TCSP TSM3.0产品介绍.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 事件通过收集、归并、关联分析、响应、处理、恢复等等过程，完成信息采集-安全分析-报警响应。 防火墙对该行为记录并形成日志上报安全管理中心 * * 事件统一过程是将杂乱无章的各种事件类型的不同格式事件统一为同一事件格式，为之后的分析做铺垫。 * 事件整合是将统一好的事件按照类型进行归并分类，提取需要分析的安全事件。 * 事件关联分析是在多种事件类型中分析出某一安全威胁产生的相关联事件，从而精确定位到安全威胁类型以及解决方法。 * 当某一安全事件发生后，提供了多种响应方式，包括：手动（工单处理、辅助决策等等）、自动（EMAIL报警、设备联动等等）两种方式的多种类型报警。 * * * * * * BS7799标准是为信息安全提供了一套全面综合最佳实践经验的控制措施。其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据，并且能够让各种规模的组织所采用。 是目前安全业界主流的风险管理标准。 * * 辅助专家决策系统可以为一般性事件提供辅助决策信息和自动处理脚本，当用户不确定若干事件是否存在安全隐患时候，辅助专家决策系统通过内部处理机制将关联出这些时间是否存在安全问题，如果存在安全问题将提供决策信息并生成响应动作脚本，使用者可以选择自己执行响应，也可以选择自动执行脚本，让使用者能够从容面对各种事件。 * 使用图形化的方式将过滤条件的定义按照SQL语言的方式组织出来，使用户可以通过图形方式定义复杂的SQL标准条件，提供了SQL语言支持的所有的图形表达方式。目前该技术在国内属于领先地位。 * * * * * * * * * * 终端补丁安装统计 补丁信息管理 终端补丁安装 分发补丁，在桌面 会弹出如右图所示 的补丁安装提示窗口 ，用户可以选择： 1、立即安装 2、稍后安装 3、取消安装 终端补丁状态监视 通过系统监视，管理员可以查看，目标主机的补丁状态 终端漏洞检测和监视 通过系统监视，管理员可以查看，目标主机存在的漏洞信息 终端行为监管 基于策略监视终端用户的行为，防止机密数据外泄，维护网络安全 拨号监控 用户需求 监视用户拨号上网。 内网用户通过拨号上网，可能导致病毒威胁内部网络其他机器安全 内网用户拨号上网，存在泄密可能。 TopDesk方案 自动检测用户拨号行为，并根据策略告警。 可以禁止用户拨号行为。 可以限制内网只能拨号的isp 非法外联监控 用户需求 防止用户即在内网，又在外网，机密数据可能泄漏。 TopDesk方案 自动检测用户是否在内网和外网，并根据策略告警。 打印监管 打印机监管：实时监视对网络、本地打印机的使用。通过策略定制限制主机是否允许打印以及可以使用哪些打印机 文件和目录监管 文件和windows共享监视：监控本地指定的文件或文件夹的增加、删除、修改(属性变化、内容变化、名称变化)等行为。 Windows共享审计 根据策略能对windows网络共享目录的访问行为进行监视，记录详细的访问日志 外存监控 外存监管：对计算机外存设备（软驱、光驱、USB、光驱）等读写的监控。通过策略定制限制主机是否允许使用外存设备 Web行为监视 web访问行为的监管：通过策略对终端主机用户的网络访问行为进行记录，当用户访问了受限的站点时，系统发出告警。 异常端口监视 用户需求 是否存在木马后门。 正常的服务是否被病毒关闭 TopDesk方案 建立端口黑白名单。 检测黑名单的端口是否打开，如果是，则可能存在木马，告警。 检测白名单的端口是否被关闭，如果关闭，则告警 异常进程监视 用户需求 是否存在恶意软件和木马。 是否存在异常的进程，其cpu、内存异常。 正常的应用是否被中止。 TopDesk方案 建立进程的黑白名单。 如果存在黑名单的进程，则告警 如果不存在白名单的进程，则正常的应用可能不正常，告警 如果正常的进程，其突然cpu和内存异常，则可能对主机的正常应用产生影响，也告警。 软、硬件监视 用户需求 随意安装卸载软件，存在感染病毒的可能。 用户随意卸载、替换硬件，导致资产流失。 TopDesk方案 自动检测软件的变化，并告警。 自动检测硬件的变化，并告警 自动将软件、硬件的信息汇报给资产系统，保证资产信息的准确。 性能监视 用户需求 硬盘空间不足导致系统异常 病毒泛滥导致机器性能受损。 TopDesk方案 如果硬盘的可用空间低与策略定义的最小值，告警提示。 如果主机的cpu、内存持续占用很高，告警。 集中安全策略管理 建立全网的安全策略库，分发和执行安全策略，防范安全