在现代企业的内部终端管理中，

网络准入控制系统（NAC）

可以说是企业终端安全管理的基础。

缺少了它

上述多种问题无法处理好

再多的数据保护、防病毒系统也没有意义。

而当我们谈NAC时，

其实不是只重视防护手段，

更要先敲定保护对象，

再来谈措施，

因为系统是无法保护你“看不到”的东西的。

资产管理的重要性、复杂性

《企业安全建设指南》中称，

“资产管理是 IT 安全治理永恒的主题之一，

就像阳光、空气和水，不起眼却不可或缺”。

在企业网络中，

资产有硬件资产、软件资产和数据资产，

类型含网站、信息系统、主机、数据库、数据等。

资产为什么容易遭受攻击？

这就好比我们现实生活中最有价值的东西一样，

是最容易遭受攻击，

也是最想要保护的。

当今企业中的网络安全威胁主要集中

在整个网络连接设备范围内的多个攻击面上。

由于泛终端化的进程，终端被攻击的面越来越广：

据IDC发布的相关数据显示，在2020年，50%的教育机构和大型企业将考虑使用VR/AR、智能手环等产品来提升效率。

当各类终端进入企业网络时

为了做到资产安全管理

就需要做到对资产进行多维度的收集（如下图）

资产管理的重要程度↑、复杂化↑

急需高效安全的方案来解决这一问题

传统/下一代网络准入控制系统的资产管控

传统意义上的NAC是无法做好资产管控的

谈这个问题前

我们先来看看NAC的一些小发展史

●2004年，思科首次推出NAC，其主要作用在于对计算机进行入网前的安全检测

●2005-2007年，NAC市场十分火爆

●2008年，热度逐渐消退

●2014年，NAC重返江湖且势头更猛

据相关报告称，企业（机构）使用NAC的主要原因中排名前三的是：

❶移动设备和BYOD策略使用的增加

❷用户移动需求的增加

❸远程访问企业内网需求的增加

......

近年来，企业数字化业务逐步向移动化、自动化、云化发展，企业内部网络架构逐步向适应新的业务场景下转变。同时，在网络攻击呈现产业化、系统化、智能化的趋势下，新的攻击方式不断涌现。为解决当前、未来业务发展及新式网络攻击防御的需求，NAC也必须进行新一轮的迭代更新。

传统NAC的资产管理短板：

（1）传统NAC在管理终端时是通过交换机识别终端IP/MAC，但无法更详细，而设备IP/MAC有仿冒隐患。

（2）在安装客户端模式下，企业通过NAC收集到更加全面的信息，但是依然是没有终端的网络行为数据，也不利于后续网络安全体系的管理运维。

下一代网络准入控制系统如何进行资产管理？

1提供资产的全面可视化

支持通过多种采集技术对网络资产全面发现扫描，包括网络设备、PC终端、移动终端、IoT 等资产类型，精准识别客户网络资产。用自动化、智能化的技术，取代人工方式，实现网络资产发现识别统计，以资产为视角提供安全可视。

2建立数字资产图谱

自动生成树状结构网络拓扑图，含设备的类型、设备厂家、设备状态、设备安全状态、设备之间的连接关系等，支持对PC设备、网络设备、移动设备、IoT设备（含视频终端等）、ICS设备等主流设备类型和厂家的自动识别。同时支持基于IP/MAC、厂商、部门、设备名称、操作系统信息、开放端口、连接关系、设备类型等方式自动分类，生成资产设备指纹。

3持续监控资产变动+威胁检测

对资产设备进行持续的监控跟踪，结合资产全景报表，主动掌控资产动态。区别于传统准入的一次性合规检查，新一代网络控制准入系统会从漏洞、异常行为、威胁行为等多维度对资产脆弱性进行安全检测，有效发现未知威胁，准确发现内部失陷终端。

4自动发现识别资产，可视化呈现资产态势

系统会依据设备的行为和价值，计算企业全网的安全系数；并以定性或者定量的方式展现设备以及全网风险状态；支持全网安全态势系数分析。同时在布控全景中，系统会实时跟踪并展现智能准入、异常行为感知、合规感知、攻击行为感知、脆弱性感知等主要安全防护模块的运行情况（开启、关闭、数量）。

下一代网络准入控制系统的建设之路

应由资产管理开始，

延伸至入网管控和持续性安全监测，

最终实现对内部网络威胁的检测与处置。

我们知道不少厂商已经开始实践了，

国内较早开始研发准入技术的联软科技，

其UniNID,作为下一代网络准入控制系统

不仅可以完全满足上述资产管理要求，

同时能与网络空间资产测绘系统联动，

将内外网的资产全面管控起来，

做到安全防护无死角，

找准网络安全管理中的资产这个“对象”一点也不难！