安全管理的问题。企业的安全管理制度是否得到了有效贯彻，安全运作流程是否能够有效实施，以前无法衡量。安全运营中心可帮助企业利用技术与管理手段有效解决安全管理的问题；

海量数据的问题。企业面临着来自异构系统、平台和应用的安全数据的冲击，它们都以不同方式产生信息，且以不同的格式呈现、存储在不同的地方，并且报告不同的内容，而这每天数以百万条信息淹没了安全基础设施；

安全孤岛的问题。各种安全设备间缺少信息层互通能力，各自为营。降低了系统整体的运作效率，增加了安全事件的发现时间和响应时间；

实时监控的问题。对整个网络的安全威胁形势、安全漏洞情况、安全事件情况、安全攻击情况和综合安全风险情况无法提供准确、实时的分析数据；

业务安全的问题。业务始终是一个企业发展的核心，如何保障业务的安全至关重要。现有安全技术侧重保障某特定资源，但业务应用系统一般都由众多IT资源组合构成，如何从业务整个流程上进行安全保障尤为关键；

持续改进的问题。安全管理需要不断对处理过的安全事件进行总结，不断更新安全知识库，不断改进安全运维流程，以及不断完善安全管理制度等，因而需要有效的管理手段来实现持续改进。

•  产品概述

TSM是根据可信网络架构（TNA）的思想，构建的开放型的安全管理平台。它可以灵活地结合企业自身业务流的特点，识别和管理组成企业内部IT基础架构的关键信息资产，指导用户制订企业安全策略，通过有效整合企业内部安全资源，依据智能的辅助决策系统和安全知识库内容，实施以风险控制为核心的安全事件管理、安全风险管理、安全报警响应、专家建议以及终端威胁管理等一系列安全管理活动，从而保证企业业务系统正常运行和持续性发展。

•  产品组成

TSM主要由五部分 组成： TopAnalyzer、TopDesk、资产管理系统、认证管理系统以及报表管理系统。其中TopAnalyzer和TopDesk是TSM的两个核心组件，资产、认证、报表这三个系统作为基本组件和数据库系统以及基于WEB的门户管理系统共同构成了TSM的系统支撑平台。

资产管理系统 ：负责集中管理企业内部所有的信息资产。

认证管理系统 ：提供基于角色的用户管理和系统平台的单点登陆功能。

报表管理系统 ：负责 生成 和统一管理 系统产生的各类分析报表。

TopDesk :作为TSM的核心部件之一，TopDesk负责保障企业 内部网络终端用户的桌面安全。 TopDesk依据统一的企业安全策略，通过和TopAnalyzer及TSM其他组件的互动，可以实现从端点层到网络层的多维、动态、智能、持续改进的安全防护。

TopAnalyzer ：作为 TSM 的核心组件之一， TopAnalyzer 负责监控、分析和管理企业整体安全态势。 TopAnalyzer 依据 BS7799 安全管理标准，结合安全服务的最佳实践，以风险管理为核心，通过深度数据挖掘、事件关联等技术，实现了企业内部各类安全事件的集中管理和智能分析，提供多视角、实时动态的企业风险现状展示。同时，系统内置了多种报警响应、工单机制以及专家建议系统，可以帮助用户采取及时、有效的安全措施以实现闭环的、持续改进的信息安全管理，保证企业业务不受影响。

如下图所示，是 TSM 主要部件终端管理系统（ TopDesk ）、安全信息管理系统（ TopAnalyzer ）、安全管理门户系统之间的关系。其中， TopAnalyzer 系统是 TSM 的“大脑”，它负责对各类安全事件进行集中管理和智能分析； TopDesk 系统是 TSM 的“手”，它负责实现对各类信息资产的集中安全监管和控制；安全管理门户系统，作为 TSM 的“对外窗口”，通过整合后台的各类安全产品和信息资产，为用户提供一个统一的、基于角色的安全视图。这三个系统各自都能独立运行，但又互相补充和协作，共同构成一个全面的安全管理解决方案

核心技术：

关联分析：TSM系统使用攻击状态机模型来抽象和描述攻击行为，建立多种攻击关联场景，能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。

智能决策：基于安全专家知识库的内容，采用专家推理的技术，对当前发生的各类入侵行为，给出切实可行的决策方案和建议，实现对网络安全的智能控制，提高安全管理的效率和智能化水平。辅助决策的功能主要包括：智能推理和决策、安全知识库的管理、安全知识的自学习。

当发现入侵行为时，系统能迅速采取合理的应对措施，动态实现对安全策略的调整，最终保障网络的安全运行。安全响应的内容主要包括：防火墙联动、执行动作脚本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。

SQL92技术：使用SQL 92标准制订事件过滤条件， 图形化的SQL语言组织，使用户直观的定义事件过滤条件，在事件收集、事件监视、报表定制中可以体现其强大的灵活性，满足各种业务需要。

企业级补丁自动部署方案：通过设置补丁策略，能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测，并能够实现推或拉两种方式的自动部署安装，极大减轻系统管理员的工作强度。

HIDS和HFW联动提高终端系统入侵容忍度：终端系统受到攻击时，HIDS能够第一时间发现入侵行为，根据联动策略，HFW产生入侵响应行为，准确定位入侵者的IP、MAC信息，使入侵者的入侵行为无效，增强系统的入侵容忍程度。

产品功能：

安全信息管理（TopAnalyzer）

资产管理：集中管理机构内的信息资产，包括资产的基本属性、所属客户、所在区域、资产类型等等管理，以多种视角归类资产：基于客户视角、基于区域视角、基于资产类型视角、基于漏洞视角等等。

事件管理：集中收集、分析和处理网络中的各类安全事件。包括事件收集、事件过滤、事件归一化、归并、监视、事件浏览等。当发现入侵行为时，系统能迅速采取合理的应对措施，动态实现对安全策略的调整，最终保障网络的安全运行。安全响应的内容主要包括：防火墙联动、执行动作教本、交换机端口阻断等。安全响应与辅助决策相配合还能实现对入侵行为的智能化控制和处理。

安全分析：当Topanalyzer收集了各类事件后，经过事件管理统一归一处理后，结合攻击状态机模型来抽象和描述攻击行为，与多种攻击关联场景进行模式匹配，能有效地从大量安全事件中准确识别出真实的入侵行为，从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。

实时监控：对事件进行查看，使用基于SQL92标准的过滤规则定制监视条件，使用图形化界面实时监视收集事件情况，可以查看一定时间段内实时统计信息，使用事件拓扑的方式浏览各个事件之间的关联关系。同时系统还提供监视仪表盘，支持基于多种资源的监视，包括：事件、资产、威胁、工单等等，提供多种显示方式组合，支持多个监视同时查看。

风险管理：基于BS17799建立网络安全的风险计算模型，根据该模型计算网络内资产的风险指数，内容主要包括：风险分析和计算、安全风险监视和控制。使用拓扑图、地图方式动态监控各个资产的风险等级。

知识库管理：集中管理存储在知识库中的各类安全知识。知识库主要包括：关联规则、安全专家规则、事故案例库、漏洞库、补丁库和安全知识文章等内容。

工单管理：为了能高效地处理安全事件，摆脱人工处理的弊端，Topanalyzer系统采用工作流引擎实现对安全事件的流程化处理和监控，以及预警和响应。工作流引擎依赖用户预先定义的工单库内容。

权限管理：基于角色的管理模式，用户权限控制可以细化到具体一个资源，使用户可以根据不同需要设置角色权限，满足各种权限控制需要，实现多用户多角色分级管理。

终端管理（TopDesk）

桌面安全防护:桌面安全防护模块，负责保护终端用户的桌面系统。主要功能包括：主机防火墙、主机入侵防护和防病毒软件检测。

集中管理的主机防火墙:TopDesk为企业所有联网主机提供以应用程序为中心的主机防火墙保护功能。它除了提供传统的主机型防火墙功能,还可以锁定合法应用程序，防止恶意程序通过伪装或代码注入等手段绕过防火墙的检测。当系统探测到远程攻击行为时，可以自动阻断所有来自攻击方的网络通讯，确保主机的安全。通过与TopDesk系统的IP管理、IDS等模块的联动，根据模块报警自动切断主机的网络连接，并保证接受TopDesk系统的统一管理。

集中管理的主机入侵防护:TopDesk提供的完整的主机型入侵检测系统(HIDS)，有效提高了检测率，降低了误报率。系统还提供入侵检测特征的编辑功能，管理员可以根据企业的特点和新出现的网络威胁自定义入侵检测规则，也可以通过网络直接升级HIDS的入侵检测特征库，快速而灵活的应对不断出现的新的网络攻击行为。

防病毒软件检测:TopDesk 提供了对主机的杀毒软件的检测功能，可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等，目前支持检测国内外绝大多数流行的杀毒软件，包括：江民、瑞星、金山、诺顿、趋势、McaAfee、Kaspersky等。

补丁管理:TopDesk 提供了对主机补丁管理的功能，帮助管理员对网内的 WIN2000/XP/2003 等机器快速部署最新的补丁，可对主机需要或已安装的补丁进行检测、自动安装。

IP管理:对局域网内IP地址、MAC地址进行管理控制，有效检测IP冲突。建立IP 地址库,提供IP 查询功能；显示IP 地址资源使用情况等 。

行为监管：TopDesk 提供了对主机的行为进行统一监管功能，能对主机的拨号、打印、外存使用、文件读写行为进行了策略控制，满足了主机、区域安全性的安全需求。

图为TSM系统应用在某企业的部署图。

TSM对其管理区域内的安全产品、网络设备进行集中统一的管理，收集、过滤、分析、存储各种防火墙、IDS、路由器、交换机和应用程序等的事件信息。管理员通过TSM管理器能统一查看整个网络内的各个安全产品、网络设备、关键业务服务器的安全状况，监视全网络内发生的各类安全事件，自动评估网络的安全风险，并根据风险情况自动调整网络安全策略，做出快速的响应。这样就为管理员提供了一个统一全面的安全视图，有效地实现了将各类异构安全产品、网络设备、应用服务器的资源整合，实现了一个动态自适应的安全防护体系，同时简化了管理员的工作。

部署TSM后，能够依照策略对漏洞扫描、入侵检测、防火墙、防病毒、补丁等系统的安全信息进行数据清洗、归并、统计、智能分析，准确地评估当前的安全形势，并以报表等直观的方式显示给用户。以最小的人力投入实现一个完整的安全管理体系，从而达到对整个系统的安全产品、网络设备、应用系统进行集中统一的管理；能有效地预防安全事故的发生，在安全事故发生时能及时、快速地采取各种响应措施，从而大大地减少了用于安全管理的人力、费用和时间成本。