《企业IT运维综合管理系统解决方案.docx》由会员分享,可在线阅读,更多相关《企业IT运维综合管理系统解决方案.docx(40页珍藏版)》请在三一办公上搜索。
1、CooCare酷越企业IT运维综合管理系统终端管理优化项目解决方案 软通科技2010年4月目录1.CooCare酷越介绍51.1.软通简介51.2.CooCare酷越企业IT运维综合管理系统介绍71.2.1. 系统核心思想71.2.2. 系统架构81.2.3. 为企业创造价值91.3.技术优势101.3.1.系统性能优势101.3.2.系统技术优势112.“终端管理系统”解决方案132.1.IT资产管理142.1.1.自动发现并收集IT资产142.1.2.资产人工注册登记152.1.3.分级、分组管理152.1.4.资产变更管理152.1.5.丰富的资产统计报表152.1.6.硬件、软件使用策
2、略162.2.终端、安全管理162.2.1.进程管理162.2.2.运行和性能监控172.2.3.接口流量监视172.2.4.屏幕监视182.2.5.监视报警182.2.6.AMT技术在安全管理中的应用182.3.安全审计192.3.1.安全策略管理192.3.2.接入安全管理192.3.3.安全审计管理202.4.分发管理202.5.远程管理212.5.1.远程桌面连接212.5.2.远程终端212.6.系统备份与恢复222.7.用户管理232.8.扩展解决方案242.8.1.Web Service接口242.8.2.可以与IT服务台进行数据交互242.8.3.集成CooCare产品中的消息
3、管理功能243.组织实施方案253.1.部署前的准备工作253.1.1.系统架构253.1.2.服务器的选择253.1.3.网络条件263.1.4.操作系统263.2.安装部署263.2.1.服务器端程序263.2.2.控制台端程序273.2.3.客户端程序294.联系我们305.附:一对一应答312.2.1方案总体要求312.2.2具体实施要求321. CooCare酷越介绍1.1. 软通简介软通科技是亚洲PC管理与IT服务领域的领导者,是亚洲领先的PC管理、维护与安全解决方案提供商,是中国最大的SaaS PC服务运营商。2007年,软通科技推出远程电脑服务和用户管理平台CooCare酷越
4、PC服务,帮助IT服务商进军300亿的PC服务市场。CooCare酷越,拥有无缝整合服务平台、开放式平台设计、强大的用户管理体系和规范的服务标准,为IT服务商提供无限扩展业务的潜能,帮助IT服务商绑定客户、长期经营客户,从而获得持续增长的收益回报。软通科技创立于新加坡, 2003年3月软通科技在北京设立全资子公司, 2004年,软通科技与英特尔建立战略合作伙伴关系,并成为英特尔全球八大独立软件开发商(ISV)之一。2005年,英特尔对软通科技进行战略投资,在发展战略、技术研发、市场营销等多个方面与软通科技进行紧密协作。n 国际化团队软通科技由一支高素质国际化团队组成,涵盖12个职能部门、包含1
5、50名员工。其中集聚70多位国内顶尖研发人才,采用国际标准的研发管理,5年多的倾力投入,凭借行业领域的丰富经验持续创造专业化产品和解决方案。n 国际合作软通科技多年来广泛开展国际合作,引入诸多先进技术,特别是与 Intel、McAfee、CA等国际一流IT公司建立了长期稳定的合作关系,引入国际最先进的计算机管理与服务产品及技术,为打造世界领先的计算机远程服务平台奠定基础。n 市场交流作为业界的领导者,软通科技积极参与国际国内技术与市场交流,定期参加在美国、日本、俄罗斯、英国、台湾等地举办的国际交流活动,包括:英特尔信息技术峰会、中国软件运营服务大会、英特尔未来商用平台技术发布会、英特尔软件与解
6、决方案市场计划发布会、创意中国软件开发大赛、高级客户研讨会n 荣誉奖项软通科技凭借其创新性的产品理念及多年的高速发展,奠定了在计算机远程管理及服务系统领域的国际、国内地位,先后获得多项国际、国内嘉奖:德勤中国高技术、高成长50强,亚太高技术、高增长500强,创新型高新技术企业百强,中国信息化杰出人物,最佳渠道满意度等等n 公司前景2008年软通公司整合团队,以发展的眼光对公司进行持久经营。经过一年多的不断改革与创新,软通科技已经成功转变为一支更年轻化、专业化、技术知识水平更高的全新团队。2009年初,软通公司先后与惠普、海尔、方正、神州数码等多家国内外知名公司厂商建立了持久的战略合作伙伴关系,
7、奠定了软通公司在国内市场的雄厚基础。今天,软通人正以一种坚忍不拔、求实创新的精神,为中国IT事业的高速发展贡献着自己的力量,软通科技也正以一种势不可挡的发展态势迅速地占领着中国市场。在迅速成长的过程中,我们努力寻找并发展新的合作伙伴,以信誉就是生命、质量重于泰山的信念向所有合作伙伴作出承诺,我们一起携手迈向双赢的道路。1.2. CooCare酷越企业IT运维综合管理系统介绍CooCare酷越企业IT运维综合管理系统,是软通科技根据当今企业IT资源管理实际需求,以先进开发技术与简单、安全、可控的管理理念针对企业内部办公网络计算机数量大,处理事务类型复杂,办公网络管理难,办公环境安全性差的情况全力
8、打造的一款IT运维综合管理系统。1.1.1.1.1.1.1.2.1. 系统核心思想软通科技推出的企业IT运维综合管理系统是以报警处理为核心,集网络设备管理、桌面管理、IT资产管理、网络服务质量管理为一体的综合管理系统。低成本、高质量地解决企业的全面需求。n 以实现企业IT基础设施可控制、IT资源的使用受控制,IT系统易维护为目标。n 集中监控、分级管理、化繁为简、化有形为无形。n 利用企业现有资源,软硬件相结合、充分发挥硬件性能,可靠、稳定地实现网络服务质量管理。1.2.2. 系统架构如前所述,IT综合运维管理系统以报警处理为核心,集网络设备管理,桌面管理,IT资产管理,IT网络服务管理于一体
9、。低成本,高质量的解决企业的全面需求。CooCare IT服务管理系统与众不同之处在于它将四大模块有机的整合在一起,集中的将问题反映到报警中心,为企业IT管理展示一副全面、实时、准确的IT系统运作图景,为IT部门纵观全局的掌控IT系统的运行提供了极大的便利。如下就是IT综合运维管理系统的系统架构图:系统架构说明:本系统整体使用多层结构,各部分功能明确,结构清晰,可扩充性强。系统软件设计部分采用当前国际最流行MVC设计模式,结合新兴的SOA面向服务架构思想,使系统结构更合理,各个模块功能内部聚合度高,模块间耦合度低,系统稳定性强,可扩充空间大。业务处理层与数据采集层之间通过良好的契约建立了统一数
10、据采集适配接口,为今后系统升级及维护打下了良好的基础。本系统通过 C/S模式提供服务,支持远程管理和远程查看,支持分级权限管理,使管理更有效、便捷,管理层次更清晰。开发团队聚合软通科技顶级高素质人才,严格遵守软件工程开发流程,使本系统开发更专业化、正规化,系统可靠性高。1.2.3. 为企业创造价值n 掌握IT资产的现状 对于企业内的硬件、软件及许可证等战略性IT资产投资,及时准确地掌握IT资产现状是不可缺少的。而由于IT资产的多变性,要掌握最新的IT资产信息是比较困难的。使用CooCare酷越企业IT运维综合管理系统所提供的自动和手工两种方式,登记管理软硬件资产、资产变更告警和处理、IT资产统
11、计分析,提高资产管理的效率、准确度和及时性,防范资产的流失与投资过剩。n 规避企业信用风险 随着知识产权保护意识的提高,侵权及非法复制等相关法律的不断健全,因软件侵权等所致的企业信用度风险增大。使用CooCare酷越企业IT运维综合管理系统可以用许可证检查报表来确认许可证是否有过剩或不足。通过各种报表格式,及时掌握所安装软件的情况。 n 减轻管理员的负担 安装软件、处理用户的咨询以及对客户端PC作维护,会花费管理员大量的精力和时间,造成很大的负担。管理的PC台数的增加及管理对象的分散等,使这种倾向更加显著,直接增加了管理成本。系统提供对终端的远程监控(如流量监控、CPU异常监控、内存异常监控等
12、),针对异常状态系统能够及时的捕捉并发出相应的报警,使IT管理部门能够及时了解终端的状态,便于问题的及时发现。n 提高企业内部的安全等级 对企业内部的PC,如果不进行OS的安全补丁和防病毒软件定义文件的及时更新,就会有遭受病毒感染或被攻击的危险。CooCare酷越企业IT运维综合管理系统功能覆盖了从客户端PC信息的收集、报表生成、软件分发、薄弱点监督检查等全过程。从而提高管理效率,增强企业抵御病毒感染及防止信息泄露的能力。 n 减少因维护产生的损失 减少由于管理员在对PC设备进行维护时,导致的计算机停机或中断关键企业系统服务流程,从而提高用户的生产效率、避免丢失关键系统上的信息,降低失去业务的
13、机会成本。 n 保障网络安全系统提供的非法外联和接入控制功能,能够有效防止外来非法设备接入网络和内部设备在外沾染病毒,加强网络的接入控制和非法外联控制,全方位保障网络资源不受外来因素的污染。n 强大的技术保障软通科技优秀的团队提供全方位的服务,为您提供各种贴心的解决方案、长期的维护和技术支持。1.3. 技术优势1.3.1. 系统性能优势n 结构清晰 划分合理从结构上分为五个层次:WinUI、RemoteClient、Interface、RemoteServer、DB。WinUI为客户端界面层,WinUI并不直接与服务端交互,由RemoteClient层提供方法,通过Interface层与Rem
14、oteServer层交互。DB层是一组数据存贮的组件,在本系统中,有三种方式来保存数据,一类是配置类数据,使用XML文件保存;一类是持久性对象,使用DB4O保存;另一类是结构化的数据,使用自主开发的StarDB系统保存。 Agent Proxy Server是一个独立的部件,负责与安装在终端机器上的Agent通讯。n 容器设计 可扩充性强WinUI、RemoteClient、RemoteServer这三个层次设计为容器。容器中的对象均采用反射技术进行动态加载,扩充功能时,只需注册需动态加载的对象即可。当管理的终端设备很多时,可以设置多个Agent Proxy Server来分担通讯,不受通讯瓶
15、颈的约束。n 高内聚低耦合 稳定性高本系统体系是一种“高内集、低耦合”的结构,层间相对独立。接口层将服务端与客户端隔离开来,使服务端不再暴露给客户端,而是通过接口这个中介来访问。这样,当业务处理层发生变化时,只要保持对接口的稳定,就达到了系统的相对稳定,而客户层是面向接口层而不是面向业处理辑,因此不需要做大的变动。即使客户使用不同的技术,比如JAVA或其它,只要服务提供的接口相同,就不需要担心访问无法完成。另外一点是,每一个服务在系统中都是一个自治的单元,因此,整个服务就是可以移动并可替换的,这更加增强了系统应对变化的能力。任一层的模块修改,其他任何模块均不受影响。层内各对象均动态加载,相互之
16、间耦合度极低,互不影响,若有对象加载失败,除该对象实现的功能不可使用外,其它功能均可正常使用。n 自主研发 无需借助第三方数据库设备监测类的软件系统,都需要解决的一个重大问题是:采样到的海量历史数据如何保存?传统的办法是采用第三方的数据库系统,如SQL Server、ORACLE等关系型数据库系统。这一方面需要用户额外支出,购买数据库系统;另一方面,若要保存完整的历史数据,则需要占用巨大的存贮空间,检索效率急剧下降。例如,对一个拥有400台网络设备的网络,一分钟采样一次,系统运行一年,使用传统数据库则需要120G的磁盘空间来保存历史数据,CooCare Enterprise Edition V
17、2.0运用自主开发的数据存贮系统,只需要40G的磁盘空间。一方面增强了系统数据安全性,一方面为用户节省了系统投入的开支。1.3.2. 系统技术优势本系统采用Microsoft Visual Studio 2005作为开发环境,充分利用VS2005.NET框架下在分布式通信应用方面的特长,来提高系统的可扩展性和系统的运行效率,同时有效降低系统对计算机、网络资源的占用率。系统中涉及的主要网络协议有:TCP、UDP、SNMP、NetBIOS、ICMP。n SOA架构面向服务的体系结构(Service-Oriented Architecture,SOA)是一个组件模型,它将应用程序的不同功能单元(称为
18、服务)通过这些服务之间定义良好的接口和契约联系起来。SOA的目标在于让IT变得更有弹性,以更快地响应业务单位的需求,实现实时企业。SOA 不仅覆盖来自于打包应用、定制应用和遗留系统中的信息,而且还覆盖来自于如安全、内容管理、搜索等 IT 架构中的功能和数据。基于 SOA 的应用能很容易地从这些基础服务架构中添加功能,所以这些应用能更快地应对市场变化,为使企业业务部门设计开发出新的功能应用。本系统中主要使用远程处理与WEB服务两大技术实现SOA构架。SOA架构使我们能够方便地构建大范围分布式应用程序,而不管应用程序组件是全部集中在一台计算机上还是分布在世界各地。我们可以生成这样的客户端应用程序:
19、它们使用同一台计算机(或可通过网络达到的其他任何计算机)上的其他进程中的对象。也可以使用 .NET 远程处理与同一进程中的其他应用程序域进行通信。n 英特尔主动管理技术(英特尔 AMT)英特尔 主动管理技术(英特尔 AMT)是在基于英特尔的平台中嵌入的一项功能,它增强了 IT 组织管理企业计算设施的能力。英特尔 AMT可独立于被管理计算机的处理器和操作系统运行。即使计算机操作系统已经损坏甚至已经关闭,但只要计算机仍与电源线和网络连接,CooCare Enterprise Edition V2.0仍可以进行远程资产管理,远程诊断与维护,并可以设置网络访问策略。n 并发处理技术 多线程(Multi
20、threading)操作系统使用进程将它们正在执行的不同应用程序分开。线程是操作系统分配处理器时间的基本单元,并且该进程中可以有多个线程同时执行代码。每个线程都维护异常处理程序、调度优先级和一组系统用于在调度该线程前保存线程上下文的结构。线程上下文包括为使线程在线程的宿主进程地址空间中无缝地继续执行所需的所有信息,包括线程的 CPU 寄存器组和堆栈。无论如何,要提高对用户的响应速度并且处理所需数据以便几乎同时完成工作,使用多个线程是一种最为强大的技术。在具有一个处理器的计算机上,多个线程可以通过利用用户事件之间很小的时间段在后台处理数据来达到这种效果。例如,在另一个线程正在重新计算同一应用程序
21、中的电子表格的其他部分时,用户可以编辑该电子表格。无需修改,同一个应用程序在具有多个处理器的计算机上运行时将极大地满足用户的需要。系统使用一台服务器,即能管理数目众多的客户端机器,并能保证快速响应控制台的操作请求的关键,是大量、合理地运用了多线程处理技术。n 动态加载技术 反射(Reflection)反射提供了由语言编译器(例如 Microsoft Visual Basic .NET 和 JScript)用来实现隐式晚期绑定的基础结构。绑定是查找与唯一指定的类型相对应的声明(即实现)的过程。由于此过程在运行时而不是在编译时发生,所以称作晚期绑定。利用反射技术,实现在运行时加载程序集,获取有关该
22、程序集中类型的信息,然后对该类型调用方法或访问该类型的字段或属性。系统利用反射技术,实现程序集的动态加载,使系统具有极强的可扩充性能。n 拥有多项计算机远程服务国际国内专利软通科技在计算机远程服务领域获得多项国际、国内专利技术:美国专利“Data Isolation System and Method”、中国专利“远程计算机服务的系统及方法”、中国专利“用于管理远程计算机访问主机的方法”等。2. “终端管理系统”解决方案综前所述,“CooCare酷越企业IT运维综合管理系统”是一套全面的解决方案。基于该产品的现有功能,即可提供以下解决方案。1.2.2.1. IT资产管理资产管理是IT管理中相当
23、重要的管理内容,也是一项最浪费人力成本和时间成本的工作。目前,还有相当多的企业内部,IT资产处于无管理或者手工管理的阶段,对IT部门造成了巨大的工作压力,也给企业带来了隐形的资产损失。终端管理系统中提供了自动化的IT资产管理功能,能够自动发现和保存资产的变更,实现IT资产全生命周期的管理。2.1.1. 自动发现并收集IT资产通过终端管理系统客户端自动发现桌面PC中的软件和硬件资产详细信息,并且上报到资产管理数据库中。如图:n 硬件信息:计算机类型;硬盘型号、大小、序列号等;CPU型号、主频、序列号等;内存数量、大小等;主板厂商、型号、序列号、BIOS型号、BIOS版本等;网卡描述、MAC地址等
24、;显卡描述;声卡描述;光驱描述;显示器描述;鼠标描述;键盘描述等等。如图:n 软件信息:操作系统;已安装软件名称、类型、生产厂商、版本号、许可证数量、购买时间、购买合同号、有效期;某软件已安装计算机数量及计算机信息;系统已安装补丁信息等等。如图:n 支持众多业界标准 终端管理系统的客户端代理程序,支持众多业界的标准或者工业接口:WMI、DMI、SMBIOS、ASF、PXE、IPMI、SNMP,以获取最详细的资产信息。n 支持AMT技术 软通科技是Intel全球十大ISV之一,与Intel保持长期合作,因此,在终端管理系统中,充分发挥了AMT技术的优势,在计算机通电而关机状态、甚至没有安装操作系
25、统的情况下,依然能够管理到其硬件资产。2.1.2. 资产人工注册登记对于IT资产管理来说,自动发现是必需的手段,人工注册登记是有效管理的关键,是实现变更监视的基础。对于没有安装终端代理的计算机设备和网络设备,其相关的资产信息系统无法自动收集,资产管理人员可以对这些设备进行手工注册;而对于可以自动收集的设备,也存在一些无法自动收集的信息,譬如设备的购买日期、保修时间等信息,也需要进行手工的资产注册。对于用户公司根据自身结构化分的IP地址段、计算机名、IP地址、网关地址、DNS地址等信息也可通过手工注册完成,实现计算机资产信息的全面管理。2.1.3. 分级、分组管理终端管理系统,可以按网络拓扑结构
26、、区域、地点、部门、使用者姓名、分机号码、计算机主机等信息将计算机进行分级、分组管理。并以分组为单位进行策略、权限管理。2.1.4. 资产变更管理实时监控IT资产,一旦发现变更,立刻向IT部门发送警报,通知其设备发生变更,使得IT部门迅速获得资产变更详情,以便采取相应的措施,从而帮助企业有效阻止资产流失。同时,当资产变更被确认后,立即被更新到资产数据库中,以维护资产状态的准确性,同时,也给将来的查询和统计提供完备的数据。如图:2.1.5. 丰富的资产统计报表资产管理功能可将所登记设备所有软、硬件信息及其他多种形式信息形成报表,以方便IT部门和财务部门查看和了解企业资产的运作情况。管理员可以按设
27、备IP、设备MAC、主机名称、设备厂商、设备别名、使用部门、使用人员等多种方式查询资产情况,形成资产报表。查看全部终端计算机的硬件情况,及时收集所有的硬件信息,能实现WEB页面、报表等形式显示。查看全部终端计算机的软件安装情况,包括操作系统信息、补丁软件、应用软件等详细信息,能够实现WEB、报表等形式显示。查看全部IT变更历史,也可以查询单台计算机的资产变更情况。如图:2.1.6. 硬件、软件使用策略n 硬件策略:控制员工在PC上使用外部存储设备,如USB存储器、光驱、软驱等。强化企业内部安全控制机制,降低企业信息泄密的风险。n 软件策略:监视全网计算机上的软件安装与卸载,结合进程管理功能,设
28、置进程黑名单,控制非法进程的运行;设置进程白名单,自动启动系统必备的软件进程,防范私自卸载的现象;对于系统中出现陌生进程时发出警报,管理员确认其安全性后才能在系统内运行。避免了员工对软件资源的滥用,提高员工的工作效率,防范新型病毒出现在网络中,保障企业信息系统的安全。2.2. 终端、安全管理2.2.1. 进程管理根据企业管理需求,对系统中运行的进程从全局范围进行统计分类,对于系统中出现陌生进程时发出警报,管理员确认其安全性后才能在系统内运行。设置进程黑名单,控制非法进程的运行。设置进程白名单,自动启动系统必备的软件进程,防范私自卸载的现象。进程管理识别进程的方式不依赖于进行名称,因此即使进程名
29、称被修改设置的进程管理策略也不会受到影响。该功能避免了员工对软件资源的滥用,提高员工的工作效率,防范新型病毒出现在网络中,保障企业信息系统的安全。2.2.2. 运行和性能监控通过终端管理系统,IT部门可以实现对企业IT基础架构实施统一的监控。IT部门可以根据需要设定监控策略,可以对终端PC和网络设备的内存、CPU 、在线、硬盘、UDP、TCP通讯情况的进行监控。被监控的设备和系统性能指标一旦超出既定的临界值,便可立刻报警到服务器。IT部门可以通过运维平台实时查看到这些报警信息,以便及时的了解并处理问题。系统除了提供控制台界面报警之外,还提供邮件报警和短信报警的订阅方式。如图:设备状态和性能监视
30、:实时监控设备的运行状态和性能,如设备掉线,负载过重等。监视类型说明终端代理状态监视监视终端代理的在线状态,当代理发生异常时,将发出告警设备在线状态监视对于网络设备,也可以监视其在线状态,当设备离线时,将发出告警。CPU使用率、内存使用率监视终端计算机上CPU的使用率和内存的使用率,当超出设定的阈值时,将发出告警;硬盘监视监视硬盘各个分区的剩余空间,当小于所设定的阈值时,将给出告警通讯监视可以针对通讯行为进行监视,可以对“TCP通讯允许的最大连接数”、“TCP通讯不允许侦听的端口”、“TCP通讯不可连接的地址”、“UDP通讯允许的最大侦听数”、“UDP通讯不允许侦听的端口”等进行监视。2.2.
31、3. 接口流量监视接口流量监视是监视网络设备及计算机终端网络接口收、发包数,带宽利用情况。工程师可以设置流量的阀值,并分别设定危险和异常状态。当达到或超过阀值或发现其它异常情况时将及时向网管人员发出报警信息,并可以根据相应的策略断开网络连接。利用该项功能,网管人员可以及时发现病毒导致的网络流量异常,并及时把中毒的计算机从网络环境中进行隔离。2.2.4. 屏幕监视桌面屏幕快照监视,实现对终端计算机屏幕按照设定的频率进行截屏,以便监控终端计算机的使用情况。运维人员可以对终端计算机进行屏幕快照的设置,系统将按照设定的频率对终端计算机的屏幕内容进行截图,并发送到服务器保存,以供管理人员集中查看。2.2
32、.5. 监视报警告警信息中心集中显示了系统所有的告警信息,可以让工程师方便的了解所有的告警情况,及时的做出处理。此中包含所有未处理完毕和还未处理的资产的告警、实时监视的告警和客户端代理的告警信息。另外,可以通过短信、邮件的方式定制报警信息,系统按照定制的设置,将报警信息按照定制的方式,通知给订制的管理人员。2.2.6. AMT技术在安全管理中的应用n 蠕虫防护:基于蠕虫病毒的网络访问行为特征,准确识别蠕虫病毒报文,在电路级及时隔离故障PC,阻止病毒在网络内的扩散。n 网络过滤:基于Intel的主动管理技术(iAMT),无需网络设备支持,在芯片级实现对目标地址(IP:Port)的访问控制、本地端
33、口的访问保护。n 流量控制:制订网络流量分配策略,控制终端设备收发数据的速率。无需网络设备支持,也不需要安装代理软件。n 实时监控:可设置实时监视,当vPro机器发生异常时及时产生报警,通知相关人员,以便维护人员及时处理。如:可实时监视CPU风扇、温度等。n 日志与审计:可追溯性是进行审计的必要条件。日志详细记录vPro机器的运行状态及运维人员对Vpro机器的的操作记录,系统提供对日志查询与管理的功能。控制台界面如图:AMT终端控制操作如图:重定向光驱为终端安装操作系统等如图:远程启动至BIOS如图:远程重启终端设备如图:远程启动终端设备如图:2.3. 安全审计2.3.1. 安全策略管理随着依
34、赖网络处理的事务越来越多、越来越复杂,使用网络的人员身份、工作性质及自身素质变得越来越难以区分。由此产生的网络安全问题越来越突出。使用安全策略管理,管理人员可以按照不同员工的具体工作需求,为员工制定相应的上网策略,禁止安装和使用非法软件,监控必须安装软件的安装和使用情况。安全策略信息包含:使用安全策略信息功能,管理员可以从上网人员、上网时间段、WEB访问、聊天软件的使用、娱乐软件的使用、流量控制、安全信息等几个方面对网络进行控制。n 分组分时管理: 对需要上网的人员按照其工作性质进行编组,对其上网时间进行控制。管理员可对分组、分时按需要随时进行弹性变更。n WEB访问控制:定义允许、禁止访问的
35、网站;对上网人员的WEB访问可实时监控以发现新的需要禁止访问网站,实现WEB访问的净化。n 聊天软件使用控制:企业中通常有一部分人员负责与外部联系,确实需要聊天软件。可将此部分人编组,对其授权使用聊天软件。对于不需要使用人员的则禁止使用,以防止聊天软件的滥用。n 软件禁用控制:定义禁止使用的软件名单,对其进行禁用设置。此功能可杜绝网络电视、网络游戏、下载软件等娱乐软件的使用,提高人员工作效率,防止公司网络资源滥用。n 流量控制:按需分配给上网人员必要的网络资源,防止网络拥塞和网络资源的浪费。n 安全信息控制:设置过滤关键字、内容及信息,保障网络环境的清洁和安全,保障上网人员传播信息安全。2.3
36、.2. 接入安全管理n 非法外联策略:设置PC只能访问给定范围内的网络,其他网络地址都是被禁止访问的。当设备在可管理的网络范围外联网之后,再回到网络环境使用时,终端立即断网,并从控制台发出警报。n 非法接入控制:非法接入的情况并不复杂,但是危害性非常大:容易泄露公司机密,容易引进病毒,在内网发生的非法行为,容易牵连整个单位。企业IT运维综合管理系统以软硬件结合的方式,通过对企业中网络设备的端口安全管理和利用802.1X认证协议两种方式从不同角度全方位实现对企业的内网安全控制。n 接入登录管理:用户接入网络需要进行登录,并可设置用户可登录的时间段。2.3.3. 安全审计管理通过Web监控,可以实
37、时的记录员工的上网行为;通过报告,了解和分析员工的网上行为特点,以便制定合适的网络管理制度,优化管理策略的设置。终端管理系统中的安全审计管理,不仅仅针对使用IE上网的用户有效,对使用其它浏览器上网同样有效。可以针对企业笔记本员工进行优化,提供上班和下班时间不同安全控制策略,既保证员工接受企业管理,又确保员工下班时间的自由使用。2.4. 分发管理软件分发功能可以为客户端计算机提供安装系统补丁、升级应用程序、安装软件等服务,可以使用文件分发功能将批量文件发送给多个终端,使IT工程师不用对每台计算机亲自动手,管理员还可以指定分发任务的起始时间和结束时间,以最省时省力的方法来完成繁琐的批量任务。具体的
38、功能可以分成如下几类:1. 分发Windows操作系统的补丁,如冲击波升级包及Service Pack等。2. 分发MSI应用程序包,升级、安装或卸载应用程序。3. 分发各种格式的文档到客户端的指定目录。4. 分发可执行应用程序到客户端计算机并统一执行。5. 分发VBScript脚本文件到客户端计算机,并执行。6. 实时监控分发任务执行情况。IT工程师可以通过系统平台分发单一可执行文件的安装程序(包括exe和msi格式),也可以分发包含多文件的安装程序,实现批量的远程安装任务;还能够批量分发文档到终端设备的任意指定目录。分发结果可以随时查询。软件分发下去后,可以自动执行在客户端计算机上的安装操
39、作,安装任务完成后,删除该软件的安装文件。除了支持为安装程序设置运行参数之外,终端管理系统还可以录制安装脚本,将安装脚本随软件一同分发下去,并按安装脚本执行安装过程。文件分发、软件分发到客户端计算机后,默认保存在客户端机器系统盘的Download目录中,也可以保存到客户端的指定目录中去。2.5. 远程管理远程控制技术,始于DOS时代。由于今天网络技术的飞速发展,人们开始越来越关注这一功能。远程管理方便管理员从整体上对网络管理进行把握,减少管理人员负担,让远程问题在一个触手可及的范围内解决。它能够帮助企业精简网络管理人员,削减人员经费开支,减少解决IT问题的成本。终端管理系统按区域、地点、部门、
40、使用者姓名、分机号码、计算机主机等信息将计算机进行分级、分组,并提供按设备名称、IP、使用者姓名等多种方式查询、定位终端计算机。定位到计算机后,可能执行丰富的远程管理功能。如图:2.5.1. 远程桌面连接远程桌面连接,是所有终端管理系统必备的功能,软通科技提供“终端管理系统”,具有灵活的接管策略配置能力,如:可以设置是否需要客户端同意才能接管;是否允许客户端同步操作等。除了客户端能同步看到远程接管的操作外,软通科技还提供隐私保护功能,客户端在同意管理员远程接管时,还可以设置“隐私”,按存放位置、文件类型来“隐藏”本地文件,不允许管理员远程查看。2.5.2. 远程终端利用Intel公司的特有技术
41、主动管理技术(iAMT),可以实现远程开关机,在操作系统崩溃之后,还能远程访问终端机器,远程配置BIOS,远程诊断硬件,远程恢复、远程杀毒等。对于支持AMT的计算机,还可以对终端代理进行保护,当发现终端代理没有运行时,可以向服务器发出告警,或者禁止使用网络。n 桌面配置管理:能够远程配置计算机的“属性”信息(主机名、分组等)和IP信息(IP地址、网关地址、DNS地址等),简化繁琐重复的操作,减少管理人员劳动量。既可以选择单、多台终端PC进行配置,也可以选择分组集中进行配置。n 系统时间同步:配置客户端机器自动与服务器时间同步,为企业内部时间不一致的问题提供了解决方案。n 远程电源管理:远程启动
42、(AMT)终端计算机、远程关闭、重启终端计算机。n 代理管理:通过控制台远程卸载客户端代理;查看客户端代理的常规信息;临时启动或停止代理的实时监控策略;自动升级、更新客户端代理程序。2.6. 系统备份与恢复系统备份与恢复工具是软通科技的专利技术之一。为了IT运维人员方便、快速地将终端计算机从软件故障状态中恢复回来,终端管理系统提供“系统备份与恢复”功能,具有以下特点:1. 备份与还原速度快。2. 备份可以在后台进行,不影响终端的正常工作。3. 支持增量备份,即在既有的完整系统备份基础上,对发生变化的数据进行备份,以提高备份速度,降低对备份空间的占用。4. 还原点可以回溯,即终端可以选择任意还原
43、点进行还原。每个还原点提供了详细的内容描述,避免终端选择错误的还原点。5. 支持NTFS、FAT格式,使应用更加广泛。6. 采用独创的保护区来备份系统数据,确保终端无法通过资源管理器、DOS命令行访问该保护区,在Windows下无法格式化保护区所在的分区,确保只有通过软通自己的访问方式才能访问该保护区,从而保证备份数据的安全。下图以系统完成初次备份,以及完成一次系统还原为例,说明系统备份与还原功能的应用:系统部署完成后,管理员从控制台上部署插件分发任务。客户端安装完毕酷越保护系统和系统备份还原插件之后,设置系统自动完成初始化备份。如图所示,系统会自动监测客户端代理有没有进行过系统的初始备份,对
44、于没有备份过的终端自动完成一个初始备份。这个备份过程是默认的,不需要管理员进行配置。系统还原应用场景:1. 系统没有完全崩溃,还可以启动:通过控制台的系统还原操作,系统还原到指定备份点的时间。2. 系统已经完全崩溃无法正常启动:插入系统还原盘,从本机进入酷越系统平台,对系统进行还原。2.7. 用户管理终端管理系统支持多用户分级管理。可以创建多个用户,设置每个用户可以管理的设备,设置用户对设备拥有的操作权限。即可以设置不同用户对不同的设备具有不同的操作仅限。系统的权限管理由三个要素实现:用户(管理人员)、角色(可执行的操作)与管理对象(终端计算机)。n 用户管理:增加、删除、修改管理人员的个人信
45、息,包括登录账号、登录密码、用户姓名、用户类型、手机、Email、等属性信息。n 角色管理:将角色抽象为一组可执行的操作集合。可增加、删除、修改角色。n 权限分配:将用户与角色、管理对象关联起来。管理对象以分级、分组的方式进行组织。系统内置Admin、Manager两个用户,预分配了相应的权限,并不可更改操作权限。两个户用的管理对象均为所有终端计算机,Admin对应于系统运维人员的角色,Manager对应于系统审计人员的角色。2.8. 扩展解决方案2.8.1. Web Service接口可以依据用户需求,以Web Service的方式,公布系统已有的数据,支持二次开发。2.8.2. 可以与IT
46、服务台进行数据交互 提供二次开发,终端管理平台可以把采集的数据推送到IT服务平台;也可以将IT服务平台信息化发布接入终端管理系统。2.8.3. 集成CooCare产品中的消息管理功能软通科技的CooCare酷越个人版产品具有灵活的消息管理功能,服务提供商能非常方便、灵活地向客户推送消息。但CooCare酷越企业版本的解决方案中,没有提供这个功能。为了满足用户需求,拟在用户终端管理系统中集成消息管理功能。管理员能以部分、分组、计算机(名称、IP)等为消息发布对象,实时广播紧急信息等。3. 组织实施方案3.3.1. 部署前的准备工作3.1.1. 系统架构终端管理系统由服务器端程序、客户端代理程序及
47、控制台程序三部分构成。3.1.2. 服务器的选择1. 服务器硬件的推荐配置:服务器型号:IBM X3550 7978硬件配置:2*Quad-Core Intel Xeon Processor E5430, 4*2GB DDR2 ECC,2*300GB SASRAID 12. CPU为双至强酷睿四核。3. 内存8G或者8G以上。4. 存储方面,需要支持RAID1,硬盘容量300G以上。3.1.3. 网络条件1. 用作服务器的机器至少需要一个网卡,推荐配置双网卡,一个网卡负责与被管理的客户端通讯,另一个网卡与控制台通讯。2. 服务器需要使用静态IP地址。3. 服务器与客户端互访问要求:服务器将侦听一个TCP端口、一个UDP端口,供客户端访问;客户端将在一个U