随着互连网技术的发展,网络安全问题日益严重。据统计每年全球计算机网络遭受的攻击和破坏80%是内部人员所为。因此,终端安全问题已经成为保证网络安全所面临的最大问题。本文通过对网络安全现状的研究与分析,提出终端准入控制系统,并给出了核心模块的设计与实现。该系统致力于解决来自网络内部的威胁,从用户终端准入控制入手,通过客户端、安全策略服务器、安全联动设备以及安全修复服务器,对接入用户终端强制实施安全策略检查、实时监控,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络的安全性。本系统由客户端、代理服务器、安全策略服务器和安全联动设备四个部分组成。客户端是安装在用户终端系统上的软件,当用户试图接入网络时,它负责发起安全认证。代理服务器负责转发客户端与安全策略服务器之间的通信报文,通过代理服务器对报文的转发避免了客户端直接与安全策略服务器的通信,从而可以有效的防止对策略服务器的恶意攻击。安全策略服务器是整个系统的核心,实现安全策略下发、终端安全状态评估、安全联动控制以及安全事件审计等功能。安全联动设备是网络中安全策略的实施点,控制终端的访问权限,对不同的用户、不同安全状态的用户开放不同的访问权限。