统信终端域管平台-产品白皮书

1、统信终端域管平台产品白皮书UNIONTECHOS HYPERLINK l _bookmark0 .1 HYPERLINK l _bookmark1 1.1.1 HYPERLINK l _bookmark2 1.2.2 HYPERLINK l _bookmark4 .4 HYPERLINK l _bookmark3 2.1.4 HYPERLINK l _bookmark5 2.2.5 HYPERLINK l _bookmark6 .6 HYPERLINK l _bookmark7 3.1.6 HYPERLINK l _bookmark8 3.2.7 HYPERLINK l _bookmark9

2、3.3.8 HYPERLINK l _bookmark10 3.4.9 HYPERLINK l _bookmark11 3.5.10 HYPERLINK l _bookmark12 3.6.12 HYPERLINK l _bookmark13 3.7.13 HYPERLINK l _bookmark14 3.8.14 HYPERLINK l _bookmark15 3.9.15 HYPERLINK l _bookmark16 3.10.16 HYPERLINK l _bookmark17 3.11.18 HYPERLINK l _bookmark18 .19 HYPERLINK l _book

3、mark19 .21 HYPERLINK l _bookmark20 .23 HYPERLINK l _bookmark21 .24 HYPERLINK l _bookmark22 .25 HYPERLINK l _bookmark25 .26 HYPERLINK l _bookmark23 9.1.26 HYPERLINK l _bookmark24 9.2.26 HYPERLINK l _bookmark26 9.3.27 HYPERLINK l _bookmark27 9.4.27 HYPERLINK l _bookmark28 9.5.27 HYPERLINK l _bookmark2

4、9 9.6.27 1.1.统信终端域管平台产品白皮书目前统信软件己和龙芯、飞腾、申威、鲍鹏、兆芯、海光等厂商开展了广泛和深入的合作，与国内各主流整机厂商，以及数百家软件厂商展开了广泛的合作，共同建设和发展全新的软硬件生态 体系。1.2. 统信终端域管平台统信终端域管平台采用 B/S 架构的管控后台和 C/ S 架构的终端程序， 通过整套简洁易用、可扩展、可定制的通用型终端集中管控软件，方便党、政、军、企客户对其管理区域范围下的所 有人员和终端进行集中管理与维护。系统主要由：用户终端管理、软件管理、远程维护、安全策略、病毒防护、管理端角色权限管理6 个部分组成。用户终端管理划分终端区域：可针对各

5、机构对终端进行区域化管理；人员架构管理：可映射人员架构，进行区域化的人员管理；集中身份认证：可限制用户可登录终端的范围。软件管理系统管理：统系统升级软件分发管理：业务软件统下载、安装、更新、删除；系统设詈管理：可下发脚本指令，批量对终端进行个性化设置（如系统壁纸、系统设置等）。第 2 页统信终端域管平台产品白皮书远程维护权限范围设置：可根据各级别管理员职责设定远程维护的权限和范围。远程维护：可诵过任务下发的方式进行远程维护。其他维护方式：支持远程登录和脚本下发。安全策略终端配詈集中管控：可针对指定范围内用户（或终端）进行配詈修改（权限定制）管控范围：密码安全等级、屏保时间、锁屏锁屏时间等。病毒

6、防护可安装防病毒软件并通过技术手段在内网进行病毒库升级（与第三方安全厂商合作）。管理端角色权限管理可设置不同权限的管理员角色；可配置各种权限：如区域分配，人员、终端、业务软件等管理权限。 第 3 页2.1.远程维护方面问题定位困难，维护人员学习和操作门槛较高，维护手段单有限。安全策略方面无法对安全进行全面细致的集中管控，存在极大的安全隐患！报表统计方面无法全面掌握了解管控下的各项信息，不便于提前发现问题或优化管控策略。 2.2. 解决思路管控系统与操作系统高度集成，发挥最大效能！解决兼容性问题，简化终端上的安装难度，降低运维成本依靠操作系统的核心优势提升集中管控能力：更高的安全性，更细致的管控

7、粒度以集中管控业务场景为中心，反向发展操作系统本身，构建集中管控生态体系第 5 页3.1. 终端人员 ： 由 WEB 服务端集成的 LDAP 系统管理终端管理员： 在登录终端时将被赋予使用 sudo 命令的权限。普通用户： 在登录终端时为普诵的 Linux 用户， 不带管理员权限。特色功能：Excel 表格导入、账户停用、关联信息展示 （区域、终端、软件）、日志统计（终端使用、软件使用、We b 账号操作）终端设备 ( PC)管理Q.,O 句麓,0它2它：OO3CO2它3208C2”.l1III8/ / /,:,c遭,!OS 山口工吝C?“比乞,父勺：）公，/0口U”l.每台终端中的 “Age

8、 nt（与管理平台通信的客户端软件）会将在本地收集到的硬、软件信息、Mac 地址、IP 地址上报给平台， 并默认显示在终端设备详 情中。平台将对客户端上报上来的各类数据进行处理，并根据硬件信息综合运算得出唯的终端标识码。只要终端的硬件信息没有发生变化（更换硬件），该标识码将伴随终端的全生命周期，避免 重装系统后平台将终端误认为新终端的问题。第 7 页统信终端域管平台产品白皮书统计数据：基本信息： 终端状态、Mac 地址、IP 地址、创建时间、设备别名、在线状态、系统版本、终端备注等硬件信息： 主板、CPU 、内存、 显卡、硬盘等登录日志：人员账号、区域信息、行为时间、操作内容等已装软件：软件名

9、称、软件版本、更新状态等操作历史： We b 管理员信息、操作时间、变更终端信息、变更操作内容特色功能：诵过点 击“在线 SSH 按钮， 可以网页的形式直接打开该终端的ssh 会话界面，诵 过命令行对终端进行全面细致的远程管理。区域管理区域中心第 8 页统信终端域管平台产品白皮书软件仓库管理：支持手动配詈软件仓库地址。支持手动标记软件，标记内容有：包名、分类、名称、图标、备注、来源、官网，通过标记软件可以更好的管理所分发的软件。特色功能：所有应用都需要经过签名认证才可在 UOS 上安装运行， 通过严格的审核机制， 能有效避免恶意软件带来安全隐患，强化的集中管控区域的信息安全。可查看所有软件的基

10、本信息、当前状态（版本是否最新）、使用记录（人员终端使用 情况）、管理员操作记录权限和配置管理定制权限一 步驭1 洗择需要定制权限的人员D 遠 钻五心 钺吐妇竺 句可g=王芷亟妇臧认 认土扭左X内斤芍人 1 1:1缀心比 ” 认口 2 C 立 0 1 成员 正霄 认心X只l汾 ”心认泣刀,1J立 135J3一颅觅归内吝一护2心矗，一”l旮霄伦艺妊冒霄褫勺鲁k 、4妞 1 压 的从什国霆可使用“定制权限”功能，对该区内的“人员终端软件”问的权限进行精细化配詈。第 10 页统信终端域管平台产品白皮书可配詈内容：防火墙配置：可结合系统预詈的安全中心或第三方杀毒软件使用；屏幕保护：配詈开启或关闭状态，

11、以及开启状态下的超时时间；息屏设詈：配置屏幕关闭的超时时间；密码强度：配置终端用户在修改密码时的密码强度要求，包括密码长度、密码内容要求等；壁纸设定：配詈终端在用户登录后使用的壁纸；脚本执行：可上传单次执行的配詈脚本，可查看最后次执行脚本时的执行的状态、名称、时间、内容。操作步骤：l)选择指定人员：编号、人员名称、工号、人员备注、角色、状态、当前授权终端、当前终端配詈、当前软件授权时间、最后次登录时间选择指定终端：编号、设备别名、终端备注、在线清况、状态、当前授权人员、当前终端配詈、当前系统状态、系统更新时间配詈所选终端：防火墙配詈、屏幕保护、息屏设詈、密码强度、壁纸设定、执行脚本选择指定软件

12、：编号、软件图标、软件名称、软件备注、当前软件状态、当前授权人员、区内版本号、软件更新时间执行权限第 11 页统信终端域管平台产品白皮书提升数据和系统安全：对于具有存储功能的 USB 设备进行白名单管控，只 有在白名单中的设备才能正常使用。特色功能：白名单时效限制，即 超过时效后 USB 存储设备可自动从白名单中移除。因为USB 存储设备多为第三方厂商提供，因此技术上无法诵过硬件进行严格标记，因此借助时效机制可有效管控设备风 险，也进步减轻管理员的工作量。系统设置吐畦。百如没系和信息酝午管控界讫 早笠乒本 凶 1灼 艾心0 , .1c贮河,沁 9尺心77 屯13系织状态企上夭劝 1的？几& :

13、6 廿 运行如订小时0 系空间占用片 1扣 少哗吝户辽WEB冒理员田 星人 n 2系统信息：系统名称、系统版本、更新时间；状态数据：上次启动时间、运行时间、图片空间占用WEB 管理员人数信息管理员设詈：管理员树状图第 16 页统信终端域管平台产品白皮书管理员详细信息新建管理员企业定制：平台名称网站 Logo浏览器标签页图标软件分类系统配置：平台初始化设詈仓库镜像源地址设詈系统版本更新客户端：仅面向超级管理员提供下发最新的管控客户端第 17 页可统信终端域管平台组成部分：UOS 专业版操作系统客户端 (Age nt , 运行在终端设备中）WEB 管理软件（服务端程序 ， 包括 Nginx、Ma

14、riaDB、消 息系统等）LDAP 组件（权限管理 ， 服务端程序）。统信终端域管平台硬件及性能要求：基准服务器配置：CPU: Intel Xeon CPU ES-2620 V3 2.40GHz内存： 1 6G 以 上硬盘： SSD 系统盘512G, 机械数据盘4T 或以上 (RAID 情况）数据吞吐量：支持 10k 并发连接支持SOq ps 数据处理上报请求第 19 页非国产自主操作系统仔非操作系统厂商国产自丑痪作系统安全可靠，无贸易风险操作系和商严 匣 二了管控能力有限3功能丰富 经验成熟方案成熟可靠菲容性有局限定制化能力弱-【心.,功能可灵活定制平台寸七思路最终目标是构建整个集中管控的生

15、态可“统信终端域管平台” 的组成部分包括 Nginx 、Maria DB、Redis、LDAP、消息系统、平台 业务系统等多个模块。其采用的部署模式为 Docker 化部署方式，只 需部署服务器支持 Docker 环境即可安装本平台。并且本平台支持数据持久化存储，在更新本平台的单个或多个组件时只需更 新对应的 Docker 镜像 (Im age) 即可完成更新， 并且数据不会丢失， 极大的降低了平台部署难度。根据实际测试 ， 部署本平台耗时为 30 分钟左右， 相比千传统的安装式部署方案减少部署时间 90% 以上。本平台配套的系统镜像（定制化 ISO 镜像）支持终端设备“自动注册” 功能，即

16、当终端设备启动后， 其内部的 Agent 将会根据配置文件自动向平台发起注册请求 ， 并在平台中完成终端设备的注册流程， 并在平台中的“终端中心”中 予以显示。该功能能够有效降低平台WEB 管理员在前期录入终端设备时的工作量。第 21 页统信终端域管平台产品白皮书统信终端域管平台产品白皮书集中管控提供的是套标准化的解决方案。针对实际场景中的客户需要，会进行需求采集、确认 和针对性的二次设计，诵 过基千 UOS 操作系统本身的协调优化，可以更充分的应对各种深层次的管控需求。统信终端域管平台解决方案，是在 UOS 系统上的延伸，以 弥补批量装机后管理者对终端管控的要求，因此可以从系统最底层的角度出

17、发设计，以获得更好的管控效果。同时怀有开放的心态， 携手行业中的其他厂商，努力共建自主操作系统的生态体系，优势互补，相辅相成。心屯I15I S1邑l- l。酗， 喧：II 易 ! .,第 22 页可产品架构图前痐|生严荒123NII产 管念WEB干 台1接口层|Ag e n tII胆 t fulAP II用户管理：二二/终荒业含任务l 二妇 I Il 匕二 年控宝：I1 1三 向代理 I In sq l;i服3层1数 据存 储二MySQLRed is令g运行环境I三国二工二1第 23 页可目前系统的大部分功能，都是与广东某银行合作的基础上设计与研发的。其实用性、安全性、稳 定性都是按金融单位的

18、技术要求进行实现。随着合作的深入，全面的投入使用，统信终端域管平台将会以极高的速度迭代发展，适应越来越 多的行业，解决更加广泛的管控需求。第 24 页可凸夕士，亡、一口统信终端域管平台特点：目前系统已具备核心的管控功能，且具有对系统全面深入的管控能力。集中管控系统是 UOS 的次重要尝试，以 全面覆盖用户的业务需要。诵过底层和上层系统之间的协作，集中管控可以发挥出最大的效能。集中管控的场景范围很广，涉及不同的行业和不同的维度，因此绝不会是家独大的结果， 提供基础底层的管控架构，携手合作伙伴共建生态，是更重要的目标和价值。第 25 页9.1. 9.2. 统信终端域管平台产品白皮书应急服务：完备的应急响应流程，可及时处理用户紧急事件。培训服务使用培训：提供操作系统的用户使用培训；研发培训：基于国产与开