IPDSMS系统管理件技术白皮书.docx

PDSMS系管理件IPDSMS系统管理套件（技术白皮书草案）DOCNO：SA1.-SUP-001-01-2006/5/1网站:二C)O五年八月成都市信息技术开展有限公司IPDSMS系统管理套件序IPDSMS系统管理套件(IPDSystemManageSuit),是针对网络终端管理的全面解决方案。该套件经历多个版本的不断创新和改良，集多年政府/企事业网络终端管理工程实施的丰富经超，为用户提供符合其网络实际情况、能简捷高效地标准网络终端操作模式和完善网络终端管理方式的专业化管理平台。就止目前,IPDSMS系统管理套件巳提供了资产管理、进程控制、软件分发、自动补丁、谓口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓林十个管理模块。IPDSMS系统管理套件最大程度地将网络终端管理中重复性高、耗叶费力的日常工作，由IT管理员的手工操作转变成由计算机自动完成，使网络终端管理变得高效、准确、及时；极大减轻网络终端管理的压力,降低IT管理员的劳动强度：最大程度满足网络终解管理不断增长的需求，提高网络终解的管理效率和质量，真正实现网络管理自动化。版权声明IPD,IPDSMS,IPDVIEf是上海创多软件公司的注用商标；Windows,Windows98,WindowsNT,WindowsXP,WindOWS2000.Windows2003,Microsoft,IIS,Access.SQ1.Server,MSN,Rea1.P1.ayer是微软公司的注册商标：QQ是腌讯公司的注册商标。IPDSMS系统管理套件目录1. 前52. IPDSMS的特点63. 1.实用性74. 2.易用性75. 3.移动性75.4. 灵活86. IPDSMS的功能96.4. 完备的侪产管理106.4.1. 1.1.硬件资产管理106.4.2. 软件资产管理106.4.3. 软硬件变动管理106.4.4. 资产台帐管理113.2.准确的进程监控113.2.1.自带的进程信息库113.2.2.信息库升级与扩充113.2.3.监控/干预程序运行113.3.智能的自动补T3.3.1.自动扑丁安装123.3.2,补丁更新与下载123.3.3.软件分发与安装133.4.强大的消口或略133.4. 1.TCP/UDP端口访问规则143.4.2UR1.访问规则143.4.3.陋止网络病毒传播143.4.4,分布式防火堵153.5.便捷的远程维153.5.1.远程故障诊断和排除153. 5.2.终端远程接管人性化153.6. 平安的外设管理16IPDSMS系统管理套件3.6.1.允许/禁止外设163.6.2.特定文件操作监控163.7.高效的桌面设163.7.1.IP/MAC地址绑定163.7.2.网络带宽控制3.7.3.桌面环境设3.8.直观的网络拓扑3.9.实时的资源技警3.9.1.动杰显示终端运行状态173.9.2. 阀值设定与异常处理183.10.分级效劳器模式181 .10.1.多级效劳器183 .10.2.管理分级184 .部署方式195 .运行环境215.1.客户端215.2.效劳器215.2.1.硬件环境215. 2.2.软件环境22IPDSMS系统管理套件1 .前言随着社会的开展和生产力水平的提高，政府和企业拥有的信息资源和处理信息的能力成为最能代表其综合实力和管理效率的战略资源。如何管理不断增加和更新的信息化设备并使之发挥出最大的效益成为每一个管理者必须面对的问题,尤其是对于数量庞大的网络终转：无处不在的信息，如何管理终谓，如何保障信息平安，成为最重要，也是最耗时的管理任务。庞大的网络.众多的终端.你是否还只能拆开机箱逐台进行硬件配置祖产的清点呢？终端上纷杂各异的软件，你通过什么方法进行统计呢？你今天是否在为昨天哪几台终端安装了新的软件和硬件而冥思苦想呢？你是否还在为如何杜绝员工上班时间网上钞服、BT下载，QQ聊天、玩游戏而犯赛呢？微软从黑客的攻击中发现了新的BuG,今天又发布了10个补丁，你是否还在为如何为成百的PC以最快的速度安装这些补丁头痛呢？新的公司业务要求为市场部全体员工开通MN1.功能和MSY功能，要求为对外宣传部的全体员开通REB浏览功能，要求为技术部开通和WEB功能，你如何完成呢？时间就是金钱，你不着急吗？小王的机器在十楼，你在五楼的IT办公室，你已经看到他的机器在线了，可他打电话说不能上网，你是否只能上到十楼为他排漳，发现其实只是浏览器的设置出了问题。如果在另一栋楼售么力、？你来回半小时就是为了找出设置页点击两次鼠标？你是否经历过因为你的电脑故障而丧失你的IT管理和统计资料呢？便捷的U盘.时尚的MP3.你是否正在为如何防止公司重要文档和资料的随意拷贝，进而泄的而寝於不安？这些文档和费料又是员工上班一定要用的，怎么办？IPDSMS系统管理套件2 .IPDSMS的特点IPDSMS系统管理套件采用基于B/S结构的分级多效劳器架构，其后台采用C/S结构，采用可拆分的独立功能模块形式，把实用、易用、便捷、灵活的系统管理工具提供应最终用户。其逻辑结构如图1。IPDSMS系统管理套件2. 1.实用性IPDSMS系统管理套件充分考虑客户的实际需求，最大程度地贴近用户网络环境，其开发、改良和完善的出发点和驱动因素，都是用户羯求和市场反应。IPDSMS系统管理套件的每一个独立功能模块都是从详尽的市场调研和无数的市场推广及工程实施中提炼出来的，都进行了实用化的功能设计和全面的优化，以期客户最小的投资实现最全面且实用的管理功能。资产管理、进程控制、软件分发、自动补丁、躅口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓林十个管理模块，每一个模块都使其相对应的管理工作变得高效、快捷。2. 2.易用性IPDSMS系统管理烝件将所有的网络管理功能用统一的WEB浏览器界面实现。（这些操界面都是提供应IT管理员的，被管理用户无需了解和知晓。）其集成度是其它产品所无法比拟的。统一的界面，统一的操作方式，时简体/繁体中文、英语和日语的全面支持，使你只要会浏览HEB网页，就能使用IPDSMS系统管理套件。（当然，你汪得会一点网管知识一一因为你是IT管理员）。IPDSMS系统管理密件操作界面的开发目标，就是让IT管理员无须任何培训就可以使用,进行系统管理。2.3. 移动性IPDSMS是基于Web的网络管理系统，具有Web环境下的各杓优良特点.包括使用方便，不限于指定的操作工作站，可以同时支持多人在不同的地点访问管理网络,方便地分级监控体系架构，适合于任何规模的网络管理。适合于多人多点同时进行网络管理操作:IPDSMS系统管理套件2.4. 灵活性IPDSMS系院管理套件提供一个完全客户化的定制管理套件，采用先进的结构化和模块化设计，各功能模块拆分组合非常容易，还可为客户定制特定的功能霜求,使用户能够方便地建立基于任务优化控制台视图和基于用户规则的对控制台功能访问限制。快速发现企业计算机资产信息、软件硬件配置情况和在网络中的位置，策略制定与应用和完善的商业报表绐IT管理员带来对系统管理准确,及时实施控制的能力.IPDSMS系统管理套件3. IPDSMS的功能IPDSMS系统管理套件由十个功能模块组成。这些功能模块是全独立，可分割、可集成。用户完全可以根裾网络现状和管理需求进行选择。如图2所示。IPDSMS系统管理套件3.3. 完备的资产管理3. I.1.硬件资产管理硬件资产管理为IT管理员提供便捷的会看全网终逑硬件分布情况的有效手段。这一功能同样也能为终端的资产管理带来便利。硬件表极大的方便了资产统计人员,防止了过去做资产统计必须拆机箱的做法，IPDSMS利用先进的自动捕获技术，及时收桀所有硬件信息，并以WEB页面、报表等形式提供应使用者。IPDSMS可捕获的信息包括：主板型号、CPU型号、CPI：主撅、内存大小、硬盘序列号、硬盘容量.硬盘剩余空间、光驱类型、光驱型号、网卡MAC地址、显卡里号、声卡型号、软驱型号等,函盖了日常终端资产统计的所有内容。极大地提高了终端硬件资产统计的效率。4. 1.2.软件资产管理软件资产管理使IT管理员”快速交着全网巳安袋软件及其分布情况。IPDSMS采用分布处理、集中管理的模式，通过分布在客户谓（被管理端）的IPDSMS子模块快速分析本地已安装软件，并在IPDSMS效劳器端聚集成全网统计信息.IPDSMS采用了交叉搜索判定方式，准确定位网络中各终惴安装的所有软件信息，确保万无一失。通过软件资产管理,IT管理员可以快速获知巳安装软件的种类和名称，以及这些软件在网络终端中的分布情况，是否有终端还未安装必需的软件，是否有终谓安装有不符合规定的软件等信息。5. 1.3.软硬件变动管理软硬件变动管理是在镂供软硬件当前配置安装信息统计的基础上IPDSMS向用户提供的一个具有变革意义的功能。通过软硬件变动管理，IT管理员和资产管理员可以跟踪网内终端硬件和软件的历史变化信息。哪些机器增加了新硬件，哪些机器安装或者卸载了软件，软硬件变动管理都进行实时的记录和统计、形成报表，做到有据可查、有证可依。IPDSMS系统管理套件6. 1.4.资产台帐管理IPDSMS快速软/硬件资产统计功能，使IT管理员的工作效率律到提商。以此为基础，IPDSMS更提供了IT资产台帐功能，使财务部门的IT森产统计同样变得高效准确°财务都门通过IPDSMS的贡产台帐功铉可以及时获得信息系统的软/硬件资产报表。7. 2.准确的进程监控程序监控功能使用IT管理员可以对网络终端当前正在运行的应用程序及其分布进行统计。也可能对不符合公司/企业规定的应用程序运行进行干预。3.2.1.自带的进程信息库IPDSMS自带了进程信息库。进程信息库是基于市面上现有的软件进行构建的。包含进程的所属应用软件名称.用途及其分类。通过IPDSMS自带的进程信息库，IT管理员可以快速识别和统计全网正在运行的应用程序，并可制定应用程序的运行规则迸行预先的策略设定。简单的几个设置，就到达了显著的效果.即使非专业人员，也可以简单而轻松的管理全网络的可运行旌序。3.2.2.信息库升级与扩充IPDSMS自带的进程信息库具备了升级扩充能力，以对新出现的软件进行识别.IPD将定期更新和升级进程信息库，并免费向所有注册用提供。这也是IPD向用户提供的售后增值效劳之一。IT管理员不用费尽脑汁去想方法应对层出不穷的新程序，只需定期升级进程信息库，就能使进程管理工作按方案有步骤的进行。3.2.3.监控/干预程序运行进程管理使IT管理员可以对当前全网各终端正在运行的应用程序进行实时地统计。这IPDSMS系统管理套件就为IT管理员对正在运行的应用程序进行监控和干预提供了可能。如监控可疑进程（病毒.木马，塔生等）,干加不符合公司/企业规定的应用程序运行（上班时间使用QQ、MSN,BT,E1.ashGet,玩游戏，看电影、钞股等）。通过使用IPDSMS的进程管理功能，IT管理员可以及时停止这些迸程的运行，也可利用透程管理中的黑名单设置，迸行永久性的进程运行屏蔽。（如在黑名单中参加ReaIPIayer并指定黑名单生效的时间.则在指定时间内各终端均无法启动ReaIP1.ayer。）利用IPDSMS的进程管理功能，IT管理员可以全局性的掌控网络中应用程序的运行策略，确保内部网络的高可利用性和高平安性.3.3.智能的自动补丁自动补丁包含两个主要的功能。一是传统意义上的补丁自动下载与安装，包括操作系统补丁和应用程序补丁，尤其是指微软发布的各种补丁。二是各种应用软件的分发和自动安装。3.3.1.自动补丁安装IPDSMS的自动补丁模块最根本的功能就是按照即定的策略对网络终端进行补丁的自动下我和自动安装。通过IPDSMS的自动补丁模块，IT管理员可以对和未知的补丁制定下我和安装策略。如补丁是否安装、安装的条件、安装的时间等，并可跟踪各终端的补丁安装记录。这种策略可以是针对单台终端的，也可以是针对一组或多台终端的。1PD5MS将自动检测全网终端的补丁现状，下栽还未安装的补丁，并以效劳器为中心，进行策珞控制下的推送安装，确保所有网络终谓能在最短的时间按即定策略完成所需补丁的安装，戒少黑客或病毒攻击的机率，提高网络及终端的平安性和可用性。3. 3.2.补丁更新与下载IPDSMS充分运用了自身的效劳器端特性，使补丁的下载和安装在IPDSYS效劳器谣进行集中控制,针对微软的各类补丁，IPDSMS开发了瘠量下线和自动下载机制。客户端IPDSMS系统管理套件（网络终端）的补丁直接来源于IPDSMS效劳器端.这就意味着在运行IPDSYS自动补丁模块的网络中，从外网下找补丁的将只有IPDSMS效劳器，其带来的外网出口带宽节约是极其可观的。同叶IPDSM5开发的增量补丁下装机制更进一步节约了外网出口带宽一一IPDSMS效劳器只下载IPDSMS效劳器中缺少的补丁，而不是全部的补丁。同时，IPDSMS发行包提供了微软件补丁光会，包含了已有（截止发行包制作时）的微软补丁。IPDSMS开发的自动补丁下载机制，使IT管理员可以设定IPDSMS效劳器定期从外网检测补丁更新信息。由于IPDSMS采用增量下载机制，你也不用担忧不同的检测时间间隔对外网出口带宽的影响差异。（我们并不建议用户设定过期的时间间隔。）试想一下，假如设定检测时间间隔为两小时，那么，IPDSMS效劳器最长两小时就可以检测到微软新发布的补丁并透行下载，同时利用自身的补丁推送功能下找完成后立即按新补丁的即定键略（1T管理员事先指定）开始向阿内策略指定的终堆下发并安袋，其效率和智能化程度是不言而悌的。333软件分发与安装IPDSMS在成功开发出补丁智能化安装功能后，更进一步向用户提供了应用软件自动下发与安装功能。这里所指的应用软件包括所有的可执行程序和数裾文件。IPDSMS这一新增的功能使网络终端进行软件安装时IT管理员必须物理接触终端成为历史，极大降低了IT管理员的工作强度，提高了工作效率.IPI）SVS提供的软件自动下发与安装同样是基于策略控制的。IT管理员制定策略，剌下的都交给IPDSMS!3.4. 强大的端口策略IPDSMS端口笑略中所指的端口，是广义的端口，既包括通常所指的TCP/UDP协议D,也包括PMN地址、UR1.列表等。换一种说法，是指客户端（网络终端）访问网络的方式和渠道。这种策略应用在各个终端之上，具有明显的分布式特征。这种策略的实施，使不符合规定的网络访问被拦就在它的发源地一一终谓本身，可以极大的降低路由器、网关和防火墙的压力。IPDSMS系统管理套件3. 4.1.TCP/UDP端口访问规则TCP/CDP端口访问管理功能可以让IT管理员对不同的网络终端设定时特定TCP/1.DP协议端口的访问规则。如是否允许访问、允许访问的时何等。TCP/UDP端口访问规则的实施，可以使用IT管理员拥有对特定网络应用程序的运行进行控制的能力，是在进程管理的基砒上对网络终端行为的另一种管理方式。因为所有依赖于TCP/IP协议的网络应用，不管是完成特定功能的应用程序，还是病毒木马，都必需经由特定的TCP/UDP端口实现。通过TCP/1；DP端口访问管理，IT管理员可以部罟相应黄珞，允许或禁止终端访问特定的资源.如市场韶门不能访问财务留，一般员工不能访问管理级的效劳器资源,彻底解决网络资源访问权限规划的问履。4. 4.2.UR1.访问规则通过实施IP地址访问规则，IT管理员可以根据企业/公司的规定，/不符合规定的UR1.地址进行屏蔽，只开放符合规定的UR1.地址，到达对网络访问进行控制的目的。如一般员工只能访问公司邮件系统，只能上公司网站等。用技术手段对公司/企业的规章制度落到实处提供了保障。5. 4.3.阻止网络病毒传播IPDSMS的端口策略也可用于辅助防止网络病毒传播。由于防病毒软件的滞后性，新型的网络病毒（如蜻虫类的冲击波、震荡波、高波等病毒）得以在网络中快速传播。在杀毒软件升级之前,除了断开网络，几乎没有别的方法。直至逐台杀毒完成.网络才能恢复正常。（通常我们都会使用拔网浅杀毒，而这是极其痛苦和没有效率的过程。）面通过IPDSMS的端口策略，IT管理员可以关闭所有终端上病毒赖以传播的端口，迫使蜻虫病毒成为单机病毒,为查杀病毒创造条件，起到事半功倍的效果。IPDSMS系统管理套件6. 4.4.分布式防火墙通过劄著有效合理的端口策略，还能辅助硬件防火墙提高网络性能。当网络不断扩张的时候，内部子网越来越大，网络终端数量越来越多，数据流量越来越大。为了实现内网不同终端的访问规则，必须在防火墙上设置更多的策略和规则，防火墙也必须用更多的时间检测数据是否符合访问规则,当规则越来越多时，防火场的性能就会下降,甚至可为网络访问的瓶颈，使用网络整体性能下降。通过IPDSMS的端口策略部署，可以把应该在防火墙上做的访问策略转移到终端上来，把不符合规定的访问拦截在它的源头终端本身，在网络边界的防火堵则不需要复杂的访问规则，其性能得以提高，网络的利用率也相应提高，业务流程更加顺畅。3.5. 便捷的远程维护通过IPDSMS,IT管理员可以荻取网络终端的实时屏幕图像和对网络终端的操作控制权（也可称为对终端的接管）。可以只获取屏幕实叶图象，也可同时获取屏幕实时图里和对终端的操作控制权，使IT管理员可以进行远程故障珍断和棒除。3. 5.1.远程故障诊断和排除IPDSMS的远程支持功能，使IT管理员可以跨地域解决终端常见的问题。只要终端还能运行.网络在正常工作.IT管理员就可以在自巴的办公室里通过IPDSMS进行远程支持.不用为了要翻开故障终端里的一个应用程序，点两次鼠标而来回奔波。提高工作效率。4. 5.2.终端远程接管人性化为了符合人性化、以人为本的管理理念，IPDSMS在提供远程支持功能时专门增加了可选的接管确认选项。设定确认选项后，管理员在获取网络终谓的实时屏意图像和对网络终端的操作控制权(接管)前,必须要终端的当前用户确认。没有用户确实认则无法接管终IPDSMS系统管理套件3.6. 平安的外设管理3.6.1. 允许/禁止外设IPDSMS所提供的外设管理，包括对USB设备、串口设备、井口设备、软驱、光驱、内置MODEY等设备的管理。可以针对每一类的外设设定允许使用或禁止使用的策珞。在1.SB设备中，IPDSMS还区分了U盘、移动硬盘、打印机、键盘、鼠标等不同的设备，使外设管理更准确。通过IPDSMS的外设管理功能，你再也不用因为平安和保密的需要而在外部设备或接口上贴封条，或直接破坏外设接口等,既到达了管理的目的，又保证了终端的硬件完整性。3.6.2. 特定文件操作监控IPDSMS提供对特定文件操作的笈控和阻断功能，为实现对企业/公司核心、保密资料的保护提供了可能。这种监控和阻断的实现，是能过制定文件操作策略并楣罢到终端上实现的。对于不符合策略的文件操作，IPDSMS将依据策略规则做出乱断或记录.3.7. 高效的桌面设置为了提高终端应用环境的可维护性，IPDSMS提供了高效的桌面设置功能。3.7.1.IP/MAC地址绑定IPDSMS的IP/MAC地址绑定功能，使IT管理员可以更加严格的规划和分配网络中的IP地址、防止用户自行改变IP地址。当终端应用了IP/MAC绑定策略，而终端用户自行改变IP地址，则IPDSMS会阻止改变IP地址，同时阻断该终端的网络访问。IPDSMS在阻断访问后会自动恢更绑定的IP地址,恢复成功后重新开放该终端的网络访问功能。这一过程不会影响到其它终端的网络访问。IPDSMS系统管理套件3.7.2.网络带宽控制IPDSMS提供了分布式的网络带宽控制功能。应用这1.功能可以大大降低突发大带宽网络访问对网络造成的冲击。IT管理员可以设定网络流量允许的最大值，当流量超过设定值的时候，IPI)SM5客户端将自动降低网络流量.到达平抑网络流量的目的。同时这种控制是分布式的，住于受控的网络终端中，不会对路由器、交换机、网关造成影响。3.7.3.桌面环境设置通过桌面环境设置管理，IT管理员可以进行远程终端维护，如禁止系统级共享(CS.D$.ADMINJ等)、禁止用户共享、禁止使用控制面板、禁止开放GUeSt帐号、禁止密码缓存等。而这些设置，都是在管理界面中以策略的形式制定并下发至终端，IT管理员并不将要直接操作目标终端。3.8. 直观的网络拓扑IPDSMS提供了网络拓朴自动生成功能，自动识别网络结构，并以网络拓扑图的方式提供应管理员。通过网络拓朴图，IT管理员可以对网络运行现状进行快速、直观地监控.为合理规划、调整网络结构，监控网络运行状态、定位和排除故障提供了可能。便IT管理员面对的不在只是枯燥的列表和数据，而是以图形化，直观的方式管理网络。3.9.实时的资源预警IPDSMS可以实时的监控各终端的运行状态，并可设定告警条件，做到自动报告，分类处理03.9.1. 动态显示终端运行状态IPDSMS可以实时的监控终端CPU使用率、内存使用量、硬盆使用率、网络使用率IPDSMS系统管理套件等终端当前运行对系统资源的消耗情况。可以早期发现和跟踪非正常的资源消耗，为定位未知病毒、恶意攻击等提供了可能。同时，也为保持全网的正常运行提供了检和手段。3.9.2. 阀值设定与异常处理IT管理员可以设定IPDSVS终端资源盟控自动报警的判定阀值（条件），当符合自动报警的监控事件出现时，IPDSMS将产生告警信息使IT管理员能在第一时间了解到非正常运行的资源消耗和设备异常。1.10. 分级效劳器模式3 .10.1.多级效劳器IPDSMS系统管理套件采用分级效劳器模式.可以很好的对大规模的网络进行分级管理，在效劳器级上实现了分布与集中的集成。位于上层的效劳器可以管理下层的效劳器.而下层效劳器不能管理比自己级别高或同级的效劳器。这1.机制符合现代企业/公司的层级化管理模式的密求，同样也适合平衡管理负载的网管要求。4 .10.2.管理分级IPDSMS系统管理套件枭用分级的管理授权模式。在单效劳器IPDSVS系统管理套件应用中，可以容纳多个拥有不同管理授权的管理员帐号（帐号数量没有限制），到达多管理员、分权定责、共同管理的目的。IPDSMS系统管理套件5 .部署方式IPDSMS的管理界面基于B/S结构，管理员可以从任何一台安装了浏览器的终难进行登录并招待IPDSMS网络管理的所有功能。IPDSMS的后台功能实现基于C/S结构，包括效劳器端和客户端，这两局部是没有界面的。（Ipi）SMS效劳器端要求管理员手工安装，IPDSMS客户雉可以用推或拉的方式进行全网自动安装或逐台手工安装。）IPDSMS单取务器的典型部署如图3。其等效逻辑结构如图1.IPDSMS系统管理套件IPDSMS系统管理套件6 .运行环境IPDSMS系统管理套件支持对所有运行儆软现有操作系统的原装和兼容PC终端的管理。暂不支持运行其它操作系统的用户终端。5. 1.客户端客户端为实施管理的对象，IPDSMS系统管理套件支持所有运行微软现有的操作系统的原装和兼容PC,支持的操作系统如下表：操作系统Windows98WindowsNT4.0WorkstationZServerWindows2000Professiona1/ServerAdvanceServerWindowsXPProfessiona1.ZHoineWindows2003Server0网络协议TCP/IP5.2. 效劳器效劳器常用于安装和运行IPDSMS系统管理套件的效劳程序。5.2.1.硬件环境CPU450兆赫(MHz)Pentium11级处理器，建议使用600M1.1.zPentiumIII级处理器内存256%(M)硬盘空间2G以上光驱CD-ROM或DYD-ROM驱动器IPDSMS系统管理套件5.2.2.软件环境操作系统Windows2000Professiona1.ZServerVeb效劳MicrosoftInternetInformationServerMicrosoftServer网络协议TCP/IPIPDSMS系口管理口件DOCNO:SA1.-SUP-001-01-2005/8/4IPDSMS系统管理套件成都市鼎科信息技术开展有限公司地址：成都市磨子街7号新棕北大厦611邮政编码：610041电话：-802传真：-809