將安全列管－事後監控機制填補NAC/NAP的不足

據了解，部份客戶所要求的東西甚至比起NAC/NAP方案所能提供的還多，截至目前為止，對這些安全技術許多人抱持觀望態度，直到確定能符合期待才會進一步地接受。當然，真正的問題在於，對將安全列管無法隔離的用戶端及協力商設備的處理方式到底為何？或是要求超出其組織需求，但卻得強迫遵守的高安全標準，這合理嗎？再者，要求他人安裝軟體用以管理企業安全，並非數位版權管理(DRM)產品的本意，也絕非端點安全的解決之道。

另外，資訊安全屬服務性質，鮮少有人會真正把客戶放到安全隔離區當中。所以，在傾聽用戶的需求之後，我條列出三項有關NAC/NAP的post-admission控制功能：

強制採取身分為基礎的網路存取
企業資源網路應該採用身分識別決定權限，限制擁有合法存取權利的功能，而且，限制匿名到訪者及非授權者的擅入，更是成為2006年建構NAC的主要誘因。

防止受害範圍惡化
網路安全措施雖然無法完全杜絕攻擊的存在，不過，起碼它要能防範攻擊行為的擴散，以確保整體網路的運作安全。

減輕企業營運的負擔
尤其是勞力密集性質的工作，需透過自動化管理，可讓IT團隊提供企業更高品質的服務。比方說，像是IT人員在回報工作事項時，藉由透過pre-admission機制，便可輕易察覺有問題的端點情形，並改善管理主機的狀況；而採取post-admission的方式，則可確保端點遵守安全政策。

確保機密資料的安全
雖然防範機密資料流失目前並非NAC的項目，但相信不久之後，應該是會納入成為端點安全的一環。至於其他功能，像是追蹤機敏性資料的流向，淨空資料檔案櫃，以及利用虛擬化功能將資料集中在資料中心統一管理等，這些也都在這裡的保護智財權的範疇之內。但是，請牢記一點，就是沒有一家廠商可以滿足上述所有需求。不過，企業還是可以藉由要求主要系統架構商發展以下功能，同樣能達到推動post-admission控制的效果：

定義較廣義的端點健檢訊息
時常更新特徵資料庫並進行漏洞修補是件好事，但是，請允許所安裝的安全套件也能一併將一些重要訊息納入，比方說，像是端點系統的執行效能、是否為允許連結的端點裝置？還有端點究竟使用那些套件軟體？另外，再加上機密資料曝露的危險程度與登入用戶遵從安全政策與否？

支援動態的post-admission監控功能
有些重要的網路功能，是能讓企業安全地與那些未經管理的用戶端點和裝置協同作業。這些網路範疇舉凡像是限制受感染主機的網路連線，還有因端點健檢設定檔中的定義變動而要變更端點的存取權限，另外再加上選擇最適合的虛擬化軟體遞送機制，以便能滿足機密資料防護效能的需求。

不過， 也該是時候讓安全產業擴展現今pre-admission控制架構下的NAC/NAP版本了！如此一來，這樣更能使得互連網路當中的交易程序顯得安全一些。也許到了2007年，我們會樂見將NAC納到整合式系統當中，以協助企業制定出更聰明的安全政策來進行商業活動。

Eric Ogran現職為Enterprise Strategy Group的安全分析師。

*註1： pre-admission指的是，在端點存取企業資源前所進行的一連串資格審查，涵蓋範圍主要包括安全掃描及身分識別二個部份。
*註2： post-admission則是監控企業資源有無遭毀壞，以及用戶異常的連線存取活動，涵蓋範圍主要包括身分管理及入侵偵測二個部份。