TopDesK桌面终端安全管理

1、网络卫士终端管理系统 TopDeskV3.0 产品说明天融信 TOPSEC 北京市海淀区上地东路 1号华控大厦 100085 版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天 融信所有,未经天融信许可,任何人不得仿制、拷贝、转译或任 意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流 失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到 的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕 不承担另行通知之义务。版权所有 不得翻印 1995-2009天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用,

2、而这些名称可能属 于其他公司的注册商标或是版权,其他提到的商标,均属各该商标 注册人所有,恕不逐一列明。TopSEC天融信信息反馈目录1前言 . 11.1定义 . . 1 1.2参考资料 . . 12背景 . 2 3产品简介 . 24产品功能与特点 . 64.1统一定制、强制执行的安全策略管理 . 6 4.2补丁管理及软件分发 . . 6 4.3终端行为监管 . . 6 4.4终端系统监控 . . 7 4.5非法内联监控 . . 8 4.6与硬件防火墙联动 . . 8 4.7杀毒软件的检测 . . 8 4.8强大的设备监控功能 . . 8 4.9强大的移动存储监控功能 . . 9 4.10文件

3、监控及网络共享监视 . 9 4.11安全准入 . 9 4.12全面的安全分析报表 . 9 4.13与 T OP A NALYZER 系统的完美整合 . 95产品系统特点 . 105.1实时性 . . 10 5.2高性能 . . 10 5.3易用性 . . 10 5.4适应性强 . . 10 5.5带宽控制和断点续传 . . 10 5.6远程升级和卸载 . . 11 5.7支持完善、安全的用户管理与认证机制 . 11 5.8面向终端用户的完全透明性 . . 116产品经典应用 . 116.1T OP D ESK 独立部署 . 11 6.2T OP D ESK 和 T OP A NALYZER 联

4、合部署 . . 137产品资质 . 13 8特别声明 . 151前言1.1 定义TSM : Trusted Network Security Management System,中文名为可信安全管理平台。 TopDesk:中文名为终端管理系统。TopAnalyzer :中文名为安全信息管理系统。可信网络架构(Trusted Network Architecture, TNA :是一个试图通过现有网络安 全产品和网络安全子系统的有效管理和整合,并结合可信网络的接入控制机制、网 络内部信息的保护和信息加密传输机制, 实现全面提高网络整体安全防护能力的可 信网络安全技术体系。1.2 参考资料本文引用

5、的参考资料包括:天融信“可信网络架构”概述中间件传输技术标准规范公安机关机构代码编制规则及公安部所属单位机构代码公安信息分类代码标准公共数据交换系统标准请求服务系统标准信息授权策略标准2背景随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作, 目前边界安全技术及产品已非常成熟,从 2005-2008年的网络安全情况来看,边界安全 产品略显不足,无法解决以下问题:内网的信息泄露内部攻击频繁出现为移动办公提供安全访问为每台终端设备加固安全策略防御新的或未知的安全威胁安全准入非法内联 /外联为保证移动办公用户的安全,防御未知的黑客攻击、内部攻击、内部信息泄露,以 及加强每一台内网

6、设备的安全策略,解决安全问题是迫在眉睫的!天融信网络安全技术有限公司为解决以上问题,定制了一整套安全解决方案,并推 出了“ TopDesk 终端管理系统”。3产品简介3.1 产品概述TOPSEC 终端管理系统(TopDesk 是一款基于安全策略的终端管理产品,采用了开 放式 B/S/S体系结构和标准化数据通讯方式, 对局域网内部的网络安全行为进行全面监 管,检测并保障桌面系统的安全。TopDesk 系统包括:安全准入、移动存储管理、终端安全管理、终端行为管理、终 端系统管理、系统资源管理。通过统一定制、下发安全策略并强制执行的机制,实现对 局域网内部终端系统的管理和维护,能有效保障终端系统及机

7、密数据的安全。安全准入,支持 802.1x 认证、防火墙联动和 ARP 阻断三种方式,支持三者复合认 证,有效防止未授权设备私自接入内网。移动存储管理, 支持对 CD-ROM , 软盘和 USB 移动存储设备的管理。 对于 USB 移动存 储设备,通过注册,可以对其中存储的数据进行加密,并通过策略控制 USB 移动存储设 备的使用。终端安全管理,能够自动检测终端系统的安全状态,检测终端系统的病毒防护软件 是否工作正常。针对终端系统的补丁自动检测、下发和安装,修复存在的安全漏洞。 终端行为监管,对终端系统上拨号行为、打印行为、外存使用行为、文件操作行为 的监控,确保机密数据的安全,避免了内部保密

8、数据的泄漏。终端系统监管,使管理员能够轻松进行局域网的管理维护,解决了终端系统基础信 息难以及时、准确掌控的问题,规范了客户端操作行为,提高了终端系统的安全等级。 通过系统监管模块管理员能够远程查看终端系统当前的详细信息,包括:已安装软件、 已安装硬件、进程、端口、 CPU 、磁盘、内存等。系统资源管理,为管理员提供了 Agent 管理、 IP 管理等功能,能对网络内的 Agent 进行有效管理。3.2 产品组成TSM 是组成可信网络架构 (TNA 的核心部件。 她通过对现有安全资源进行有效管理 和整合, 通过对安全信息进行关联分析、 评估与管理, 最终提供一个整体安全解决方案。 如上图所示,

9、 TSM 主要包括 终端管理系统(TopDesk 、安全信息管理系统 (TopAnalyzer 、 安全管理门户系统 3个部分。 其中, TopAnalyzer 系统是 TSM 的 “大 脑”,它负责对各类安全事件进行集中管理和智能分析; TopDesk 系统是 TSM 的“手”, 它负责实现对各类信息资产的集中安全监管和控制; 安全管理门户系统, 作为 TSM 的 “对 外窗口”,通过整合后台的各类安全产品和信息资产,为用户提供一个统一的、基于角 色的安全视图。这三个系统各自都能独立运行,但又互相补充和协作,共同构成一个全 面的安全管理解决方案。TopDesk 产品由 Agent 、 Con

10、troller 、 Manager 、 Console 、补丁服务器、数据库服 务器、资产、认证、报表子系统组成。 Agent 作为系统的功能实现体, 需要安装在桌面系统中, 采集主机的安全信息, 执 行 Manager 下发的安全策略和指令。主要的功能包括:主机防火墙、防病毒软件检测功 能,对系统状态(进程、端口、软件、硬件、 CPU 占用率、磁盘占用率、内存占用率 的信息采集功能,对拨号、打印、文件操作、外存使用的行为监管功能等。Manager 为 TopDesk 系统的核心部件, 负责系统数据的转发, 派发及处理 Console 、 Agent 传来的信息。实现的功能主要包括:接收并保存

11、安全告警信息;安全策略的集中 管理和分发;管理下级 Agent ;软件分发等。Controller(控制器 对所在网络内的 Agent 进行配置管理,同时监视本网内的 IP 使用情况。Console (控制台是 TopDesk 系统的用户使用接口。通过 Console ,用户可以使 用 TopDesk 系统的所有功能,如查看桌面系统的详细信息、定制 /下发策略、管理系统 资源等。补丁服务器为系统提供了操作系统补丁的下载、更新、查询等功能。数据库服务器提供了系统日志、事件报警、系统数据等信息的持久化功能,便于管 理员分析网络的历史状态。资产子系统的主要功能为资产的管理,可将 TopDesk 的

12、Agent 与资产联系起来,便 于管理员对整个网络资源的管理。认证子系统为 TopDesk 系统提供了基于角色的细粒度权限管理功能,将管理、审计 权限分开,互相监督并协作,系统权限可细粒度划分,划分粒度支持到针对 TopDesk的各个单项功能。用户可根据不同的网络状况分配不同的权限给各个角色,适用范围非常 广泛。报表子系统为管理员提供了丰富的报表功能,实现了分析结果的可视化,可帮助网 络管理员对网络中的异常情况进行深度挖掘分析。4产品功能与特点4.1 统一定制、强制执行的安全策略管理TopDesk 系统提供了强大的策略定制机制。 管理员根据自身网络特点, 通过 TopDesk 有效地实施全局网

13、络配置和安全管理、监控策略,并且可以以组的形式进行整体管理, 实现了真正的统一安全策略。管理员可以灵活的创建不同的安全策略,在不同类型的终 端系统可以应用不同的安全策略,同时提供对安全策略的应用情况进行跟踪和审计,为 整个系统提供了灵活的、弹性的安全机制。4.2 补丁管理及软件分发TopDesk 提供了桌面系统补丁管理的功能,帮助管理员对网内基于 Windows 2000/XP/2003 的系统快速部署最新的安全更新和重要更新。 TopDesk 能检测桌面系统已 安装的补丁和需要安装的补丁, 管理员能通过 Console 对桌面系统下发安装补丁的命令。 补丁服务器可自动从微软网站更新补丁库,

14、管理员负责审核是否允许补丁在终端系统安 装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。系统能将特定软件包或驱动程序下发给预定义的用户组; 并能根据用户的要求自动 执行已下发的软件。4.3 终端行为监管TopDesk 提供了对终端系统的行为进行统一监管功能,能对主机的拨号、打印、外 存使用、文件读写、网络访问等行为进行策略控制,满足对主机、区域安全性的需求。 对拨号行为的监管包括:实时监控 Modem 拨号上网通过策略定制禁止主机进行拨号,并可以指定例外的 ISP 号码。对打印操作进行监管:实时监视主机的打印行为。通过策略定制限制主机是否允许打印。非法外联的监管:系统自动检测主

15、机违规接入 Internet 的行为,并告警网络访问行为的监管:通过策略对终端主机用户的网络访问行为进行记录, 可对网站地址设置黑白名 单。4.4 终端系统监控TopDesk 提供了对终端系统主要信息(包括进程信息、端口连接信息、软件信息、 硬件信息、 CPU 使用率、磁盘使用率、内存使用率、网络流量等进行监视的功能,并 通过定制策略对终端的资源、运行状态进行总体监控。进程监控:提供黑白名单两种方式,可以自动终止黑名单中的进程,保证终端运行进程的 可控性;可手动远程终止指定终端上面的用户进程;所有被控终端的进程可查看监视;端口连接监视:提供黑白名单两种方式,保证主机网络状态的可控性;监视终端的

16、连接状态, 内容包括使用何种协议、 本地和远程 IP 、 本地和远程端 口、连接状态等;软 /硬件信息监视:可以监视终端的安装的软件信息和硬件信息,当软硬件信息改变时,提供了报 警功能。性能信息监视可以监视终端系统的 CPU 、磁盘、内存的使用情况,包括 CPU 占用率、磁盘总 量、磁盘使用量、磁盘使用率、内存总量、内存使用量、内存使用率等,并可以定制各种策略对终端使用 CPU 、磁盘、内存做出限制,出现异常后及时进行 报警。禁用网卡紧急情况下管理员可以下发禁用网卡的命令给终端主机, 将终端中所有的网卡 禁用,避免问题终端对整个网络的影响。流量统计可以通过设置流量统计策略来监控终端实时网络流量

17、, 当流量峰值超出设置的 阈值后可以根据策略内容提示用户或者阻断终端的网络。流量排名对网络内终端的流入、 流出流量进行排序, 可以自定义查看 Top N 的流量排名。 4.5 非法内联监控对内网中合法主机进行授权,自动检测非法接入的主机。对非法内联主机可以进行 消息提示、阻断网络、重启计算机(安装 Agent 时生效等操作。4.6 与硬件防火墙联动可与天融信硬件防火墙进行联动,禁止未安装代理软件的终端访问互联网。4.7 杀毒软件的检测TopDesk 提供了杀毒软件检测功能, 可检测主机运行的杀毒软件版本和杀毒软件病 毒库版本及升级时间等信息,目前支持检测国内外大部分主流杀毒软件,包括:瑞星、

18、赛门铁克、 McAfee 、卡巴斯基等。4.8 强大的设备监控功能对计算机外设如光驱、软驱、 USB 普通设备、 USB 移动存储设备、打印机、调制解 调器、串口、并口、 1394控制器、红外设备、蓝牙设备、 PCMCIA 卡、磁带机、图形处 理设备、无线网卡、智能卡等设备进行控制,有效防止数据通过外设泄露。4.9 强大的移动存储监控功能对计算机外设如软驱、光驱等实时监控,对于移动存储设备进行标签化管理,区分 内部和外部设备,有效保护了内部机密数据。USB 移动存储设备进行注册后,可以对其中存储的数据进行加密,并且使用口令进 行保护。通过设置策略可以控制 U 盘在终端中的读写属性,包括可读写,

19、只读和禁用。 对 USB 移动存储设备上的文件操作可以记录详细的访问日志。4.10 文件监控及网络共享监视系统能根据策略对指定文件和目录的访问行为(创建、修改、删除、重命令等进 行监视和控制。系统根据策略能对 windows 网络共享目录的访问行为进行监视,记录详 细的访问日志。4.11 安全准入系统支持 802.1x 认证,也支持与硬件防火墙的复合认证。在控制台上可以直接管 理 802.1x 的认证用户信息。4.12 全面的安全分析报表TopDesk 支持丰富的报表功能, 可以对收集事件进行分析和统计, 并将结果可视化。 为网络管理员可以利用系统提供的多种报表模版,对网络中的状况进行深度挖掘

20、分析, 从不同方面对网络事件进行可视化分析, 包括表格及多种图形表现形式 (柱状图、 饼图、 曲线图。4.13 与 TopAnalyzer 系统的完美整合TopDesk 可以和 TopAnalyzer 系统完美的整合。 TopDesk 负责桌面系统的安全保障, 可以接收来自 TopAnalyzer 工作流中指派的命令和安全预警信息; TopAnalyzer 负责整 体网络服务器及边界网关的安全保障,并可以收集、分析、处理 TopDesk 系统上报的报警事件。 TopDesk 与 TopAnalyzer 的整合,可以从内到外保证企业网络的安全,减少安 全事件的发生,并帮助管理员快速定位、解决网络

21、安全故障。5产品系统特点5.1 实时性实时地监控网络内的活动,随时向管理员提供准确的报告。对异常行为,可以按照 预定的策略阻断主机对网络的访问,防止数据外泄,并发出警报。5.2 高性能系统采用优化设计,将网络占用率降到较低水平,并可以通过策略控制网络资源的 占用,对网络中的被监控计算机几乎没有影响。系统采用基于代理的分布式处理模式和 并发探测技术,极大地提高了探测效率。5.3 易用性系统提供了友好的 WEB 图形化用户界面, 可以进行全新的可视化管理与配置。 强大 的日志查询功能,可以根据各种条件进行快速查询和统计。对受控主机的各种状态产生 实时报警,并在控制端作详细的显示和统计分析。5.4

22、适应性强系统可根据用户实际的网络环境,方便地调整部署和运行的配置参数,提供对 NAT 等各类复杂网络环境的支持,具备良好的适应性。5.5 带宽控制和断点续传系统在软件分发和补丁下载时,能根据实际情况,应用不同的带宽策略,自动调整 传输速度,避免网络流量拥塞,减少对业务系统的影响;同时,系统在分发软件和补丁 时, 当出现网络中断情况时, 能支持断点续传, 充分利用网络带宽资源, 避免重复下载。5.6 远程升级和卸载系统支持远程升级和远程卸载,在简化 Agent 管理的同时,使系统时刻保持安全 防范的最前沿,并保证系统补丁的及时更新。5.7 支持完善、安全的用户管理与认证机制支持多用户、多角色管理

23、机制。具备自我防护和审计能力,能够有效地防止蛮力攻 击等。5.8 面向终端用户的完全透明性TopDesk Agent 对于终端用户是完全透明的, Agent 的信息收集、策略执行、安装、 升级等操作对用户完全透明,减少了管理的成本。6产品经典应用6.1 TopDesk 独立部署TopDesk 独立部署方式如下图所示:TopDesk ControllerTopDesk AgentTopDesk AgentTopDesk AgentAgent 安装和部署在被监管的设备上; Manager 通过 Agent 实现对被监管设备进行 监管外; Controller 控制器部署在被管理的网络中,配置管理

24、Agent ,并采集网络中的 IP 信息; 部署在网络中的数据库系统, 为 Manager 提供数据存储和备份等功能; 而用户 则可以通过 Internet 上部署的客户端 Console 程序,对整个 TopDesk 系统进行控制和 管理。 TopDesk 终端管理系统 v3.0 产品说明 6.2 TopDesk 和 TopAnalyzer 联合部署 TopDesk 和 TopAnalyzer 联合部署如下图所示： 外部网络 TSM Console 管理员 路由器 防火墙 内部网络 TSM Manager TMS PATCH Server TSM 资产、 认证、报表 服务器 蜜罐系统 TSM DB Server 以太网 网关系统 终端服务器组 反病毒系统 TSM Controllert TSM Agent TSM Agent TSM Agent TopDesk 与 TopAnalyzer 共同组成了 TSM