TSM服务器是华为提供的一种全面的终端安全管理解决方案,其核心在于确保只有经过认证和符合安全策略的终端才能接入网络,以下是对华为TSM服务器的详细介绍:
系统架构
华为TSM(Terminal Security Management)系统主要由以下几个部分组成:
-
TSM代理(SA):安装在用户终端上,负责用户的身份输入和安全策略检查。
-
TSM控制器(SC):负责管理SA和SACG,接收SM的指令并发给SA执行。
-
TSM管理器(SM):是TSM安全管理系统的业务核心,提供各种业务功能组件,包括资产管理、软件分发、补丁管理、日志审计、终端安全策略管理、身份管理、报表等组件,并提供WEB界面和用户交互。
-
TSM修复服务器(SRS):对操作系统补丁、杀毒软件、防火墙等安全资源进行集中统一的管理,对不符合企业安全策略的终端进行安全修复,同时为用户提供安全策略查询和安全问题反馈。
-
接入控制网关(SACG):控制终端的网络访问权限,根据控制器的信息,决定终端的访问权限。
主要功能
-
准入控制:通过TSM代理与控制服务器建立SSL加密连接,确保通信安全,系统对终端用户进行身份验证,如使用用户名、密码、智能卡或其他认证方式,一旦认证成功,代理会请求并更新安全策略,获取最新的策略信息列表,代理依据这些策略检查终端是否合规,并将检查结果报告给控制服务器,服务器根据这些结果决定终端是进入认证后的安全域还是被隔离到非认证域。
-
身份认证:提供基于用户名密码的认证授权,同时也广泛支持主流的外部认证平台,如AD、LDAP、USBKEY+数字证书等,还提供基于Agent客户端和基于IE浏览器的无Agent认证方式,灵活满足内部员工、移动办公用户和临时访客的安全接入认证需求。
-
安全检查:在认证之前,TSM系统会对终端进行一系列的安全检查,包括病毒扫描、补丁状态检查、防恶意软件检查等,只有当终端满足所有预设的安全标准,才会被视为“安全”并允许接入网络。
-
策略执行与更新:TSM系统可以动态地根据策略调整对终端的访问控制,如果新的安全威胁出现,控制服务器可以迅速更新策略,确保所有终端都遵循最新的安全要求。
-
行为审计:提供上网行为审计、软件使用审计、计算机外设使用审计、USB口使用监控、非法外联监控、网络异常流量监控等安全策略,对员工违规行为进行审计和控制,保证企业IT资源的合理使用。
-
资产管理:系统可自动收集终端软、硬件资产信息,统计输出企业资产状态报表;跟踪资产变更,输出变更报表,实现资产管理IT化,保障企业信息资产可控可管。
部署方式
华为TSM系统支持多种部署方式,包括集中式或分布式部署,安全接入控制网关(SACG)支持直挂或旁挂模式,支持双机热备,对企业现网改动小,满足复杂网络环境下的部署需求。
优势特点
-
纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线。
-
一体化部署:整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。
-
高可靠性:服务器采用资源池设计方式,支持负载均衡和冗余备份;安全接入控制网关提供特有的逃生通道功能;提供服务器平台监控工具,实时监控服务器和网关设备的运行状态,保证系统的高可靠性,保障企业业务连续性。
相关问题与解答
-
问题:华为TSM系统如何确保终端的安全性?
- 解答:华为TSM系统通过准入控制、身份认证、安全检查、策略执行与更新等多种手段确保终端的安全性,在终端接入网络前,系统会对终端进行严格的安全检查,只有符合安全标准的终端才能接入网络,系统还会持续监控终端的安全状态,并根据需要动态调整安全策略。
-
问题:华为TSM系统支持哪些身份认证方式?
- 解答:华为TSM系统支持多种身份认证方式,包括基于用户名密码的认证授权、主流的外部认证平台(如AD、LDAP、USBKEY+数字证书等)以及基于Agent客户端和基于IE浏览器的无Agent认证方式,这些认证方式可以灵活满足不同场景下的内部员工、移动办公用户和临时
原创文章,发布者:酷盾叔,转转请注明出处:https://www.kd.cn/ask/52855.html
