在現代企業的內部終端管理中，

網絡準入控制系統（NAC）

可以說是企業終端安全管理的基礎。

缺少了它

上述多種問題無法處理好

再多的數據保護、防病毒系統也沒有意義。

而當我們談NAC時，

其實不是只重視防護手段，

更要先敲定保護對象，

再來談措施，

因為系統是無法保護你“看不到”的東西的。

資產管理的重要性、復雜性

《企業安全建設指南》中稱，

“資產管理是 IT 安全治理永恒的主題之一，

就像陽光、空氣和水，不起眼卻不可或缺”。

在企業網絡中，

資產有硬件資產、軟件資產和數據資產，

類型含網站、信息系統、主機、數據庫、數據等。

資產為什么容易遭受攻擊？

這就好比我們現實生活中最有價值的東西一樣，

是最容易遭受攻擊，

也是最想要保護的。

當今企業中的網絡安全威脅主要集中

在整個網絡連接設備范圍內的多個攻擊面上。

由于泛終端化的進程，終端被攻擊的面越來越廣：

據IDC發布的相關數據顯示，在2020年，50%的教育機構和大型企業將考慮使用VR/AR、智能手環等產品來提升效率。

當各類終端進入企業網絡時

為了做到資產安全管理

就需要做到對資產進行多維度的收集（如下圖）

資產管理的重要程度↑、復雜化↑

急需高效安全的方案來解決這一問題

傳統/下一代網絡準入控制系統的資產管控

傳統意義上的NAC是無法做好資產管控的

談這個問題前

我們先來看看NAC的一些小發展史

●2004年，思科首次推出NAC，其主要作用在于對計算機進行入網前的安全檢測

●2005-2007年，NAC市場十分火爆

●2008年，熱度逐漸消退

●2014年，NAC重返江湖且勢頭更猛

據相關報告稱，企業（機構）使用NAC的主要原因中排名前三的是：

?移動設備和BYOD策略使用的增加

?用戶移動需求的增加

?遠程訪問企業內網需求的增加

......

近年來，企業數字化業務逐步向移動化、自動化、云化發展，企業內部網絡架構逐步向適應新的業務場景下轉變。同時，在網絡攻擊呈現產業化、系統化、智能化的趨勢下，新的攻擊方式不斷涌現。為解決當前、未來業務發展及新式網絡攻擊防御的需求，NAC也必須進行新一輪的迭代更新。

傳統NAC的資產管理短板：

（1）傳統NAC在管理終端時是通過交換機識別終端IP/MAC，但無法更詳細，而設備IP/MAC有仿冒隱患。

（2）在安裝客戶端模式下，企業通過NAC收集到更加全面的信息，但是依然是沒有終端的網絡行為數據，也不利于后續網絡安全體系的管理運維。

下一代網絡準入控制系統如何進行資產管理？

1提供資產的全面可視化

支持通過多種采集技術對網絡資產全面發現掃描，包括網絡設備、PC終端、移動終端、IoT 等資產類型，精準識別客戶網絡資產。用自動化、智能化的技術，取代人工方式，實現網絡資產發現識別統計，以資產為視角提供安全可視。

2建立數字資產圖譜

自動生成樹狀結構網絡拓撲圖，含設備的類型、設備廠家、設備狀態、設備安全狀態、設備之間的連接關系等，支持對PC設備、網絡設備、移動設備、IoT設備（含視頻終端等）、ICS設備等主流設備類型和廠家的自動識別。同時支持基于IP/MAC、廠商、部門、設備名稱、操作系統信息、開放端口、連接關系、設備類型等方式自動分類，生成資產設備指紋。

3持續監控資產變動+威脅檢測

對資產設備進行持續的監控跟蹤，結合資產全景報表，主動掌控資產動態。區別于傳統準入的一次性合規檢查，新一代網絡控制準入系統會從漏洞、異常行為、威脅行為等多維度對資產脆弱性進行安全檢測，有效發現未知威脅，準確發現內部失陷終端。

4自動發現識別資產，可視化呈現資產態勢

系統會依據設備的行為和價值，計算企業全網的安全系數；并以定性或者定量的方式展現設備以及全網風險狀態；支持全網安全態勢系數分析。同時在布控全景中，系統會實時跟蹤并展現智能準入、異常行為感知、合規感知、攻擊行為感知、脆弱性感知等主要安全防護模塊的運行情況（開啟、關閉、數量）。

下一代網絡準入控制系統的建設之路

應由資產管理開始，

延伸至入網管控和持續性安全監測，

最終實現對內部網絡威脅的檢測與處置。

我們知道不少廠商已經開始實踐了，

國內較早開始研發準入技術的聯軟科技，

其UniNID,作為下一代網絡準入控制系統

不僅可以完全滿足上述資產管理要求，

同時能與網絡空間資產測繪系統聯動，

將內外網的資產全面管控起來，

做到安全防護無死角，

找準網絡安全管理中的資產這個“對象”一點也不難！