天融信主机监控与审计系统 TopDesk

产品白皮书

天融信

TOPSEC®

北京市海淀区上地东路 1 号华控大厦 100085

电话：(86)10-82776666

传真：(86)10-82776677

服务热线：400-610-5119

800-810-5119

Http: //www.topsec.com.cn

天融信主机监控与审计系统 TopDesk 产品白皮书

1

1 前言 ..................................................................... 2

2 产品概述 ................................................................. 2

2.1 产品架构 ............................................................... 2

2.2 设计依据 ............................................................... 3

3 功能简介 ................................................................. 3

3.1 统一定制、强制执行的安全策略管理 ........................................ 4

3.2 网络准入 ............................................................... 4

3.3 终端行为监控 ........................................................... 4

3.4 终端系统监控 ........................................................... 4

3.5 终端设备监控 ........................................................... 5

3.6 移动存储介质管理 ........................................................ 5

3.7 非法外联监控 ........................................................... 5

3.8 文档检查与跟踪 ......................................................... 6

3.9 主机防火墙策略管控 ...................................................... 6

3.10 补丁管理及软件分发 ...................................................... 6

3.11 安全告警与审计 ......................................................... 6

3.12 资产管理 ............................................................... 6

3.13 报表管理 ............................................................... 7

4 产品特点 ................................................................. 7

4.1 实时性 ................................................................. 7

4.2 高性能 ................................................................. 7

4.3 易用性 ................................................................. 7

4.4 适应性强 ............................................................... 7

4.5 带宽控制与断点续传 ...................................................... 8

4.6 灵活设计与良好体验 ...................................................... 8

5 系统部署 ................................................................. 8

5.1 产品应用部署 ........................................................... 8

5.1.1 局域网典型部署 ........................................................ 8

5.1.2 广域网应用部署 ........................................................ 9

6 关于天融信 .............................................................. 10

目 录

天融信主机监控与审计系统 TopDesk 产品白皮书

1 前言

随着网络技术的广泛应用，各种网络环境中的安全问题正威胁着用户的正常工作，由于用

户的终端计算机数量众多，主机管理人员在安全保障工作中面临各种问题，难以有效了解内部

终端资产的配置及其使用情况，难以及时发现和控制终端的合法使用，难以通过人工手段实现

对所有计算机终端的有效保护。因此，采取行之有效的防护措施成为其迫切需求。

由于主机监控与审计产品具有集中化、自动化、主动性管理的特征，能够有效的对终端进

行主动的安全防护和系统管理，因此成为终端管理的必然选择。天融信公司为解决终端安全问

题，提出了一整套安全解决方案，并推出了天融信主机监控与审计系统（简称“TopDesk”）。

2 产品概述

天融信主机监控与审计系统（TopDesk）是面向用户终端对象的安全防护产品，系统严格

按照等保、分保、国军标关于终端安全管理的技术要求进行设计，服务器和客户端均具备国产

软硬件平台版本。TopDesk 在具备补丁管理、准入控制、存储介质（U 盘等）管理、非法外联

管理等功能基础上，增加风险管理和主动防范机制，具备完善的终端安全风险监控和分析体系，

实现有效防护和控制，降低风险，并指导持续改进和完善防护策略。既满足相关法律法规硬性

要求，又满足管理者实际内网安全管理需求，是最佳的终端防护解决方案。

2.1 产品架构

TopDesk 总体上从内网网络环境安全管理与终端桌面安全管理入手，从网络到终端，从终

端到数据，有效保障单位网络以及终端的安全运行，为管理者制定内网统一安全管理策略提供

有效的技术支撑和服务。

TopDesk 终端安全管理体系层次架构如图 2.1 所示。

天融信主机监控与审计系统 TopDesk 产品白皮书

3

图 2.1：TopDesk 管理体系分层架构图

2.2 设计依据

《信息安全管理业务规范 BS7799》

《信息安全管理实施指南 ISO/IEC 17799:2005》

《信息安全技术 信息系统安全等级保护技术要求》（GB/T 22239-2008）

《涉及国家秘密的信息系统分级保护技术要求》（BMB 17-2006）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）

《信息技术 安全技术 信息安全管理体系要求》（GB/T 22080-2008）

《信息技术 安全技术 信息安全管理实用规则》（GB/T 22081-2008）

3 功能简介

TopDesk 采用了开放式 B/S 体系结构和标准化数据通讯方式，对局域网内部的网络安全行

为进行全面监管，检测并保障 windows 桌面系统的安全。

TopDesk 共分三大子系统：安全防护、资产管理、运维管理。

安全防护子系统通过统一编制、下发安全策略并监控执行的机制，实现对局域网内部

windows 桌面系统的管理和维护，能有效保障桌面系统及文件的安全。

天融信主机监控与审计系统 TopDesk 产品白皮书

4

资产管理子系统是为管理员提供资产信息化管理而设立，它具备资产全生命周期化管理方

式，针对资产不同周期节点，能够进行便捷有效的维护和记录。

运维管理子系统，顾名思义即为管理员提供系统基础运维使用。

3.1 统一定制、强制执行的安全策略管理

TopDesk 系统提供了强大的策略定制机制。管理员根据自身网络特点，能够通过 TopDesk

有效地实施全局网络配置和安全管理、监控策略，实现了终端的集中安全管理。管理员可以灵

活的创建不同的安全策略，在不同类型的 windows 桌面系统可以应用不同的安全策略，同时提

供对安全策略的应用情况进行跟踪和审计，为整个系统提供了灵活的、弹性的安全机制。

3.2 网络准入

TopDesk 网络准入功能支持标准 802.1x 协议，实现终端网络准入。

除标准交换机准入功能外，TopDesk 还可与防火墙进行联动，实现防火墙联动准入。

3.3 终端行为监控

TopDesk 提供了对终端系统的行为进行统一监管功能，能对主机的打印、刻录、文件操作、

网络访问等行为进行策略控制，满足了主机行为控制安全需求。

打印监控

实时监视对网络、本地打印机的使用，限制终端打印行为并审计。

刻录监控

对指定光盘刻录软件的刻录行为进行监控。

文件监控

监控指定的文件或文件夹的用户操作行为。

网络访问行为监管

系统通过策略对终端主机用户的网络访问行为进行记录与管理。

3.4 终端系统监控

TopDesk 提供了对主机系统进行监视的功能，并通过定制策略对主机的资源、运行状态进

天融信主机监控与审计系统 TopDesk 产品白皮书

5

行总体监控。

进程/服务监控

提供黑白名单两种方式，保证主机运行进程/服务的可控性。

系统监视

可以监视对主机的账号、服务、软件、共享的操作并进行审计。

注册表监控

对 Windows 系统的注册表操作进行精细的访问控制和审计。

软/硬件信息监视：

可以监视主机安装的软件信息和硬件信息，当变化时提供报警功能。

性能信息监视

可以监视 windows 桌面系统的软硬件的使用情况，并可以定制各种策略对主机使用资源做

出限制，出现异常后及时进行报警。

网络配置监控

可以对 Windows 网络配置信息包括：IP 变更、子网掩码变更以及网关变更等网络配置操

作进行监控管理。

3.5 终端设备监控

对计算机外设如光驱、打印机、调制解调器、网络适配器、图形图像设备、通讯端口、红

外设备、蓝牙设备、1394 控制器、PCMCIA 卡、便捷设备、USB 设备进行控制，通过策略定

制限制主机是否允许使用外存设备。

3.6 移动存储介质管理

系统通过对移动存储介质写入不同控制权限及功能的标签，对移动存储设备进行标签化管

理，区分内部介质和外部介质并对制定范围内的终端授权访问与控制。

3.7 非法外联监控

系统自动检测内网主机的非法外联行为，实时检测内部网络用户通过调制解调器、ADSL、

双网卡等任意连接设备非法外联互联网行为，并进行报警、断开网络、自动重启等管控措施。

天融信主机监控与审计系统 TopDesk 产品白皮书

6

3.8 文档检查与跟踪

TopDesk 提供了对主机进行文档安全检查及文件操作的跟踪功能。具体如下：

敏感信息检查

针对终端存储的文档进行全盘检查，并根据策略对含有制定内容的文档进行外发管控，同

时将报警信息上报服务器。

文档跟踪

实现对文件操作的流转跟踪，跟踪文档的所有操作行为。

3.9 主机防火墙策略管控

系统支持主机防火墙功能，可基于 IP、协议等多要素匹配，当匹配规则时进行处理，该功

能的应用实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访

问安全、网络访问行为受控。

3.10 补丁管理及软件分发

TopDesk 提供了 windows 桌面系统补丁管理的功能，帮助管理员对网内基于 Windows

XP/2003/7/2008/8/8.1 等机器快速部署最新的重要更新和安全更新。

通过软件分发能将特定软件包或驱动程序下发给预定义的用户或用户组，并能根据用户的

要求自动执行已下发的软件。

3.11 安全告警与审计

针对单位内终端用户的所有操作行为、软硬件资源使用、策略告警等信息，系统可实时记

录、统一审计。

3.12 资产管理

系统支持资产管理功能，可为管理人员提供资产信息化管理方式，从而对各硬件资产实施

生命周期化维护。

天融信主机监控与审计系统 TopDesk 产品白皮书

7

3.13 报表管理

TopDesk 在对收集的事件进行详尽的分析和统计的基础上，支持丰富的报表功能，实现了

分析结果的可视化。为帮助网络管理员对网络中的情况进行深度挖掘分析。

4 产品特点

TopDesk 加强了用户单位内部终端的安全防护，充分考虑终端面临的各种风险，严格按照

事前、事中和事后的逻辑顺序进行管控处理,并形成安全闭环。充分考虑和结合用户网络的相关

现状，加强终端安全风险管理。并有效开展终端安全监控，形成绩效考核体系，不断提升安全

保障能力和水平，满足用户安全保障要求。

4.1 实时性

实时地监控网络内的活动，随时向管理员提供准确的报告。对各类异常行为按照预定的策

略实施阻断，防止数据外泄，并发出警报。

4.2 高性能

系统整体采用优化设计，将网络占用率降到最低，并可实现网络资源占用的可控性，而对

网络中的被监控计算机几乎没有影响。

4.3 易用性

系统提供了友好的 WEB 图形化用户界面，可以进行便捷的可视化管理与配置。强大的日

志查询功能，可以根据各种条件进行快速查询统计。对受控主机的各种应用状态实时报警，并

在控制端做详细的显示和统计分析。

4.4 适应性强

针对不同用户差异化的实际网络环境，本系统可以极为方便地调整部署和运行的配置参数，

提供对 NAT、单向通讯等各类复杂网络环境的支持，有效提高产品自身环境适应性并易于应用

天融信主机监控与审计系统 TopDesk 产品白皮书

8

部署。

4.5 带宽控制与断点续传

终端在进行补丁下载时，能根据实际情况，应用带宽控制策略，自动调整传输速度，避免

网络流量阻塞以及对业务系统的影响。

4.6 灵活设计与良好体验

系统的客户端采取灵活架构设计，安装包可根据用户实际需求进行自由组合生成。客户端

的应用过程最大化的尊重用户体验，包括信息的收集、策略的继承等均在后台执行，而与用户

行为相关的过程均给予用户信息提示，使系统的应用对用户的影响降至最低。

5 系统部署

5.1 产品应用部署

系统严格遵循内网安全管理与终端安全管理并重的理念，为管理者构建一个从网络到端点

的统一内网安全管理体系。实现单位局域网终端的统一防护同时，并能支持多级部署、级联管

控的广域网架构，为网络结构复杂、分散的大中型用户的内网统一安全管理提供最佳解决方案。

5.1.1 局域网典型部署

对于一般小型或者结构相对简单的办公网络，直接使用一套本系统软件即可实现集中管理

所属区域内的所有终端设备。典型应用部署如图 6.1 所示。

天融信主机监控与审计系统 TopDesk 产品白皮书

9

图 6.1：局域网典型部署图

5.1.2 广域网应用部署

对于大规模多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的

网络结构），可使用本系统提供的多区域级联部署架构，即一个或多个网段各拥有一套独立

TopDesk 系统，实施分级管理。典型的分级部署如图 6.2 所示。

天融信主机监控与审计系统 TopDesk 产品白皮书

10

图 6.2：分级部署图

6 关于天融信

北京天融信科技股份有限公司（简称天融信），天融信是中国领先的信息安全产品与服务解

决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务，天融信致

力于改善用户网络与应用的可视性、可用性、可控性和安全性，降低安全风险，创造业务价值。

构建可信网络安全世界

随着人类文明的进步，全球已经进入到信息化时代，并带给我们前所未有的高科技高品质

生活，同时也带给我们前所未有的信息安全危机。面对日益严峻的信息安全形势，致力于全面

实现信息安全性与可用性的天融信公司，正朝着成为“民族安全产业的领导者、领先安全技术

的创造者、世界级信息安全提供商”这一目标坚实迈进。

面对鱼龙混杂、混沌无序、创新不断的网络世界，从用户、应用、内容、安全、服务、位

置、时间七个层面，天融信正不断构建强大的网络感知体系。有感知才有安全，从终端、管道

到云端，天融信致力于全面保护用户信息，为客户构建可信网络及安全世界。

中国安全硬件市场领导者

从 1996 年率先推出填补国内空白的自主知识产权防火墙产品，到自主研发的可编程 ASIC

天融信主机监控与审计系统 TopDesk 产品白皮书

11

安全芯片，到云时代超百 G 机架式“擎天”安全网关，天融信坚持自主创新完成了国产防火墙

跟随、跟近甚至超越国际知名产品的过渡。连续 10 年以上位居中国信息安全市场防火墙、安全

网关、安全硬件第一，天融信始终引领和见证着中国信息安全产业发展的每一个里程碑。

快速成长的安全管理业务

不仅仅是防火墙，不仅仅是保护网络边界，天融信安全管理软件业务快速成长，并在进入

的所有领域获得或者正在获得领先。天融信的终端虚拟化技术帮助客户构建一个可控的、可信

的关键网络应用环境，彻底避免了来自于互联网的安全威胁对网络关键应用及数据的灾难性影

响。统一用户及终端安全管理帮助客户有效管理多种应用，实现多应用环境下的统一用户管理

以及用户终端数据保护，并涵盖了快速增长的移动智能终端。合规管理帮助客户更好的实现数

据库、业务、网络及运维的审计与监控。涵盖安全设备管理、应用性能管理、数据安全管理、

安全事件管理等功能的大数据安全分析与挖掘平台，正成为天融信下一代安全管理平台、互联

网安全云服务平台的核心。

互联网安全云服务的开拓者

早在 2004 年，天融信就成立了“天融信安全运维中心”，为企业用户提供安全运维外包服

务，这是国内第一个商业化的安全运维服务组织。2007 年起，天融信分别与电信、联通合作，

成立了两家安全运维中心，充分利用双方的优势资源为广大企业客户提供安全运维服务。2012

年天融信互联网安全云服务中心成立，可为全国范围内的企业用户提供 7*24 小时远程安全事件

监控、分析、预警和响应服务，同时可提供本地化的现场运维服务，帮助用户快速、有效地解

决安全问题。经过八年多的探索与发展，天融信已经累计为 5800 多家企业提供过远程安全运

维服务。

实现安全的业务交付

天融信不仅帮助客户保护网络及信息安全，还帮助客户实现安全的、快捷的业务交付，提

升业务价值。上网行为管理、精确的应用流量控制以及负载均衡帮助客户高效地管理带宽的使

用，保障关键应用的性能，抑制非关键应用对带宽的占用，并实现对互联网内容访问的有效控

制，提高员工工作效率。广域网加速、安全网关内置的加速模块及云加速软件可以加速以 Web

为代表的众多互联网应用服务，并显著提高长距离访问、跨运营商访问及无线网络访问的用户

体验。

安全研究与前沿探索

国内首屈一指的漏洞挖掘、攻防分析、软件代码分析、安全研究、安全服务人员负责跟踪

和分析互联网的安全威胁形势，为所有天融信公司产品提供安全技术、内容及支持，实时保证

天融信主机监控与审计系统 TopDesk 产品白皮书

12

了安全产品的有效性。自动化的互联网应用与内容分析平台及持续人员投入保障天融信各类产

品拥有领先的应用识别与内容分析能力。可编程 ASIC 安全芯片及高性能加密芯片的研制开发

为相关安全硬件产品提供了强大的动力，实现了安全产品的高性能。云计算、工业系统、物联

网、IPV6、WLAN 等新兴产业或业态的安全研究也取得众多阶段性成果或者局部应用。

技术创新引领发展

虚拟化及安全技术的创新性研究将极大地提升终端安全及云端安全的防护水平。国内可靠

性最高、性能最强、网络适应性最好的网关专用安全操作系统保证了天融信防火墙在银行、证

券、电力等关键行业的大规模应用与高占有率。高度集成的一体化智能过滤引擎技术能够在一

次数据拆包过程中，对数据进行并行深度检测，保证了协议深度识别的高效性。基于更大规模、

更多种类的数据采集、存储、处理、关联分析的安全管理平台将真正成为客户安全运维与管理

神经中枢。

国家安全企业责任

2008 年奥运会安全保卫工作核心技术支撑单位、2010 年世博会网络安全神经中枢系统建

设单位、2010 年广州亚运会信息系统（AGIS）网络安全系统集成商、2011 年天宫一号与神州

八号对接工程安全管理系统提供商及 2012 年国家下一代互联网安全专项防火墙、VPN、互联

网审计的承接单位……，天融信在多个重要行业信息系统或项目建设中成为主力军，并不断践

行着维护国家信息安全的使命与责任。

全球视点中国领先

网络无界、安全无限，天融信正以全球视点，推动安全业务的稳步发展。天融信是微软 MAPP

合作伙伴，可第一时间获得微软相关漏洞，同时天融信还是中国第一批可以查看微软源代码的

企业。天融信是 INTEL 全球信息安全合作伙伴，并在北京建有联合实验室，致力于 INTEL 架

构平台在安全领域的开拓性研究。天融信还在美国硅谷建设了中国第一个海外安全分析与监测

实验室，全面跟踪国际互联网安全态势。

正是对技术创新的不断追求以及对信息安全事业的不懈努力，为天融信赢得了无数荣誉，

也确立了天融信在中国信息安全市场的领先位置。中关村 10 大软件品牌企业、中国电子政务

100 强企业、德勤亚太高成长 100 强企业、中国软件 100 强企业、《福布斯》中国最具潜力非

上市企业、国家规划布局重点软件企业、国家重点高技术企业等等，既是对天融信的肯定，又

是对天融信的激励。回顾过去、放眼未来，天融信开启、探索、引领信息安全市场，全力帮助

客户构建安全能力，提升业务价值。