從歷史上看，企業安全策略通過書面或電子郵件傳播，并指望用戶遵守，但是遵從性難以執行。利用網絡訪問控制（NAC）實現自動化執行是可能的。但是，必須想清楚策略執行在實踐中的含義。

令人吃驚的是，盡管出現了各種有關NAC的炒作，但這個話題卻沒有引起人們的多少注意，而它卻可能是某個部門取得成功的最重要的決定因素之一。

NAC的目標不是將設備擋在網絡之外，而是確保網絡免受問題設備或非法接入的傷害。

考慮以下策略：所有的計算機必須在72小時內更新殺毒軟件病毒庫，每周掃描病毒，運行防火墻，并且在96小時內安裝操作系統補丁。

一些NAC解決方案使這項策略可以被自動執行，但存在著令人感興趣的部分：如果CEO的計算機病毒特征過時，會將它隔離并執行補救措施嗎？對待郵件服務器是否應當像對待便攜機一樣？答案幾乎總是否定的。

這是因為NAC并不是實現策略執行的全能方式。考慮周全的策略很像是好的新聞報道。它必須回答“誰”、“什么”、“何時”、“何地”以及“為什么”，否則結果可能不能與企業的目標相適應。

從NAC的角度看，“誰”對應于針對用戶和設備的基于身份的決定，如：

● 如果不認識/未經過認證，我該做什么？

● 用戶/設備是至關重要的嗎？

● 用戶可能暴露在威脅之下嗎？

“什么”涉及與問題本質有關的因素：

●  存在對設備或網絡的直接威脅嗎？

● 違規事件是需要立即糾正？還是“很快”糾正就足夠了？

●  這是位客戶嗎？

“何時”包括以下參數：

● 我何時必須解決這個問題？現在，還是將來？

● 一天里有進行某些測試或跳過某些測試的時候嗎？

● 我的行動根據時間的不同而不同嗎？

“何地”對策略具有巨大影響，這些地點包括：會議室、休息廳、修理中心等。

例如，安裝在數據中心或測試試驗室的設備可能應當執行與用于電子郵件或上網沖浪的PC的不同標準。

最后是“為什么”。在NAC中必須存在采取行動的動機。“為什么”高度依賴于企業目標，一些例子包括：

● 記錄執行遵從性規定（如Sarbanes-Oxley法和醫療保險便攜與責任法）。

● 減少因漏洞利用而造成的終端補救/幫助臺費用。

● 消除客戶造成的反復出現的安全問題。

綜合以上觀點，可以考慮一些策略例子：

● 如果地點是數據中心，則每天掃描二十大漏洞（SANS-20）。如果設備未通過掃描，則通知管理員。

● 如果用戶是經理，則允許進入網絡并執行背景審計。如果未通過，則通知管理員。

● 如果是在現場辦公室中，則在允許進入網絡之前進行快速掃描。如果通過，則允許進入網絡，否則隔離并采取補救措施。