终端安全管理软件TSM培训PPT课件.ppt

终端安全管理软件 TSM 培训 安徽省检察院管理员培训专用 2020 1 15 2020 1 15 目录 终端安全概述终端安全体系架构终端安全系统安装指南终端安全初始化及策略配置安徽省检察院终端安全组网 一 终端安全概述 一 随着网络技术的发展 现代企业广泛采用协同办公或通过远程 移动和互联网接入等方式办公 上述工作方式的应用在带来更多资讯和更高生产效率的同时 也给企业办公网络带来更多的安全问题 远程接入或移动办公会导致网络漏洞越来越多 分支机构的终端用户 远程办公的终端用户 合作伙伴 来访客户等多种终端用户接入公司总部网络 网络接入点和接入方式增多 导致网络漏洞成倍增加 非法终端用户接入 外来人员在未经许可的情况下 能够轻易接入并访问公司的网络 合法终端用户越权访问 因未对企业中的网络资源进行严格的访问权限控制 导致合法终端用户能够随意访问企业中的机密信息 终端用户滥用资源 在未经许可的情况下 终端用户随意使用拨号上网设备连接Internet 一 终端安全概述 MicrosoftWindows操作系统存在越来越多的安全漏洞 因终端主机未及时安装补丁 可能招致黑客和恶意用户的攻击 病毒泛滥 因未安装防病毒软件 终端用户在上网时容易感染病毒 并且容易在企业网中蔓延和传播 黑客恶意破坏 黑客会利用MicrosoftWindows的某些系统服务固有的缺陷或通过暴力破解长期未使用的账号入侵终端主机 再蓄意破坏企业中的IT系统 随意共享目录导致安全隐患和信息泄密 因共享目录的权限设置不当导致机密文件泄密 并容易感染病毒 安全策略不能及时落实 管理员缺乏监督手段 不能敦促未安装补丁的终端用户安装补丁或未更新病毒库的终端用户更新病毒库 终端用户的违规行为得不到监控 管理员无法检查终端用户是否在上班时间访问与工作无关的网站 最重要的是缺少取证手段 一 终端安全概述 因此提升终端的安全防御能力 严格控制终端主机接入受控网络 从终端主机入手主动加强终端主机的安全管理 是企业保障内部网络安全的重要手段 通过以下措施有助于企业保障内部网络安全 加强网络接入控制管理 防止非授权 不安全的终端用户接入受控网络 强制终端主机遵从安全策略 确保终端主机在接入受控网络之前是安全的 建立访问权限管理机制 根据终端用户的工作需要授予不同的访问权限 保护企业核心网络资源 加强终端用户的行为管理力度 保障终端用户合理使用网络资源 主动加固终端主机 修复已经发现的终端主机的安全漏洞 在终端主机上建立安全防范机制 一 终端安全概述 TSM是基于TSM代理提供安全接入控制 终端安全管理 补丁管理 终端用户的行为管理 软件分发 资产管理六大功能 其核心思想是解决网络准入控制 基本要素是安全检查 访问控制和安全修复 有效控制网络日渐增多的接入点 包括企业员工 外部访客 合作伙伴和临时雇员等对网络的访问 发现并隔离带有威胁的终端主机 提升网络防御安全威胁的能力 TSM具有以下特性 多种网络接入控制方式 满足各种应用场景下的接入控制需求基于角色的最小授权访问控制 保障企业核心业务系统安全统一安全策略遵从和员工行为审计 全面保障终端安全 合规 受控自动化补丁管理 并支持与WSUS联动 及时修复终端漏洞 主动消除安全缺口多种身份认证方式 不同场景下灵活选择 一 终端安全概述 自动收集信息资产状况 跟踪变更 保障资产可控可管强大的集中管理能力 灵活的分权管理功能部署灵活 方便 满足复杂网络环境下的部署需要高可靠性 逃生通道和负载均衡 保障企业业务连续性 二 终端安全体系架构 TSM包括TSM管理器 SM TSM控制器 SC 安全接入控制网关 SACG TSM代理 TSMAgent 四个部件 TSM管理器 SM 是TSM的管理服务器 管理员通过IE浏览器登录TSM管理器进行日常维护操作TSM控制器 SC 是TSM的控制服务器 TSM控制器主要负责验证终端用户的身份 对终端主机进行安全检查 以及与准入控制设备联动实现最小授权的访问控制等 安全接入控制网关 SACG 用于控制终端访问受控网络的权限 向隶属不同角色的终端用户和不同安全状况的终端用户开放不同的权限 TSM代理 TSMAgent 是TSM中的一个组件 作为TSM的客户端安装在终端主机侧 负责与TSM管理器联动 实施管理员在TSM管理器定制的安全管理规则 三 终端安全系统安装指南 TSM系统的安装主要分为以下几项 具体的安装步骤请见产品手册 安装MicrosoftWindowsServer2003操作系统及SP2补丁 安装MicrosoftSQLServer2005数据库 安装FTP服务器 安装TSM服务器 SM及SC 定制并安装TSMAgent客户端 四 终端安全初始化及策略配置 一 常见概念归属地 TSM管理器为每台TSM控制器定义位置属性 称之为归属地 用于表示TSM控制器所在的位置 源FTP服务器 利用FileZillaServer向TSM控制器和TSM代理提供最新最完整的文件下载服务 2020 1 15 11 四 终端安全初始化及策略配置 二 初始化步骤初始化步骤如右图所示 四 终端安全初始化及策略配置 三 组织管理组织管理包括维护部门管理 终端用户管理和账号管理 为了使组织信息能按照部门结构来管理 超级管理员会为每个部门指定一个负责人 并为每个负责人分发一个账号 每个管理员对所负责的部门信息有完全控制权限 对非管辖范围内部门信息无查看权限 或者只有只读权限 包括 部门管理 终端用户管理 帐号管理 规划部门和帐号 管理MAC地址的黑白名单 四 使用硬件安全接入控制网关实施接入控制基本概念 1 受控域是TSM管理器配合硬件安全接入控制网关进行接入控制所管辖的区域2 认证前域是指终端主机在通过身份认证之前能够访问的区域 四 终端安全初始化及策略配置 3 隔离域是指在终端用户通过了身份认证但未通过安全认证时允许终端主机访问的区域4 认证后域是指终端用户通过认证后能够访问的区域5 逃生通道是指TSM控制器允许终端主机在未经认证的情况下访问认证后域中的网络资源 逃生通道只会在TSM控制器出现重大故障时启用 目的在于在TSM控制器出现重大故障时依然保持网络畅通 而在故障排除后自动关闭 6 特权IP地址池 是指具有特权终端用户的IP地址 TSM控制器不限制该终端用户访问认证后域中的网络资源 四 终端安全初始化及策略配置 硬件SACG配置 硬件SACG的配置步骤如右图所示 四 终端安全初始化及策略配置 五 其它配置选项软件分发 补丁管理 安全管理等配置的详细步骤请见产品手册 六 管