TD分为二级级联部署,在每个场馆部署二级管理中心,二级服务器向一级管理中心发送事件日志和告警,一级服务器下发策略和同步用户数据库。同时也可对准入服务器提供备份功能,当场馆服务器故障期间,终端认证可自动转向一级服务器。
一级TD部署在沙河MDC机房,Admin网与Games网各1套;二级TD部署在场馆,其中Admin网部署了53套二级中心,Games网部署了46套二级中心。每个场馆的终端都安装TD客户端,客户端与服务端实时通讯,以保证及时的软件更新及安全策略的下发。对Admin网5270台终端提供网络准入和终端安全防护服务;对Games网2620台终端提供非法外联检测、网络准入和终端安全防护服务。如果二级TD管理中心出现问题,则终端可在一级管理中心进行认证与策略下载,保障终端的可用性。
三、终端标准化的应用特点
TD是基于安全策略而设计的,因此便于对网内终端安全行为进行全面监管,检测并保障桌面系统安全。TD重点在终端的安全准入、移动存储管理、终端安全管理、终端行为管理、非法外联管理、终端系统管理、系统资源管理等进行统一管理。通过统一定制、下发安全策略并强制执行的机制,实现对网内终端系统的管理和维护,能有效保障终端系统及机密数据的安全。
针对大运会的特定要求,天融信重点在终端的接入管理、非法外联、终端防护需求上进行集中管控。
1.接入管理模块
接入管理系统模块,分别部署在Admin网和Games网竞赛与非竞赛场馆中供内部使用的所有终端上。接入管理模块采用802.1X技术,实现完善、可信的网络准入。主要特点如下:
对终端实施监控。如:授权时限、访问权限等;
通过一组机制控制不同级别的主体以目标资源的不同授权访问,在对主体认证之后实施网络资源安全管理使用;
由资源拥有者分配接入权,在辨别各用户的基础上实现接入控制。每个用户的接入权由数据的拥有者来建立,以接入控制表或权限表实现。
能够在整个网络上实时执行动态策略管理,将用户身份、端点完整性及定位信息与接入控制捆绑起来,可以解决平衡接入和安全控制的问题。
2.终端防护模块
终端防护模块分别部署在Admin网和Games网竞赛与非竞赛场馆中供内部使用的所有终端上,每个场馆都安装有此软件服务端工作站,软件客户端与服务端实时通讯保证及时的软件更新及安全策略的下发。主要特点如下:
采用分级帐号管理模式,对普通管理员可以指定不同的管理权限和管理范围;
能够自动发现未安装客户端的电脑,并可通过域脚本安装、远程安装、WEB安装等多种方式安装部署客户端;
可查看客户端软硬件:能够对所用终端电脑进行分组管理,并能够查看终端电脑的软硬件基本配置;
通过控制台可以查看电脑的自启动、进程、服务等信息,但不允许完全控制终端电脑,也不能查看终端电脑文件、数据、邮件等其它敏感信息;
即时检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等信息,保障病毒引擎和病毒库的最新版本,下哦那个人实现及时、准确、防蠕虫、病毒、木马能力,并可以检测并阻止黑客程序、木马、蠕虫病毒及恶意程序在终端电脑上运行,防止这些程序对终端电脑的破坏;
蠕虫快速定位:对网络中的蠕虫病毒快速定位,即某一台电脑感染蠕虫病毒,能够快速找出该台电脑并立即清除病毒;
强制安全策略下发:对某一组(台)特定终端强制分发安全策略,强制实行安全策略的功能,
