分析师：LawrenceOrans,JohnPescatore

翻译：盈高科技何俊

译前言

本文主要是Gartner在2011年底所发表的全年NAC行业技术趋势总结分析，主要针对的是国外NAC市场(北美、欧洲)。而由于国外市场在整个NAC行业中的先进性和前瞻性，因此我们完全可以把这篇分析作为国内市场的技术风向标，为2012年国内的网络准入控制行业提供有效的参考。

文章摘要

当下，各机构都在寻找合适的产品来针对个人设备或移动设备部署安全策略，这股"BYOD(bringyourowndevice)"浪潮正在驱动着NAC市场的增长。当机构面对着"BYOD"的挑战时，必须考虑如何便捷迅速地识别出个人移动设备的信息，并向其派发已制定好的针对这些移动设备的安全策略。

计算机界的BYOD浪潮

市场概观

在经历了数年平淡的市场表现之后，各机构对于部署NAC的需求在"BYOD"浪潮的驱动下被重新激发了。尽管存在许多管理个人设备的安全措施或产品，Gartner仍然相信NAC将是保护网络免受个人移动设备中潜在威胁影响的最灵活、最重要的方式(keymechanisms)之一。

NAC方案中的安全策略随着时间的推移在不断的变化。在NAC应用的第一波浪潮(2003~2006年)中，主要的NAC管理策略是针对终端的系统配置(如windows系统补丁是否更新、杀毒软件是否安装等)。在2007年，NAC应用进入了第二波浪潮，焦点变为了对来宾设备提供简便易行的基于认证的控制，从而搭建出灵活的访客网络环境。在2011 年--NAC技术的第三波浪潮中，除了对来宾提供简易的接入服务外，还提出了对员工的个人设备提供"有限访问区"的控制要求。Gartner认为，这次的第三波NAC应用浪潮将是有史以来最为强劲的一次，并且通过周期性的宣传，能够驱动NAC行业达到真正的生产力成熟期和稳定期。

为了避免BYOD所引发的威胁，机构们都开始创建自己的有限访问区，从而控制个人移动设备与网络中的重要区域实现隔离。"BYOD"们只能够获得internet的访问权，以及只能够访问公司业务的一个特定的子集。而由于这些终端设备都是私人所有，因此IT部门往往很难对其强制部署策略、安全客户端或生命周期管理工具。而另一方面，将这些私人终端隔离到有限访问区内则能够对保障网络的安全起到有益的作用。要建立起完善的有限访问区，一个十分重要的元素就是在终端(例如ipad、Android设备、ip电话、打印机以及PC)接入网络时能够对其进行发现并识别出相关信息，这也被称为"显影"(profiling)。一旦一台终端设备得到了识别，自然就立即能够被放置于合适的网络区域(机构生产网、来宾访客网、或有限访问区等)中，在这些不同的网络区域中，NAC能够执行不同的接入控制策略。越是能够意识到终端识别能力的重要性，并能够针对不同的私人移动终端设备进行隔离和策略应用的厂商，其在战略完整度(VisionCompleteness，请参见本文下篇)这一项上的得分就越高。

各行业都越来越需要允许私人笔记本电脑、智能手机以及平板电脑在网络内的使用，这就大大改变了NAC市场的格局。在许多方面，企业等各个行业都越来越表现出与教育行业的相似性，尤其是大学校园：在大学里，终端用户(学生)都使用自己的终端设备连接到机构(大学)的网络中。传统的EPP(Endpointprotectionplatform端点安全平台，即国内的桌面产品)厂商由于着力于对机构所购置的内部终端进行控制，因此在NAC的第一波浪潮中取得了成功，但是在BYOD的趋势下逐渐丧失了优势。 EPP厂商必须改变他们的NAC策略来适应BYOD现象。