2014年4月7日，openSSL模型中名為“heartbleed”（心臟出血）的漏洞被發現，一時間，采用https登錄的各電商和銀行網站均面臨著用戶關鍵數據被竊取的風險。

準入控制，讓內網不再“心臟出血”

心臟出血漏洞利用了SSL協議中的memcpy()函數對返回的長度值不做檢查的缺陷，能夠非法讀取緩沖區中超過權限的內容。非法入侵者每次最多能夠提交64kB的訪問要求，從而獲取到服務器當前內存中其他用戶的訪問信息，而這些關鍵信息可以包括用戶名、銀行卡號、各類賬號，以及最關鍵的口令密碼！

漏洞被曝光后，openSSL迅速發布了更新版本的SSL v1.0.1g，而各大電商網站也迅速對漏洞進行了修復。然而，具有諷刺意味的是，就在漏洞被發現的第二天4月8日，微軟正式停止對旗下經典的操作系統win xp 的服務支持，包括停止提供XP系統補丁和安全更新，也不再解決此后所發現的系統中的新漏洞。這也意味著在國內有超過3億的windows xp終端，包括臺式機、筆記本以及眾多的ATM機設備將比之前面臨更大的病毒和攻擊風險。

相比于互聯網上眾多知名公司對服務器漏洞的迅速響應而言，廣泛分布在各機構內網中的xp機器由于缺乏合適的安全措施，以及分散式難以管理的特性，在遭受新的病毒或其他方式的入侵后更容易引發大面積的網絡癱瘓、植入木馬、文件失密等各種安全事件，從而成為內部網絡管理者的heart bleeding 大患。

2014年，正是準入控制NAC進入中國的第7個年頭，在云計算和大數據轟轟烈烈的引領著行業熱潮的同時，固守著傳統PC-Server模式陣地的廣大政府機構及非IT型企業卻仍然需要面對不斷擴大的終端規模和如前所述的從未減少的終端安全事件。在服務器逐漸武裝到牙齒的同時，網絡邊界處的各種接入點卻日益平民化，如今智能手機已經在機構中大行其道了，而我們甚至對智能機系統的了解還寥寥無幾，更無從談起這些泛濫于四面八方的小盒子的安全性了；一臺oracle數據庫可以保證7*24小時不間斷運行數十年，而從12年前windows xp開始運行至今，我們所管理的眾多計算機卻時不時在考驗著管理者的心理素質。

一方面是上級文件和規章制度的三令五申，另一方面卻是員工參差不齊的入網操作素質和讓人頭疼的大小事故。即便在當前免費殺毒軟件隨處可見的情況下，能夠保證內部所有計算機都安裝了殺毒軟件的機構也并不普遍，對于分支機構較多的大型公司和省市縣縱向管理的各級政府機構而言則更是如此。

所以，一方面我們需要高高在上的云，希望能夠將我們價值連城的數據和資源束之高閣，恨不能模糊得連個基礎的影子都不讓人觸到；另一方面我們又需要網絡準入控制這樣能辦點實事的安全力量，即使非法行為和非法接入想盡辦法與我們失聯，我們也能在角角落落里將他們揪出來并樹立好邊界的無數道防火墻。即使未經察覺和發現的漏洞會導致第二個、第三個以至更多的“heartbleed”， 我們也可以依靠分布廣泛的NAC力量在機構IT框架輪廓上所劃定的安全邊界來持續供給管理者能夠健康運作的heartbeat。

有鑒于此，NAC仍然并且將在很長一段時間內與云計算共同構成機構組網時的兩大必備要素。如果說云計算代表著機構集中化管理的IT未來，那么NAC網絡準入控制就從側面體現了機構在過去、現在和最近幾年內的分散管理的IT安全現狀。2年前盈高科技曾經發布了《2012網絡準入控制（NAC）五大趨勢預測》，其中曾經提到網絡準入控制將與“云”共同組成用戶內網的2大安全體系，在網絡中像“心臟出血”這樣的漏洞頻頻被發現，同時windows xp這樣的平民化操作系統逐漸淡出安全保護范圍的背景下，這個預言仍然會在年復一年的安全浪潮中被不斷兌現。不過，新的形勢下，是不是所有用戶或網絡環境都需要那么齊全龐大的準入功能？敬請關注盈高科技2014年網絡準入行業分析系列的下一篇：《“微”準入的力量》。