Deskto3桌面管理系统技术白皮书-伟思国瑞Visgreat

-PAGE14-Visgreat桌面管理系统Desktop3技术白皮书伟思国瑞信息技术有限公司2009年10月

版权声明福州伟思国瑞信息技术有限公司有权随时更改文件的内容，恕不另行通知。除非另外注明，否则文件范例中所使用的公司、人名，以及数据都是虚构的。没有福州伟思国瑞信息技术有限公司的许可，您不得为任何目的而使用任何形式或方法（包括电子的或机械的），复制或传送文件的任何部分。福州伟思国瑞信息技术有限公司对于其应用程序、商标、版权或文件中所涵盖的其它知识产权拥有专利或正在申请专利中。除非取得福州伟思国瑞信息技术有限公司的书面授权合约，否则不得擅用文件中的专利、商标、版权或其它知识产权。此文件为通用手册，产品规格如有变更，恕不另行通知。版权所有©福州伟思国瑞信息技术有限公司

目录1.网管人员的困境……………………42.Desktop解决之道………………62.1 功能简介…………………..62.1.1 资产管理…………….62.1.2 应用程序管理……………………….62.1.3 设备禁用管理……………………….72.1.4 软件分发/补丁管理…………………72.1.5 远程管理…………….72.1.6 网络访问管理……………………….72.1.7 文件访问管理……………….……82.1.8 客户端管理………………….………82.1.9 报表中心……………….……………82.2 系统结构………………83.技术特点………………………….103.1 极小的资源占用…………103.2 高效率的网络通信……………………103.3 与操作系统的紧密结合…………………113.4 客户端自动升级…………113.5 良好的兼容性……………114.运行环境………………………….125.实施Desktop的收益…………135.1 软硬件资产一目了然……………………135.2 规范应用程序的使用……………………135.3 提高机密文件的安全性…………………145.4 凸现自动化管理的整体效益……………145.5 快速灵活响应业务变化…………………14网管人员的困境近年来，互联网的高速发展，催生了企业网络信息化的进程，推动了经济的发展，同样也带来了黑客利益焦点的转移。利益焦点从外网转移到内网，正由于这些转移，也就导致了恶意攻击受到这些吸引，产生了一些新兴的攻击方法，给内网安全带来了新的安全威胁。来自内部网络的攻击却有愈演愈烈之势，内网安全成为企业管理的隐患。信息资料被非法泄露、拷贝、篡改，往往给各行业企事业单位造成重大损失。内网安全也是企业利益的一种体现，企业对于内网网络安全监管也越来越严格，不仅需要网络是安全、系统是安全的，同时需要内网桌面PC更是安全的，这些都给企业带来一些新的挑战。如何使内部网络始终处于安全、可靠、保密的环境下运行，帮助企业各类业务统一优化、规范管理，保障各类业务正常安全运行等一系列的问题困绕着各行业企事业单位的IT部门。经调查分析，企业内网主要面临的问题有如下几条：IT资产管理混乱单位中的电脑领用及配置管理混乱，使用者随意增减调换，每个终端硬件配备（CPU、硬盘、内存等）肆意组装拆卸、操作系统随意更换、各类应用软件胡乱安装卸载，各种外设（软驱、光驱、U盘、打印机、Modem等）无节制使用。网络资源滥用IP地址乱配，BT、电驴等网络流量滥用，甚至在工作时间聊天、游戏、疯狂下载、登陆各种娱乐、炒股、购物网站等行为影响工作效率，影响网络正常使用。病毒蠕虫入侵补丁更新不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失，而且无法找到灾难的源头以迅速采取隔离等处理措施，从而为正常业务带来灾难性的持续的影响。外部非法接入移动设备（如笔记本电脑）和新增设备未经过安全检查和处理违规接入或者入侵内部网络，带来病毒传播、黑客入侵等不安全因素。内部非法外联内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网，或违反规定将专网专用计算机带出网络进入到其他网络。重要信息被泄密因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭，造成不可弥补的重大损失。缺少补丁管理终端用户不了解系统补丁状态，不及时打补丁，也没有办法统一进行补丁的下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道。Desktop解决之道面对日益复杂的企业网络环境和应用系统，IT部门亟待解决数量众多的桌面计算机日益增长的管理和支持需求与服务效率之间的矛盾，既要保证对桌面的完全控制，又要实现必需的网络安全。Desktop以桌面计算机为管理对象，以ITIL/ITSM理念和信息安全理论为核心，通过采用操作系统核心技术和自有创新技术，从软硬件资产管理、应用程序管理、外接设备管理、软件分发、补丁管理、文件操作审计、文件加密、远程管理、网络访问控制等方面对桌面计算机各种资源要素和整个生命周期进行控制、保护和审计，确保桌面计算机运行的可靠性、完整性和保密性，提高桌面计算机维护效率，从而达到自动化管理和信息安全监控的整体目标。采用Desktop桌面管理系统能够在大幅降低支持成本的同时提高桌面应用质量、可用性和内网安全性，从而为整个信息系统的可靠运行提供有力保障。功能简介Desktop系统拥有网络管理、资产管理、配置管理、应用程序管理、外设禁用管理、软件分发、补丁管理、文件加密、远程管理、网络访问控制、报表打印等多个功能模块。Desktop在提供实用功能的基础上，最大程度地降低产品使用及实施的复杂度，注重实用性和易用性，同时考虑到对用户计算机及网络资源可能产生消耗，系统采用了完全事件触发模式（Event-Driven）的基础架构，使其正常情况对资源消耗降到最低。资产管理自动收集计算机的软硬件资产信息，汇总建立软硬件资产数据库，可生成多种资产报表自动跟踪计算机的硬件、IP地址、计算机名的变化和软件的安装、卸载情况支持管理员补充录入计算机的资产编号、物理位置、使用人、机器品牌等相关信息提供灵活的组合查询，可以就某些硬件配置或某个软件的安装状况等进行查询和统计，所有查询结果都可以生成报表。应用程序管理记录并汇总网络内所有被管理计算机上曾经运行过的应用程序白名单策略可以保持计算机只能运行指定的软件，黑名单策略可以禁止非法程序的运行，加强应用程序运行管理，减少与工作无关的程序所导致的系统故障与安全隐患，保证PC软件环境的一致性和可控性实时记录应用程序运行状况的详细信息，可以统计应用程序是在哪些计算机上运行过，以及统计出运行时间最长、运行次数最多的应用程序、并提供报表和导出。设备禁用管理可以禁止计算机的USB、光驱、软驱、并口、串口等外部存储设备的访问使用，减少泄密途径，强化内部安全控制机制跟踪计算机外设的使用信息，加强信息安全泄密途径的事件跟踪和监控软件分发/补丁管理全面统计系统补丁安装状况并自动更新，可以在第一时间更新操作系统以及其它微软产品，修复系统及程序的漏洞，保护计算机安全提供三种软件分发方式：单个安装程序，多文件安装程序和文件传送，让耗时耗力的软件安装和升级工作自动化，大大提高管理员的工作效率支持批量的多文档传送功能，并可以指定文档分发到客户端的接收目录软件分发任务设定，可以指定灵活的分发时间范围和分发的计算机，并可以通过分发结果状态来跟踪分发任务的进度远程管理提供远程查看、远程控制、远程重启、远程关机、远程开机等功能可以设置远程查看和远程控制时是否需要客户端同意，满足客户人性化的管理远程管理操作日志记录远程管理的时间、管理员的账号/IP地址以及被管理计算机的IP地址等信息，支持对管理员远程操作的审计功能网络访问管理针对网络内计算机的任意指定端口进行扫描，获悉端口的开放使用情况记录每台计算机的开机和关机日志信息，跟踪计算机的使用情况实现内网接入控制，阻断未授权计算机访问内网资源、防范非法接入的安全隐患可以设置内网计算机禁止上网，禁止收发邮件，禁止访问FTP、禁止访问新闻组、禁止访问网络共享等可以设置内网计算机禁止开放哪些网络端口文件访问管理能够跟踪内网计算机针对文档的操作的行为记录，包括访问、创建、复制、改名、删除等行为，跟踪信息包括文件路径、文件名称、登录账号、操作时间等信息可以全面跟踪本地硬盘、USB存储设备、光驱、网络共享等各种设备的文件操作记录提供灵活的查询功能，方便管理员对文件操作记录进行查询检索、报表打印和导出记录客户端管理客户端支持自动升级，不需要重复安装部署提供针对客户端的搜索、暂停管理、删除和远程卸载功能，便于客户端的维护计算机树状列表可以按照在线、离线、IP地址和操作系统等多种方式排序远程安装工具可以扫描出网络内已安装的客户端的版本，以及搜索未被管理的计算机并能远程推送安装客户端报表中心提供灵活的查询条件并能够根据这些查询条件生成各式报表输出报表内容可以直接打印，也可以导出到文档予以保存或处理系统结构Desktop系统由三个不同的模块组成：客户端模块（Sensor）、服务器模块（Server）、控制台模块（Console）。服务器通过客户端来实现对所有计算机的管理和安全监控，管理员通过控制台来管理服务器，并定制相关的管理策略。Desktop系统支持广域网络部署，其构造的管理域是逻辑上的，而不要求物理上是一个内部网络。服务器端具有良好的跨平台特性，支持在Windows和Linux等多种操作系统中的部署。客户端模块安装在每一台需要被管理的计算机上。服务器模块用来存储和管理所有安装有客户端模块的计算机，用于管理所产生的数据，一般安装在一台具有大容量内存的用作服务器的计算机上。控制台模块主要用于管理每台安装有客户端模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算机上，控制台可以安装多台。下图是Desktop系统的典型组网部署架构。Desktop系统基本架构图技术特点Desktop系统是在详细分析了用户普遍需求的基础上，经过完善的系统规划和设计，综合考虑了系统的功能、结构、性能和安全因素，进而采用成熟技术和创新技术相结合进行产品的研发。Desktop系统是一个稳定性好、安全性高、可部署性强和性能卓越的综合计算机资源管理系统，并且具有良好的可扩展性。技术先进，操作简单、易于使用Desktop配置简单，操作直观、便捷，易于使用和维护；提供全中文的、统一规范的图形接口界面。集中式的管理、分布式的防护采用桌面代理-服务器-控制台三层结构，分布合理，真正实现了分布式防护、集中式/分级管理功能，计算机管理的层次符合国内现行企事业单位的组织与管理体系。灵活的系统可扩展性Desktop系统架构合理，采用多层架构和线程池技术，证系统高性能和海量吞吐能力和很强的伸缩性，易于快速开发以适应客户需求。适应复杂网络环境的可部署性Desktop系统支持在复杂的局域网和广域网中的部署，提供客户端的自动升级功能，避免繁琐的重复性安装工作，确保系统部署的快捷高效。极小的资源占用Desktop的客户端代理程序大小不到1M。实际运行占用内存在3兆左右，最小的时候只有不到1兆，对CPU的占用可以忽略不计。用户在实际应用的时候感觉不到软件的存在。相比之下，很多国外的网络管理软件启动都需要一个漫长的过程，耗费大量系统资源，甚至影响客户端的正常使用。高效率的网络通信由于有大量的代理和服务器的交换信息，数据存储过程，网络通信的效率也至关重要。如果由于数据交换的信息占用了正常的用户带宽，影响网络运行，也会对系统应用的实际效果造成影响。Desktop通过高效率的压缩算法，使得远程桌面控制时的网络通信也降到最低，即使通过Modem也可以进行远程桌面控制。对于单位的局域网更加不成问题。平时的网络通信更是只有几K的带宽占用。与操作系统的紧密结合为了防止使用者在软件安装后擅自卸载客户端代理，脱离Desktop的统一管理，通过和操作系统的紧密结合，使得Desktop的客户端代理成为“打不死”的客户端，用户无法私自脱离系统管理。客户端自动升级Desktop客户端程安装过程简单，并没有复杂的配置过程，而且客户端支持自动升级功能，当客户端程序需要升级时，只要在服务器端进行相关配置即可，从而避免重复部署。良好的兼容性由于Desktop更多的是和操作系统层和网络通信层进行编程，和硬件设备层的相对隔离使得Desktop具有良好的设备兼容性，不同的硬件条件都可以使用Desktop进行管理。运行环境客户端的计算机的配置要求：操作系统Windows98SE//2000/XP/2003硬件配置IntelPentium/Celeron或AMDCPU，主频100MHz以上，内存32MB以上，硬盘100MB可用空间或以上服务器的计算机的配置要求：操作系统Windows2000/XP/2003硬件配置IntelPentiumIII以上，主频800MHz以上，内存256MB以上，硬盘1000MB可用空间或以上控制台的计算机的配置要求：操作系统Windows2000/XP/2003硬件配置IntelPentiumIII/Celeron或AMDCPU，主频300MHz以上，内存128MB以上，硬盘500MB可用空间或以上网络的要求：Desktop系统支持在跨VLAN、VPN等的网络环境中安装单台服务器即可实现对全网的管理Desktop正常运行时需要使用以下的通讯协议与端口号，如果您在网络内使用了防火墙，请设置这些端口允许使用TCPUDPServer2121,3306,2480124802,24803Agent24807,24808,24809局域网内的传输速率10Mbps以上，建议为100Mbps。实施Desktop的收益Desktop是专门针对企业计算机资源，通过资源信息的准确及时反映和相应管理策略的制订，使计算机应用环境最大程度地保持稳定性，并根据企业管理需求发挥最大效力，同时提高计算机资源管理的主动性，不要让计算机内部运行环境成为管理的黑匣子或盲点，尽可能避免由于系统故障给企业生产活动带来不利影响。系统的实施可以提