网络卫士安全管理系统 TSM

　　 　　天融信网络卫士安全管理系统是天融信集十年网络安全研发经验，最新推出的基于可信网络架构（TNA）的全新网络安全管理平台系统。网络卫士安全管理系统产品以风险管理为核心，资产管理为基础，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。 产品基于J2EE架构开发，具有极强的开放性与可移植性。在统一安全管理框架下实现对各种系统、应用、设备、安全产品的集中管理和监控，大大减轻了管理员的操作负担，提高了管理效率。系统具有智能处理海量事件，快速判断，应对网络威胁的强大功能。 　　 　　长期以来用户面临的六大安全困扰 　　安全管理的问题。企业的安全管理制度是否得到了有效贯彻，安全运作流程是否能够有效实施，以前无法衡量。安全运营中心可帮助企业利用技术与管理手段有效解决安全管理的问题； 　　海量数据的问题。企业面临着来自异构系统、平台和应用的安全数据的冲击，它们都以不同方式产生信息，且以不同的格式呈现、存储在不同的地方，并且报告不同的内容，而这每天数以百万条信息淹没了安全基础设施； 　　安全孤岛的问题。各种安全设备间缺少信息层互通能力，各自为营。降低了系统整体的运作效率，增加了安全事件的发现时间和响应时间； 　　实时监控的问题。对整个网络的安全威胁形势、安全漏洞情况、安全事件情况、安全攻击情况和综合安全风险情况无法提供准确、实时的分析数据； 　　业务安全的问题。业务始终是一个企业发展的核心，如何保障业务的安全至关重要。现有安全技术侧重保障某特定资源，但业务应用系统一般都由众多IT资源组合构成，如何从业务整个流程上进行安全保障尤为关键； 　　持续改进的问题。安全管理需要不断对处理过的安全事件进行总结，不断更新安全知识库，不断改进安全运维流程，以及不断完善安全管理制度等，因而需要有效的管理手段来实现持续改进。 　　天融信针对用户上述的各种困扰，提出了全面的安全管理解决方案——网络卫士安全管理系统TSM。　　 　　产品简介 　　1.1 产品概述 　　TSM是组成Topsec可信网络架构（TNA）的核心部件。它通过对网络中各种设备（包括路由设备、安全设备等）、安全机制、安全信息的综合管理和分析，对现有安全资源进行有效管理和整合，从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图；通过制定安全策略指导或自动完成安全设施的重新部署或响应；从而全面提高网络整体的安全防护能力。其中，安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。 更多内容请看网路安全基础  网络管理技巧进阶  网络管理技术专题，或 　　产品功能与特点 　　2.1 核心技术： 　　关联分析：TSM系统使用攻击状态机模型来抽象和描述攻击行为，建立多种攻击关联场景，能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。 　　智能决策：基于安全专家知识库的内容，采用专家推理的技术，对当前发生的各类入侵行为，给出切实可行的决策方案和建议，实现对网络安全的智能控制，提高安全管理的效率和智能化水平。辅助决策的功能主要包括：智能推理和决策、安全知识库的管理、安全知识的自学习。 　　当发现入侵行为时，系统能迅速采取合理的应对措施，动态实现对安全策略的调整，最终保障网络的安全运行。安全响应的内容主要包括：防火墙联动、执行动作脚本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。 　　SQL92技术：使用SQL 92标准制订事件过滤条件， 图形化的SQL语言组织，使用户直观的定义事件过滤条件，在事件收集、事件监视、报表定制中可以体现其强大的灵活性，满足各种业务需要。 　　企业级补丁自动部署方案：通过设置补丁策略，能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测，并能够实现推或拉两种方式的自动部署安装，极大减轻系统管理员的工作强度。 　　HIDS和HFW联动提高终端系统入侵容忍度：终端系统受到攻击时，HIDS能够第一时间发现入侵行为，根据联动策略，HFW产生入侵响应行为，准确定位入侵者的IP、MAC信息，使入侵者的入侵行为无效，增强系统的入侵容忍程度。 　　2.2 产品功能： 　　安全信息管理系统（SIMS） 　　资产管理：集中管理机构内的信息资产，包括资产的基本属性、所属客户、所在区域、资产类型等等管理，以多种视角归类资产：基于客户视角、基于区域视角、基于资产类型视角、基于漏洞视角等等。 　　事件管理：集中收集、分析和处理网络中的各类安全事件。包括事件收集、事件过滤、事件归一化、归并、监视、事件浏览等。当发现入侵行为时，系统能迅速采取合理的应对措施，动态实现对安全策略的调整，最终保障网络的安全运行。安全响应的内容主要包括：防火墙联动、执行动作教本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。
[1] [2] [3]  

　　安全分析：当SIMS收集了各类事件后，经过事件管理统一归一处理后，结合攻击状态机模型来抽象和描述攻击行为，与多种攻击关联场景进行模式匹配，能有效地从大量安全事件中准确识别出真实的入侵行为，从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。 　　实时监控：对事件进行查看，使用基于SQL92标准的过滤规则定制监视条件，使用图形化界面实时监视收集事件情况，可以查看一定时间段内实时统计信息，使用事件拓扑的方式浏览各个事件之间的关联关系。同时系统还提供监视仪表盘，支持基于多种资源的监视，包括：事件、资产、威胁、工单等等，提供多种显示方式组合，支持多个监视同时查看。 　　风险管理：基于BS17799建立网络安全的风险计算模型，根据该模型计算网络内资产的风险指数，内容主要包括：风险分析和计算、安全风险监视和控制。使用拓扑图、地图方式动态监控各个资产的风险等级。 更多内容请看网路安全基础  网络管理技巧进阶  网络管理技术专题，或 　　 　　知识库管理：集中管理存储在知识库中的各类安全知识。知识库主要包括：关联规则、安全专家规则、事故案例库、漏洞库、补丁库和安全知识文章等内容。 　　工单管理：为了能高效地处理安全事件，摆脱人工处理的弊端，SIMS系统采用工作流引擎实现对安全事件的流程化处理和监控，以及预警和响应。工作流引擎依赖用户预先定义的工单库内容。 　　权限管理：基于角色的管理模式，用户权限控制可以细化到具体一个资源，使用户可以根据不同需要设置角色权限，满足各种权限控制需要，实现多用户多角色分级管理。 　　终端管理系统（TMS） 　　桌面安全防护:桌面安全防护模块，负责保护终端用户的桌面系统。主要功能包括：主机防火墙、主机入侵防护和防病毒软件检测。 　　集中管理的主机防火墙:TMS为企业所有联网主机提供以应用程序为中心的主机防火墙保护功能。它除了提供传统的主机型防火墙功能,还可以锁定合法应用程序，防止恶意程序通过伪装或代码注入等手段绕过防火墙的检测。当系统探测到远程攻击行为时，可以自动阻断所有来自攻击方的网络通讯，确保主机的安全。通过与TMS系统的IP管理、IDS等模块的联动，根据模块报警自动切断主机的网络连接，并保证接受TMS系统的统一管理。 　　集中管理的主机入侵防护:TMS提供的完整的主机型入侵检测系统(HIDS)，有效提高了检测率，降低了误报率。系统还提供入侵检测特征的编辑功能，管理员可以根据企业的特点和新出现的网络威胁自定义入侵检测规则，也可以通过网络直接升级HIDS的入侵检测特征库，快速而灵活的应对不断出现的新的网络攻击行为。 　　防病毒软件检测:TMS 提供了对主机的杀毒软件的检测功能，可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等，目前支持检测国内外绝大多数流行的杀毒软件，包括：江民、瑞星、金山、诺顿、趋势、McaAfee、KASPersky等。 　　补丁管理:TMS 提供了对主机补丁管理的功能，帮助管理员对网内的 WIN2000/XP/2003 等机器快速部署最新的补丁，可对主机需要或已安装的补丁进行检测、自动安装。 　　IP管理:对局域网内IP地址、MAC地址进行管理控制，有效检测IP冲突。建立IP 地址库,提供IP 查询功能；显示IP 地址资源使用情况等 。
 [1] [2] [3]  

　　行为监管：TMS 提供了对主机的行为进行统一监管功能，能对主机的拨号、打印、外存使用、文件读写行为进行了策略控制，满足了主机、区域安全性的安全需求。 　　系统监管：TMS 提供了对主机系统主要信息（包括进程信息、端口连接信息、安装软件信息、硬件信息等）进行监视的功能，并通过定制全局、局部策略对主机的资源、运行状态进行总体管理，如删除非法进程等。 　　典型应用 　　图为TSM系统应用在某企业的部署图。 　　TSM对其管理区域内的安全产品、网络设备进行集中统一的管理，收集、过滤、分析、存储各种防火墙、IDS、路由器、交换机和应用程序等的事件信息。管理员通过TSM管理器能统一查看整个网络内的各个安全产品、网络设备、关键业务服务器的安全状况，监视全网络内发生的各类安全事件，自动评估网络的安全风险，并根据风险情况自动调整网络安全策略，做出快速的响应。这样就为管理员提供了一个统一全面的安全视图，有效地实现了将各类异构安全产品、网络设备、应用服务器的资源整合，实现了一个动态自适应的安全防护体系，同时简化了管理员的工作。 　　部署TSM后，能够依照策略对漏洞扫描、入侵检测、防火墙、防病毒、补丁等系统的安全信息进行数据清洗、归并、统计、智能分析，准确地评估当前的安全形势，并以报表等直观的方式显示给用户。以最小的人力投入实现一个完整的安全管理体系，从而达到对整个系统的安全产品、网络设备、应用系统进行集中统一的管理；能有效地预防安全事故的发生，在安全事故发生时能及时、快速地采取各种响应措施，从而大大地减少了用于安全管理的人力、费用和时间成本。 更多内容请看网路安全基础  网络管理技巧进阶  网络管理技术专题，或 　　 　　 　　产品认证 　　公安部颁发的《计算机信息系统安全专用产品销售许可证》 　　 　　 更多内容请看网路安全基础  网络管理技巧进阶  网络管理技术专题，或 　　 　　 　　 　　 更多内容请看网路安全基础  网络管理技巧进阶  网络管理技术专题，或

（出处：http://www.sheup.com）

 [1] [2] [3] 

　　 　　 更多内容请看网路安全基础  网络管理技巧进阶  网络管理技术专题，或

（出处：http://www.sheup.com）

 [1] [2] [3] [4] 

 网络管理技巧进阶  网络管理技术专题，或

（出处：http://www.sheup.com/）

 [1] [2] [3] [4] [5]