可信接入已成趋势？

　　随着时间的发展，安全威胁无论在形式上还是在数量上，都已呈现出爆炸性的增长；现在每天都有成百种新型病毒在网上出现，而主流应用平台的安全漏洞更是数以千计。用户的防御体系，早已从单点设备防护转移到如何治理混合型威胁的趋势中来。传统的安全区域划分主要是根据资源重要性和攻击风险等级，划分成多个网络安全区域，将同一网络安全层次内服务器之间的连接控制在相同的区域内，尽量消除不同安全层次之间的联系，实施相互逻辑或物理隔离。这样虽然可以保证外部网上的黑客无法连接内部涉密网，具有很高的安全性，但同时也造成了工作不便、数据交流困难、设备增加和维护费用加大等。
　　
　　远程办公已是一种常见的办公方式，然而，这种方式也可能带来一些意外。某公司就曾发生过远程用户访问公司总部的网络后导致整个公司网络瘫痪的事情。事后的调查表明，这个用户把它的笔记本电脑配置成他家庭网络中的DHCP服务器，这样他登录进入公司总部的网络后，他的电脑就成为所在网络默认的网关。
　　
　　还有一些类似的例子，比如：和蔼的爸爸妈妈们允许孩子们用他们公司的电脑玩高级游戏，更有甚者，允许他们在互联网上冲浪。这些十多岁的孩子们喜欢的地方往往最容易隐藏病毒和木马程序。在父母外出喝咖啡的时间，这些孩子们就可能让电脑感染上病毒，而等家长们回来登录到公司的网络中的时候，就可能把病毒带到公司。所以，思科的NAC和微软的NAP等终端安全技术都是专门设计来防范此类风险的。
　　
　　网络准入技术演变至今， NAC已不像过去给人专为Cisco网络设备用户打造的印象，CNAC（人们早期对NAC叫法）早已让人忘记了，而真正留下来的却是NAC标准和技术能能否得到广泛的支持和应用。比如说，如果公司的基础架构是多个网络设备供货商，暂时又没有机会全部转换成Cisco的设备，Cisco提供企业另一种选择－NAC Appliance，也就是之前大家关注较多的Cisco Clean Access解决方案。

　　各家厂商的准入控制方案虽然在原理上是一致的，但是由于各产品厂商的利益不同，实现方式也各不相同。其主要区别主要表现在协议方面，思科、华为选择了通过采用EAP协议，RADIUS协议和802.1x协议实现准入控制。微软则选择了采用DHCP和RADIUS协议来实现。同样，尽管思科的NAC联手微软的NAP之后，多个厂商还都在陆续推出各自为站的网络准入和控制标准，标准之争还需等待多时。
　　
      除此以外，更多的“零时差攻击”（Zero-Day Attack，意指从安全漏洞发生时到自动攻击开始的时间急速缩短）表明了一件事，系统安全更新远跟不上脆弱系统被攻击的速度，往往系统在厂商提供最新的补丁前就已经遭受了攻击。而NAC正式在这种无所不在的攻击模式所产生的防护架构，不仅降低了企业流程的便利性（当系统修复后才能访问资源），但都是我们的“不得之举”。

　　从长远看，未来的网络不但能够确认网络访问者的身份认证，还应当识别网络访问行为。一套有着免疫能力的网络架构，不是一个具体的安全产品或一套针对性的安全技术就可以达成，而是一个有机的全方位的架构体系化解决方案，它是涉及到一个产业发展的问题。