终端安全解决方案

基于“金财工程应用支撑平台”构建财政一体化信息系统终端安全建设项目实施方案年月目录_____________________________________________________________________________________________________1终端安全管理概述..................................................01.1终端安全概述................................................02风险与需求分析....................................................12.1网络资源的非授权使用或者授权滥用............................12.2因安全管理不善，引发的IT资源不可用或者资源损失.............12.3非法接入带来的网络安全威胁..................................22.4移动介质和外设端口的管理....................................22.5终端行为控制与上网行为监控..................................22.6客户机自身存在安全缺陷，导致网络内部安全隐患................33终端安全管理需求..................................................34终端安全管理发展趋势..............................................55终端安全产品选型..................................................65.1选型原则....................................................65.2系统功能介绍................................................85.2.1桌面安全管理..........................................85.2.2存储、外设管理.......................................105.2.3安全准入管理.........................................115.2.4非法外联监控.........................................125.2.5补丁分发管理.........................................125.3系统组成...................................................146系统部署.........................................................146.1部署位置...................................................146.2部署方式...................................................147系统功效.........................................................157.1接入控制...................................................157.2存储、外设管理.............................................167.3非法外联...................................................167.4终端使用行为...............................................177.5补丁分发...................................................178成功案例.........................................................178.1典型应用...................................................171终端安全管理概述终端安全，分为桌面安全、内网安全、准入控制，随着安全技术和攻击技术的发展，越来越被网络管理者所重视。方案从桌面安全的必要性出发，论述终端安全的建设方法，并给出建议的产品选型和系统建设方案，为财政局安全建设提供完善的解决方案。1.1信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，使人们在一边享受着网络所带来的便捷，一边又不得不承受着网络安全问题带来的隐痛。2006年公安部公共信息网络安全监察局对7072其中发生网络安全事件的比例占58%。从这些数据我们看到，网络安全已成为阻碍网络应用的关键所在，要使企事业的IT资源能够得到有效的利用，首先需要解决的是基本的网络安全威胁。值得欣喜的是，网络安全得到越来越多人的重视，已经有许多企业在网络边界部署了防火墙，网络中安装了杀病毒软件，部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。然而，这些安全措施并没有对内网，尤其是没有对各个计算机终端进行有效监控，从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题，更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。事实上，堡垒最容易从内部攻破！目前，比较流行或者说应用比较广泛的一些网络安全系统主要有：防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全威胁，并不能够解决大部分内部杀病毒的定位更为清晰和专业，就是针对病毒等恶意代码的攻击，而不能管理内部网络行为和设备的应用等等。他们都不是专业的内网安全管理工具，不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款工具。我们都知道，进行网络安全体系建设，要综合考虑、注重实效，在我们考虑防火墙、杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为，因为这些才是网络安全面临的最大威胁，也是网络安全的最大挑战。最理想的状态是，我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁，并组织相应的技术、产品以组合方案的方式，统一解决；既考虑到投入成本与效益之比，又能最大程度上避免“木桶原理”的安全诅咒。2风险与需求分析间、什么地点做什么类型的事情。也就是说，区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户，会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网，但员工却能想出了很多办法，实现在上班期间也能上网；还比如，某员工无权访问单位的业务数据库，他通过攻击、欺骗等等手段，获得了访问数据库的机会；至于网络资源滥用的实例就不胜枚举了：有权上网的员工，没有利用互联网去开展业务，而是在下载电影、玩游戏等等，非工作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况，然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。行不力。比如，我们规定在某一些工作计算机上，不能安装运行某些软件，可是还是有人安装了；对内部网络的IP/MAC地址，做了统一的部署，可是还是有人任意的修改；任意的将非本网络的设备接入内部网络；任意添加或删除各种硬件设备、修改网络属性等等，这些行为都应该得到彻底的规范。财政局网络信息网络中计算机数量众多，型号多样，各种计算机造成配置的多样性，对统一管理造成很大负担。靠手工方式无法对上万台计算机进行有效管理。疏于管理可能造成：用户自行修改硬件配置，包括更改CPU、内存、安装未经授权的硬件设备等；用户自行修改软件配置，包括操作系统、应用系统、私自安装软件等；用户自行修改网络配置，包括修改IP地址、掩码等这些未经授权的改动轻则造成系统效率降低、挤占正常应用，严重的会造成教育应用系统的正常运行，更为甚者，修改IP地址可能对网内其他计算机造成威胁。由此，分析出以下需求：补丁版本、安装程序等软件信息入网络，以免对网内其他计算机造成危害监控包括IPIP地址等网络配置符合既定的安全策略。一旦用户自行修改立即阻止，将IP地址等网络配置恢复为原有配置，并及时向网络管理员报警。财政局网络计算机众多，很多计算机没有及时及时安装系统关键补丁、防病毒系统等关键安全保障系统，存在极大安全隐患，更有一些用户私自进行一些非法的操作或设置，使计算机处于非常危险的状态，对这些计算机，应有一套自动的机制，在其准备接入网络的时候进行阻断，防止其接入网络、对网络内其他计算机造成损害。阻断管理还可以帮助管理员对病毒暴发等事件的处理提供帮助，可以快速定位事故源头，及时解决问题。完善的接入管理，可以对笔记本电脑这类移动办公用户进行很好的控制，防止笔记本电脑在不同网络环境中的使用，防止将外网等低安全区域内的危害带到内网。财政局网络情况复杂，用户情况参差不齐，U盘等移动介质可以在不同计算机之间进行数据传递，而同时会将病毒、木马等安全隐患带入网络中，并可能造成数据失密等安全性缺失。因此，需要对U盘等移动介质进行管理，使其按照既定的安全策略进行访问，从而避免通过U盘等移动介质进行非法操作。另外，光驱等外设和网络端口同样存在访问控制的需求，否则，对外设和端口的滥用可能导致系统失密甚至崩溃。因此，同样需要对外设和端口进行访问控制，按既定安全策略进行访问，防止越权的不安全情况发生。对网络端口的管理还可以对网络异常流量进行管理和控制，对一些异常的大网络流量的计算机，可以向管理中心报警，并根据安全策略通过阻断其接入网络的方法防止其对网络产生危害。不良信息。而且，滥用外网可能挤占网络带宽，降低内网正常应用对网络带宽的需要，极大影响教育网络的工作效率。为此，有必要对财政局网络内用户的上网访问行为进行有效控制，对其访问外网的访问请示进行甄别，对正常的应用访问予以放行，而对不良信息的访问则予以拒绝，并进行记录。这些记录可做安全审计的数据源。另外，用户私自在计算机中运行一些与业务无关的程序，也会对正常应用造成挤占、降低效率，应该通过桌面安全管理系统对终端计算机运行的所的程序进行检测，并根据既定安全策略判断所运行的程序是正常程序还是非法程序，正常程序可予以放行，而拒绝非法程序的运行，从而最大程序保障业务系统的效率。引发蠕虫病毒等威胁，病毒和攻击者可能利用这些漏洞对计算机和网络造成攻击，严重者可获得网络内较高权限，造成系统的信息失窃、被破坏、可用性降低等危害，具有极大的威胁性。漏洞的及时修补是提高系统安全性必须要保证的。为此，需要在系统中建设一套有效的补丁分发机制：管理员整体管理文件，在终端计算机需要进行补丁分发时及时提供下载安装自动或手动重启计算机向管理中心报告补丁分发过程和记录，并形成报表为了有效保证补丁分发，系统还应考虑：补丁安装失败后，应有回退机制，将指定的补丁卸载，使系统回复到未安装补丁时的状态，以保证系统正常运行效的流量控制机制减少对网络的负荷补丁分发应支持断点续传3终端安全管理需求本方案将财政局网络中存在的内网安全管理需求归结为六大类：保护机密文档资料要时制定安全策略阻止用户对文件的访问记录文件操作时的屏幕，提供给网络管理员进行审计监控限制使用移动存储设备，防止通过移动存贮设备进行信息泄密限制网络接口的使用防止滥用局方电脑禁止浏览工作无关网站客观评估员工工作态度自动生成、发送邮件报告4终端安全管理发展趋势本方案以业界较为流行的终端（桌面）五步安全法（PTRRM）为代表，简述如下：➢定义安全策略终端五步安全法的第一步是制定安全策略，安全策略反映了一个组织管理层对信息安全的认识，是组织安全建设的最高纲领，是一切信息安全保障活动的基础和出发点，一个组织的安全策略可能包括很多层次，覆盖组织安全体系建设的方方面面，如标识与鉴别策略、访问控制策略等等，终端安全策略在其中占有重要的位置，是组织终端安全建设的基础，终端安全策略包括：终端资产命名与统计策略、终端系统补丁管理策略、终端用户访问控制及行为监控策略、终端入侵防护策略、终端用户完整性检查策略、移动用户及第三方远程接入安全检查策略、终端用户安全状态强制认证及网络准入控制策略等等；选择使用工具➢有了安全策略后，如何有效的贯彻执行，而不使策略成为一纸空文，这就需要选择和使用适当的工具，作为信息策略的载体和强制执行的手段；工具应该能够进行集中管理，从一个点集中管理全网所有终端用户，并采用强制的手段来贯彻执行安全策略。➢生成访问控制策略并强制执行有了安全策略和安全工具以后，还要根据安全策略的内容，生成具体的、符合特定终端用户群体实际安全保护和管理需要的访问控制策略，比如允许终端用户进行那些网络访问操作，限制对特定网络和主机的访问等等，然后通过安全工具载体下发到所有客户端并强制执行，确保策略是适合终端安全管理需要的并得到了完整的执行。➢建立自动修复流程由于终端环境的复杂性，总会有一些终端会出现问题，例如一台新入网的终端，可能因为疏于防范而被蠕虫感染或被黑客安装了后门，当这样的终端接入网络后会给网络带来安全风险，对这样的用户可以简单的拒之于门外，但也带来访问的不便利性，不符合互联也就是检查终端的安全配置和安全级别与本组织安全策略的符合性程度，是否存在差距，如果有，可以采用隔离或自动修复机制，比如首先强制终端打最新的补丁，强制终端将防病毒系统的特征库升级到最新版本，安装并运行特定的安全防护程序，以及检查帐户和口令配置，从而提高终端的安全级别并达到组织的安全策略要求，这样就保证安全策略在所有位置都得到了执行，不至于因为一台终端出现问题而扩散到整个网络。➢监控策略符合性安全是一个动态的持续的过程，而防护和策略则是静态的，为了保证对安全策略的遵守，需要对策略的执行情况进行持续的监控，对违反安全策略的行为进行阻断或报警，以及记录后台数据库进行保存以备安全审计之用，并及时通知系统管理人员。5终端安全产品选型本方案着重在以下功能中进行产品选型。功能点终端用户和权限查看终端用户密码修改终端禁止访问的外部端口配置终端禁止被访问的内部端口配置防病毒软件检测终端用户变化审计文件访问审计与管理上网行为审计与管理程序使用审计与管理即时通讯程序（MSN，QQ）审计与管理网络端口通信审计网络共享审计与管理终端用户屏幕抓取与审计打印行为审计与管理终端运行进程管理终端软件和自启动组管理桌面消息通知远程锁定计算机遵循CSC关联安全标准，通过防火墙/网闸/UTM联动阻止终端计算机的网络通信禁止用户使用设备管理器禁止用户打开网络属性禁止快速用户切换禁止打开IE属性主机运维进程异常监控终端上线离线时间统计禁用软驱禁用移动存储设备设置移动存储设备只读对移动存储设备进行认证禁用串口和并口禁用SCSI接口禁用蓝牙设备禁用调制解调器禁用USB接口禁用1394接口禁用PCMCIA插槽在线/离线策略对在线/离线状态配置不同的安全策略在线主机检测对非法主机阻断网络连接IP/MAC地址绑定设置信任主机遵循CSC关联安全标准，通过防火墙/网闸/UTM联动阻止非法主机的网络通信连接非法主机监控禁止连接非法主机服务器与客户机进行认证，防止非授权使用服务器与客户机之间采用加密通信控制台支持分级、分组、分权限管理对系统发送的报警邮件内容进行加密对备份数据进行加密提供自动备份功能支持多种备份装置(如磁带机、CDRW、DVDRW、网络驱动器)采用高性能后台数据库支持高性能数据压缩和数据传输，降低数据大小及传输时间采用快速客户机并发轮询技术对客户机网络流量进行控制客户端程序兼容Windows系列操作系统客户端程序功能客户端程序卸载必须通过控制台客户端程序具有反安装保护功能单独安装客户端安装方式域安装WEB安装用户及权限管理安全策略配置告警设置与管理日志查询报表统计5.2.1桌面安全管理桌面安全管理主要完成对终端计算机的桌面行为监控、审计和管理。系统可以对终端计算机上的文件访问、上网行为、程序使用、端口通信、网络共享、打印等行为进行审计流量管理等管理操作。桌面安全管理包括桌面安全及审计和桌面管理与运维两个部分。5.2.1.1桌面安全及审计➢桌面用户、权限和密码管理系统可以查看终端计算机上所有的用户及其权限，并可以远程修改用户密码以增强其密码安全性。➢终端计算机端口管理系统为终端计算机提供了主机防火墙功能，可以统一设置终端计算机的本地/远程端口访问策略，屏蔽不必要的网络端口，提高终端计算机安全性。➢防病毒软件管理系统可以检测终端计算机上是否安装有防病毒软件，对于未安装防病毒软件的终端计算机可以进行访问限制，以确保其安全性。➢终端用户变化审计全策略产生报警信息。➢文件访问审计与管理系统可以记录用户对终端计算机上各种文件和文件夹的访问和操作情况，并可以根据安全策略禁止对指定文件的操作。➢上网行为审计与管理系统可以记录终端计算机访问网站的情况，产生统计图表供管理员查看，并可以阻止终端计算机访问指定的网站。➢程序使用审计与管理系统可以记录终端计算机上各种程序的运行和操作情况，并可以根据安全策略禁止运行指定程序。➢即时通讯程序审计与管理系统可以记录终端计算机上等即时通讯程序的运行情况，详细记录其会话内容，并可以根据安全策略禁止用户使用MSN和QQ程序。➢网络端口通信审计系统可以对终端计算机的网络端口与协议使用情况进行监测和审计。➢网络共享审计与管理系统可以记录终端计算机上所有的共享文件夹，并可以远程关闭共享文件夹。➢终端用户屏幕审计➢打印行为审计与管理系统可以监测终端计算机的打印事件，记录日志并根据策略产生报警信息。系统可以禁止终端计算机的打印操作。5.2.1.2桌面管理及运维➢进程运行管理系统可以实时报告终端计算机上运行的进程，并可以远程关闭指定进程。➢软件和启动组管理系统可以记录终端计算机上安装的软件和随操作系统启动自动运行的软件，并可以远程管理自动运行软件。➢桌面消息通知系统可以根据管理员的设置，在指定的一台或者多台终端计算机上产生桌面消息通知，该消息会立即弹出在用户桌面上，对用户进行提醒。➢远程计算机管理系统可以远程对终端计算机执行锁定、注销、重启、关机等操作。➢远程协助管理员可以向终端计算机发送一个远程协助请求，通过用户许可后，可以接管远程用户的桌面操作，帮助用户解决问题。➢远程控制管理员可以远程直接控制终端计算机，接管远程终端的桌面操作，进行桌面管理或者帮助用户解决问题。➢网关设备联动系统遵循CSC关联安全标准，可以同防火墙/网闸/UTM等网关设备联动。当终端计算机发生违反安全策略的行为时，例如未安装防病毒软件，使用不被许可的程序，访问不合法网站等，系统可以和防火墙/网闸/UTM等进行联动，阻止终端计算机用户的网络访问。➢系统设置管理作对计算机安全造成影响或引入安全风险。➢网络连接与流量管理系统可以监控终端计算机网络接口的连接状态和终端计算机的网络流量情况，对于在单位时间内超出流量阈值的终端计算机，系统可以自动对其采取网络阻断等限制措施，防止其过度占用网络带宽。➢终端运行统计系统可以记录终端计算机的运行状况，上线和离线时间等信息，以便对计算机的使用情况进行统计分析。5.2.2存储、外设管理外设与接口管理主要对终端计算机上各种外设和接口的使用进行管理。系统可以禁用终端计算机的各种外设和接口，防止用户非法使用。对于移动存储设备的禁用，可以在禁止使用通用移动存储设备的同时，允许使用经过认证的移动存储设备。➢存储设备禁用磁带机、Flash存储设备（优盘及MP3接口）等。➢设置移动存储设备只读➢移动存储设备认证管理员可以通过系统对指定的移动存储设备进行认证，将认证信息存储在系统中，同时将认证信息下发到指定的终端计算机上，经过认证的移动存储设备可以在指定的终端计算机上进行使用。➢外设和接口禁用红外设备、调制解调器、USB接口、1394接口、PCMCIA插槽等。➢在线/离线策略管理管理员可以分别设置在线和离线两种安全策略对终端计算机的外设和接口进行管理。在线策略在客户端和服务器能够通信时生效，离线策略在客户端无法和服务器通信时生效。通过对在线/离线两种状态设置不同的安全策略，系统可以对笔记本等移动办公设备提供更加灵活实用的管理。5.2.3安全准入管理➢在线主机监测系统可以通过监听和主动探测等方式检测网络中所有在线的主机，并判别在线主机是否为经过系统授权认证的信任主机。➢主机授权认证防病毒软件安装和运行情况等信息，进行网络授权认证，只允许通过授权认证的主机使用网络资源。➢非法主机网络阻断对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法对网络进行攻击或试图窃密。➢IP和MAC绑定管理系统可以将终端计算机的IP地址和MACIP地址，并在用户试图更改IP地址时，产生相应的报警信息。➢信任主机和超级主机管理管理员可以根据内网用户的实际情况，指定信任主机和超级主机。信任主机无需安装客户端，但被系统视作合作主机，并可以同内网中的合法主机通信。超级主机也不需要安装客户端，并可以不受限制地同内网中的任意主机进行通信。➢网关设备联动系统遵循CSC关联安全标准，可以同防火墙/网闸/UTM等网关设备联动，共同防止非法计算机接入到内部网络中。对于非法接入的计算机，系统可以通知防火墙/网闸/UTM等阻断其网络访问行为。5.2.4非法外联监控非法外联监控主要用于发现和管理内网用户非法建立通路连接互联网或非授权网络的行为。通过对非法外联的监控管理，可以防止用户非法访问互联网或非信任网络资源，并防止引入安全风险或导致信息泄密。➢终端非法外联行为监控系统可以发现终端计算机试图访问非授权网络资源的行为，如试图与未通过系统授权拨号等方式连接互联网等。对于发现的非法外联行为，系统可以记录日志并产生报警信息。➢终端非法外联行为阻止系统可以禁止终端计算机与未通过系统授权许可的终端计算机进行通信，可以禁止终端计算机的拨号上网行为。5.2.5补丁分发管理补丁分发管理主要完成对终端计算机的系统补丁检测和补丁分发安装，增强终端计算机的健壮性。管理员也可以自定义软件分发，完成用户应用系统的软件和补丁管理。➢终端计算机漏洞自动分析系统可以自动对终端计算机上存在的安全漏洞进行检测，将检测结果上报到服务器。➢补丁分发系统可以根据终端计算机上存在的安全漏洞分析出缺少的系统补丁，也可以由用户自己选择补丁，将补丁下发到终端计算机进行安装。补丁分发方式可支持强制安装和通知安装两种方式。补丁安装方式可支持静默安装和非静默安装两种方式。系统允许管理员添加自定义补丁并下发到终端计算机。➢补丁分发策略管理管理员可以设置补丁分发策略，实现对终端计算机补丁的自动分发管理。管理员可以按照终端计算机所缺少补丁的风险级别，制定不同的分发和安装策略。➢补丁完整性和兼容性测试系统可以利用补丁的数字签名等信息验证补丁来源的可靠性和完整性。管理员可以通过挑选网络中的典型应用主机作为测试组计算机来进行补丁兼容性测试，在确认补丁无兼容性问题后再进行全网分发，从而减少补丁应用风险。➢补丁回退系统可以查看终端计算机上已经安装的补丁，并允许建立补丁回退任务来实现补丁的远程卸载，从而辅助解决补丁安装后出现的问题。➢补丁增量更新系统可以检查服务器上的当前补丁信息是否为最新，如果不是最新，系统能自动分析出当前补丁和最新补丁的差异，并下载和导入补丁差异部分，实现补丁的增量更新。➢补丁管理管理员可以添加自定义补丁文件，并对自定义补丁文件进行管理，对自定义补丁的管理可支持添加、删除、查询和信息修改等操作。➢软件分发管理员可以添加自定义软件，并下发到终端计算机。下发文件的类型可以支持任意格式的文件类型。对于可执行程序，终端计算机能够自动执行，对于非可执行文件，终端计算机能够自动使用关联程序打开。➢计划任务管理员可以通过补丁分发的计划任务设置补丁分发范围、分发策略和分发时间等参数，将补丁分发时间安排在非业务流量高峰期进行，尽可能降低对用户正常业务流量的影响，同时也可以减轻管理员的工作量。➢流量控制在进行大规模补丁分发时，为了避免过多占用网络带宽，影响用户正常的业务流量，需要对网络流量进行有效的控制。系统支持采用多种方式进行流量控制：分发线程数调节：通过调节分发线程数目，实现对流量的限制。管理员可根据网络状况调节分发线程数目。带宽控制：可以对补丁服务器的带宽进行控制，同时也可以对每一个分发线程的带宽进行控制。点对点文件传输：通过服务器的任务调配，终端计算机上客户端之间可以进行点对点（P2P）文件传输，这样可以大大节约服务器端的网络流量，降低服务器端的网络带宽瓶颈，增强服务器的负载能力。➢级联功能补丁分发服务器可以支持无限级联功能，下级补丁分发服务器可以自动从上级补丁分发服务器获取最新的补丁信息。只要保证根服务器的补丁是最新的，所有下级补丁分发服务器都可以自动获得更新。对于大型网络，单台补丁分发服务器难以满足补丁分发需要，通过部署多台支持级联功能的补丁服务器，可以很好地满足大型网络的补丁分发与管理需求。补丁分发服务器的级联还可以很好地支持安全域管理。联想网御LeadSec内网安全管理系统由服务器、控制台、客户端三部分组成。服务器提供终端安全管理服务，通过控制台进行服务器操作，监控所有主机、设定安全策略。客户机作为被管设备，在其上部署终端安全管理客户端程序，接收、同步服务器上的安全策略，并根据安全策略对客户机进行监控。6系统部署服务器部署于主干网络的服务器上。控制台部署于方便管理员操作的网络位置，可直接使用Web浏览器进行控制管理。客户端部署在每一台被管客户机上。服务器和控制台采用旁路连接方式接入网络，向全网提供终端管理服务。旁路连接方式可以减少单点故障点，保证系统的可用性。客户端在客户机上安装部署后，进驻操作系统核心，与操作系统内核捆绑，具有很高的安全级别，可以监控客户机上发生的一切安全事件。财政局目前网络很多是由不支持802.1X协议的交换设备搭建而成。对于这种网络环境，为实现终端准入、安全检查、用户授权、行为记录等安全准入控制，需部署联想网御的防火墙在网络的边界与内网安全管理系统进行联动，对终端用户网络访问进行控制，同Internet7系统功效员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经审查就接入企业内网，可能对内网安全构成巨大的威胁。在终端安全实施的过程中，虽然可以从客户端的角度进行很多技术工作来防止被卸载的情况出现，但是最根本的推行终端安全管理的方式是结合准入控制来实现。不安全和私自卸载客户端的用户将被限制对网络的使用，这样就逼迫终端用户接受统一的管理。同时完善的接入管理还可以对安全策略不完善的客户端进行接入控制，防止薄弱的主机接入网络，避免了被控制和干扰其他主机的情况的出现。通过部署联想网御内网安全管理系统的安全接入模块与防火墙进行联动，可以对接入网络的所有计算机进行有效管理。联想网御内网安全管理系统的安全接入模块针自动对接入计算机的合法性进行鉴别，合法计算机将通告防火墙允许其接入网络，非法计算机将被防火墙阻断在网络之外，直到非法计算机获得或恢复合法身份才能接入网络，与网络内其他计算机、网络设备进行通信。联想网御内网安全管理系统的安全接入模块可以方便地进行部署，不依赖于交换机设备，也不用更改网络拓扑，提供最大的兼容性。同时，支持使用HUB设备的网络环境。通过部署联想网御内网安全管理系统可以禁止使用非授权的存储设备（如：软盘、移打印机设备、详细记录终端PC文件的使用操作、禁止非授权的网络访问。这些措施严格控制了信息输出渠道，对计算机的各种设备进行管理，包括存储设备（软驱、光驱、刻录总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口）及文件打印控制，使信息流向受到控制，保证信息不被随意外泄。与此同时，本系统还详细记录终端PC用户对文件的各种操作，包括对文件的创建、打印、访问、复制、改名、恢复、删除、移动等，方便事后查阅。管理者还可以选择记录终端PC的屏幕快照，根据需要播放操作记录。设的管理，能够全面防止重要信息外泄。通过部署联想网御内网安全管理系统可以详细记录内部人员日常的网络活动，可以防止非法的外部连接，通过封堵聊天（如QQ、MSN等）、网络游戏、股票等程序，限制上网站点，从而规范员工的网络行为，使网络资源得到有效利用。具体功能包括：禁止非授权的电脑访问网站、禁止授权电脑访问非授权的网站、实时监