《产品管理产品规划产品特性技术路线描述与实现依据》由会员分享,可在线阅读,更多相关《产品管理产品规划产品特性技术路线描述与实现依据(10页珍藏版)》请在金锄头文库上搜索。
1、产品特性技术白皮书产品营销部编制:2009-8-1 RG-SMP 2.X桌面管理/审计组件主要针对IT运维中PC桌面管理维护工作的平台型软件系统。产品主要是以结合WMI、MBSA、SPI、PFI、FACF等多种技术,形成一套集中性的控制系统。产品技术架构图如下:WMI、MBSA、SPI、PFI、FACF及各种Windows SDK进程管理策略网络访问策略外设使用策略桌面设置策略补丁更新策略日志管理策略操作系统平台:Windows 98、Windows NT、Windows 2000、Windows XP、Windows 2003、vista硬件及外设配置应用程序信息补丁安装信息桌面设置信息网络
2、端口及流量各种PC性能阀值应用软件部署客户端调度程序服务器及数据库系统RG-SMP控制台创新点一:PFI(Process Fingerprint Identification,进程指纹技术)PFI是锐捷经过几年的技术研究,以及反复的验证,研发出的进程唯一性指纹技术,采用分析进程执行文件的PE格式,然后进行加密,生成一种类型的软件,在进程中的唯一标识性代码,RG-SMP 2.X桌面管理/审计组件通过这一代码,并预先设定一个PC的进程运行策略,从而根据策略判断,哪些进程是合法的,哪些是非法的,对于非法的则进行查杀。这一技术经过了长时间的验证,能够避免PC使用者为了逃避管理而采取的更改权限、更改文件
3、属性多种手段。创新点二:FACF(File Access Control Filtering,文件访问过滤)FACF是锐捷基于操作系统内核,创建了一个对PC用户访问文件的过滤机制,这个过滤机制能够根据预先建立的规则,对于PC用户的磁盘进行读保护、写保护以及删除保护。通过建立这样一套机制,能够对PC用户使用PC的行为进行管理,该技术普遍用于RG-SMP 2.X桌面管理/审计组件中外设管理,以及桌面设置和文件系统审计等范围。创新点三:动态服务器管理技术传统的应用程序架构一般采用一个服务器管理多个客户端的模式,这种模式下,被管理端依赖服务器,与服务器动态通讯,当被管理端有数据上报,则直接请求服务器,
4、服务器处理后反馈给被管理端。锐捷开发成功动态服务器管理技术,首先,服务器是可以动态部署的,就是管理员可以根据预先的网络终端分布情况,预先自动部署服务器对客户端的管理。但实际的应用当中发现,服务器可能因为某种原因,被终止通讯、被认为停止服务程序、被误操作临时关闭等。那么这种行为发生后,就会发生客户端PC无法连接到服务器,从而脱离管理,因此造成客户端PC该执行的策略没有执行,管理员也因为服务器系统临时故障而无法管理该PC。动态服务器管理技术,则能够处理这种问题,其最大的好处是不需要客户额外配置硬件服务器系统,也就是不需要部署额外的硬件作为冗余。RG-SMP 2.X桌面管理/审计组件可以任意选择一个
5、PC作为其中继服务器,并且可以根据网络规模,动态生成多个服务器系统,这个服务器可以运行在任何被管理的开机的PC上,当该PC发生被阻止了通讯、被关闭或停止服务的情况,那么其管理下的客户端会根据预先的服务器冗余策略,自动找到第二个服务器,因此,这种技术,能够在不增加客户硬件投资的前提下,依赖客户现有资源就能够解决服务器动态均衡负载、动态部署等一系列问题,从而确保服务器系统一直能够正常工作,避免客户端脱离管理而造成负面作用。(一) 应用创新:应用创新点一:进程管理策略通常,IT运维系统都集中在服务器及网络设备,而针对桌面的管理方案比较少。锐捷研发初期,在做系统分析的时候,就充分与客户沟通,发现了客户
6、实际的困难和需要。这种情况普遍发生在,一客户普遍没有采用统一的目录服务系统,无法统一采用目录部署相应的策略,造成每个PC的使用者就是该PC的管理者,那么一旦这个PC出现问题,就造成的不是这个PC本身的问题,而是全网络都可能被影响。因此,进程管理策略,基于锐捷PFI技术,能够协助客户,对桌面应用程序进行管理和规范。对于原先属于失控的桌面进程管理,提供非常有力的手段。应用创新点二:网络资源访问策略为了保证PC的安全性,客户会为其所有PC部署防病毒软件,有的甚至部署网络PC防火墙软件,确保PC的安全性。但这些只能起到最基本的作用,就是无法保证其使用者行为的安全性。现在越来越多的病毒和木马,都充分利用
7、使用者对安全知识的缺乏了解,从而获得使用者的合法确认,接着就可以大肆破坏了。RG-SMP 2.X桌面管理/审计组件则采用SPI技术,对每个PC的使用者,对其行为定义了网络访问策略,就是说,在未经IT管理员的允许下,其访问网络资源会受到控制。一般包括服务器资源,其他用户的PC上的资源,都会缺少相应的内容保护,而如果对所有PC使用者都缺少其网络资源访问管理策略的话,资源被随意访问,甚至感染病毒就变成很自然的事情了。RG-SMP 2.X桌面管理/审计组件能够预先定义各种网络资源访问策略,如属于生产部门的,属于销售部门的,属于单位最高管理层的,那么PC用户被分别部署不同权限的资源,就只能被授予有限的网
8、络资源可以使用或访问,从而就进一步使PC用户网络行为得到规范,也在资源上更加安全。(二) 产品主要从以下几个方面着手:u 智能化数据采集:采用Microsoft WMI(Windows Instrumentation Interface)技术,能够获取PC所有的硬件配置、BIOS信息、安装的软件信息、设备驱动、连接的外设信息、相关注册表信息等。对于WMI无法提供的数据采集需求,则必需采用汇编等开发语言,基于系统底层自行获取,数据采集主要要求:一数据的准确性,数据实际真实反映PC的信息,不能出现两次读取数据在无变更情况下有差异的情况,且在有变更情况下应该读取变更详细信息;二数据采集应该能够依据操
9、作系统的变更自动识别,应能够获取PC信息变更事件,捕获到事件后对数据重新采集。u 建立能够支撑大量并行操作的通讯消息平台:由于针对客户几百甚至几千台PC的管理需求,必须建立能够适应大量终端并发存取及响应得通讯体系,以确保数据:一能够准确传递到服务器和管理员控制台;二能够支撑当某一事件发生时,几百个请求同时连接,要保证低的丢包率,建立高效的并行处理机制;三当管理控制台对某个或某些终端采取即时手段的时候,要能够最快速地将策略下达并准确执行。u 建立数据分析模型:将终端采集的各种数据,加以分析整理,形成Inventory、Process、System Patch、Peripherals、Networ
10、k Ports、Performance、Capacity等等报表,给管理员直接的查询模型,要能够:一模型反映管理员最经常需求的业务模型;二模型需能够即时反应,既模型反映的包括当时的数据,而不能仅依赖历史数据;三模型应该能够提供客户自定义的需求,当管理员需要进一步挖掘数据的时候,应该提供相应的查询手段。u 建立统一化策略机制:PC数量比较多的情况,不同PC其内在应用运行的权限、数据存取权限、外设使用权限、网络访问的权限等都需要预先设定,而如果逐个去设置,那么会非常繁琐,如300个PC,如果让一个工程师去设置的话,那会占用其大量的时间,且策略随着管理需求的变更会随时改变,因此,需要一体化的策略机制
11、,使策略设计、部署、启用等,能够智能化作业。u 数据安全:由于本产品所涉及的是PC本身的管理,因此其权限要求非常高,所以需要对其所有通讯进行全程加密,通常TCP/IP作为明文协议,用Sniffer工具很容易获取其数据内容,这样就会对系统本身产生非常巨大安全隐患,一旦系统通讯被破解,就会涉及到众多PC的安全问题。因此,需要从四个方面进行安全性考虑:一对数据通讯进行全程加密,确保数据在网络传递过程中是密文;二服务器与客户机的存取,需进行身份验证;三是控制台对客户机的访问,需要采用动态Key加密技术,一次访问采用的key只能本次发挥作用,访问断开则key失效;四要求其服务器数据必须具有存取限制,控制
12、台有密码保护,同时数据库支持大型数据库,确保安全。u 网络访问过滤技术:Windows下的通讯拦截都是基于对数据报的拦截技术之上。当然在具体的实现方式上它们却有很大的不同。总的来说可分为用户级和内核级数据报拦截两类。其中内核级主要是TDI过滤驱动程序,NDIS中间层过滤驱动程序,NDIS过滤钩子驱动程序等,它们都是利用网络驱动来实现的;而用户级的过滤包括SPI接口,Windows2000包过滤接口等。在服务器和客户端通讯过程中,使用winsock进行网络通讯。Winsock 2 是一个接口,而不是协议,所以它可以用于发现和使用任意数量的底层传输协议所提供的通信能力。起初的Winsock是围绕着
13、TCP/IP协议运行的,但是在Winsock2中却增加了对更多传输协议的支持。Winsock2不仅提供了一个供应用程序访问网络服务的Windowssocket应用程序编程接口(API),还包含了由传输服务提供者和名字解析服务提供者实现的Winsock服务提供者接口(SPI)。u 高效的编码方式实现远程视频传输:视频传输的基本过程是发送端采用改进的H.263视频压缩标准对原始视频流进行压缩后通过网络进行远程传输;接收端采用相应的H.263解码标准对接收的数据进行解码并实时显示,从而达到实时监控的目的。其网络传送平台如图所示。通过高效的的编码解码,实现了平滑的图像传输和监控。(三) 产品技术路线描
14、述RG-SMP 2.X桌面管理/审计组件主要是针对Windows操作系统平台,且对于大量终端,采用分布式的服务器架构。通过这一架构,能够适应多种网络模式,且采用集中管控机制,分支机构的数据将最终都同步到管理服务器,由管理服务器统一定义及部署管理策略。针对终端,则充分利用WMI、SPI、BITS、MBSA、PFI、FACF等技术:WMI、MBSA、PFI、FACF及各种Windows SDK文件系统访问过滤规则部署网上邻居过滤操作系统平台:Windows 98、Windows NT、Windows 2000、Windows XP、Windows 2003桌面设置信息各种PC性能阀值应用软件部署R
15、G-SMP客户端调度程序Win Socket、SPI硬件及外设配置应用程序信息补丁安装信息网络端口及流量网络通讯过滤(四) 产品技术实现依据1设计思想依据:包括文献,或专利,或发明等RG-SMP 2.X桌面管理/审计组件主要依据ITIL(IT基础架构库)作为基本的设计思想,并充分结合国内客户的管理需求,按照简单化的设计理念,形成能够为IT管理者的快速解决问题的工具。ITIL是1989年英国政府商务办公室(OGC)提出的旨在提高IT管理服务水平的管理体系。ITIL通过对企业资源、提高IT服务的可用性、可靠性及安全性,以及评估服务质量成本,服务流程等一系列的针对IT运维的指导性理论,可以帮助企业IT服务提供和支持能力的提高,组织企业高效有效地运用技术,让既有信息资源得到最大的效能。2. 关键技术实现的依据:在一些关键技术上,均采用已经广泛采用且可靠稳定的技术来具体实现,确保开发出的产品能够有高兼容性、安全性和稳定性。RG-SMP 2.X桌面管理/审计组件的各主要功能模块,在具体的实现技术上,充分运用操作系统提供的SDK和底层接口。自行开发的 PFI、FACF技术,也是基于各Windows操作系统提供的内存管理技术和文件系统技术开发而成的。加密数据通讯平台。RG-SMP 2.X桌面管理/审计组件根据OpenSSL提供的加密原理和技术,充分运用RSA和DES等加密
