天融信终端安全管理系统TopDesk产品白皮书

天融信产品白皮书网络卫士终端管理系统TSM-TopDesk系列网络卫士终端管理系统TSM终端安全管理平台TopDesk作为网络卫士安全管理系统（TSM）的重要组成部分，TopDesk终端管理系统（简称TopDesk）是一款综合性的终端管理软件产品，能对局域网内部的网络行为进行全面监管，检测和维护桌面系统的安全。TopDesk通过对行为监管、系统监管和安全状态检测，采用统一策略下发并强制策略执行的机制，实现对局域网内部桌面系统的管理和维护，从而有效地保护用户系统安全和机密数据安全。集中策略管理依据自身网络状况，制定并有效地实施全局、局部功能策略，实现真正的全局安全策略统一。对终端接收的策略进行强制执行，如果没有有效策略，则终端不能正常使用网络，有效避免威胁产生。与TopAnalyzer系统的联动能够与TopAnalyzer无缝结合。既可以将TopDesk的报警事件统一发送给TopAnalyzer，由TopAnalyzer进行深度的自动关联分析；也可以接收并执行TopAnalyzer发送给TopDesk的智能联动指令，使终端可以自动响应全局的安全策略。基于角色的权限管理支持多用户、多角色管理机制。通过设置不同的系统角色，实现对系统资源的分权限管理，不同的用户角色拥有不同的管理权限。审记、管理两权平等，互为监督，互不干涉，互不管理。系统认证具备自我防护和审记能力，能够有效地防止蛮力攻击等。企业级补丁自动部署方案通过设置补丁策略，能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测，并能够实现推或拉两种方式的自动部署安装，极大减轻系统管理员的工作强度。全面的外存设备管理TopDesk能够限制终端系统上的软驱、光驱、U盘、移动硬盘等外存设备的使用，对使用操作进行详细记录，能有效避免机密外泄。详细的文件操作监视TopDesk能够对终端系统上所有机密文件读写、拷贝、删除等操作进行实时监控，详细记录对机密文件的操作，为企业的审计工作提供帮助。系统的远程升级、卸载TopDesk支持模块级在线远程升级系统组件程序，不仅可以使系统时刻保持安全防范的最前沿，同时也保证了系统补丁的及时更新。远程升级卸载功能极大减轻部署时的工作量。功能描述防病毒软件检测提供了对主机的杀毒软件的检测功能，可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等。支持检测国内外绝大多数流行的杀毒软件，包括：江民、瑞星、金山、诺盾、趋势、McaAfee、Kaspersky等。补丁管理通过策略定制，可以自动检测、下载和安装适用更新。通过定制需要安装的补丁，自动从服务器下载并安装。非法内联管理监视当前ip的使用情况，系统实时显示当前ip的分布情况，方便进行管理和跟踪。IP和Mac绑定，设置ip和mac的绑定关系。进行IP地址管理、避免IP地址混乱。自动检测非法内联行为并告警，系统自动检测网络中的非法ip，并采用发送消息等方式告警。当系统安装了代理后，还能远程重启非法ip所在的主机。非法外联系统能自动检测客户端违规接入Internet的行为，并告警。告警信息包括：外联行为发生的时间、非法外联主机的ip地址、严重等级、详细描述等。行为监管对拨号行为进行监管，对用户通过Modem方式进行的拨号行为进行监管。对打印机进行监管，包括：实时监视对网络、本地打印机的使用；通过策略定制的限制主机可以使用哪些打印机。对文件的监视，包括：对本地非授权读写、拷贝、删除涉密文件行为的监视；对文件属性改变包括文件内容修改的行为监视。对计算机外存设备的监管，包括对软驱、光驱、U盘等读写的监控。流量统计。可以对终端网络流量进行统计，以图表方式显示流量排名。系统监管进程监控。提供黑白名单两种方式，保证主机运行进程的可控性；提供菜单可远程终止指定主机上面的进程；所有被控主机的进程可查看监视。端口连接监视。可以监视所有被控主机的连接状态，包括使用何种协议、本地和远程IP、本地和远程端口、连接状态。软/硬件信息监视。可以监视主机的安装的软件信息和硬件信息。远程协助。可以远程控制终端屏幕操作。软件分发管理员远程向指定的终端下发软件、文件。可以有效提高文件分发的可靠性和方便性。防火墙准入通过与天融信硬件防火墙联动，可以阻止未安装Agent的终端通过防火墙访问网络。资产管理资产是机构中具有价值的资源，对资产可以从多角度进行定义，根据BS7799-1(ISO)规范，与信息系统相关联的资产主要包括：软件资产：应用软件、系统软件、开发工具、实用程序、网管软件、ERP、CRM等；网络设备：路由器、交换机等；安全设备：防火墙、入侵检测系统、安全评估系统、病毒防护系统等；计算机设备：服务器、PC终端、存储设备等。对企业内的各类信息资产统一进行分类管理，安全管理员通过手工添加等方式登记企业内的信息资产，系统将从不同的角度对资产信息进行统计并产生统计图表，使用户更加直观地了解企业中各类资产的状况。对资产的分类管理主要从以下几个方面进行：资产的类型管理：按照资产的不同功能分类管理资产，用分类的视角来组织资产结构，如可将资产分为网络设备、软件资产和计算机设备等，并可以在此基础上进一步细化类型。资产的物理位置管理：对于分处在不同地理位置的资产，使用物理位置管理控制各个物理位置之间的逻辑关系，使物理位置之间的合作管理更加直观、有效。资产用户管理：针对多客户资产的托管模式管理资产，使所有权更加明晰、安全服务更加方便。资产的分组管理：按照业务逻辑分类管理资产，使资产组织更加合理、有序，更加符合企业的实际业务需要。用户管理TopDesk是一个多用户系统，允许多个用户同时登录、查看或者处理用户本身权限范围内可浏览到的信息。在用户管理方式上采用基于角色的用户认证和管理模式，一个用户可以属于多种角色，一个角色可以被分配多种资源权限，用户与资源权限之间是通过角色来联系的。主要包括：角色管理：主要介绍如何进行角色的配置和维护，以及如何给角色分配资源权限；用户管理：主要介绍如何添加用户、如何对已有用户进行维护和管理等。TopDesk分为三部分：控制台（Console）、管理器（Manager）和代理（Agent）。控制台给用户提供了一个配置安全策略、查看状态、事件报警的图形界面。管理器保存安全策略，下发策略，接收代理上报的信息，同时将这些信息反馈给控制台显示。代理安装在用户的桌面系统上，执行用户配置的安全策略，对桌面系统进行监管维护。产品的典型部署如下图所示。TopDesk典型部署示意图在图中，Agent安装和部署在被监管的设备上。Manager除了通过Agent实现对被监管设备进行监管外，还可以直接调用网络中的其他设备（如防火墙、路由器、交换机）的接口，实现对其控制和管理；部署在网络中的数据库系统，为Manager提供数据存储和备份等功能；而用户则可以通过internet上部署的客户端console程序，对整个TopDesk进行控制和管理。◆公安部颁发的《计算机信息系统安全专用产品销售许可证》◆中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》◆国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》◆中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》天融信(C)版权所有V1.0文档维护：吴青松E-MAIL:wuqs@tom.com声明：非官方文档，仅供参考