1、企业终端常见安全隐患：

1）杀毒软件版本不一致，甚至有的用户不安装杀毒软件；

2）安装杀毒软件不更新病毒库以及系统补丁；

3）移动介质感染主机并扩散至内网；

4）外来用户随意入网，导致病毒通过网络共享扩散至内网；

2、解决方案：

1）统一部署杀毒软件，通过控制台管理内网主机；

2）采用终端准入方式，合规外来用户入网以及内部用户访问资源的权限；

以奇安信的天擎系统部署为例：

a)   互联网部署方案

n  适用于互联网环境的用户；

n  公有云病毒查杀，效果好，成本低；

n  补丁数据更新节省网络带宽；

n  智能安全一键修复；

n  统一安全管控和运维。

b)   隔离网部署方案

n  适用于隔离网环境的用户；

n  私有云病毒查杀、速度快、效果好；

n  利用工具离线更新从互联网上进行数据更新；

n  终端统一安全管控和运维。

c)   混合分级部署方案

n  适用于大型/复杂/跨广域网环境的用户；

n  有分级部署管理需求的用户；

n  全网终端统一私有云病毒查杀，安全威胁全网预警处置；

n  全网终端统一安全策略防护，终端准入、管控、审计、运维一体化管理。

d)   终端准入控制

◆ 终端用户通过准入客户端连接业务控制器进行身份认证。

◆ 在终端用户通过身份认证之后，准入客户端从业务控制器下载并执行安全策略以进行安全检查。

◆ 准入客户端将安全检查结果上报业务控制器。如果终端主机符合安全要求，准入客户端将会通知硬件安全接入控制网关将该用户的 IP 地址切换至认证后域。如果终端主机不符合安全要求，则切换到隔离域进行修复。

◆ 当终端主机的报文经过硬件安全接入控制网关时，硬件安全接入控制网关将使用认证域对应的ACL限制终端用户能够访问的网络资源。