大型網絡中的組織和系統結構日益復雜。僅僅依靠傳統的網絡訪問控制無法有效的保障未授權用戶對網絡的訪問和惡意的網絡攻擊，使處于敏感狀態的公共數據和資源受到安全威脅。
在政府、軍隊、社保、大型企業等重要領域發展公共安全戰略，不僅需要對應用系統的訪問權限進行控制而且對計算機終端的訪問控制、安全審計等需求也要不斷提高。隨著基于角色的終端安全訪問控制技術的發展，在大型網絡合分布式環境的廣泛應用，給網絡合分布式系統中的終端訪問控制技術提出了更高的要求。

下面是結合實際產品和案例提出的解決方案：
本方案產品采用的是北京時代億信科技有限公司研發的基于SecureKey（USB智能卡）的終端訪問控制系統（ EETRUST Terminal Access Control System ）。

網絡環境描述：
1)局域網采用域管理方式，通過域策略控制用戶使用權限。
2)擁有多個域，部分部門有獨立的域。
3)用戶劃分為：公司員工、外地員工、外地出差員工和外來訪客。
4)服務器：文件服務器、郵件服務器、數據庫服務器（Oracle）等
5)員工對網絡信息安全的意識不高，加入域受管理的意愿不強。
6)服務器操作系統：Windows / Linux

網絡安全需求：
1)客戶端采用CA證書認證，替換傳統用戶名+口令的方式，證書隱藏在SecureKey（USB智能卡）中。
2)系統采用基于證書形式的登錄身份識別。
3)系統采用基于角色的終端安全訪問控制技術，授予不同的用戶享用局域網內不同的系統使用權限和級別。
4)對客戶端光驅、軟驅、打印機等計算機外置設備的使用控制。
5)對每日增減的大量客戶端進行快速部署。
6)基于WEB管理界面，具備用戶的集中管理和監控、訪問策略制定操作日志和審計。
7)對定制文件的加密和解密。

終端控制系統拓撲圖： 

圖1

登錄控制：
通過局域網管理員在訪問控制服務器上配置，可以授權不同的用戶對終端的訪問控制，實現MAC+IP+SecureKey的綁定；對終端機的訪問采用軟硬件結合的方式進行認證：企業局域網內的每個終端用戶都有自己的數字證書，證書存放在SecureKey（USB智能卡）中，用戶登錄個人PC必須使用SecureKey，一旦將SecureKey從計算機上拔出，系統會自動鎖定或注銷。這樣有效的防止了局域網內非法使用機器；

進程訪問控制流程
1)用戶通過登錄控制軟件認證進入Windows操作系統，并記錄該用戶的身份，進程控制軟件隨Windows自動啟動；
2)進程控制軟件根據用戶身份從終端訪問控制服務器查詢并取回進程控制策略，然后在本機緩存；
3)用戶啟動某一進程時，進程控制軟件檢查本機緩存的進程控制策略，如果不允許運行該進程，則結束該進程并提示。
4)實現對終端的存儲設備（光驅、軟驅及USB接口等）的安全管理；
通過對系統平滑升級，滿足了客戶對信息安全的需求，實現多域多用戶的集中管理；網絡信息的加密傳輸和加密存儲；對登錄的不同用戶分角色管理；客戶端軟件硬件的控制等。