华为TSM终端安全管理系统_精品文档.docx

1、华为TSM终端安全管理系统综述随着企业和组织网络规模的增大，分支机构、移动办公、访客等增加了网络中的接入点，使存在于各层的网络漏洞成倍的增加，以利益驱动的专业黑客往往锁定企业终端为目标，利用终端中的安全漏洞，获取对重要资源的访问权限，进而对核心业务系统发起攻击，造成数据被窃听或破坏，核心业务中断、恶意代码传播等安全事故，使企业业务和声誉受损。 通过全面端点安全评估和统一配置，华为Secospace TSM （Terminal Security Management，终端安全管理）系统，在端点接入网络前主动进行安全状态评估，建立基于用户角色的网络访问机制，并为不符合安全基线的终端提供系统漏洞修复

2、，从而将病毒屏蔽在网络之外，为企业和组织构建一个完整、简单和易于管理的终端安全环境。 纵深化防御：结合终端层、网络层、应用层形成纵深安全防御体系，为企业和组织构筑完整的网络安全防线在终端层主动评估终端安全状态，与网络层的安全接入控制设备联动实现基于用户角色的访问控制，并协同应用层的补丁、资产管理，主动阻止和隔离风险，有效增强整网对抗风险的能力。 一体化部署：为应对日益复杂的安全攻击，往往需要部署多家厂商的终端管理产品，而这些解决方案间缺乏关联度，难以一体化运作，造成采购成本昂贵、结构复杂和难以维护。针对企业需要简化IT解决方案的实际需求，TSM系统整合接入控制、强制安全策略遵从、员工行为管理、

3、补丁管理、资产管理和软件分发等于一体，为企业建立一个一体化、完整的终端安全管理体系，有效降低IT部署复杂度，提高成本效益。全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。TSM系统以安全策略为中心，通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程，为企业提供全方位内网终端安全管理和保护，持续改进企业安全状况，提升企业信息安全管理水平。 主要功能：网络安全接入控制，发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问，防止非法用户和不安全的终端接入内网，并根据用户身份授权访问指定的内网资源； 终端安全基线管

4、理，集中配置终端的安全基线，全面评估终端的安全状态，对不符合安全基线的终端进行隔离、修复，提高终端的安全防护水平，保证企业整网的安全； 用户行为管理，审计并控制终端用户违法企业管理制度的行为，如非法外联、计算机外设、网络访问行为等，防止计算机和网络资源的滥用和恶意破话，规范终端用户使用IT资源的行为，提高企业整网的可用性和效率； 补丁和软件分发，提供智能、高效的补丁和软件分发功能，准确的评估系统漏洞，在最大限度降低网络带宽占用率的同时，帮助及时终端更新补丁，消除终端的安全漏洞； 企业资产安全审计，动态收集企业软、硬件资产信息，跟踪企业资产变更，帮助管理员全面了解终端资产状况，提供企业整网的IT

5、管理水平。 解决方案方案特点多种接入控制方案，满足各种网络接入场景下的准入控制需求安全接入控制网关，电信级硬件网关设备，提供对终端的安全接入控制，部署和维护简单，安全可靠、性能卓越，最高支持40000并发用户数；802.1x控制方式，基于端点的安全接入控制，支持国内外主流厂商交换机，有效保证网络的接入安全；主机防火墙接入控制方式，基于主机防火墙的纯软方案，不依赖于任何网络设备，实现基于端点的安全接入控制，部署、维护简单，可主动阻止或隔离未安装代理的不安全终端对邻居终端的访问，减少威胁。 全面的身份认证方式，不同场景下灵活选择提供基于用户名密码的认证授权，同时也广泛支持主流的外部认证平台，如：A

6、D、LDAP、USBKEY+数字证书等，节省用户投资的同时极大的方便了管理员对访问用户进行统一的管理和配置，很大程度上降低了支持和维护的成本。同时，提供基于Agent客户端和基于IE浏览器的的无Agent认证方式，灵活满足内部员工、移动办公用户和临时访客的安全接入认证需求。 基于用户角色的网络访问权限控制，保障企业核心业务系统安全通过用户角色进行访问控制，严格控制企业员工、外部访客和合作伙伴等对企业内网资源的访问范围，防止越权访问，保障企业核心业务系统安全。 强大的终端互访控制功能，满足企业对终端隔离的需求提供终端互访控制功能，支持终端层的安全域划分，不同安全域之间的互访需可信授权，有效保证终

7、端之间的互访隔离。 灵活可配的安全策略管理，适应不同企业的安全管理政策基于模板的动态策略管理方式，配置灵活、扩展方便，不同的用户、不同的部门、不同的时间可应用不同的安全策略。 丰富的的终端安全检查策略，整体提高终端的安全基线业界最多的终端安全检查策略，提供完善的系统安全加固和安全防护方案，全面评估终端的安全状态，保证终端安全、受控，帮助企业安全管理政策的落实，满足企业对法律法规遵从性的需求。 持续的员工行为管理，保障更高的IT资源的可用性和使用效率提供上网行为审计、软件使用审计等安全策略，对员工违规行为进行审计和控制，在帮助提高员工安全意识的同时，保证企业IT资源的合理使用。 自动化补丁管理，

8、快速、高效修复终端安全漏洞基于策略的补丁分发机制，可针对部门实施针对性的补丁分发，支持一键自动修复功能；主动搜集客户端的补丁漏洞信息，采用华为赛门铁克子网快速下载技术，在最大限度降低网络带宽占用率的同时，快速、高效地消除终端的安全漏洞；提供详细的补丁报表，以便管理员实时掌握补丁分发状态。 完整的资产生命周期管理，自动收集信息资产状况，保障资产可控可管提供完整的资产生命周期管理，系统可自动收集终端软、硬件资产信息，统计输出企业资产状态报表；跟踪资产变更，输出变更报表，实现资产管理IT化，保障企业信息资产可控可管。 部署灵活、方便，满足复杂网络环境下的部署需要系统部署灵活，支持集中式或分布式部署；

9、安全接入控制网关支持直挂或旁挂模式，支持双机热备，对企业现网改动小，满足复杂网络环境下的部署需求。 高可靠性，保障企业业务连续性服务器采用资源池设计方式，支持负载均衡和冗余备份；安全接入控制网关提供特有的逃生通道功能；提供服务器平台监控工具，实时监控服务器和网关设备的运行状态，保证系统的高可靠性，保障企业业务连续性。 为何选择TSM结合公司自身多年信息安全管理和应用实践的成果；完善的接入控制方式，灵活适应各种网络环境下的接入控制需求；细粒度访问权限控制，基于用户角色授权不同访问后域，保护核心业务资源；强制安全策略检查，确保终端符合企业安全策略要求；实时监控员工行为，连续不间断防护，保证员工合理使用网络资源；自动化补丁检查与部署，自动修复漏洞，主动消除安全缺口；电信级安全标准：服务器采用资源池方式，实现负载均衡和冗余备份；SACG支持双机热备，提供系统安全逃生通道和负载均衡，最大可能保障业务连续性；部署灵活，支持集中式或分部式部署，SACG支持直挂或旁挂，对企业现网改动小，满足复杂网络环境下的部署。 产品规格Secospace 终端安全管理系统由安全代理（SA）、安全管理器（SM）、安全控制器（SC）、安全接入控制网关（可选）（SACG）四部分组成。