RG-SMP 2.X桌面管理审计组件产品特性技术白皮书

1、产品特性技术白皮书产品营销部编制： 2009-8-1rg-smp 2.x 桌面管理/审计组件主要针对 it 运维中 pc 桌面管理维护工作的平台型软件系统。产品主要是以结合 wmi、mbsa、spi、pfi、facf等多种技术，形成一套集中性的控制系统。产品技术架构图如下：客户端调度程序服务器及数据库系统硬件及外设配置应用程序信息补丁安装信息桌面设置信息网络端口及流量各种 pc 性能阀值应用软件部署进程管理策略网络访问策略外设使用策略桌面设置策略补丁更新策略日志管理策略rg-smp 控制台wmi、mbsa、spi、pfi、facf及各种 windows sdk操作系统平台： windows 9

2、8、 windows nt、 windows 2000、windows xp、windows 2003、vista创新点一：创新点一：pfipfi（process fingerprint identificationprocess fingerprint identification，进程指纹技术），进程指纹技术）pfi 是锐捷经过几年的技术研究，以及反复的验证，研发出的进程唯一性指纹技术，采用分析进程执行文件的 pe 格式，然后进行加密，生成一种类型的软件，在进程中的唯一标识性代码，rg-smp 2.x 桌面管理/审计组件通过这一代码，并预先设定一个 pc 的进程运行策略，从而根据策略判断，

3、哪些进程是合法的，哪些是非法的，对于非法的则进行查杀。 这一技术经过了长时间的验证，能够避免 pc 使用者为了逃避管理而采取的更改权限、更改文件属性多种手段。创新点二：创新点二：facffacf（file access control filteringfile access control filtering，文件访问过滤），文件访问过滤）facf是锐捷基于操作系统内核， 创建了一个对 pc 用户访问文件的过滤机制，这个过滤机制能够根据预先建立的规则，对于 pc 用户的磁盘进行读保护、写保护以及删除保护。 通过建立这样一套机制， 能够对 pc 用户使用 pc 的行为进行管理，该技术普遍用于

4、rg-smp 2.x 桌面管理/审计组件中外设管理，以及桌面设置和文件系统审计等范围。创新点三：动态服务器管理技术创新点三：动态服务器管理技术传统的应用程序架构一般采用一个服务器管理多个客户端的模式，这种模式下，被管理端依赖服务器，与服务器动态通讯，当被管理端有数据上报，则直接请求服务器，服务器处理后反馈给被管理端。锐捷开发成功动态服务器管理技术，首先，服务器是可以动态部署的，就是管理员可以根据预先的网络终端分布情况，预先自动部署服务器对客户端的管理。但实际的应用当中发现，服务器可能因为某种原因，被终止通讯、被认为停止服务程序、被误操作临时关闭等。那么这种行为发生后，就会发生客户端 pc无法连

5、接到服务器， 从而脱离管理， 因此造成客户端 pc 该执行的策略没有执行，管理员也因为服务器系统临时故障而无法管理该 pc。动态服务器管理技术，则能够处理这种问题，其最大的好处是不需要客户额外配置硬件服务器系统，也就是不需要部署额外的硬件作为冗余。 rg-smp 2.x桌面管理/审计组件可以任意选择一个 pc 作为其中继服务器， 并且可以根据网络规模，动态生成多个服务器系统，这个服务器可以运行在任何被管理的开机的pc 上，当该pc 发生被阻止了通讯、被关闭或停止服务的情况，那么其管理下的客户端会根据预先的服务器冗余策略， 自动找到第二个服务器， 因此， 这种技术，能够在不增加客户硬件投资的前提

6、下， 依赖客户现有资源就能够解决服务器动态均衡负载、动态部署等一系列问题， 从而确保服务器系统一直能够正常工作，避免客户端脱离管理而造成负面作用。( (一一) )应用创新：应用创新：应用创新点一：进程管理策略应用创新点一：进程管理策略通常，it 运维系统都集中在服务器及网络设备，而针对桌面的管理方案比较少。锐捷研发初期，在做系统分析的时候，就充分与客户沟通，发现了客户实际的困难和需要。 这种情况普遍发生在， 一客户普遍没有采用统一的目录服务系统，无法统一采用目录部署相应的策略，造成每个 pc 的使用者就是该 pc 的管理者，那么一旦这个 pc 出现问题， 就造成的不是这个 pc 本身的问题，

7、而是全网络都可能被影响。因此，进程管理策略，基于锐捷 pfi 技术，能够协助客户，对桌面应用程序进行管理和规范。对于原先属于失控的桌面进程管理，提供非常有力的手段。应用创新点二：网络资源访问策略应用创新点二：网络资源访问策略为了保证 pc 的安全性，客户会为其所有pc 部署防病毒软件，有的甚至部署网络 pc 防火墙软件，确保 pc 的安全性。但这些只能起到最基本的作用，就是无法保证其使用者行为的安全性。现在越来越多的病毒和木马，都充分利用使用者对安全知识的缺乏了解，从而获得使用者的合法确认，接着就可以大肆破坏了。rg-smp 2.x 桌面管理/审计组件则采用 spi 技术，对每个 pc 的使用

8、者，对其行为定义了网络访问策略，就是说，在未经 it 管理员的允许下，其访问网络资源会受到控制。一般包括服务器资源，其他用户的 pc 上的资源，都会缺少相应的内容保护，而如果对所有 pc 使用者都缺少其网络资源访问管理策略的话，资源被随意访问，甚至感染病毒就变成很自然的事情了。rg-smp 2.x 桌面管理/审计组件能够预先定义各种网络资源访问策略，如属于生产部门的，属于销售部门的，属于单位最高管理层的，那么 pc 用户被分别部署不同权限的资源，就只能被授予有限的网络资源可以使用或访问，从而就进一步使 pc 用户网络行为得到规范，也在资源上更加安全。( (二二) )产品主要从以下几个方面着手：

9、产品主要从以下几个方面着手： 智能化数据采集：采用 microsoft wmi（windows instrumentation interface）技术，能够获取pc所有的硬件配置、bios 信息、 安装的软件信息、设备驱动、 连接的外设信息、相关注册表信息等。对于 wmi 无法提供的数据采集需求，则必需采用汇编等开发语言， 基于系统底层自行获取， 数据采集主要要求： 一数据的准确性，数据实际真实反映 pc 的信息，不能出现两次读取数据在无变更情况下有差异的情况，且在有变更情况下应该读取变更详细信息；二数据采集应该能够依据操作系统的变更自动识别，应能够获取 pc 信息变更事件，捕获到事件后对数

10、据重新采集。 建立能够支撑大量并行操作的通讯消息平台：由于针对客户几百甚至几千台 pc 的管理需求，必须建立能够适应大量终端并发存取及响应得通讯体系，以确保数据：一能够准确传递到服务器和管理员控制台；二能够支撑当某一事件发生时，几百个请求同时连接，要保证低的丢包率，建立高效的并行处理机制；三当管理控制台对某个或某些终端采取即时手段的时候，要能够最快速地将策略下达并准确执行。 建立数据分析模型：将终端采集的各种数据，加以分析整理，形成inventory、process、systempatch、peripherals、network ports、performance、capacity 等等报表，

11、给管理员直接的查询模型，要能够：一模型反映管理员最经常需求的业务模型；二模型需能够即时反应，既模型反映的包括当时的数据，而不能仅依赖历史数据；三模型应该能够提供客户自定义的需求，当管理员需要进一步挖掘数据的时候，应该提供相应的查询手段。 建立统一化策略机制：pc 数量比较多的情况，不同 pc 其内在应用运行的权限、数据存取权限、外设使用权限、网络访问的权限等都需要预先设定，而如果逐个去设置，那么会非常繁琐，如 300 个 pc，如果让一个工程师去设置的话，那会占用其大量的时间，且策略随着管理需求的变更会随时改变，因此，需要一体化的策略机制，使策略设计、部署、启用等，能够智能化作业。 数据安全：

12、由于本产品所涉及的是 pc 本身的管理，因此其权限要求非常高，所以需要对其所有通讯进行全程加密， 通常 tcp/ip作为明文协议， 用 sniffer 工具很容易获取其数据内容，这样就会对系统本身产生非常巨大安全隐患，一旦系统通讯被破解，就会涉及到众多 pc 的安全问题。因此，需要从四个方面进行安全性考虑：一对数据通讯进行全程加密，确保数据在网络传递过程中是密文；二服务器与客户机的存取，需进行身份验证；三是控制台对客户机的访问，需要采用动态 key 加密技术，一次访问采用的 key 只能本次发挥作用，访问断开则 key 失效；四要求其服务器数据必须具有存取限制，控制台有密码保护，同时数据库支持

13、大型数据库，确保安全。 网络访问过滤技术：windows 下的通讯拦截都是基于对数据报的拦截技术之上。 当然在具体的实现方式上它们却有很大的不同。总的来说可分为用户级和内核级数据报拦截两类。 其中内核级主要是 tdi 过滤驱动程序， ndis 中间层过滤驱动程序， ndis过滤钩子驱动程序等，它们都是利用网络驱动来实现的；而用户级的过滤包括 spi 接口，windows2000 包过滤接口等。在服务器和客户端通讯过程中，使用 winsock 进行网络通讯。winsock 2 是一个接口，而不是协议，所以它可以用于发现和使用任意数量的底层传输协议所提供的通信能力。起初的winsock 是围绕着

14、tcp/ip 协议运行的，但是在 winsock2 中却增加了对更多传输协议的支持。 winsock2 不仅提供了一个供应用程序访问网络服务的windowssocket 应用程序编程接口（api） ，还包含了由传输服务提供者和名字解析服务提供者实现的 winsock 服务提供者接口（spi） 。 高效的编码方式实现远程视频传输：视频传输的基本过程是发送端采用改进的 h.263 视频压缩标准对原始视频流进行压缩后通过网络进行远程传输；接收端采用相应的 h.263 解码标准对接收的数据进行解码并实时显示，从而达到实时监控的目的。其网络传送平台如图所示。通过高效的的编码解码，实现了平滑的图像传输和监

15、控。( (三三) )产品技术路线描述产品技术路线描述rg-smp 2.x 桌面管理/审计组件主要是针对 windows 操作系统平台，且对于大量终端，采用分布式的服务器架构。通过这一架构，能够适应多种网络模式，且采用集中管控机制，分支机构的数据将最终都同步到管理服务器，由管理服务器统一定义及部署管理策略。针对终端，则充分利用 wmi、spi、bits、mbsa、pfi、facf等技术：rg-smp 客户端调度程序硬件及外设配置应用程序信息补丁安装信息桌面设置信息各种 pc 性能阀值应用软件部署网络端口及流量网络通讯过滤文件系统访问过滤规则部署网上邻居过滤win socket、spiwmi、mb

16、sa、pfi、facf及各种 windows sdk操作系统平台：windows 98、windows nt、windows 2000、windows xp、windows 2003( (四四) )产品技术实现依据产品技术实现依据1 1设计思想依据：设计思想依据：包括文献，或专利，或发明等包括文献，或专利，或发明等rg-smp 2.x桌面管理/审计组件主要依据itil（it基础架构库）作为基本的设计思想，并充分结合国内客户的管理需求，按照简单化的设计理念，形成能够为it管理者的快速解决问题的工具。itil是1989年英国政府商务办公室（ogc）提出的旨在提高it管理服务水平的管理体系。itil

17、通过对企业资源、提高it服务的可用性、可靠性及安全性，以及评估服务质量成本，服务流程等一系列的针对it运维的指导性理论，可以帮助企业it服务提供和支持能力的提高，组织企业高效有效地运用技术，让既有信息资源得到最大的效能。2. 2.关键技术实现的依据：关键技术实现的依据：在一些关键技术上，均采用已经广泛采用且可靠稳定的技术来具体实现，确保开发出的产品能够有高兼容性、安全性和稳定性。rg-smp 2.x桌面管理/审计组件的各主要功能模块，在具体的实现技术上，充分运用操作系统提供的sdk和底层接口。自行开发的 pfi、facf技术，也是基于各windows操作系统提供的内存管理技术和文件系统技术开发

18、而成的。加密数据通讯平台。rg-smp 2.x桌面管理/审计组件根据openssl提供的加密原理和技术，充分运用rsa和des等加密算法，对服务器到客户端、服务器到控制台等，进行加密处理，使得所有通讯即使被从网络上截获，都无法解码，无法获得实际的通讯内容。对于控制台直接访问客户端的情况，则除了加密传输外，还另外为每次传输，由rg-smp 2.x桌面管理/审计组件服务器专门动态生成key， 一旦通讯完毕，则自动失效， 确保即使控制台通讯被拦截，但由于无法获得动态的key，而无法继续与客户端通讯，确保客户端的管理安全性。数据库组件封装。传统的软件架构都采用应用程序直接通过类似ado等数据库连接部件

19、直接访问数据库的方法，但在实际的工作中，由于后台数据库会依据客户本身采购的大型数据库不一样，而造成软件的使用受阻，如有的客户是oracle，而有的客户是sql server，而有的客户没有采购任何大型数据库，则只能用桌面的数据集如mdb来代替。而真正要做到一个应用程序兼容所有数据库，则按照传统的方法，需要把所有的数据库操作都放在应用程序内部，这样既不利于程序移植，又不能充分体现面向对象的开发方法。因此rg-smp 2.x桌面管理/审计组件采用将数据库访问进行封装，将所有的访问行为规范化设计，形成标准的xml，由数据库服务器进行xml的解析，然后再进行数据库存储，存取操作都通过标准接口，而数据库

20、服务器与数据库的访问，则根据不同的数据库类型自行调整。这一技术能够最大程度地对数据库业务逻辑进行封装，使得系统的部署更加优化，且更具有灵活性。大型网络管理支持。 从rg-smp 2.x桌面管理/审计组件现有客户规模分析，30%的客户其pc规模都超过500，而15%的客户，都是分布式的网络架构，普遍的一个需求就是总部与分部，不在同一局域网络，而多采用租用电信宽带的方法， 这就在架构上对rg-smp 2.x桌面管理/审计组件提出了挑战。 rg-smp 2.x桌面管理/审计组件采用了多服务器分布式的管理架构。 rg-smp 2.x桌面管理/审计组件提供三种服务器模式，既管理服务器、二级管理服务器、中继服务器架构。 对于大型用户， 其管理的根服务器通常可以部署rg-smp 2.x桌面管理/审计组件的管理服务器，而对于分支机构，则采用二级管理服务器，使得分支机构的管理人员直接对本地进行管理，同时总部也有权限直接管理分支机构。而中继服务器则进一步对pc管理范围大的机构，提供每增加一个中继服务器，则进一步扩大管理范围的作用。从而通过管理层次：管理服务器、二级管理服务器、中继服务器，使整个管理范围不断扩大。最终适应大型网络管理的需要，如下图：( (五五) ) rg-smp 2.xrg-smp 2.x 桌面管理桌面管理/ /审计组件主要有