HCNASecurityCBSN第十章终端安全技术V10.pptVIP

思考题 TSM是什么？它能解决哪些终端安全问题？ TSM系统主要由哪些组件组成？ SM、SC组件在TSM系统中各承担什么角色，那个组件与SACG有业务交互？ TSM系统有哪2种管理维度？它们之间有何区别？ TSM系统可支持哪些身份认证方式？它们之间有何区别？ TSM系统主要有哪些安全策略？这些安全策略各解决什么问题？ 第二十九页，共三十一页。 第三十页，共三十一页。 内容总结 修订记录。开发类型（新开发/优化）。大约60%到80%的网络滥用事件起源于内部网络。准入控制+桌面管理+安全管理。补丁 服务器。OS/Office/IE/数据。外部非可信终端不能访问可信终端。安全检查不通过，仅提供受限的网络资源，隔离威胁。TSM指派访问策略，控制终端可访问的互信域和认证后域。AV, Patch Server。不安全终端端口关闭，不能访问邻居终端。可扩展、可升级的策略和报表服务。组织管理功能——管理维度之一。网络区域管理——管理维度之二。SM、SC组件在TSM系统中各承担什么角色，那个组件与SACG有业务交互。这些安全策略各解决什么问题 第三十一页，共三十一页。 Copyright ? 2010 Huawei Technologies Co., Ltd. All rights reserved. Page * Copyright ? 2010 Huawei Technologies Co., Ltd. All rights reserved. Thank you 修订记录 课程编码 适用产品 产品版本 课程版本ISSUE HC1103 华为TSM系统 V100R002 V1.0 开发/优化者 时间 审核人 开发类型（新开发/优化） 陈灵光 2011.7 余雷 第一版 本页不打印 第一页，共三十一页。 第十一章 终端安全技术 第二页，共三十一页。 目标 学完本课程后，您将能够: 了解什么是终端安全 掌握TSM系统的组成部分及如何部署 理解TSM系统组织管理和准入控制方式 掌握TSM系统的安全策略配置 第三页，共三十一页。 目录 终端安全概述 终端安全系统部署 终端安全策略部署 第四页，共三十一页。 绝大部分威胁源于内网 Mail Sever File Sever Web Sever 形同虚设？ 根据加利福尼亚州旧金山的计算机安全协会(CSI)的观点， 大约60%到80%的网络滥用事件起源于内部网络。 列出了14种不容忽视的企业内部安全威胁 第五页，共三十一页。 什么是终端安全? 防病毒软件 立体防御 软件终端安全 个人防火墙 补丁管理软件 准入控制+桌面管理+安全管理 第六页，共三十一页。 目录 终端安全概述 终端安全系统部署 终端安全策略部署 第七页，共三十一页。 TSM体系架构简述 企业用户 补丁 服务器 邮件服务器 防病毒服务器 访客用户 OA服务器 文件服务器 W SACG 企业管理员 802.1x交换机 普通交换机 隔离域 认证后域 认证前域 SM SC SC 修复 　服务器 Web WebAgent Agent TSM系统组成 终端接入方式 TSM系统区域 第八页，共三十一页。 VPN 网关 分支机构 TSM Server SACG SA 防病毒服务器 AD域服务器 补丁服务器 认证前域 Internet 认证后域 1 认证后域 2 认证后域 3 SA SA SA SA 集中式部署 第九页，共三十一页。 办事处A 办事处B 核心资源服务器 … SACG Border router Intranet SM 认证后域 防病毒服务器 SACG Internet SACG AD域服务器 分支机构 … SACG SACG SA SA SA SA SA SA SA SC SC SC 认证前域 分布式部署 第十页，共三十一页。 SACG准入控制方式 TSM 服务器 认证前域 隔离域 市场部：已安装代理 敏感资源 公共资源 认证后域 财务部：新员工，未安装代理 硬件安全接入控制网关 防病毒软件运行？ 病毒库更新？ OS/Office/IE/数据 库补丁？ 安装违规软件？ …… 用户名+PW LDAP MAC 身份认证 安全检查 TSM通知SACG下发ACL规则，切换认证后域 切换认证后域 自动安全修复 防病毒软件升级 病毒库更新 自动下载补丁 …… SACG Web推送 下载代理进行安装 URL重定向 AV服务器等 第十一页，共三十一页。 TSM服务器 认证前域 互信域一-财务部 网络资源 认证后域 主机防火墙准入控制 外部非可信终端不能访问可信终端 不同互信域间不能互访 安全检查不通过，仅提供受限的网络资源，隔离威胁 防病毒软件运行？ 病毒库