性安全監測，

最終實(shí)現對內部網(wǎng)絡(luò )威脅的檢測與處置。

我們知道不少廠(chǎng)商已經(jīng)開(kāi)始實(shí)踐了，

國內較早開(kāi)始研發(fā)準入技術(shù)的聯(lián)軟科技，

其UniNID,作為下一代網(wǎng)絡(luò )準入控制系統

不僅可以完全滿(mǎn)足上述資產(chǎn)管理要求，

同時(shí)能與網(wǎng)絡(luò )空間資產(chǎn)測繪系統聯(lián)動(dòng)，

將內外網(wǎng)的資產(chǎn)全面管控起來(lái)，

做到安全防護無(wú)死角，

找準網(wǎng)絡(luò )安全管理中的資產(chǎn)這個(gè)“對象”一點(diǎn)也不難！