UAC的架構(gòu)基本上是由三個(gè)主要的組件所組成，包含了Policy Server (政策服務(wù)器，即控制器)、Agent（代理器）以及 Enforcer（執(zhí)行器）。政策服務(wù)器（控制器）的作用是檢查從網(wǎng)絡(luò)接入裝置轉(zhuǎn)送來(lái)的端點(diǎn)安全憑證，判定并給予其適當(dāng)?shù)慕尤霗?quán)限 (如允許進(jìn)入、隔離或拒絕進(jìn)入)；Agent 的功能在于搜集端點(diǎn)的安全信息與設(shè)定等信息，并把這些信息傳遞到網(wǎng)絡(luò)接入裝置 (Enforcer)；Enforcer 則是強(qiáng)制執(zhí)行的設(shè)備，負(fù)責(zé)阻擋或隔離不符合網(wǎng)絡(luò)政策的網(wǎng)絡(luò)行為。
UAC是業(yè)界對(duì)企業(yè)網(wǎng)絡(luò)更高的安全需求所產(chǎn)生的反應(yīng)，是一種更為全面性的防護(hù)方式，持續(xù)監(jiān)控使用者的聯(lián)機(jī)，而不是單純假設(shè)只要使用者通過(guò)網(wǎng)絡(luò)聯(lián)機(jī)一開(kāi)始的安全和惡意軟件檢查，便不會(huì)做出其它違反安全規(guī)范的行為。基本上，完整而有效的UAC 架構(gòu)應(yīng)該要能提供以下幾個(gè)層面的安全功能：
端點(diǎn)安全狀態(tài)檢查 - 評(píng)估聯(lián)機(jī)裝置的"安全健康狀況"。
零時(shí)攻擊防御 - 主動(dòng)預(yù)測(cè)出潛在威脅，而非只針對(duì)已發(fā)現(xiàn)的威脅做出反應(yīng)。
動(dòng)態(tài)執(zhí)行政策 - 能夠?qū)崟r(shí)對(duì)網(wǎng)絡(luò)上的高風(fēng)險(xiǎn)活動(dòng)立即采取行動(dòng)。
精確進(jìn)行隔離與矯正 - 隔離威脅來(lái)源并排解疑難。
提供網(wǎng)絡(luò)情報(bào) - 提供 IT 管理人員進(jìn)行管理決策所需的信息。
政策決定和政策執(zhí)行 - 將網(wǎng)絡(luò)接入對(duì)應(yīng)至企業(yè)需求。
有了安全沒(méi)了方便?
病毒與蠕蟲(chóng)不斷的透過(guò)網(wǎng)絡(luò)來(lái)影響企業(yè)營(yíng)運(yùn)，因?yàn)樗鴮?dǎo)致企業(yè)必須面對(duì)停工、恢復(fù)所需費(fèi)用、無(wú)止盡的修補(bǔ)、公共責(zé)任、收入損失等等。零時(shí)差攻擊表明了，系統(tǒng)安全更新 (patch) 遠(yuǎn)跟不上脆弱的系統(tǒng)被攻擊的速度，往往系統(tǒng)在安全管理者提供最新的更新碼 (patch、病毒碼) 前就已經(jīng)遭受了攻擊。UAC 是應(yīng)對(duì)無(wú)所不在的攻擊模式所產(chǎn)生的防護(hù)架構(gòu)，只是，防堵了因?yàn)閳D一己之便所衍生出的網(wǎng)絡(luò)安全問(wèn)題，卻有可能因此降低了企業(yè)流程的便利性?
企業(yè)在部署 UAC或其它安全防護(hù)機(jī)制時(shí)，一定要在安全維護(hù)與使用便利性上取得平衡。根據(jù)知名研究機(jī)構(gòu) Current Analysis調(diào)查指出，企業(yè)在部署安全防護(hù)方案時(shí)有四點(diǎn)基本的考慮與需求，第一個(gè)要求是部署簡(jiǎn)單，可以快速完成；第二個(gè)考慮是開(kāi)放標(biāo)準(zhǔn)，也就是希望未來(lái)新的解決方案要能支持各端點(diǎn)的安全需求，要能整合各種增值應(yīng)用，如此才不會(huì)被特定安全提供商所牽絆住，各項(xiàng)產(chǎn)品才有機(jī)會(huì)整合成一個(gè)完美的防護(hù)機(jī)制；第三個(gè)考慮則是希望除了內(nèi)部員工之外，包括合作廠商、訪客等在進(jìn)入企業(yè)網(wǎng)絡(luò)范疇之前都能夠受到管控；最后一項(xiàng)則是，希望能夠分階段部署這些安全機(jī)制與設(shè)備，不管是按照部門(mén)或是依照網(wǎng)絡(luò)層的不同來(lái)分段設(shè)置，也希望能夠整合不同時(shí)間所設(shè)置的安全設(shè)備。
接入控制機(jī)制除了要針對(duì)內(nèi)部員工之外，也常需針對(duì)外在的訪客來(lái)作出反應(yīng)。目前，一些先進(jìn)的科學(xué)園區(qū)中許多企業(yè)在訪客攜帶筆記本計(jì)算機(jī)進(jìn)入公司之前，都會(huì)要求其填寫(xiě)一份安全防護(hù)問(wèn)卷表，若是填寫(xiě)的問(wèn)卷表中顯示，訪客沒(méi)有符合該公司的安全防護(hù)規(guī)定，如未安裝某些防毒軟件等，常會(huì)被要求須在特定區(qū)域等候負(fù)責(zé)人員替訪客執(zhí)行筆記本計(jì)算機(jī)的掃毒動(dòng)作，確認(rèn)安全無(wú)虞之后才準(zhǔn)在企業(yè)內(nèi)部上網(wǎng)。如此的安全維護(hù)動(dòng)作雖然很確實(shí)，但卻是非常不方便，除了會(huì)增加企業(yè) IT 人員的負(fù)擔(dān)外，也耽誤到訪客的寶貴時(shí)間。
平衡方案與未來(lái)趨勢(shì)
有了安全就沒(méi)了方便，要方便使否就要忽略安全呢?有企業(yè)開(kāi)始使用無(wú)代理的方式來(lái)平衡便利接入與安全防護(hù)這兩個(gè)難以取舍的網(wǎng)絡(luò)安全議題(下圖)。許多企業(yè)開(kāi)始以較簡(jiǎn)易而不用直接安裝防護(hù)機(jī)制的方式來(lái)做到安全與便利性的并重；譬如當(dāng)外來(lái)訪客上網(wǎng)準(zhǔn)備進(jìn)入內(nèi)網(wǎng)體系時(shí)，類(lèi)似UAC架構(gòu)中Enforcer（執(zhí)行器）的機(jī)制，若發(fā)現(xiàn)訪客電腦尚未安裝某些防毒程序或是病毒碼未更新等違反企業(yè)安全規(guī)范的狀況，便會(huì)自動(dòng)將其導(dǎo)引至某些特定的網(wǎng)頁(yè)，讓其自動(dòng)可以更新病毒碼，或是干脆讓其只能接入特定網(wǎng)頁(yè)，而無(wú)法接入企業(yè)網(wǎng)絡(luò)內(nèi)的資源，這就是系統(tǒng)的矯正以及隔離功能。

圖2-靈活、標(biāo)準(zhǔn)的接入控制

隨著可選擇的網(wǎng)絡(luò)連結(jié)方式增加，企業(yè)網(wǎng)絡(luò)的發(fā)展正逐步擺脫傳統(tǒng)的思考模式與過(guò)去的約束。現(xiàn)在的企業(yè)開(kāi)始認(rèn)識(shí)到，互聯(lián)網(wǎng)聯(lián)機(jī)的普遍性所帶來(lái)的彈性和賦予的能力，必須與完善詳盡的安全措施達(dá)到一個(gè)平衡點(diǎn)，以保持企業(yè)的優(yōu)勢(shì)不受到負(fù)面影響。UAC 技術(shù)可說(shuō)是應(yīng)對(duì)此種趨勢(shì)適時(shí)發(fā)展出來(lái)的技術(shù)，不但可解決目前及正在浮現(xiàn)的遠(yuǎn)程安全接入的需求，還可能成為接入控制機(jī)制的公認(rèn)標(biāo)準(zhǔn)，完全改寫(xiě)目前有關(guān)使用者應(yīng)該如何接入重要企業(yè)信息的想法。只是，對(duì)于UAC的架構(gòu)，業(yè)界標(biāo)準(zhǔn)尚未完全確定，TNC 等團(tuán)體的出現(xiàn)，為開(kāi)放標(biāo)準(zhǔn)的統(tǒng)一撥開(kāi)的一道曙光，也讓企業(yè)網(wǎng)絡(luò)安全的建構(gòu)，有了更大的未來(lái)性。