规范化条例，是由一些规范驱动的，譬如HIPAA，GLBA，Sarbanes-Oxley（SOX），和最近流行的PCI数据安全标准，它继续主导着执行者们关于安全话题的讨论。一致性仍然是安全销售商的流行口号，他们都试图将自己的技术定位为买主的必需品。

　　规范化条例（Regulatory compliance）

　　在安全领域中最热门的方面就是网络准入控制（NAC），可以预见，所有的商家都强调其技术中一致性的价值。但是他们声称可信吗?客户必须着眼于网络准入控制（NAC）才能解决他们一致性的问题吗?

　　网络准入控制（NAC）是保证只让恰当的人去接触合适的资源。它通过“提前准入”扫描，来确保设备授权，并保证接入网络时不被病毒感染。一旦上网，确信各个端点接入授权资源，并且没有异常行为时，网络准入控制（NAC）方案便转入“后置准入” 控制模式。当然，我们只是刚刚开始采用网络准入控制（NAC），版本还不成熟，但是这是一个很好的方向。

　　网络准入控制（NAC）又是怎样解决一致性的呢?答案非常多，但是很明显，网络准入控制不是解决一致性的万能药。从网络的观点，一致性被大致表述为以下五个要求。当然，这个列表也不是很详尽（其他人有一些更长的列表），列表如下:

　　1.法则——所有的规定都要求有条文化的安全法则，来防止入侵，保护私人信息。

　　2.鉴别——验证一个人接触敏感信息的要求就是其中一项内容。

　　3.接入控制——确保系统、应用程序和数据只能被充分授权的人访问。

　　4.纠错——应对网络安全事件的能力，通报信息并且启动防御措施。

　　5.稽核——与系统及应用程序有关的文件和以往信息可以访问私人信息。

　　现在，网络准入控制（NAC）对你指定法则帮助不大。你需要自己做这些。就好像用自己的舌头去处碰自己的脸颊，没有太大的意义。如果你只是想增加安全性或者服从某些规范，它就会启动，指出哪些是有价值的数据，应该把他们放到何处可以进行有效的保护。网络准入控制（NAC）可以执行这些法则，同时提供与这些法则相关事件的信息。

　　在网络准入控制（NAC）中，鉴别、接入控制和纠错对一致性的影响最大。让我们来逐个分析:

• 鉴别——网络准入控制（NAC）可以要求不同等级的鉴别，在接入网络之前。很多方案都是可以将现有的LDAP地址，RADIUS服务，并且支持多因子鉴别。对网络接入控制（NAC），取其一即可。
  
• 接入控制——接入控制的意义很明确。网络准入控制（NAC）的方案就是确保只有用户或者享有明确授权的群可以获取资源。有很多不同的执行机制（线形、DHCP、802.1x、VLAN和SNMP等等），但是都是基于一致性要求的。
  
• 纠错——一旦出现问题，同样的控制接入的执行机制就会去隔离入侵者。

　　稽核是问题的最后一块，网络准入控制（NAC）能够成为一个对外部日志管理和报告机制非常重要的数据来源。网络准入控制（NAC）产品可以记下要求获取网络信息的信息，同时包括法则被侵入的时候。

　　什么是catch?为什么不在你们网络的任何地方上都安装上网络准入控制（NAC）并在一致性上获得很大的好处呢?事实上，有很多原因。第一个是，即使是覆盖模式的方案（基于已经有的转换器）都是价格昂贵的。网络接入控制产品刚刚问世，还没有因为价格下降得到普及。这可能会出现在2007到2009年间。

　　第二点，方案的成熟还存在争议。我们已经讨论了上百种配置，不是很多-所以你只是刚刚开始实践执行这些配置。这就会经常发现问题，解决问题，要求你自己能够理出执行的操作指南。

　　最后，网络准入控制（NAC），至少在文中一致性的条件下，很难做到局部化和高效性。这条链仍是最脆弱的一条链。为完全获得网络接入控制的功能，需要在你的网路中，管理所有想接入的用户，同时监控所有提供后置管理的途径。

　　当然，实现网络准入控制（NAC）的成熟还需要一定时间。我建议用小型实用的网络准入控制（NAC）去保护高价值的应用程序和数据—在这高价值的东西附近筑起高墙。当你升级网络时，寻找新的可以支持网络准入控制（NAC）的转换器和更高的安全水平。这就是未来的方向。