如何降低終端對(duì)網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅，要對(duì)終端進(jìn)行相應(yīng)的身份認(rèn)證和安全檢查，實(shí)現(xiàn)一體化的防護(hù)。所有終端在進(jìn)入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認(rèn)證和安全策略檢查，通過(guò)之后才準(zhǔn)許終端系統(tǒng)訪問(wèn)相應(yīng)的業(yè)務(wù)系統(tǒng)，這作為整個(gè)安全認(rèn)證第一關(guān)，如果不符合要求就要進(jìn)行相應(yīng)安全的修補(bǔ)，包括針對(duì)安全策略進(jìn)行檢查，進(jìn)行補(bǔ)丁的下載，進(jìn)行強(qiáng)制殺毒安全權(quán)限的補(bǔ)任，修補(bǔ)之后又進(jìn)行安全檢查，這樣形成一體的循環(huán)。終端安全管理主要包含以下模塊：

1、網(wǎng)絡(luò)接入控制模塊

        傳統(tǒng)上來(lái)講，在企業(yè)單位中終端接入網(wǎng)絡(luò)是沒(méi)有任何控制的，在終端接入網(wǎng)絡(luò)后，在網(wǎng)絡(luò)層是可以訪問(wèn)任何網(wǎng)絡(luò)中的主機(jī)。這樣的話就帶來(lái)了很大的風(fēng)險(xiǎn)．然而，根據(jù)工作相關(guān)原則和最小權(quán)限原則，網(wǎng)絡(luò)接入控制可以實(shí)現(xiàn)以下功能：

        1)終端在接入網(wǎng)絡(luò)之前必須經(jīng)過(guò)身份認(rèn)證；

        2)終端在身份認(rèn)證后根據(jù)相應(yīng)的權(quán)限確保只能訪問(wèn)相應(yīng)的系統(tǒng)，比如市場(chǎng)的員工如無(wú)工作需要不能訪問(wèn)財(cái)務(wù)系統(tǒng)的網(wǎng)絡(luò)；

        3)終端在接入網(wǎng)絡(luò)后可以進(jìn)行限流，確保這個(gè)終端在中了病毒以后，不會(huì)影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備；

        4)對(duì)于沒(méi)有合法身份的終端進(jìn)行強(qiáng)制隔離，不允許接人公司的網(wǎng)絡(luò)。

2、終端策略強(qiáng)制模塊

        終端策略強(qiáng)制模塊是安全管理通過(guò)技術(shù)手段貫徹執(zhí)行的具體體現(xiàn)，只有符合公司策略的終端才能接入網(wǎng)絡(luò)。企業(yè)單位可以根據(jù)自身特點(diǎn)定制安全策略，通過(guò)策略強(qiáng)制來(lái)確保所有終端執(zhí)行公司的策略，否則強(qiáng)制隔離。

3、終端行為審計(jì)模塊

        終端行為審計(jì)模塊可以幫助公司安全人員對(duì)安全策略的執(zhí)行情況進(jìn)行檢查分析，用戶也可以通過(guò)工具進(jìn)行自檢。

        1)用戶可以自助檢查終端是否符合公司的策略，如果不符合，可以按照提示先行修復(fù)；

        2)審計(jì)員可以通過(guò)工具下載審計(jì)任務(wù)，自動(dòng)檢查出不符合公司策略的終端；

        3)審計(jì)員可以監(jiān)控終端的可疑行為，如使用USB硬盤等；

        4)可以方便公司進(jìn)行資產(chǎn)管理。