华为TSM终端安全管理系统

终端及文档安全管理方案1用户认证身份安全是信息安全的基础。

身份认证在整个信息安全体系中是最基础的环节，要实现一套完善的内网安全机制，第一步就需要一个集中的安全认证。

通过安全认证，不仅可以防止非法用户的入侵，而且能基于接入用户的身份对接入用户对内网资源的访问进行细粒度的控制。

TSM系统基于以上思想，建立了完善的接入用户认证机制，参考现有企业的组织和管理结构，采用树状结构的多级管理方式，账号数据源支持系统内置账号和外部数据源方式。

系统内置账号包括普通账号、MAC账号，外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方用户系统中同步账号，完成TSM系统的接入认证。

由于要在南阿油田部署微软的AD域服务器进行用户管理，因此，这里推荐使用“AD联动认证”方式。

在本方案里，建议部署的TSM系统里用户组与现有AD域服务器里的OU 结构保持一致，建立一一对应的关系，定时与AD域服务器进行用户信息同步。

部署以后，终端用户通过域账号登陆操作系统后，TSM系统的客户端代理程序会自动获取当前用户的AD域账号信息，通过TSM服务器与AD服务器之间的联动实现认证。

管理员配置安全检查策略时，仅对TSM系统里的用户信息进行配置，对原有AD域的信息不造成任何的影响。

整个认证过程对客户现有使用习惯没有任何的影响。

2网络访问控制一般的防火墙隔离只能基于IP进行控制，不仅配置管理不够灵活，而且还存在IP被仿冒等安全风险，无法彻底解决非法接入和越权访问的问题。

本次方案建议结合终端用户的身份认证，通过基于用户角色的网络访问权限管理，加强内网的网络访问控制，防止非法接入和非授权访问，保证企业内网的安全。

具体的管理方案如下：1)安全域划分管理员根据业务和安全等级将现网的网络资源划分为不同的逻辑安全域，系统根据终端用户身份认证和安全检查的结果开放不同安全域的访问权限，实现对违规终端的隔离，保证企业内网的整体安全性。

安全域说明如下：●认证前域：终端在身份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、TSM系统服务器等；●隔离域：终端在通过身份认证但没有通过安全检查时处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务器、补丁服务器等；●认证后域：终端在通过身份认证和安全检查后能够访问的网络资源，管理员可根据工作相关性和最小授权原则，将不同的终端用户授权访问相应的网络资源，有效防止非法访问和越权访问。

TSM安装维护手册目录二、TSM Server安装和配置过程 (2)2.1 TSM Server安装步骤 (2)2.2 TSM BA客户端安装 (7)2.3TSM Server初始化配置 (18)2.3.1 新建db2用户和安装目录 (18)2.3.2 配置TSM实例 (20)2.3.3 TSM活动日志设置和许可注册 (29)2.4 TSM Server存储池设置 (30)2.4.1 10.195.16.2 WIN-8DDMBLSTNB2客户端设置 (30)2.4.2 10.195.16.5 ZSHJGHGIS01客户端设置 (31)2.4.3 10.195.16.9 ZSHJGHGOA客户端设置 (32)2.4.4 10.195.16.10 ZSHJGHGIS客户端设置 (34)2.5 客户端节点定义 (35)三、TSM 客户端安装配置 (35)3.1 安装TSM BA客户端 (36)3.2 安装SQL TPO客户端 (36)3.3 新建客户端选项文件 (41)3.4 sql tpo客户端设置 (48)3.5 新建客户端调度程序 (54)四、备份调度任务设置 (61)4.1 定义文件备份作业 (61)4.2 定义数据库备份作业 (62)五、日常维护 (63)5.1 文件备份脚本 (63)5.2 sql数据库备份脚本 (63)5.3 查看备份调度作业列表 (63)5.4 查看备份作业运行情况 (63)5.5 查看TSM日志内容 (64)5.6 查看存储池使用情况 (64)5.7 查看看客户备份的文件空间 (64)5.8 更新备份作业启动时间 (64)5.9 删除作业调度 (65)5.10 查询备份客户端节点 (65)5.11 常用命令集锦 (65)二、TSM Server安装和配置过程2.1 TSM Server安装步骤TSM Server 7.1安装步骤较为简单，注意在安装前，需要进入本地安全策略，把“以管理员批准模式运行所有管理员”这个策略，不然安装的过程中会报错。

TSM操作指南一. T SM日常管理二. T SM Database备份和恢复一.TSM日常管理1.启动和停止TSM服务器(a) 启动TSM服务器可以手工启动TSM服务器，使用命令为：# dsmserv(必须在/usr/tivoli/tsm/server/bin下执行)等候片刻，待屏幕显示“......SCSI Tape Library is ready for operation”后再进行其它操作。

如果TSM服务器所在机器重新启动过，则运行dsmserv前须先运行如下命令：# mount /tsm(b) 停止TSM服务器停止TSM服务器操作步骤为：(1) 运行dsmadmc，输入密码进入管理员界面（windows：C:\ProgramFiles\Tivoli\TSM\server\tsmdiag目录下）(2) 禁止服务器接收新的客户端访问TSM>disable sessions(3) 查看当前客户端与服务器的连接TSM>query session(4) 等待客户端结束备份或直接中断连接TSM>cancel session XX(all)(5) 查看服务器进程TSM>query process(6) 等待服务器进程结束或直接中断进程TSM>cancel process(7) 停止服务器TSM>halt2.进入管理员界面(a) 字符界面访问在TSM服务器上运行dsmadmc，输入密码。

(b) 用web browser访问在任何一台安装了web browser工具，例如netscape、IE的PC机或主机上，打开web browser，键入http://134.99.9.32:8421/ibm/console地址，输入管理员ID和密码。

这种方式下不需要该机上已安装TSM代码。

3.进入文件备份/恢复界面(a) 字符界面访问在TSM客户端运行dsmc –virtualn=XXX，输入密码。

TSM的体系架构及维护与日常管理摘要：本文通过对tsm系统的研究，希望能达到通过此技术有效管理网络用户的目的。

通过对tsm终端安全管理技术（terminal security management）的体系架构与准入控制原理的探讨和实际操作可以明确此一技术的有效性。

这一技术的实施可以保障终端用户终端的安全，服务器区域的接入安全，违规的处理以及达到统计方面的便捷。

关键词：ts；安全管理；维护；sc；sm中图分类号：tp309.3 文献标识码：a 文章编号：1007-9599 （2012） 17-0000-021 概述随着企业信息化的深入，终端所面临的安全威胁越来越难以解决，像外来人员随意接入、病毒泛滥、随意安装软件、核心业务资源被非授权人员访问等等。

这些问题交织在一起，已经对安全界提出了挑战，需提供一套立体防御解决方案来应对各类安全问题的产生。

针对终端存在的主要问题，tsm终端安全管理（terminal security management）提供了解决方案：以企业安全策略为核心，用户在接入企业标准网络之前，首先要进行身份认证；认证通过后强制进行安全检查，检查用户的安全状态，通过安全状态的结果决定是否进行隔离修复，安全状态合格后对接入用于进行业务访问授权；最后业务审计要素监视整个过程，以便为违规行为作出响应与记录，包括对业务授权后用户的安全行为进行监控。

整个流程形成了终端安全保护的持续改进过程。

2 tsm体系架构简述tsm系统由管理器（sm）、控制服务器（sc）、接入控制网关（sacg）和安全代理（sa）组成。

tsm管理器作为管理服务器允许管理员通过ie浏览器登录进行日常维护操作，包括系统配置、组织人员管理、安全策略管理、补丁管理、软件分发、资产管理、公告管理、报表管理等；tsm控制服务器（sc）主要负责验证终端用户的身份、对终端主机进行安全检查，以及与准入控制设备联动实现最小授权的访问控制等；tsm接入控制网关（sacg）用于控制终端访问受控网络的权限，向隶属不同角色的终端用户和不同安全状况的终端用户开放不同的权限。

华为TSM终端安全管理系统综述随着企业和组织网络规模的增大，分支机构、移动办公、访客等增加了网络中的接入点，使存在于各层的网络漏洞成倍的增加，以利益驱动的专业黑客往往锁定企业终端为目标，利用终端中的安全漏洞，获取对重要资源的访问权限，进而对核心业务系统发起攻击，造成数据被窃听或破坏，核心业务中断、恶意代码传播等安全事故，使企业业务和声誉受损。

通过全面端点安全评估和统一配置，华为Secospace TSM （Terminal Security Management，终端安全管理）系统，在端点接入网络前主动进行安全状态评估，建立基于用户角色的网络访问机制，并为不符合安全基线的终端提供系统漏洞修复，从而将病毒屏蔽在网络之外，为企业和组织构建一个完整、简单和易于管理的终端安全环境。

纵深化防御：结合终端层、网络层、应用层形成纵深安全防御体系，为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态，与网络层的安全接入控制设备联动实现基于用户角色的访问控制，并协同应用层的补丁、资产管理，主动阻止和隔离风险，有效增强整网对抗风险的能力。

一体化部署：为应对日益复杂的安全攻击，往往需要部署多家厂商的终端管理产品，而这些解决方案间缺乏关联度，难以一体化运作，造成采购成本昂贵、结构复杂和难以维护。

针对企业需要简化IT解决方案的实际需求，TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体，为企业建立一个一体化、完整的终端安全管理体系，有效降低IT部署复杂度，提高成本效益。

全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。

TSM系统以安全策略为中心，通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程，为企业提供全方位内网终端安全管理和保护，持续改进企业安全状况，提升企业信息安全管理水平。

主要功能：•网络安全接入控制，发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问，防止非法用户和不安全的终端接入内网，并根据用户身份授权访问指定的内网资源；•终端安全基线管理，集中配置终端的安全基线，全面评估终端的安全状态，对不符合安全基线的终端进行隔离、修复，提高终端的安全防护水平，保证企业整网的安全；•用户行为管理，审计并控制终端用户违法企业管理制度的行为，如非法外联、计算机外设、网络访问行为等，防止计算机和网络资源的滥用和恶意破话，规范终端用户使用IT资源的行为，提高企业整网的可用性和效率；•补丁和软件分发，提供智能、高效的补丁和软件分发功能，准确的评估系统漏洞，在最大限度降低网络带宽占用率的同时，帮助及时终端更新补丁，消除终端的安全漏洞；•企业资产安全审计，动态收集企业软、硬件资产信息，跟踪企业资产变更，帮助管理员全面了解终端资产状况，提供企业整网的IT管理水平。

TSM 终端安全管理系统产品概述华为TSM 终端安全管理系统集网络准入控制、安全管理、桌面管理三大功能于一体，以网络身份识别为基础、网络准入控制为手段、安全管理为核心、桌面管理为补充，三大功能相互促进，为企业提供一体化的内网信息安全解决方案，帮助企业在建立完整的终端安全管理体系的同时，有效降低建设和运维成本，使企业的投资效益最大化。

产品特点全面的网络准入控制方案—全方位保护企业内网安全有线无线一体化接入控制方案：提供基于接入层、汇聚层网络设备 •（交换机、Wlan 、防火墙等）联动的准入控制方案，适合各种类型园区网使用。

多种认证方式：提供802.1x 认证、Portal 认证、MAC 认证等多种认证•方式，接入用户可通过客户端、Web 、Webagent 发起认证，灵活适应企业雇员、合作伙伴、访客等各种网络接入用户的认证需要。

丰富的安全策略—实时掌握现网终端的安全状况量化安全风险管理：提供终端遵从性评分，实时监控接入终端的安•全状态，让安全状态一目了然。

丰富的行为审计功能：提供全面的用户行为审计功能，对用户使用 •网络和计算机资源的行为进行管控，包括USB 设备监控、非法外联管理、进程与服务监控、ARP 防护等。

强大的桌面运维管理—轻松实现对桌面终端的远程管理全方位功能：提供全方位的桌面运维管理功能，包括资产管理、软 •件分发、补丁管理、远程协助等，协助用户集中运维。

网络设备扫描：自动识别IP 打印机、IP 电话、IP 扫描仪、部门专用 •服务器等非PC 类设备，免除在NAC 部署前后需要对该类设备逐一采集登记和维护的麻烦。

方便的系统管理能力—一体化管理，减少管理成本集中化管理配置：提供基于Web 的配置管理界面，集中对网络接入 •控制、终端安全管理、桌面运维管理进行管理配置，方便日常维护管理。

快速部署：提供基于Portal 交换机或防火墙的客户端下载页面推送 •功能，实现客户端快速部署。

灵活扩展—最佳的投资效益可扩展的安全策略：提供业界最丰富的安全策略，并提供所见即所得 •的策略自定义工具，可根据用户需要灵活配置所需安全检查策略。

tsm实施方案TSM实施方案一、背景介绍TSM（Total Security Management）是一种全面的安全管理方案，旨在帮助企业建立起完善的安全管理体系，保护企业的信息资产和业务运作安全。

随着信息化进程的加快，企业面临的安全威胁也日益增多，因此TSM实施方案的制定和执行显得尤为重要。

二、目标和原则1. 目标：TSM实施方案的目标是建立起全面的、可持续的安全管理体系，确保企业信息资产的完整性、机密性和可用性。

2. 原则：TSM实施方案的制定和执行应遵循全面性、预防性、可持续性和灵活性的原则，以应对不断变化的安全威胁和挑战。

三、实施步骤1. 需求分析：首先需要对企业的安全需求进行全面的分析和评估，包括信息资产、业务流程、安全风险等方面，以确定TSM实施的重点和方向。

2. 制定方案：在需求分析的基础上，制定符合企业实际情况的TSM 实施方案，明确目标、任务、责任和时间表。

3. 资源准备：为TSM实施做好充分的资源准备，包括人力、物力、财力等方面的支持和保障。

4. 实施执行：按照制定的方案和时间表，有条不紊地执行TSM实施工作，包括安全设备的部署、安全策略的制定、安全意识的培训等。

5. 监控评估：在TSM实施过程中，需要不断监控和评估安全管理体系的运行效果，及时发现问题并采取措施加以解决。

四、关键技术和工具1. 安全设备：包括防火墙、入侵检测系统、安全信息和事件管理系统等，用于保护企业的网络和系统安全。

2. 安全策略：制定合理的安全策略，包括访问控制、数据加密、安全审计等，以确保信息资产的安全。

3. 安全意识培训：加强员工的安全意识培训，提高其对安全管理工作的重视和理解，从而减少安全事件的发生。

五、实施效果评估TSM实施方案的最终目的是提高企业的安全防护能力，因此需要对实施效果进行全面的评估。

评估的指标包括安全事件的发生率、安全管理体系的运行效果、员工安全意识的提高等方面。

根据评估结果，及时调整和完善TSM实施方案，以确保其持续有效运行。

Secospace TSM 终端安全管理软件用户手册华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved1.登陆TSM管理软件 (3)1.1登陆 (3)1.2 下载客户端 (4)2. 部门管理 (5)2.1导出部门 (5)2.2查询部门 (6)2.3排列部门 (7)2.4修改部门 (9)2.5删除部门 (11)3. 终端用户管理 (12)3.1 查询终端用户 (12)3.2排列终端用户 (13)3.3修改终端用户 (15)3.4转移终端用户 (16)3.5删除终端用户 (17)3.6配置MAC地址的白名单 (18)3.7配置MAC地址黑名单 (25)4. 账号管理 (31)4.1修改账号 (32)4.2重新设置密码 (35)4.3查询在线账号 (36)4.4远程协助 (38)4.5强制账号下线 (44)4.6查询账号的登录日志 (44)4.7配置是否允许一个账号在多台终端主机同时登录 (46)5. 增加终端主机的局部参数实例 (47)5.1强制终端防卸载 (47)5.2设置是否允许终端用户保存密码 (49)5.3设置账号的密码策略 (50)5.4设置是否允许终端用户修改密码 (52)5.5应用终端主机的局部参数实例到部门 (54)5.6删除账号 (56)5.7向终端主机推送指定网页 (58)6. 使用软件安全接入控制网关实施接入控制 (59)6. 1启用软件安全接入控制网关 (59)6.2启用逃生通道 (60)6.3增加认证前域 (61)6.4增加隔离域 (64)6.5增加认证后域 (70)6.6增加特权IP地址 (76)6.7应用隔离域和认证后域到部门 (77)6.8应用隔离域和认证后域到账号 (81)6.9将访问控制列表下发至TSM代理 (85)1.登陆TSM管理软件1.1登陆在浏览器输入地址https://192.168.100.9:8443/OPMUI/jsp/secospace/login.jsp 出现如下界面图 1选择“是”，出现TSM登陆界面：图 2输入用户名admin、密码Admin@123以及验证码单击登陆即可。

TSM V100R002终端安全管理系统技术白皮书关键词：接入控制、SACG联动、安全策略、终端互访控制、分级管理摘要：将端点安全状况信息和网络准入控制结合在一起，华为赛门铁克TSM终端安全管理系统能够显著地提高企业网络计算架构的安全。

TSM终端安全管理系统通过保证企业中每个终端的安全性，阻止不安全和未授权的行为，保护企业网络的安全性。

缩略语清单：1企业网络管理现状随着网络技术的应用与发展，人们对信息网络的应用需求不断提升，对网络的依赖性也越强，伴随而来的信息安全威胁也在不断增加。

网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，网络安全基础设施也日渐成为企业网建设的重中之重。

在企业网中，新的安全威胁不断涌现，病毒日益肆虐。

它们对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使企业蒙受严重损失。

在企业网络中，任何一台终端的安全状态都将直接影响到整个网络的安全，这些问题极大地困扰着企业高层管理人员和IT部门。

1. 员工安全意识薄弱，企业安全策略难以实施，网络病毒泛滥病毒、蠕虫和间谍软件等网络安全威胁损害客户利益并造成大量金钱和生产率的损失。

与此同时，移动设备的普及进一步加剧了威胁。

移动用户能够从家里或公共热点连接互联网或办公室网络，常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。

据2010 CSI/FBI安全报告称，虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元，但病毒、蠕虫和其他形式的恶意软件仍然是各机构现在面临的主要问题。

机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。

蠕虫病毒通常利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。

局域网中大面积感染病毒，需要具备如下条件：1)局域网中存在病毒感染源，也就是已经感染了病毒的主机；2)局域网中存在大量易感染终端，这些终端可能存在安全漏洞，或者终端安全设置不当，容易被探测和攻击；3)局域网中存在大量易感染终端，这些终端没有部署杀毒软件后者杀毒软件没有及时更新；此外，内部主机通过调制解调器、ISDN 拨号设备、ADSL 拨号设备、无线网卡等网络设备非法接入互联网，它轻易地从内部网络撕开一条通向外部的秘密通道，外部黑客、木马、病毒、恶意代码容易通过这样的通道，感染内部主机和利用外联主机向外部发送企业秘密信息。

TSM的安装配置及操作管理安装TSM 服务器1.插入“TSM Windows 服务器”CD-ROM。

“InstallShield 向导”将自动运行，并出现欢迎对话框。

或请双击 CD 根目录中的setup.exe。

）2.单击下一步。

将出现保存文件位置对话框。

3.接受缺省路径或者为InstallShield 文件选择一个位置，并单击下一步。

1.单击安装产品。

将出现安装产品对话框。

有关的组件描述和安装推荐信息，请参阅可安装组件。

2.单击TSM 服务器。

将出现选择安装语言对话框。

3.接受缺省值或者为TSM 安装对话框选择一种语言，并单击确定。

将出现Tivoli Storage Manager 服务器“InstallShield 向导”。

4.单击下一步。

将出现目标文件夹对话框。

5.接受缺省路径或者为TSM 文件选择一个位置，并单击下一步。

出现安装类型对话框。

6.请选择典型或定制并单击下一步。

7.如果选择“典型”：将出现准备安装程序窗口。

8.如果选择“定制”：将出现定制安装树视图对话框。

请执行以下操作以选择希望和 TSM 服务器一起安装的语言支持（缺省情况下安装“美国英语”支持）：a.展开TSM 服务器，再展开TSM 语言支持。

b.选择一种可用的语言，并从弹出菜单中选择将此功能安装到本地硬盘上。

c.单击下一步继续安装。

将出现准备安装程序窗口。

对选定语言的支持将被安装到 TSM 服务器上。

9.单击安装。

将出现一个进度指示器。

安装完成后，显示InstallShield 向导已完成对话框。

10.单击完成。

将出现一个对话框提示您重新启动计算机。

注意:如果还计划在本地安装任何其它的TSM 组件，请回到CD 浏览器的安装产品面板以在重新启动计算机之前完成那些安装。

剩余TSM 组件的安装说明在下列小节中提供：o安装TSM 许可证o安装TSM 备份—归档客户机o安装TSM 设备驱动程序如果没有计划此时在本地安装任何其它的 TSM 组件，请单击是以立即重新启动计算机。