网络卫士终端管理系统介绍

1、网络卫士终终端管理理系统 TopDDeskkV3.0产品说明天融信TOPSEEC北京市海淀淀区上地地东路1号华控控大厦 10000855电话：+886100-82277666666传真：+886100-82277666777服务热线：+86610-4000-6110-551199+86100-8000-8810-51119版权声明本手册的所所有内容容，其版版权属于于北京天天融信公公司（以以下简称称天融信信）所有有，未经经天融信信许可，任任何人不不得仿制制、拷贝贝、转译译或任意意引用。本本手册没没有任何何形式的的担保、立立场倾向向或其他他暗示。若因本手册册或其所所提到的的任何信信息引起起的直接接

2、或间接接的资料料流失、利利益损失失，天融融信及其其员工恕恕不承担担任何责责任。本本手册所所提到的的产品规规格及资资讯仅供供参考，有有关内容容可能会会随时更更新，天天融信恕恕不承担担另行通通知之义义务。版权所有 不得翻翻印 119955-20009天融信信公司商标声明本手册中所所谈及的的产品名名称仅做做识别之之用，而而这些名名称可能能属于其其他公司司的注册册商标或或是版权权，其他他提到的的商标，均均属各该该商标注注册人所所有，恕恕不逐一一列明。TopSEEC天融信信信息反馈目录TOC o 1-3 h z u前言定义TSM： Truusteed NNetwworkk Seecurrityy Maa

3、naggemeent Sysstemm，中文文名为可可信安全全管理平平台。TopDeesk: 中文文名为终终端管理理系统。TopAnnalyyzerr：中文名名为安全全信息管管理系统统。可信网络架架构（Truusteed NNetwworkk Arrchiiteccturre，TNA）：是一一个试图图通过现现有网络络安全产产品和网网络安全全子系统统的有效效管理和和整合，并并结合可可信网络络的接入入控制机机制、网网络内部部信息的的保护和和信息加加密传输输机制，实实现全面面提高网网络整体体安全防防护能力力的可信信网络安安全技术术体系。参考资料本文引用的的参考资资料包括括：天融信“可信网网络架构构”

4、概述中间件传传输技术术标准规规范公安机关关机构代代码编制制规则及及公安部部所属单单位机构构代码公安信息息分类代代码标准准公共数据据交换系系统标准准请求服务务系统标标准信息授权权策略标标准背景随着网络技技术的广广泛应用用，各种种网络环环境中的的安全问问题正威威胁着用用户的正正常工作作，目前前边界安安全技术术及产品品已非常常成熟，从2005-2008年的网络安全情况来看，边界安全产品略显不足，无法解决以下问题：内网的信息息泄露内部攻击频频繁出现现为移动办公公提供安安全访问问为每台终端端设备加加固安全全策略防御新的或或未知的的安全威威胁安全准入非法内联/外联为保证移动动办公用用户的安安全，防防御未知

5、知的黑客客攻击、内内部攻击击、内部部信息泄泄露，以以及加强强每一台台内网设设备的安安全策略略，解决决安全问问题是迫迫在眉睫睫的！天融信网络络安全技技术有限限公司为为解决以以上问题题，定制制了一整整套安全全解决方方案，并并推出了了“ToppDessk终端端管理系系统”。产品简介产品概述TOPSEEC 终终端管理理系统（TopDesk）是一款基于安全策略的终端管理产品，采用了开放式B/S/S体系结构和标准化数据通讯方式，对局域网内部的网络安全行为进行全面监管，检测并保障桌面系统的安全。TopDeesk系系统包括括：安全准准入、移移动存储储管理、终端安全管理、终端行为管理、终端系统管理、系统资源管理

6、。通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部终端系统的管理和维护，能有效保障终端系统及机密数据的安全。安全准入，支持802.1x认证、防火墙联动和ARP阻断三种方式，支持三者复合认证，有效防止未授权设备私自接入内网。移动存储管管理，支支持对CD-ROMM，软盘盘和USB移动存存储设备备的管理理。对于USB移动存储设设备，通通过注册册，可以以对其中存存储的数数据进行行加密，并通过过策略控控制USSB移动存存储设备备的使用用。终端安全管管理，能能够自动动检测终终端系统统的安全全状态，检检测终端端系统的的病毒防防护软件件是否工工作正常常。针对对终端系统统的补丁丁自动检检测、下下发和

7、安安装，修修复存在在的安全全漏洞。终端行为监监管，对对终端系统统上拨号号行为、打打印行为为、外存存使用行行为、文文件操作作行为的的监控，确确保机密密数据的的安全，避避免了内内部保密密数据的的泄漏。终端系统监监管，使使管理员员能够轻轻松进行行局域网网的管理理维护，解解决了终终端系统统基础信信息难以以及时、准准确掌控控的问题题，规范范了客户户端操作作行为，提提高了终终端系统统的安全全等级。通通过系统统监管模模块管理理员能够够远程查查看终端端系统当当前的详细信信息，包包括：已已安装软软件、已已安装硬硬件、进进程、端端口、CPU、磁盘盘、内存存等。系统资源管管理，为为管理员员提供了了Ageent管理、

8、IP管理等等功能，能能对网络络内的Ageent进行有有效管理理。产品组成TSM整体体构成TSM是组组成可信信网络架架构（TNAA）的核心心部件。她她通过对对现有安安全资源源进行有有效管理理和整合合，通过过对安全全信息进进行关联联分析、评评估与管管理，最最终提供供一个整整体安全全解决方方案。如上图所示示，TSMM主要包包括终端端管理系系统（TopDeesk）、安全全信息管管理系统统（ToppAnaalyzzer）、安全全管理门门户系统统3个部分分。其中中，ToopAnnalyyzerr系统是TSMM 的“大脑”，它负责对对各类安安全事件件进行集集中管理理和智能能分析；ToppDessk系统统是T

9、SM的“手”，它负责实实现对各各类信息息资产的的集中安安全监管管和控制制；安全全管理门门户系统统，作为为TSM的“对外窗窗口”，通过过整合后后台的各各类安全全产品和和信息资资产，为为用户提提供一个个统一的的、基于于角色的的安全视视图。这这三个系系统各自自都能独独立运行行，但又又互相补补充和协协作，共共同构成成一个全全面的安安全管理理解决方方案。TopDeesk 体系架架构TopDeesk 产品由Ageent、Conntroolleer、Mannageer、Connsolle、补丁服服务器、数据库库服务器器、资产产、认证证、报表表子系统统组成。Agentt作为系系统的功功能实现现体，需需要安装装

10、在桌面面系统中中，采集集主机的的安全信信息，执执行Mannageer下发的的安全策策略和指指令。主主要的功功能包括括：主机机防火墙墙、防病病毒软件件检测功功能，对对系统状状态（进进程、端端口、软软件、硬硬件、CPU占用率率、磁盘盘占用率率、内存存占用率率）的信信息采集集功能，对对拨号、打打印、文文件操作作、外存存使用的的行为监监管功能能等。Manaagerr为ToppDessk系统统的核心心部件，负负责系统统数据的的转发，派发及处理Console、Agent传来的信息。实现的功能主要包括：接收并保存安全告警信息；安全策略的集中管理和分发；管理下级Agent；软件分发等。Contrrolller

11、(控制器器)对所在网络络内的Ageent进行配配置管理理，同时时监视本本网内的的IP使用用情况。Conssolee（控制制台）是是ToppDessk系统统的用户户使用接接口。通通过Connsolle，用户户可以使使用ToopDeesk系系统的所所有功能能，如查查看桌面面系统的的详细信信息、定定制/下发策策略、管管理系统统资源等等。补丁服务器器为系统统提供了了操作系统补丁丁的下载载、更新新、查询询等功能能。数据库服务务器提供了系统统日志、事事件报警警、系统统数据等等信息的的持久化化功能，便便于管理理员分析析网络的的历史状状态。资产子系统统的主要要功能为为资产的的管理，可可将ToopDeesk的的

12、Ageent与资产产联系起起来，便便于管理理员对整整个网络络资源的的管理。认证子系统统为ToopDeesk系系统提供供了基于于角色的的细粒度度权限管管理功能能，将管管理、审审计权限限分开，互互相监督督并协作作，系统统权限可可细粒度度划分，划划分粒度度支持到到针对TTopDDeskk的各个个单项功功能。用用户可根根据不同同的网络络状况分分配不同同的权限限给各个个角色，适适用范围围非常广广泛。报表子系统统为管理理员提供了丰丰富的报报表功能能，实现现了分析析结果的的可视化化，可帮帮助网络络管理员员对网络络中的异异常情况况进行深深度挖掘掘分析。产品功能与与特点统一定制、强制执行的安全策略管理TopDe

13、esk系系统提供供了强大大的策略略定制机机制。管管理员根根据自身身网络特特点，通通过ToopDeesk有有效地实实施全局局网络配配置和安安全管理理、监控控策略，并并且可以以以组的的形式进进行整体体管理，实实现了真真正的统统一安全全策略。管管理员可可以灵活活的创建建不同的的安全策策略，在在不同类类型的终终端系统统可以应应用不同同的安全全策略，同时提供对安全策略的应用情况进行跟踪和审计，为整个系统提供了灵活的、弹性的安全机制。补丁管理及及软件分分发TopDeesk 提供了了桌面系系统补丁丁管理的的功能，帮帮助管理理员对网网内基于于 Wiindoows 20000/XXP/220033 的系统快速速

14、部署最最新的安安全更新新和重要要更新。ToppDessk能检检测桌面面系统已已安装的补补丁和需需要安装装的补丁丁，管理理员能通通过Connsolle对桌面面系统下下发安装装补丁的的命令。补丁服务器可自动从微软网站更新补丁库，管理员负责审核是否允许补丁在终端系统安装。通过策略定制，终端系统可以自动检测、下载和安装已审核的补丁。系统能将特特定软件件包或驱驱动程序序下发给给预定义义的用户户组；并并能根据据用户的的要求自自动执行行已下发发的软件件。终端行为监监管TopDeesk 提供了了对终端端系统的的行为进进行统一一监管功功能，能能对主机机的拨号号、打印印、外存存使用、文文件读写写、网络络访问等等行

15、为进进行策略略控制，满满足对主机、区区域安全全性的需需求。对拨号行为为的监管管包括：实时监控MModeem拨号号上网通过策略定定制禁止止主机进进行拨号号，并可可以指定定例外的的ISP号码。对打印操作作进行监监管：实时监监视主机机的打印印行为。通过策策略定制制限制主主机是否否允许打打印。非法外联的的监管：系统自动检检测主机机违规接接入Intternnet的的行为，并并告警网络访问行行为的监监管：通过策略对对终端主主机用户户的网络络访问行行为进行行记录，可对网网站地址址设置黑黑白名单单。终端系统监监控TopDeesk 提供了了对终端端系统主主要信息息（包括括进程信信息、端端口连接接信息、软软件信息

16、息、硬件件信息、CPU使用率率、磁盘盘使用率率、内存存使用率率、网络络流量等等）进行行监视的的功能，并并通过定定制策略略对终端端的资源源、运行行状态进进行总体体监控。进程监控：提供黑白名名单两种种方式，可以自动终止黑名单中的进程，保证终端运行进程的可控性；可手动远程程终止指指定终端端上面的的用户进程程；所有被控终终端的进进程可查查看监视视；端口连接监监视：提供黑白名名单两种种方式，保保证主机机网络状状态的可可控性；监视终端的的连接状状态，内内容包括括使用何种协协议、本本地和远远程IP、本地地和远程程端口、连连接状态态等；软/硬件信信息监视视：可以监视终终端的安安装的软软件信息息和硬件件信息，当

17、当软硬件件信息改改变时，提提供了报报警功能能。性能信息监监视可以监视终终端系统统的CPU、磁盘盘、内存存的使用用情况，包包括CPU占用率率、磁盘盘总量、磁磁盘使用用量、磁磁盘使用用率、内内存总量量、内存存使用量量、内存存使用率率等，并并可以定定制各种种策略对对终端使用CPU、磁盘盘、内存存做出限限制，出出现异常常后及时时进行报报警。禁用网卡紧急情况下下管理员员可以下下发禁用用网卡的的命令给给终端主主机，将将终端中所有的的网卡禁禁用，避免问问题终端端对整个个网络的的影响。流量统计可以通过设设置流量量统计策略略来监控控终端实实时网络络流量，当当流量峰峰值超出出设置的的阈值后后可以根根据策略略内容提

18、提示用户户或者阻断终终端的网网络。流量排名对网络内终终端的流流入、流流出流量量进行排排序，可可以自定定义查看看Topp N的流量量排名。非法内联监监控对内网中合合法主机机进行授授权，自自动检测测非法接接入的主主机。对对非法内内联主机机可以进进行消息息提示、阻阻断网络络、重启启计算机机（安装Ageent时生效效）等操操作。与硬件防火火墙联动动可与天融信信硬件防防火墙进进行联动动，禁止止未安装装代理软软件的终终端访问问互联网网。杀毒软件的的检测TopDeesk 提供了了杀毒软软件检测测功能，可可检测主主机运行行的杀毒毒软件版版本和杀杀毒软件件病毒库库版本及及升级时时间等信信息，目目前支持持检测国国

19、内外大大部分主主流杀毒毒软件，包包括：瑞瑞星、赛赛门铁克克、McAAfeee、卡巴巴斯基等等。强大的设备备监控功功能对计算机外外设如光光驱、软软驱、USB普通设设备、USB移动存存储设备备、打印印机、调调制解调调器、串串口、并并口、13994控制器器、红外外设备、蓝蓝牙设备备、PCMMCIAA卡、磁带带机、图图形处理理设备、无无线网卡卡、智能能卡等设设备进行行控制，有有效防止止数据通通过外设设泄露。强大的移动动存储监监控功能能对计算机外外设如软软驱、光光驱等实实时监控控，对于移移动存储储设备进进行标签签化管理理，区分分内部和和外部设设备，有有效保护护了内部机密密数据。USB移动动存储设设备进行

20、行注册后后，可以以对其中中存储的的数据进进行加密密，并且且使用口口令进行行保护。通过设设置策略略可以控制制U盘在终终端中的的读写属属性，包包括可读读写，只只读和禁禁用。 对USB移动存存储设备备上的文文件操作作可以记记录详细细的访问问日志。文件监控及及网络共共享监视系统能根据据策略对对指定文文件和目目录的访访问行为为（创建建、修改改、删除除、重命命令等）进进行监视视和控制制。系统统根据策策略能对对winndowws网络共共享目录录的访问问行为进进行监视视，记录录详细的的访问日志志。安全准入系统支持8802.1x认证，也也支持与与硬件防火火墙的复复合认证证。在控控制台上上可以直直接管理理802.

21、1x的认证证用户信信息。全面的安全全分析报报表TopDeesk支支持丰富富的报表表功能，可可以对收收集事件件进行分分析和统统计，并并将结果果可视化化。为网网络管理理员可以以利用系系统提供供的多种种报表模模版，对对网络中中的状况况进行深深度挖掘掘分析，从从不同方方面对网网络事件件进行可可视化分分析，包包括表格格及多种种图形表表现形式式（柱状状图、饼饼图、曲曲线图）。 与TopAAnallyzeer系统统的完美美整合TopDeesk 可以和ToppAnaalyzzer 系统完完美的整整合。ToppDessk负责责桌面系系统的安安全保障障，可以接收来来自ToopAnnalyyzerr工作流流中指派派

22、的命令令和安全全预警信信息；ToppAnaalyzzer负负责整体体网络服服务器及及边界网网关的安安全保障障，并可可以收集集、分析析、处理理ToppDessk系统统上报的的报警事事件。ToppDessk与ToppAnaalyzzer的的整合，可以从内到外保证企业网络的安全，减少安全事件的发生，并帮助管理员快速定位、解决网络安全故障。产品系统特特点实时性实时地监控控网络内内的活动动，随时时向管理理员提供供准确的的报告。对对异常行行为，可可以按照照预定的的策略阻阻断主机机对网络络的访问问，防止止数据外外泄，并并发出警警报。高性能系统采用优优化设计计，将网网络占用用率降到较低低水平，并并可以通过策策

23、略控制制网络资资源的占用，对对网络中中的被监监控计算算机几乎乎没有影影响。系系统采用用基于代代理的分分布式处处理模式式和并发发探测技技术，极极大地提提高了探探测效率率。易用性系统提供了了友好的的WEBB 图形形化用户户界面，可可以进行行全新的的可视化化管理与与配置。强强大的日日志查询询功能，可可以根据据各种条条件进行行快速查查询和统计。对对受控主主机的各各种状态态产生实实时报警警，并在在控制端端作详细细的显示示和统计计分析。适应性强系统可根据据用户实实际的网网络环境境，方便便地调整整部署和和运行的的配置参参数，提提供对NAT等各类复复杂网络络环境的的支持，具具备良好好的适应应性。带宽控制和和断

24、点续续传系统在软件件分发和和补丁下下载时，能能根据实实际情况况，应用用不同的的带宽策策略，自动调调整传输速度度，避免免网络流流量拥塞塞，减少少对业务务系统的的影响；同时，系系统在分分发软件件和补丁丁时，当当出现网网络中断断情况时时，能支支持断点点续传，充充分利用用网络带带宽资源源，避免免重复下下载。远程升级和和卸载系统支持远远程升级级和远程程卸载，在简化Ageent管理的的同时，使系统时刻保持安全防范的最前沿，并保证系统补丁的及时更新。支持完善、安安全的用用户管理理与认证证机制支持多用户户、多角角色管理理机制。具具备自我我防护和和审计能力力，能够够有效地地防止蛮蛮力攻击击等。面向终端用用户的完

25、完全透明明性TopDeesk Ageent对于终端端用户是是完全透透明的，Agent的信息收集、策略执行、安装、升级等操作对用户完全透明，减少了管理的成本。产品经典应应用TopDeesk独独立部署署TopDeesk独独立部署署方式如下下图所示示：Agennt安装和和部署在在被监管管的设备备上；Mannageer通过Ageent实现对对被监管管设备进进行监管管外；CConttrolllerr控制器器部署在在被管理理的网络络中，配配置管理理Ageent，并采采集网络络中的IIP信息息；部署署在网络络中的数数据库系系统，为为Mannageer提供数数据存储储和备份份等功能能；而用用户则可可以通过过Inteerneet上部署署的客户户端Conssolee程序，对整个个ToppDessk系统统进行控控制和管管理。TopDeesk和和ToppAnaalyzzer联联合部署署TopDeesk和和ToppAnaalyzzer联联合部署署如下图图所示：TopDDeskk与ToppAnaalyzzer共共同组成成了TSM综合管管理