产品说明网络卫士终端管理系统TopDesk

产品说明网络卫士终端管理系统TopDesk
网络卫士终端治理系统
TopDeskV3.0
产品说明
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
：+8610-82776666
：+8610-82776677
服务热线：+8610-400-610-5119
+8610-800-810-5119
: // topsec .cn
版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直截了当或间接的资料流失、利益缺失，天融信及其职员恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印© 1995-2009天融信公司
商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信
信息反馈
:// topsec .cn
名目
1前言 ................................................................................................................ 错误!未定义书签。

1.1定义............................................................................................................. 错误!未定义书签。

1.2参考资料..................................................................................................... 错误!未定义书签。

2背景 ................................................................................................................ 错误!未定义书签。

3产品简介 . (10)
3.1产品概述 (10)
3.2产品组成 (10)
3.2.1TSM整体构成 (10)
3.2.2TopDesk 体系架构 (10)
4产品功能与特点 (11)
4.1统一定制、强制执行的安全策略治理 (11)
4.2补丁治理及软件分发 (11)
4.3终端行为监管 (11)
4.4终端系统监控 (11)
4.5非法内联监控 (13)
4.6与硬件防火墙联动 (13)
4.7杀毒软件的检测 (15)
4.8强大的设备监控功能................................................................................. 错误!未定义书签。

4.9强大的移动储备监控功能......................................................................... 错误!未定义书签。

4.10文件监控及网络共享监视 ..................................................................... 错误!未定义书签。

4.11安全准入 ................................................................................................. 错误!未定义书签。

4.12全面的安全分析报表 ............................................................................. 错误!未定义书签。

4.13与T OP A NALYZER系统的完美整合 ....................................................... 错误!未定义书签。

5产品系统特点 ................................................................................................ 错误!未定义书签。

5.1实时性 (10)
5.2高性能 (10)
5.3易用性 (10)
5.4适应性强 (10)
5.5带宽操纵和断点续传 (10)
5.6远程升级和卸载 (11)
5.7支持完善、安全的用户治理与认证机制 (11)
5.8面向终端用户的完全透亮性 (11)
6产品经典应用 (11)
6.1T OP D ESK独立部署 (11)
6.2T OP D ESK和T OP A NALYZER联合部署 (13)
7产品资质 (13)
8专门声明 (15)
1前言
1.1 定义
TSM： Trusted Network Security Management System，中文名为可信安全治理平台。

TopDesk:中文名为终端治理系统。

TopAnalyzer：中文名为安全信息治理系统。

可信网络架构（Trusted Network Architecture，TNA）：是一个试图通过现有网络安全产品和网络安全子系统的有效治理和整合，并结合可信网络的接入操纵机制、网络内部信息的爱护和信息加密传输机制，实现全面提高网络整体安全防护能力的可信网络安全技术体系。

1.2 参考资料
本文引用的参考资料包括：
●《天融信“可信网络架构”概述》
●《中间件传输技术标准规范》
●《公安机关机构代码编制规则及公安部所属单位机构代码》
●《公安信息分类代码标准》
●《公共数据交换系统标准》
●《要求服务系统标准》
●《信息授权策略标准》
2背景
随着网络技术的广泛应用，各种网络环境中的安全问题正威逼着用户的正常工作，目前边界安全技术及产品已专门成熟，从2005-2008年的网络安全情形来看，边界安全产品略显不足，无法解决以下问题：
●内网的信息泄露
●内部攻击频繁显现
●为移动办公提供安全访问
●为每台终端设备加固安全策略
●防备新的或未知的安全威逼
●安全准入
●非法内联/外联
为保证移动办公用户的安全，防备未知的黑客攻击、内部攻击、内部信息泄露，以及加强每一台内网设备的安全策略，解决安全问题是迫在眉睫的！
天融信网络安全技术为解决以上问题，定制了一整套安全解决方案，并推出了“TopDesk终端治理系统”。

3产品简介
3.1 产品概述
TOPSEC 终端治理系统（TopDesk）是一款基于安全策略的终端治理产品，采纳了开放式B/S/S体系结构和标准化数据通讯方式，对局域网内部的网络安全行为进行全面监管，检测并保证桌面系统的安全。

TopDesk系统包括：安全准入、移动储备治理、终端安全治理、终端行为治理、终端系统治理、系统资源治理。

通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部终端系统的治理和爱护，能有效保证终端系统及隐秘数据的安全。

安全准入，支持802.1x认证、防火墙联动和ARP阻断三种方式，支持三者复合认证，有效防止未授权设备私自接入内网。

移动储备治理，支持对CD-ROM，软盘和USB移动储备设备的治理。

关于USB移动储备设备，通过注册，能够对其中储备的数据进行加密，并通过策略操纵USB移动储备设备的使用。

终端安全治理，能够自动检测终端系统的安全状态，检测终端系统的病毒防护软件是否工作正常。

针对终端系统的补丁自动检测、下发和安装，修复存在的安全漏洞。

终端行为监管，对终端系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控，确保隐秘数据的安全，幸免了内部保密数据的泄漏。

终端系统监管，使治理员能够轻松进行局域网的治理爱护，解决了终端系统基础信息难以及时、准确掌控的问题，规范了客户端操作行为，提高了终端系统的安全等级。

通过系统监管模块治理员能够远程查看终端系统当前的详细信息，包括：已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存等。

系统资源治理，为治理员提供了Agent治理、IP治理等功能，能对网络内的Agent 进行有效治理。

3.2 产品组成
3.2.1TSM整体构成
TSM是组成可信网络架构（TNA）的核心部件。

她通过对现有安全资源进行有效治理和整合，通过对安全信息进行关联分析、评估与治理，最终提供一个整体安全解决方案。

如上图所示，TSM要紧包括终端治理系统（TopDesk）、安全信息治理系统（TopAnalyzer）、安全治理门户系统3个部分。

其中，TopAnalyzer系统是TSM 的“大脑”，它负责对各类安全事件进行集中治理和智能分析；TopDesk系统是TSM的“手”，它负责实现对各类信息资产的集中安全监管和操纵；安全治理门户系统，作为TSM的“对外窗口”，通过整合后台的各类安全产品和信息资产，为用户提供一个统一的、基于角色的安全视图。

这三个系统各自都能独立运行，但又互相补充和协作，共同构成一个全面的安全管明白得决方案。

3.2.2TopDesk 体系架构
TopDesk 产品由Agent、Controller、Manager、Console、补丁服务器、数据库服务器、资产、认证、报表子系统组成。

Agent作为系统的功能实现体，需要安装在桌面系统中，采集主机的安全信息，执行Manager下发的安全策略和指令。

要紧的功能包括：主机防火墙、防病毒软件检测功能，对系统状态（进程、端口、软件、硬件、CPU占用率、磁盘占用率、内存占用率）的信息采集功能，对拨号、打印、文件操作、外存使用的行为监管功能等。

Manager为TopDesk系统的核心部件，负责系统数据的转发，派发及处理Console、Agent传来的信息。

实现的功能要紧包括：接收并储存安全告警信息；安全策略的集中治理和分发；治理下级Agent；软件分发等。

Controller(操纵器)对所在网络内的Agent进行配置治理，同时监视本网内的IP 使用情形。

Console（操纵台）是TopDesk系统的用户使用接口。

通过Console，用户能够使用TopDesk系统的所有功能，如查看桌面系统的详细信息、定制/下发策略、治理系统资源等。

补丁服务器为系统提供了操作系统补丁的下载、更新、查询等功能。

数据库服务器提供了系统日志、事件报警、系统数据等信息的持久化功能，便于治理员分析网络的历史状态。

资产子系统的要紧功能为资产的治理，可将TopDesk的Agent与资产联系起来，便于治理员对整个网络资源的治理。

认证子系统为TopDesk系统提供了基于角色的细粒度权限治理功能，将治理、审计权限分开，互相监督并协作，系统权限可细粒度划分，划分粒度支持到针对TopDesk的
各个单项功能。

用户可依照不同的网络状况分配不同的权限给各个角色，适用范畴专门广泛。

报表子系统为治理员提供了丰富的报表功能，实现了分析结果的可视化，可关心网络治理员对网络中的专门情形进行深度挖掘分析。

4产品功能与特点
4.1 统一定制、强制执行的安全策略治理
TopDesk系统提供了强大的策略定制机制。

治理员依照自身网络特点，通过TopDesk 有效地实施全局网络配置和安全治理、监控策略，同时能够以组的形式进行整体治理，实现了真正的统一安全策略。

治理员能够灵活的创建不同的安全策略，在不同类型的终端系统能够应用不同的安全策略，同时提供对安全策略的应用情形进行跟踪和审计，为整个系统提供了灵活的、弹性的安全机制。

4.2 补丁治理及软件分发
TopDesk 提供了桌面系统补丁治理的功能，关心治理员对网内基于 Windows 2000/XP/2003 的系统快速部署最新的安全更新和重要更新。

TopDesk能检测桌面系统已安装的补丁和需要安装的补丁，治理员能通过Console对桌面系统下发安装补丁的命令。

补丁服务器可自动从微软网站更新补丁库，治理员负责审核是否承诺补丁在终端系统安装。

通过策略定制，终端系统能够自动检测、下载和安装已审核的补丁。

系统能将特定软件包或驱动程序下发给预定义的用户组；并能依照用户的要求自动执行已下发的软件。

4.3 终端行为监管
TopDesk 提供了对终端系统的行为进行统一监管功能，能对主机的拨号、打印、外存使用、文件读写、网络访问等行为进行策略操纵，满足对主机、区域安全性的需求。

对拨号行为的监管包括：
实时监控Modem拨号上网
通过策略定制禁止主机进行拨号，并能够指定例外的ISP号码。

●对打印操作进行监管：
实时监视主机的打印行为。

通过策略定制限制主机是否承诺打印。

●非法外联的监管：
系统自动检测主机违规接入Internet的行为，并告警
●网络访问行为的监管：
通过策略对终端主机用户的网络访问行为进行记录，可对网站地址设置黑白名
单。

4.4 终端系统监控
TopDesk 提供了对终端系统要紧信息（包括进程信息、端口连接信息、软件信息、硬件信息、CPU使用率、磁盘使用率、内存使用率、网络流量等）进行监视的功能，并通过定制策略对终端的资源、运行状态进行总体监控。

●进程监控：
提供黑白名单两种方式，能够自动终止黑名单中的进程，保证终端运行进程的可控性；
可手动远程终止指定终端上面的用户进程；
所有被控终端的进程可查看监视；
●端口连接监视：
提供黑白名单两种方式，保证主机网络状态的可控性；
监视终端的连接状态，内容包括使用何种协议、本地和远程IP、本地和远程端
口、连接状态等；
●软/硬件信息监视：
能够监视终端的安装的软件信息和硬件信息，当软硬件信息改变时，提供了报
警功能。

●性能信息监视
能够监视终端系统的CPU、磁盘、内存的使用情形，包括CPU占用率、磁盘总
量、磁盘使用量、磁盘使用率、内存总量、内存使用量、内存使用率等，并能
够定制各种策略对终端使用CPU、磁盘、内存做出限制，显现专门后及时进行
报警。

●禁用网卡
紧急情形下治理员能够下发禁用网卡的命令给终端主机，将终端中所有的网卡
禁用，幸免问题终端对整个网络的阻碍。

●流量统计
能够通过设置流量统计策略来监控终端实时网络流量，当流量峰值超出设置的
阈值后能够依照策略内容提示用户或者阻断终端的网络。

●流量排名
对网络内终端的流入、流出流量进行排序，能够自定义查看Top N的流量排名。

4.5 非法内联监控
对内网中合法主机进行授权，自动检测非法接入的主机。

对非法内联主机能够进行消息提示、阻断网络、重启运算机（安装Agent时生效）等操作。

4.6 与硬件防火墙联动
可与天融信硬件防火墙进行联动，禁止未安装代理软件的终端访问互联网。

4.7 杀毒软件的检测
TopDesk 提供了杀毒软件检测功能，可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时刻等信息，目前支持检测国内外大部分主流杀毒软件，包括：瑞星、赛门铁克、McAfee、卡巴斯基等。

4.8 强大的设备监控功能
对运算机外设如光驱、软驱、USB一般设备、USB移动储备设备、打印机、调制解调器、串口、并口、1394操纵器、红外设备、蓝牙设备、PCMCIA卡、磁带机、图形处理设备、无线网卡、智能卡等设备进行操纵，有效防止数据通过外设泄露。

4.9 强大的移动储备监控功能
对运算机外设如软驱、光驱等实时监控，关于移动储备设备进行标签化治理，区分内部和外部设备，有效爱护了内部隐秘数据。

USB移动储备设备进行注册后，能够对其中储备的数据进行加密，同时使用口令进行爱护。

通过设置策略能够操纵U盘在终端中的读写属性，包括可读写，只读和禁用。

对USB移动储备设备上的文件操作能够记录详细的访问日志。

4.10 文件监控及网络共享监视
系统能依照策略对指定文件和名目的访问行为（创建、修改、删除、重命令等）进行监视和操纵。

系统依照策略能对windows网络共享名目的访问行为进行监视，记录详细的访问日志。

4.11 安全准入
系统支持802.1x认证，也支持与硬件防火墙的复合认证。

在操纵台上能够直截了当治理802.1x的认证用户信息。

4.12 全面的安全分析报表
TopDesk支持丰富的报表功能，能够对收集事件进行分析和统计，并将结果可视化。

为网络治理员能够利用系统提供的多种报表模版，对网络中的状况进行深度挖掘分析，从不同方面对网络事件进行可视化分析，包括表格及多种图形表现形式（柱状图、饼图、曲线图）。

4.13 与TopAnalyzer系统的完美整合
TopDesk 能够和TopAnalyzer 系统完美的整合。

TopDesk负责桌面系统的安全保证，能够接收来自TopAnalyzer工作流中指派的命令和安全预警信息；TopAnalyzer负责整体网络服务器及边界网关的安全保证，并能够收集、分析、处理TopDesk系统上报的报
警事件。

TopDesk与TopAnalyzer的整合，能够从内到外保证企业网络的安全，减少安全事件的发生，并关心治理员快速定位、解决网络安全故障。

5产品系统特点
5.1 实时性
实时地监控网络内的活动，随时向治理员提供准确的报告。

对专门行为，能够按照预定的策略阻断主机对网络的访问，防止数据外泄，并发出警报。

5.2 高性能
系统采纳优化设计，将网络占用率降到较低水平，并能够通过策略操纵网络资源的占用，对网络中的被监控运算机几乎没有阻碍。

系统采纳基于代理的分布式处理模式和并发探测技术，极大地提高了探测效率。

5.3 易用性
系统提供了友好的WEB 图形化用户界面，能够进行全新的可视化治理与配置。

强大的日志查询功能，能够依照各种条件进行快速查询和统计。

对受控主机的各种状态产生实时报警，并在操纵端作详细的显示和统计分析。

5.4 适应性强
系统可依照用户实际的网络环境，方便地调整部署和运行的配置参数，提供对NAT 等各类复杂网络环境的支持，具备良好的适应性。

5.5 带宽操纵和断点续传
系统在软件分发和补丁下载时，能依照实际情形，应用不同的带宽策略，自动调整传输速度，幸免网络流量拥塞，减少对业务系统的阻碍；同时，系统在分发软件和补丁时，当显现网络中断情形时，能支持断点续传，充分利用网络带宽资源，幸免重复下载。

5.6 远程升级和卸载
系统支持远程升级和远程卸载，在简化Agent治理的同时，，使系统时刻保持安全防范的最前沿，并保证系统补丁的及时更新。

5.7 支持完善、安全的用户治理与认证机制
支持多用户、多角色治理机制。

具备自我防护和审计能力，能够有效地防止蛮力攻击等。

5.8 面向终端用户的完全透亮性
TopDesk Agent关于终端用户是完全透亮的，Agent的信息收集、策略执行、安装、升级等操作对用户完全透亮，减少了治理的成本。

6产品经典应用
6.1 TopDesk独立部署
TopDesk独立部署方式如下图所示：
TopDesk Controller TopDesk Agent TopDesk Agent TopDesk Agent
Agent安装和部署在被监管的设备上；Manager通过Agent实现对被监管设备进行监管外；Controller操纵器部署在被治理的网络中，配置治理Agent，并采集网络中的IP信息；部署在网络中的数据库系统，为Manager提供数据储备和备份等功能；而用户则能够通过Internet上部署的客户端Console程序，对整个TopDesk系统进行操纵和治理。

6.2 TopDesk和TopAnalyzer联合部署
TopDesk和TopAnalyzer联合部署如下图所示：
TopDesk与TopAnalyzer共同组成了TSM综合治理平台，TopDesk Agent部署在各个桌面系统中，TopDesk Manager 和TopAnalyzer Manager协作治理网络内部的安全事件，Manager除了通过Agent实现对被监管设备进行监管外，还能够直截了当调用网络中的其他设备（如防火墙、路由器、交换机、各类服务器）的接口，实现对其操纵和治理；部署在网络中的数据库系统，为Manager提供数据储备和备份等功能；而用户则能够通过Internet上部署的客户端Console程序，对整个TopDesk系统进行操纵和治理。

7产品资质
8专门声明
1.本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕
不另行通知。

2.本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同
而有所差异，此可能产生的差异为正常现象，相关问题请咨询天融信客户服务中
心400-610-5119或者800-810-5119。

3.本手册中没有任何关于其他同类产品的对比或比较，天融信也不对其他同类产品
表达意见，如引起相关纠纷应属于自行估量或误会，天融信对此没有任何立场。

4.本手册中提到的信息为正常公布的信息，若因本手册或其所提到的任何信息引起
了他人直截了当或间接的资料流失、利益缺失，天融信及其职员不承担任何责任。