RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx

上传人:b****7 文档编号:26652952 上传时间:2023-06-21 格式:DOCX 页数:10 大小:64.63KB
下载 相关 举报
RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx_第1页
第1页 / 共10页
RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx_第2页
第2页 / 共10页
RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx_第3页
第3页 / 共10页
RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx_第4页
第4页 / 共10页
RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx_第5页
第5页 / 共10页
点击查看更多>>
下载资源
资源描述

RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx

《RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx》由会员分享,可在线阅读,更多相关《RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx(10页珍藏版)》请在冰豆网上搜索。

RGSMP 2X桌面管理审计组件产品特性技术白皮书.docx

RGSMP2X桌面管理审计组件产品特性技术白皮书

产品特性技术

白皮书

产品营销部

编制:

2009-8-1

RG-SMP2.X桌面管理/审计组件主要针对IT运维中PC桌面管理维护工作的平台型软件系统。

产品主要是以结合WMI、MBSA、SPI、PFI、FACF等多种技术,形成一套集中性的控制系统。

产品技术架构图如下:

WMI、MBSA、SPI、PFI、FACF及各种WindowsSDK

进程管理策略

网络访问策略

外设使用策略

桌面设置策略

补丁更新策略

日志管理策略

操作系统平台:

Windows98、WindowsNT、Windows2000、WindowsXP、Windows2003、vista

硬件及外设配置

应用程序信息

补丁安装信息

桌面设置信息

网络端口及流量

各种PC性能阀值

应用软件部署

客户端调度程序

服务器及数据库系统

RG-SMP控制台

创新点一:

PFI(ProcessFingerprintIdentification,进程指纹技术)

PFI是锐捷经过几年的技术研究,以及反复的验证,研发出的进程唯一性指纹技术,采用分析进程执行文件的PE格式,然后进行加密,生成一种类型的软件,在进程中的唯一标识性代码,RG-SMP2.X桌面管理/审计组件通过这一代码,并预先设定一个PC的进程运行策略,从而根据策略判断,哪些进程是合法的,哪些是非法的,对于非法的则进行查杀。

这一技术经过了长时间的验证,能够避免PC使用者为了逃避管理而采取的更改权限、更改文件属性多种手段。

创新点二:

FACF(FileAccessControlFiltering,文件访问过滤)

FACF是锐捷基于操作系统内核,创建了一个对PC用户访问文件的过滤机制,这个过滤机制能够根据预先建立的规则,对于PC用户的磁盘进行读保护、写保护以及删除保护。

通过建立这样一套机制,能够对PC用户使用PC的行为进行管理,该技术普遍用于RG-SMP2.X桌面管理/审计组件中外设管理,以及桌面设置和文件系统审计等范围。

创新点三:

动态服务器管理技术

传统的应用程序架构一般采用一个服务器管理多个客户端的模式,这种模式下,被管理端依赖服务器,与服务器动态通讯,当被管理端有数据上报,则直接请求服务器,服务器处理后反馈给被管理端。

锐捷开发成功动态服务器管理技术,首先,服务器是可以动态部署的,就是管理员可以根据预先的网络终端分布情况,预先自动部署服务器对客户端的管理。

但实际的应用当中发现,服务器可能因为某种原因,被终止通讯、被认为停止服务程序、被误操作临时关闭等。

那么这种行为发生后,就会发生客户端PC无法连接到服务器,从而脱离管理,因此造成客户端PC该执行的策略没有执行,管理员也因为服务器系统临时故障而无法管理该PC。

动态服务器管理技术,则能够处理这种问题,其最大的好处是不需要客户额外配置硬件服务器系统,也就是不需要部署额外的硬件作为冗余。

RG-SMP2.X桌面管理/审计组件可以任意选择一个PC作为其中继服务器,并且可以根据网络规模,动态生成多个服务器系统,这个服务器可以运行在任何被管理的开机的PC上,当该PC发生被阻止了通讯、被关闭或停止服务的情况,那么其管理下的客户端会根据预先的服务器冗余策略,自动找到第二个服务器,因此,这种技术,能够在不增加客户硬件投资的前提下,依赖客户现有资源就能够解决服务器动态均衡负载、动态部署等一系列问题,从而确保服务器系统一直能够正常工作,避免客户端脱离管理而造成负面作用。

(一)应用创新:

应用创新点一:

进程管理策略

通常,IT运维系统都集中在服务器及网络设备,而针对桌面的管理方案比较少。

锐捷研发初期,在做系统分析的时候,就充分与客户沟通,发现了客户实际的困难和需要。

这种情况普遍发生在,一客户普遍没有采用统一的目录服务系统,无法统一采用目录部署相应的策略,造成每个PC的使用者就是该PC的管理者,那么一旦这个PC出现问题,就造成的不是这个PC本身的问题,而是全网络都可能被影响。

因此,进程管理策略,基于锐捷PFI技术,能够协助客户,对桌面应用程序进行管理和规范。

对于原先属于失控的桌面进程管理,提供非常有力的手段。

应用创新点二:

网络资源访问策略

为了保证PC的安全性,客户会为其所有PC部署防病毒软件,有的甚至部署网络PC防火墙软件,确保PC的安全性。

但这些只能起到最基本的作用,就是无法保证其使用者行为的安全性。

现在越来越多的病毒和木马,都充分利用使用者对安全知识的缺乏了解,从而获得使用者的合法确认,接着就可以大肆破坏了。

RG-SMP2.X桌面管理/审计组件则采用SPI技术,对每个PC的使用者,对其行为定义了网络访问策略,就是说,在未经IT管理员的允许下,其访问网络资源会受到控制。

一般包括服务器资源,其他用户的PC上的资源,都会缺少相应的内容保护,而如果对所有PC使用者都缺少其网络资源访问管理策略的话,资源被随意访问,甚至感染病毒就变成很自然的事情了。

RG-SMP2.X桌面管理/审计组件能够预先定义各种网络资源访问策略,如属于生产部门的,属于销售部门的,属于单位最高管理层的,那么PC用户被分别部署不同权限的资源,就只能被授予有限的网络资源可以使用或访问,从而就进一步使PC用户网络行为得到规范,也在资源上更加安全。

(二)产品主要从以下几个方面着手:

◆智能化数据采集:

采用MicrosoftWMI(WindowsInstrumentationInterface)技术,能够获取PC所有的硬件配置、BIOS信息、安装的软件信息、设备驱动、连接的外设信息、相关注册表信息等。

对于WMI无法提供的数据采集需求,则必需采用汇编等开发语言,基于系统底层自行获取,数据采集主要要求:

一数据的准确性,数据实际真实反映PC的信息,不能出现两次读取数据在无变更情况下有差异的情况,且在有变更情况下应该读取变更详细信息;二数据采集应该能够依据操作系统的变更自动识别,应能够获取PC信息变更事件,捕获到事件后对数据重新采集。

◆建立能够支撑大量并行操作的通讯消息平台:

由于针对客户几百甚至几千台PC的管理需求,必须建立能够适应大量终端并发存取及响应得通讯体系,以确保数据:

一能够准确传递到服务器和管理员控制台;二能够支撑当某一事件发生时,几百个请求同时连接,要保证低的丢包率,建立高效的并行处理机制;三当管理控制台对某个或某些终端采取即时手段的时候,要能够最快速地将策略下达并准确执行。

◆建立数据分析模型:

将终端采集的各种数据,加以分析整理,形成Inventory、Process、SystemPatch、Peripherals、NetworkPorts、Performance、Capacity等等报表,给管理员直接的查询模型,要能够:

一模型反映管理员最经常需求的业务模型;二模型需能够即时反应,既模型反映的包括当时的数据,而不能仅依赖历史数据;三模型应该能够提供客户自定义的需求,当管理员需要进一步挖掘数据的时候,应该提供相应的查询手段。

◆建立统一化策略机制:

PC数量比较多的情况,不同PC其内在应用运行的权限、数据存取权限、外设使用权限、网络访问的权限等都需要预先设定,而如果逐个去设置,那么会非常繁琐,如300个PC,如果让一个工程师去设置的话,那会占用其大量的时间,且策略随着管理需求的变更会随时改变,因此,需要一体化的策略机制,使策略设计、部署、启用等,能够智能化作业。

◆数据安全:

由于本产品所涉及的是PC本身的管理,因此其权限要求非常高,所以需要对其所有通讯进行全程加密,通常TCP/IP作为明文协议,用Sniffer工具很容易获取其数据内容,这样就会对系统本身产生非常巨大安全隐患,一旦系统通讯被破解,就会涉及到众多PC的安全问题。

因此,需要从四个方面进行安全性考虑:

一对数据通讯进行全程加密,确保数据在网络传递过程中是密文;二服务器与客户机的存取,需进行身份验证;三是控制台对客户机的访问,需要采用动态Key加密技术,一次访问采用的key只能本次发挥作用,访问断开则key失效;四要求其服务器数据必须具有存取限制,控制台有密码保护,同时数据库支持大型数据库,确保安全。

◆网络访问过滤技术:

Windows下的通讯拦截都是基于对数据报的拦截技术之上。

当然在具体的实现方式上它们却有很大的不同。

总的来说可分为用户级和内核级数据报拦截两类。

其中内核级主要是TDI过滤驱动程序,NDIS中间层过滤驱动程序,NDIS过滤钩子驱动程序等,它们都是利用网络驱动来实现的;而用户级的过滤包括SPI接口,Windows2000包过滤接口等。

在服务器和客户端通讯过程中,使用winsock进行网络通讯。

Winsock2是一个接口,而不是协议,所以它可以用于发现和使用任意数量的底层传输协议所提供的通信能力。

起初的Winsock是围绕着TCP/IP协议运行的,但是在Winsock2中却增加了对更多传输协议的支持。

Winsock2不仅提供了一个供应用程序访问网络服务的Windowssocket应用程序编程接口(API),还包含了由传输服务提供者和名字解析服务提供者实现的Winsock服务提供者接口(SPI)。

◆高效的编码方式实现远程视频传输:

视频传输的基本过程是发送端采用改进的H.263视频压缩标准对原始视频流进行压缩后通过网络进行远程传输;接收端采用相应的H.263解码标准对接收的数据进行解码并实时显示,从而达到实时监控的目的。

其网络传送平台如图所示。

通过高效的的编码解码,实现了平滑的图像传输和监控。

(三)产品技术路线描述

RG-SMP2.X桌面管理/审计组件主要是针对Windows操作系统平台,且对于大量终端,采用分布式的服务器架构。

通过这一架构,能够适应多种网络模式,且采用集中管控机制,分支机构的数据将最终都同步到管理服务器,由管理服务器统一定义及部署管理策略。

针对终端,则充分利用WMI、SPI、BITS、MBSA、PFI、FACF等技术:

WMI、MBSA、PFI、FACF及各种WindowsSDK

文件系统访问过滤规则部署

网上邻居过滤

操作系统平台:

Windows98、WindowsNT、Windows2000、WindowsXP、Windows2003

桌面设置信息

各种PC性能阀值

应用软件部署

RG-SMP客户端调度程序

WinSocket、SPI

硬件及外设配置

应用程序信息

补丁安装信息

网络端口及流量

网络通讯过滤

(四)产品技术实现依据

1.设计思想依据:

包括文献,或专利,或发明等

RG-SMP2.X桌面管理/审计组件主要依据ITIL(IT基础架构库)作为基本的设计思想,并充分结合国内客户的管理需求,按照简单化的设计理念,形成能够为IT管理者的快速解决问题的工具。

ITIL是1989年英国政府商务办公室(OGC)提出的旨在提高IT管理服务水平的管理体系。

ITIL通过对企业资源、提高IT服务的可用性、可靠性及安全性,以及评估服务质量成本,服务流程等一系列的针对IT运维的指导性理论,可以帮助企业IT服务提供和支持能力的提高,组织企业高效有效地运用技术,让既有信息资源得到最大的效能。

2.关键技术实现的依据:

在一些关键技术上,均采用已经广泛采用且可靠稳定的技术来具体实现,确保开发出的产品能够有高兼容性、安全性和稳定性。

RG-SMP2.X桌面管理/审计组件的各主要功能模块,在具体的实现技术上,充分运用操作系统提供的SDK和底层接口。

自行开发的PFI、FACF技术,也是基于各Windows操作系统提供的内存管理技术和文件系统技术开发而成的。

加密数据通讯平台。

RG-SMP2.X桌面管理/审计组件根据OpenSSL提供的加密原理和技术,充分运用RSA和DES等加密算法,对服务器到客户端、服务器到控制台等,进行加密处理,使得所有通讯即使被从网络上截获,都无法解码,无法获得实际的通讯内容。

对于控制台直接访问客户端的情况,则除了加密传输外,还另外为每次传输,由RG-SMP2.X桌面管理/审计组件服务器专门动态生成key,一旦通讯完毕,则自动失效,确保即使控制台通讯被拦截,但由于无法获得动态的key,而无法继续与客户端通讯,确保客户端的管理安全性。

数据库组件封装。

传统的软件架构都采用应用程序直接通过类似ADO等数据库连接部件直接访问数据库的方法,但在实际的工作中,由于后台数据库会依据客户本身采购的大型数据库不一样,而造成软件的使用受阻,如有的客户是Oracle,而有的客户是SQLServer,而有的客户没有采购任何大型数据库,则只能用桌面的数据集如MDB来代替。

而真正要做到一个应用程序兼容所有数据库,则按照传统的方法,需要把所有的数据库操作都放在应用程序内部,这样既不利于程序移植,又不能充分体现面向对象的开发方法。

因此RG-SMP2.X桌面管理/审计组件采用将数据库访问进行封装,将所有的访问行为规范化设计,形成标准的XML,由数据库服务器进行XML的解析,然后再进行数据库存储,存取操作都通过标准接口,而数据库服务器与数据库的访问,则根据不同的数据库类型自行调整。

这一技术能够最大程度地对数据库业务逻辑进行封装,使得系统的部署更加优化,且更具有灵活性。

大型网络管理支持。

从RG-SMP2.X桌面管理/审计组件现有客户规模分析,30%的客户其PC规模都超过500,而15%的客户,都是分布式的网络架构,普遍的一个需求就是总部与分部,不在同一局域网络,而多采用租用电信宽带的方法,这就在架构上对RG-SMP2.X桌面管理/审计组件提出了挑战。

RG-SMP2.X桌面管理/审计组件采用了多服务器分布式的管理架构。

RG-SMP2.X桌面管理/审计组件提供三种服务器模式,既管理服务器、二级管理服务器、中继服务器架构。

对于大型用户,其管理的根服务器通常可以部署RG-SMP2.X桌面管理/审计组件的管理服务器,而对于分支机构,则采用二级管理服务器,使得分支机构的管理人员直接对本地进行管理,同时总部也有权限直接管理分支机构。

而中继服务器则进一步对PC管理范围大的机构,提供每增加一个中继服务器,则进一步扩大管理范围的作用。

从而通过管理层次:

管理服务器、二级管理服务器、中继服务器,使整个管理范围不断扩大。

最终适应大型网络管理的需要,如下图:

(五)RG-SMP2.X桌面管理/审计组件主要有如下优势:

→客户需求体现准确,RG-SMP2.X桌面管理/审计组件的设计者和开发者均来自国内具有丰富IT运维经验的管理人员,因此,在产品需求分析上、产品需求实现上,能够更好地体现国内客户的普遍需求,相比较,其他产品主要基于其本土的管理模式,而让国内用户习惯其管理模式,则非常困难。

→产品实施成功率高,RG-SMP2.X桌面管理/审计组件简洁化的设计理念,得到了彻底的贯彻,产品架构清晰,功能到位,充分运用“傻瓜化”的设计方法,产品处处都站在一般水平管理员的角度出发,通过产品解决他们日常碰到的棘手问题。

因此产品实施成功率100%,而竞争产品则由于复杂度、网络条件要求高、本土化语言处理与表述、对客户环境的影响的方面,实施成功率受到很大影响。

锐捷的少量客户本身之前已经采购过竞争产品,但实施失败后,又以高的性价比采购RG-SMP2.X桌面管理/审计组件。

→产品功能全面,RG-SMP2.X桌面管理/审计组件分九个层面满足客户需求,并且从2003年开始,不断增加产品功能,已经由初期的不如竞争对手,到现在在产品功能上超越了竞争对手。

客户在选型试用中,往往会更加看重同样的采购成本功能的符合度的问题,因此,RG-SMP2.X桌面管理/审计组件占有很大的功能优势,且都是国内客户普遍性的需求。

→对市场反应迅速,这是非常重要的企业文化的一部分。

锐捷研发及技术服务部门,能够最快速地响应客户在需求、改进、Bug上的反馈,碰到问题,锐捷能够即时响应,客户的问题或需求,在短时间内得到解决,同时随着这些问题的解决,产品功能性能不断完善,形成良性循环。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 电脑基础知识

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1