【IT168专稿】绝大部分公司正在部署或者打算部署网络访问控制（NAC），这是2007年《Network Computing》杂志对325名IT专业人员所作调查后得出的结果。今年，部署NAC的比例明显上升，只有15%的调查对象未计划实施，而一年前这个数字还高达46%。这表明NAC已从一种值得关注的概念发展成为一种切实可行、受到重视的企业技术。但是结果发现，计划部署的IT专业人员期望从NAC得到的效益有别于实施人员实际得到的效益。虽然人们似乎普遍认为，NAC是个好东西，但哪个才是非常好的的架构方案方面缺乏一致意见。由于规划人员和实施人员的答案差异在整个调查中都很明显，我们决定对这两组的结果进行细分，并且与各自在2006年的结果进行了比较。

    人们日益对推动NAC发展的几个因素达成共识：资源访问控制和法规遵从。不过，备受关注的却是法规遵从，特别是对已经在实施这项技术的公司而言，更是如此。在2006年，只有52%的调查对象认为采用NAC是为了满足遵从法规的要求；而现在却有63%的实施人员这么认为。在关注像《萨班斯－奥克斯利法案》这些个别法规的人当中，这个比例更高。52%的实施人员如今认为，具体的法规需求在推动NAC采用率提高；而仍在规划NAC的人当中只有22%认为法规要求是推动因素。

    实际上没有哪部法规明确要求采取实施NAC这样的任何具体措施；而是提到了相关概念，比如管理及保护访问数据的主机。这就留下了很大的解释空间。NAC被认为是满足法规要求的一种方法，似乎即将成为一条非常好的实践（best practice）。NAC旨在评估主机的状况，然后根据评估结果，授予或者拒绝访问网络及资源的权限。非常好的实践常常是市场中自发出现的，而不是强制规定的——如果大多数遵守某个惯例——现在NAC就是这种情况，那么这个惯例就成了非常好的实践。

    棘手问题

    NAC并不是完整的访问控制系统。它的功能是授予访问网络的权限，而不是通常作为针对应用的访问控制机制的一部分。举例说，某主机可能通过了主机评估，因而获得了访问网络的权限；但一旦到了网络上，NAC可能无法防止恶意的用户行为，比如应用级攻击，如针对Web应用的SQL注入（SQL injection）；或者是比较普通的问题，比如把数据保存到USB驱动器等可移动介质上或者其他外部存储设备上。如今不少NAC产品缺乏控制访问可移动介质的机制。

    应用级控制似乎引起了NAC实施人员和规划人员的注意。控制访问数据中心的资源——这几乎总是需要了解应用情况，被认为是NAC要保护的最重要的资源。仅次于数据中心的是比较传统的NAC功能，有线网络、远程机构和分支机构被列为接下来最重要的几个保护对象。而最不重要的是当初作为NAC卖点来宣传的两个问题：访客和承包商的访问。看来，许多公司已经用其他方式妥善解决了这些问题，比如根据典型的网络入口点来限制访客和承包商的访问。有些公司还要求承包商使用本公司的系统，而不是使用对方自己的系统。虽然这是一项合理的安全措施，同时有悖于国内收入署（IRS）的指导方针，后者明确界定了承包商和雇员之间的区别。承包商使用自己的设备，雇员使用本公司的设备——至少IRS是这么规定的。