【正文】 系統(tǒng)補丁分發(fā)的策略模板，不同的用戶組可以分配不同的補丁管理策略模板。TSM系統(tǒng)可以根據(jù)管理員制訂的補丁模板分發(fā)策略自動或手動向終端分發(fā)操作系統(tǒng)的補丁。系統(tǒng)支持補丁列表的導(dǎo)入和導(dǎo)出操作。2. 補丁測試管理當(dāng)微軟發(fā)布新的安全補丁時，管理員可以先挑選小范圍的終端部署這些補丁，驗證補丁的安全性；當(dāng)小范圍終端驗證通過，確認安全性和兼容性后，再挑選更大范圍（如全網(wǎng)）的終端部署和驗證補丁，最終實現(xiàn)補丁的統(tǒng)一部署。管理員也可在系統(tǒng)提供的補丁報表里查看補丁的分發(fā)狀態(tài)，監(jiān)控補丁的分發(fā)進展。3. 關(guān)鍵補丁的準(zhǔn)入管理補丁的自動管理能夠很好地解決在線終端的補丁安裝問題，對經(jīng)常離線（如長期出差）的終端建議通過補丁檢查策略在接入企業(yè)內(nèi)網(wǎng)時進行補丁檢查，當(dāng)檢查到終端沒有部署關(guān)鍵的補丁時，可以協(xié)助終端快速完成補丁的修復(fù)。對于特別重要的安全補丁，管理員可通過補丁檢查策略與接入控制進行聯(lián)動，強制接入企業(yè)網(wǎng)絡(luò)的終端進行補丁檢查，對于未按照企業(yè)要求安裝指定補丁的終端禁止接入企業(yè)網(wǎng)絡(luò)。通過此方式，從技術(shù)上保證了網(wǎng)絡(luò)的安全性，并能夠有效提高員工的安全意識，防范安全事件的大規(guī)模發(fā)生。4. 補丁分發(fā)狀態(tài)管理管理員在補丁分發(fā)任務(wù)管理界面上，可以查看指定終端安裝補丁的情況，以及每個補丁的終端部署情況。 資產(chǎn)管理隨著企業(yè)業(yè)務(wù)的不斷擴展，內(nèi)網(wǎng)辦公終端與日俱增，僅僅依靠純手工的資產(chǎn)管理方式遠不能滿足需求，TSM系統(tǒng)的資產(chǎn)管理功能提供企業(yè)資產(chǎn)的全生命周期管理。通過自動化的資產(chǎn)采集功能，及時收集終端的軟硬件信息，為企業(yè)的管理者提供一個全局的視圖，了解企業(yè)終端當(dāng)前配置的狀況，為企業(yè)更新終端配置提供一些決策上的統(tǒng)計數(shù)據(jù)。TSM系統(tǒng)能夠跟蹤資產(chǎn)變更的情況，記錄資產(chǎn)變更的詳細信息，并且提供資產(chǎn)變更告警功能。TSM資產(chǎn)管理采用硬件信息標(biāo)識一臺計算機，即使重新安裝了操作系統(tǒng)，TSM系統(tǒng)的資產(chǎn)管理模塊也能夠自動識別回原來的設(shè)備，避免因為重新安裝操作系統(tǒng)導(dǎo)致大量冗余的無效資產(chǎn)數(shù)據(jù)，簡化管理員的日常維護工作。資產(chǎn)管理提供兩種模式：l 人工資產(chǎn)編號模式：系統(tǒng)中的每一個資產(chǎn)，都有明確的資產(chǎn)編碼，終端用戶在客戶端程序上輸入資產(chǎn)編碼，實現(xiàn)資產(chǎn)注冊，完成設(shè)備與資產(chǎn)編號和資產(chǎn)描述信息的關(guān)聯(lián)。l 自動資產(chǎn)編號模式：當(dāng)管理員只希望管理終端的軟硬件配置信息，以及跟蹤軟硬件變化的時候，可以采用資產(chǎn)編號模式。系統(tǒng)將根據(jù)管理員設(shè)定的規(guī)則，對資產(chǎn)進行自動編號。 軟件分發(fā)能夠協(xié)助IT管理人員分發(fā)企業(yè)內(nèi)的標(biāo)準(zhǔn)軟件，避免IT人員到每一臺計算機設(shè)備安裝應(yīng)用軟件，減少軟件初次安裝時的工作量。TSM系統(tǒng)的軟件分發(fā)功能支持局域網(wǎng)范圍內(nèi)的快速下載，能夠大大減少對網(wǎng)絡(luò)帶寬的占用。 公告下發(fā)公告下發(fā)功能能夠幫助企業(yè)IT管理員針對不同部門，不同人員下發(fā)公告通知，減少企業(yè)運維壓力。 遠程協(xié)助遠程協(xié)助功能能夠幫助企業(yè)IT管理員及時響應(yīng)終端用戶的需求，無須東奔西跑的現(xiàn)場解決，從而提高問題解決的效率和業(yè)務(wù)部門的滿意度。 安全審計報表多維度的網(wǎng)絡(luò)安全報表的平臺化管理功能，通過預(yù)置報表模板完成整網(wǎng)安全的可視化管理。通過報表餅圖，直觀感受全網(wǎng)被管理終端接入網(wǎng)絡(luò)的狀態(tài)；通過趨勢圖獲取終端接入網(wǎng)絡(luò)的安全走勢；通過柱狀圖，可快速定位違規(guī)終端的TOPN排行等；6 TSM系統(tǒng)組成介紹TSM終端安全系統(tǒng)結(jié)構(gòu)圖TSM終端安全管理系統(tǒng)由如下幾個部分組成：1. TMC管理中心分級管理部署時使用，作為TSM的管理中心，負責(zé)制定總體的安全策略，下發(fā)給各個TSM管理節(jié)點，并且對TSM管理節(jié)點實施情況進行監(jiān)控。2. TSM管理服務(wù)器SM系統(tǒng)管理員通過WEB管理界面，可以完成終端用戶管理、安全策略配置等業(yè)務(wù)管理工作。通過該操作界面，系統(tǒng)管理員可以查詢終端的安全狀態(tài)和違規(guī)的歷史記錄和報表。此外，作為管理服務(wù)器，將管理其下的各個TSM控制服務(wù)器SC的連接狀態(tài)，向已經(jīng)連接的各個SC控制節(jié)點發(fā)送實時指令，完成各種業(yè)務(wù)。3. TSM控制服務(wù)器SCSC主要負責(zé)完成如下幾項業(yè)務(wù)：l ，當(dāng)身份認證通過后，根據(jù)終端的安裝狀態(tài)。l 與SACG聯(lián)動，當(dāng)身份認證通過后，通過私有協(xié)議，根據(jù)終端的安全狀態(tài)，對于安全檢查不通過的終端，通知SACG切換到隔離域。對于安全檢查通過的終端，通知SACG切換到認證后域。l 作為與TSM安全代理SA交互的控制點，完成身份認證、安全策略下發(fā)、數(shù)據(jù)上報等任務(wù)。4. 網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備有三種可選的網(wǎng)絡(luò)準(zhǔn)入：1）2）安全準(zhǔn)入控制網(wǎng)關(guān)SACG3）基于終端主機防火墻的軟件準(zhǔn)入控制通過準(zhǔn)入控制設(shè)備，把企業(yè)的網(wǎng)絡(luò)資源劃分為一個認證前域，若干個隔離域，以及若干個認證后域。終端在身份認證前，只能訪問認證前域；當(dāng)終端通過身份認證，沒有通過安全認證的時候，只能訪問該終端用戶所屬的隔離域；當(dāng)終端通過身份認證，并且通過安全認證，根據(jù)終端用戶的身份，切換到該用戶對應(yīng)的認證后域，達到最小授權(quán)訪問控制的目的。5. TSM安全代理SATSM安全代理是一個安裝在終端PC上的應(yīng)用程序，當(dāng)終端PC啟動后，終端用戶輸入用戶名+口令，執(zhí)行身份認證和安全檢查操作，并且把檢查的結(jié)果作為安全認證開通網(wǎng)絡(luò)訪問權(quán)限的依據(jù)。在代理執(zhí)行的過程中，監(jiān)控終端的行為，包括監(jiān)視和控制兩個部分，如禁止使用USB接口以及監(jiān)視用戶所有網(wǎng)絡(luò)訪問的WEB URL，并且把審計的結(jié)果上報服務(wù)器，作為分析和統(tǒng)計的數(shù)據(jù)來源和審計的證據(jù)。TSM安全代理提供補丁管理、軟件分發(fā)、資產(chǎn)管理、公告下發(fā)，以及遠程協(xié)助等IT管理輔助功能。TSM安全代理全面支持多種Windows操作系統(tǒng)，如Windows XP、VISTA、Windows 7等，全面支持64位Windows操作系統(tǒng)，滿足復(fù)雜環(huán)境下終端安全管理需求。6. 基于ActiveX技術(shù)的WEBAGENT認證客戶端TSM終端安全管理提供無需在終端安裝代理軟件的安全解決方案，通過基于ActiveX技術(shù)的WEB認證客戶端，提供身份認證和安全檢查操作，并且把檢查的結(jié)果作為安全認證開通網(wǎng)絡(luò)訪問權(quán)限的依據(jù)。7 TSM可靠性介紹 操作安全性TSM系統(tǒng)采用基于管理角色的操作權(quán)限控制，并記錄管理員的操作日志保證提高操作安全性和可追溯性。TSM系統(tǒng)支持管理員、操作員、審計員權(quán)限分離。通過權(quán)限分離，實現(xiàn)系統(tǒng)管理的安全性，有效防止權(quán)限亂用。 數(shù)據(jù)安全性TSM系統(tǒng)提供完善的數(shù)據(jù)安全解決方案。數(shù)據(jù)傳輸方面：l Secospace TSM系統(tǒng)服務(wù)器之間的數(shù)據(jù)傳輸采用華為私有協(xié)議進行加密；l 代理程序與服務(wù)器之間的通訊通過SSL協(xié)議加密；l 補丁和軟件的分發(fā)均支持數(shù)據(jù)完整性檢查和斷點續(xù)傳功能，充分保證數(shù)據(jù)傳輸?shù)陌踩裕粩?shù)據(jù)存儲方面：l TSM系統(tǒng)通過數(shù)據(jù)庫保存終端的違規(guī)日志信息，支持數(shù)據(jù)鏡像和增量備份功能；l 系統(tǒng)管理員通過管理界面進行日志管理時無法刪除任何的違規(guī)信息，保證存儲數(shù)據(jù)的完整性和原始性； 系統(tǒng)可靠性方案 逃生通道TSM系統(tǒng)特有功能的逃生通道功能，當(dāng)服務(wù)器發(fā)生故障無法執(zhí)行身份認證和安全認證時，系統(tǒng)自動啟動業(yè)務(wù)優(yōu)先下的逃生功能。逃生通道支持自動開啟和關(guān)閉。如果企業(yè)偏重業(yè)務(wù)的安全性，則可以選擇不開啟此功能。 SACG故障方案TSM的接入控制功能主要是通過接入控制設(shè)備SACG實現(xiàn)，終端計算機訪問內(nèi)網(wǎng)資源的上行數(shù)據(jù)都需要經(jīng)過SACG設(shè)備，如果SACG故障將帶來嚴(yán)重后果，因此SACG部署的可靠性性也很重要。為避免單點故障的隱患，一般建議都采取雙機備份方案來保證SACG部署的可靠性。 服務(wù)器多資源池備份方案單臺服務(wù)器能夠處理一萬并發(fā)用戶數(shù)，可以通過增加服務(wù)器的方式實現(xiàn)后續(xù)擴容。服務(wù)器以資源池的方案提供負載分擔(dān)功能。當(dāng)終端代理檢測到當(dāng)前區(qū)域內(nèi)的主用服務(wù)器故障時或者無法連接時，自動關(guān)聯(lián)下一臺備用服務(wù)器繼續(xù)進行認證。8 方案特點及優(yōu)勢整體方案實現(xiàn)了集中統(tǒng)一的認證、授權(quán)管理，管理員不在需要費盡腦汁去配置網(wǎng)絡(luò)中的各個設(shè)備，去完成相應(yīng)的訪問控制機制，所有的安全策略都由TSM服務(wù)器統(tǒng)一的進行配置和下發(fā)，無論對于安全策略的定義、執(zhí)行還是故障排查，都提供了很大的方便性。充分利用已有的網(wǎng)絡(luò)安全建設(shè)，將各個孤立的解決方案實現(xiàn)最佳的融合。TSM將內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問控制解決方案、防病毒解決方案、補丁管理解決方案、身份認證解決方案、資產(chǎn)管理解決方案結(jié)合一起，實現(xiàn)了對終端安全方案的強制執(zhí)行，不符合終端安全策略的用戶，將會在網(wǎng)絡(luò)訪問中受到限制，對網(wǎng)絡(luò)訪問的方案增強到基于網(wǎng)絡(luò)標(biāo)識、用戶標(biāo)識和終端狀況等因素的集中授權(quán)。靈活豐富的安全檢查，包含了業(yè)界最多的終端安全檢查策略，并且在用戶訪問的整個過程當(dāng)中都可以進行檢查，一旦發(fā)現(xiàn)于預(yù)定義的策略不符，系統(tǒng)可以改變該用戶的權(quán)限，或者禁用用戶。業(yè)界一流的高安全性，在系統(tǒng)管理方面，采用基于管理角色的操作權(quán)限控制，并記錄管理員的操作日志保證提高操作安全性和可追溯性；支持管理員、操作員、審計員權(quán)限分離,通過權(quán)限分離，實現(xiàn)系統(tǒng)管理的安全性，有效防止權(quán)限亂用；在數(shù)據(jù)安全性方面，系統(tǒng)內(nèi)部所有通訊均采用加密手段傳輸，充分保證數(shù)據(jù)傳輸?shù)陌踩裕粩?shù)據(jù)存儲支持數(shù)據(jù)鏡像和增量備份功能，保證存儲數(shù)據(jù)的完整性和原始性。優(yōu)異的高可靠性，重要組件均提供主備和負載均衡，提供獨有的逃生通道功能，在服務(wù)器發(fā)生宕機等極端情況下能夠自動暫時放開網(wǎng)絡(luò)訪問控制，以免影響正常業(yè)