摘要：本文通過(guò)對(duì)TSM系統(tǒng)的研究，希望能達(dá)到通過(guò)此技術(shù)有效管理網(wǎng)絡(luò)用戶的目的。通過(guò)對(duì)TSM終端安全管理技術(shù)（terminal security management）的體系架構(gòu)與準(zhǔn)入控制原理的探討和實(shí)際操作可以明確此一技術(shù)的有效性。這一技術(shù)的實(shí)施可以保障終端用戶終端的安全，服務(wù)器區(qū)域的接入安全，違規(guī)的處理以及達(dá)到統(tǒng)計(jì)方面的便捷。

關(guān)鍵詞：TS；安全管理；維護(hù)；SC；SM

中圖分類號(hào)：TP309.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 17-0000-02

1 概述

隨著企業(yè)信息化的深入，終端所面臨的安全威脅越來(lái)越難以解決，像外來(lái)人員隨意接入、病毒泛濫、隨意安裝軟件、核心業(yè)務(wù)資源被非授權(quán)人員訪問(wèn)等等。這些問(wèn)題交織在一起，已經(jīng)對(duì)安全界提出了挑戰(zhàn)，需提供一套立體防御解決方案來(lái)應(yīng)對(duì)各類安全問(wèn)題的產(chǎn)生。針對(duì)終端存在的主要問(wèn)題，TSM終端安全管理（terminal security management）提供了解決方案：以企業(yè)安全策略為核心，用戶在接入企業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)之前，首先要進(jìn)行身份認(rèn)證；認(rèn)證通過(guò)后強(qiáng)制進(jìn)行安全檢查，檢查用戶的安全狀態(tài)，通過(guò)安全狀態(tài)的結(jié)果決定是否進(jìn)行隔離修復(fù)，安全狀態(tài)合格后對(duì)接入用于進(jìn)行業(yè)務(wù)訪問(wèn)授權(quán)；最后業(yè)務(wù)審計(jì)要素監(jiān)視整個(gè)過(guò)程，以便為違規(guī)行為作出響應(yīng)與記錄，包括對(duì)業(yè)務(wù)授權(quán)后用戶的安全行為進(jìn)行監(jiān)控。整個(gè)流程形成了終端安全保護(hù)的持續(xù)改進(jìn)過(guò)程。

2 TSM體系架構(gòu)簡(jiǎn)述

TSM系統(tǒng)由管理器（SM）、控制服務(wù)器（SC）、接入控制網(wǎng)關(guān)（SACG）和安全代理（SA）組成。TSM管理器作為管理服務(wù)器允許管理員通過(guò)IE瀏覽器登錄進(jìn)行日常維護(hù)操作，包括系統(tǒng)配置、組織人員管理、安全策略管理、補(bǔ)丁管理、軟件分發(fā)、資產(chǎn)管理、公告管理、報(bào)表管理等；TSM控制服務(wù)器（SC）主要負(fù)責(zé)驗(yàn)證終端用戶的身份、對(duì)終端主機(jī)進(jìn)行安全檢查，以及與準(zhǔn)入控制設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)最小授權(quán)的訪問(wèn)控制等；TSM接入控制網(wǎng)關(guān)（SACG）用于控制終端訪問(wèn)受控網(wǎng)絡(luò)的權(quán)限，向隸屬不同角色的終端用戶和不同安全狀況的終端用戶開放不同的權(quán)限。TSM代理（SA）完成對(duì)用戶的身份認(rèn)證向服務(wù)器獲取安全策略參數(shù)。

TSM系統(tǒng)允許兩種終端接入方式：1）Web接入方式，只進(jìn)行身份認(rèn)證；2）Agent接入方式，進(jìn)行身份認(rèn)證和部分安全認(rèn)證；3）Agent，進(jìn)行身份認(rèn)證和安全認(rèn)證；

TSM系統(tǒng)區(qū)域分為：1）認(rèn)證前域，用戶終端身份認(rèn)證前只能訪問(wèn)該區(qū)域；2）隔離域，用戶終端身份認(rèn)證后，安全認(rèn)證前可以進(jìn)入得安全修復(fù)區(qū)域；3）認(rèn)證后域，安全認(rèn)證通過(guò)后，終端基于業(yè)務(wù)需求角色所授予業(yè)務(wù)資源訪問(wèn)權(quán)限的區(qū)域。認(rèn)證前域和隔離域?qū)儆诎踩蛑械姆?wù)域，認(rèn)證后域?qū)儆诎踩蛑械臉I(yè)務(wù)域。

3 TSM維護(hù)與日常管理

管理員需要登錄TSM管理中心后才能執(zhí)行日常管理和維護(hù)操作。為保證安全，系統(tǒng)采用加密web頁(yè)面和認(rèn)證碼結(jié)合方式登錄，登錄端口8443。登錄TSM管理中心后，如果管理員在連續(xù)的30分鐘內(nèi)沒(méi)有與TSM管理中心進(jìn)行交互（例如查詢報(bào)表、保存設(shè)置），則管理員與TSM管理中心之間的會(huì)話將會(huì)被自動(dòng)注銷，管理員要繼續(xù)訪問(wèn)TSM管理中心將會(huì)看到“服務(wù)超時(shí)，請(qǐng)重新登陸”的對(duì)話框。管理員必須重新登錄才能繼續(xù)訪問(wèn)TSM管理中心。使用2個(gè)不同賬號(hào)在同1個(gè)IE 7.0窗口的2個(gè)頁(yè)簽同時(shí)登錄TSM管理中心，會(huì)導(dǎo)致操作權(quán)限互相覆蓋的問(wèn)題。在已經(jīng)使用IE 7.0登錄TSM管理中心的情況下，如果管理員需要使用另一個(gè)賬號(hào)登錄TSM管理中心而不注銷當(dāng)前賬號(hào)，請(qǐng)打開1個(gè)新窗口并使用其他賬號(hào)登錄TSM管理中心，即可避免操作權(quán)限互相覆蓋的問(wèn)題

例行維護(hù)

對(duì)系統(tǒng)的例行維護(hù)著重在系統(tǒng)健康情況周期性檢查，主要是TSM 服務(wù)器、SACG、數(shù)據(jù)庫(kù)的運(yùn)行情況和業(yè)務(wù)數(shù)據(jù)方面的例行維護(hù)，如：報(bào)表、補(bǔ)丁等例行操作。監(jiān)控內(nèi)容包括：服務(wù)器連接狀態(tài)、在線用戶、資源使用情況以及License數(shù)量和監(jiān)聽端口列表。

服務(wù)器狀態(tài)監(jiān)控工具可以運(yùn)行在任何一臺(tái)與服務(wù)器IP可達(dá)的機(jī)器上遠(yuǎn)程進(jìn)行監(jiān)控服務(wù)器監(jiān)控工具可以設(shè)置監(jiān)控資源的閥值，也可以開啟告警，包括郵件告警和短信告警。

突發(fā)性維護(hù)

突發(fā)性維護(hù)包括：服務(wù)端的故障處理；客戶端的故障處理；SACG的故障處理三方面。

服務(wù)器端的故障處理主要包含：

（1）收集事故信息。當(dāng)系統(tǒng)或設(shè)備發(fā)生緊急事故時(shí)，維護(hù)人員應(yīng)首先保持鎮(zhèn)靜，然后通過(guò)故障申告、設(shè)備巡檢、查看日志信息等途徑或手段盡可能多地收集與事故相關(guān)的各種信息，以便為后續(xù)的事故處理提供充分的依據(jù)。

（2）檢查硬件設(shè)備的運(yùn)行是否正常。由于硬件設(shè)備故障很容易同時(shí)引發(fā)業(yè)務(wù)阻塞事故（例如SACG癱瘓必然導(dǎo)致全局業(yè)務(wù)阻塞），因此，為提高事故處理的效率，在執(zhí)行任何緊急事故的處理措施之前，維護(hù)人員必須首先檢查硬件設(shè)備的運(yùn)行是否正常。

4 結(jié)語(yǔ)

TSM終端安全管理系統(tǒng)著眼于網(wǎng)絡(luò)訪問(wèn)控制上，對(duì)終端的接入訪問(wèn)進(jìn)行控制，防止非法用戶接入，也防止了合法用戶越權(quán)使用網(wǎng)絡(luò)資源。TSM終端安全管理系統(tǒng)還對(duì)網(wǎng)絡(luò)進(jìn)行自動(dòng)檢測(cè)，檢查網(wǎng)絡(luò)內(nèi)終端的系統(tǒng)安全情況，加強(qiáng)了對(duì)合法用戶濫用權(quán)限的管理。TSM終端安全管理系統(tǒng)的使用解決了內(nèi)網(wǎng)的安全問(wèn)題。

參考文獻(xiàn)：

[1]蘇小玲，宋敏.基于SNMP和ICMP的可視化網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)[J].科技資訊，2007，（05）.

[2]閔軍，許澗.SNMPc網(wǎng)管系統(tǒng)建設(shè)模式研究[J].宜賓學(xué)院學(xué)報(bào)，2007，（06）.

[3]龔奇夫.基于校園網(wǎng)的網(wǎng)絡(luò)安全檢測(cè)與監(jiān)控系統(tǒng)[J].中國(guó)校外教育（理論），2007，（10）.

[4]NetGate網(wǎng)絡(luò)管理軟件[J].微型機(jī)與應(yīng)用，1999，（06）.

[5]TSM終端安全管理系統(tǒng)培訓(xùn)手冊(cè)

[作者簡(jiǎn)介]

宋玉艷（1970.4-），2008年畢業(yè)于沈陽(yáng)大學(xué)。現(xiàn)在東北空管局通信網(wǎng)絡(luò)中心工作，主任工程師。