在現(xiàn)代企業(yè)的內(nèi)部終端管理中，

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)（NAC）

可以說是企業(yè)終端安全管理的基礎(chǔ)。

缺少了它

上述多種問題無法處理好

再多的數(shù)據(jù)保護(hù)、防病毒系統(tǒng)也沒有意義。

而當(dāng)我們談NAC時，

其實(shí)不是只重視防護(hù)手段，

更要先敲定保護(hù)對象，

再來談措施，

因?yàn)橄到y(tǒng)是無法保護(hù)你“看不到”的東西的。

資產(chǎn)管理的重要性、復(fù)雜性

《企業(yè)安全建設(shè)指南》中稱，

“資產(chǎn)管理是 IT 安全治理永恒的主題之一，

就像陽光、空氣和水，不起眼卻不可或缺”。

在企業(yè)網(wǎng)絡(luò)中，

資產(chǎn)有硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)，

類型含網(wǎng)站、信息系統(tǒng)、主機(jī)、數(shù)據(jù)庫、數(shù)據(jù)等。

資產(chǎn)為什么容易遭受攻擊？

這就好比我們現(xiàn)實(shí)生活中最有價值的東西一樣，

是最容易遭受攻擊，

也是最想要保護(hù)的。

當(dāng)今企業(yè)中的網(wǎng)絡(luò)安全威脅主要集中

在整個網(wǎng)絡(luò)連接設(shè)備范圍內(nèi)的多個攻擊面上。

由于泛終端化的進(jìn)程，終端被攻擊的面越來越廣：

據(jù)IDC發(fā)布的相關(guān)數(shù)據(jù)顯示，在2020年，50%的教育機(jī)構(gòu)和大型企業(yè)將考慮使用VR/AR、智能手環(huán)等產(chǎn)品來提升效率。

當(dāng)各類終端進(jìn)入企業(yè)網(wǎng)絡(luò)時

為了做到資產(chǎn)安全管理

就需要做到對資產(chǎn)進(jìn)行多維度的收集（如下圖）

資產(chǎn)管理的重要程度↑、復(fù)雜化↑

急需高效安全的方案來解決這一問題

傳統(tǒng)/下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的資產(chǎn)管控

傳統(tǒng)意義上的NAC是無法做好資產(chǎn)管控的

談這個問題前

我們先來看看NAC的一些小發(fā)展史

●2004年，思科首次推出NAC，其主要作用在于對計算機(jī)進(jìn)行入網(wǎng)前的安全檢測

●2005-2007年，NAC市場十分火爆

●2008年，熱度逐漸消退

●2014年，NAC重返江湖且勢頭更猛

據(jù)相關(guān)報告稱，企業(yè)（機(jī)構(gòu)）使用NAC的主要原因中排名前三的是：

?移動設(shè)備和BYOD策略使用的增加

?用戶移動需求的增加

?遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)需求的增加

......

近年來，企業(yè)數(shù)字化業(yè)務(wù)逐步向移動化、自動化、云化發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)逐步向適應(yīng)新的業(yè)務(wù)場景下轉(zhuǎn)變。同時，在網(wǎng)絡(luò)攻擊呈現(xiàn)產(chǎn)業(yè)化、系統(tǒng)化、智能化的趨勢下，新的攻擊方式不斷涌現(xiàn)。為解決當(dāng)前、未來業(yè)務(wù)發(fā)展及新式網(wǎng)絡(luò)攻擊防御的需求，NAC也必須進(jìn)行新一輪的迭代更新。

傳統(tǒng)NAC的資產(chǎn)管理短板：

（1）傳統(tǒng)NAC在管理終端時是通過交換機(jī)識別終端IP/MAC，但無法更詳細(xì)，而設(shè)備IP/MAC有仿冒隱患。

（2）在安裝客戶端模式下，企業(yè)通過NAC收集到更加全面的信息，但是依然是沒有終端的網(wǎng)絡(luò)行為數(shù)據(jù)，也不利于后續(xù)網(wǎng)絡(luò)安全體系的管理運(yùn)維。

下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)如何進(jìn)行資產(chǎn)管理？

1提供資產(chǎn)的全面可視化

支持通過多種采集技術(shù)對網(wǎng)絡(luò)資產(chǎn)全面發(fā)現(xiàn)掃描，包括網(wǎng)絡(luò)設(shè)備、PC終端、移動終端、IoT 等資產(chǎn)類型，精準(zhǔn)識別客戶網(wǎng)絡(luò)資產(chǎn)。用自動化、智能化的技術(shù)，取代人工方式，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)識別統(tǒng)計，以資產(chǎn)為視角提供安全可視。

2建立數(shù)字資產(chǎn)圖譜

自動生成樹狀結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱D，含設(shè)備的類型、設(shè)備廠家、設(shè)備狀態(tài)、設(shè)備安全狀態(tài)、設(shè)備之間的連接關(guān)系等，支持對PC設(shè)備、網(wǎng)絡(luò)設(shè)備、移動設(shè)備、IoT設(shè)備（含視頻終端等）、ICS設(shè)備等主流設(shè)備類型和廠家的自動識別。同時支持基于IP/MAC、廠商、部門、設(shè)備名稱、操作系統(tǒng)信息、開放端口、連接關(guān)系、設(shè)備類型等方式自動分類，生成資產(chǎn)設(shè)備指紋。

3持續(xù)監(jiān)控資產(chǎn)變動+威脅檢測

對資產(chǎn)設(shè)備進(jìn)行持續(xù)的監(jiān)控跟蹤，結(jié)合資產(chǎn)全景報表，主動掌控資產(chǎn)動態(tài)。區(qū)別于傳統(tǒng)準(zhǔn)入的一次性合規(guī)檢查，新一代網(wǎng)絡(luò)控制準(zhǔn)入系統(tǒng)會從漏洞、異常行為、威脅行為等多維度對資產(chǎn)脆弱性進(jìn)行安全檢測，有效發(fā)現(xiàn)未知威脅，準(zhǔn)確發(fā)現(xiàn)內(nèi)部失陷終端。

4自動發(fā)現(xiàn)識別資產(chǎn)，可視化呈現(xiàn)資產(chǎn)態(tài)勢

系統(tǒng)會依據(jù)設(shè)備的行為和價值，計算企業(yè)全網(wǎng)的安全系數(shù)；并以定性或者定量的方式展現(xiàn)設(shè)備以及全網(wǎng)風(fēng)險狀態(tài)；支持全網(wǎng)安全態(tài)勢系數(shù)分析。同時在布控全景中，系統(tǒng)會實(shí)時跟蹤并展現(xiàn)智能準(zhǔn)入、異常行為感知、合規(guī)感知、攻擊行為感知、脆弱性感知等主要安全防護(hù)模塊的運(yùn)行情況（開啟、關(guān)閉、數(shù)量）。

下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的建設(shè)之路

應(yīng)由資產(chǎn)管理開始，

延伸至入網(wǎng)管控和持續(xù)性安全監(jiān)測，

最終實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)威脅的檢測與處置。

我們知道不少廠商已經(jīng)開始實(shí)踐了，

國內(nèi)較早開始研發(fā)準(zhǔn)入技術(shù)的聯(lián)軟科技，

其UniNID,作為下一代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

不僅可以完全滿足上述資產(chǎn)管理要求，

同時能與網(wǎng)絡(luò)空間資產(chǎn)測繪系統(tǒng)聯(lián)動，

將內(nèi)外網(wǎng)的資產(chǎn)全面管控起來，

做到安全防護(hù)無死角，

找準(zhǔn)網(wǎng)絡(luò)安全管理中的資產(chǎn)這個“對象”一點(diǎn)也不難！