產(chǎn)品特性技術(shù)路線描述與實(shí)現(xiàn)依據(jù)

1、 產(chǎn)品特性技術(shù)白皮書產(chǎn)品營(yíng)銷部 2009-8-1RG-SMP 2.X桌面管理/審計(jì)組件主要針對(duì)IT運(yùn)維中PC桌面管理維護(hù)工作的平臺(tái)型軟件系統(tǒng)。產(chǎn)品主要是以結(jié)合WMI、MBSA、SPI、PFI、FACF等多種技術(shù)，形成一套集中性的控制系統(tǒng)。產(chǎn)品技術(shù)架構(gòu)圖如下：WMI、MBSA、SPI、PFI、FACF與各種Windows SDK進(jìn)程管理策略網(wǎng)絡(luò)訪問策略外設(shè)使用策略桌面設(shè)置策略補(bǔ)丁更新策略日志管理策略操作系統(tǒng)平臺(tái)：Windows 98、Windows NT、Windows 2000、Windows XP、Windows 2003、vista硬件與外設(shè)配置應(yīng)用程序信息補(bǔ)丁安裝信息桌面設(shè)置信息網(wǎng)絡(luò)端口

2、與流量各種PC性能閥值應(yīng)用軟件部署客戶端調(diào)度程序服務(wù)器與數(shù)據(jù)庫(kù)系統(tǒng)RG-SMP控制臺(tái)創(chuàng)新點(diǎn)一：PFI（Process Fingerprint Identification，進(jìn)程指紋技術(shù)）PFI是銳捷經(jīng)過幾年的技術(shù)研究，以與反復(fù)的驗(yàn)證，研發(fā)出的進(jìn)程唯一性指紋技術(shù)，采用分析進(jìn)程執(zhí)行文件的PE格式，然后進(jìn)行加密，生成一種類型的軟件，在進(jìn)程中的唯一標(biāo)識(shí)性代碼，RG-SMP 2.X桌面管理/審計(jì)組件通過這一代碼，并預(yù)先設(shè)定一個(gè)PC的進(jìn)程運(yùn)行策略，從而根據(jù)策略判斷，哪些進(jìn)程是合法的，哪些是非法的，對(duì)于非法的則進(jìn)行查殺。這一技術(shù)經(jīng)過了長(zhǎng)時(shí)間的驗(yàn)證，能夠避免PC使用者為了逃避管理而采取的更改權(quán)限、更改文件屬性

3、多種手段。創(chuàng)新點(diǎn)二：FACF（File Access Control Filtering，文件訪問過濾）FACF是銳捷基于操作系統(tǒng)核，創(chuàng)建了一個(gè)對(duì)PC用戶訪問文件的過濾機(jī)制，這個(gè)過濾機(jī)制能夠根據(jù)預(yù)先建立的規(guī)則，對(duì)于PC用戶的磁盤進(jìn)行讀保護(hù)、寫保護(hù)以與刪除保護(hù)。通過建立這樣一套機(jī)制，能夠?qū)C用戶使用PC的行為進(jìn)行管理，該技術(shù)普遍用于RG-SMP 2.X桌面管理/審計(jì)組件中外設(shè)管理，以與桌面設(shè)置和文件系統(tǒng)審計(jì)等圍。創(chuàng)新點(diǎn)三：動(dòng)態(tài)服務(wù)器管理技術(shù)傳統(tǒng)的應(yīng)用程序架構(gòu)一般采用一個(gè)服務(wù)器管理多個(gè)客戶端的模式，這種模式下，被管理端依賴服務(wù)器，與服務(wù)器動(dòng)態(tài)通訊，當(dāng)被管理端有數(shù)據(jù)上報(bào)，則直接請(qǐng)求服務(wù)器，服務(wù)器處

4、理后反饋給被管理端。銳捷開發(fā)成功動(dòng)態(tài)服務(wù)器管理技術(shù)，首先，服務(wù)器是可以動(dòng)態(tài)部署的，就是管理員可以根據(jù)預(yù)先的網(wǎng)絡(luò)終端分布情況，預(yù)先自動(dòng)部署服務(wù)器對(duì)客戶端的管理。但實(shí)際的應(yīng)用當(dāng)中發(fā)現(xiàn)，服務(wù)器可能因?yàn)槟撤N原因，被終止通訊、被認(rèn)為停止服務(wù)程序、被誤操作臨時(shí)關(guān)閉等。那么這種行為發(fā)生后，就會(huì)發(fā)生客戶端PC無法連接到服務(wù)器，從而脫離管理，因此造成客戶端PC該執(zhí)行的策略沒有執(zhí)行，管理員也因?yàn)榉?wù)器系統(tǒng)臨時(shí)故障而無法管理該P(yáng)C。動(dòng)態(tài)服務(wù)器管理技術(shù)，則能夠處理這種問題，其最大的好處是不需要客戶額外配置硬件服務(wù)器系統(tǒng)，也就是不需要部署額外的硬件作為冗余。RG-SMP 2.X桌面管理/審計(jì)組件可以任意選擇一個(gè)PC作為

5、其中繼服務(wù)器，并且可以根據(jù)網(wǎng)絡(luò)規(guī)模，動(dòng)態(tài)生成多個(gè)服務(wù)器系統(tǒng)，這個(gè)服務(wù)器可以運(yùn)行在任何被管理的開機(jī)的PC上，當(dāng)該P(yáng)C發(fā)生被阻止了通訊、被關(guān)閉或停止服務(wù)的情況，那么其管理下的客戶端會(huì)根據(jù)預(yù)先的服務(wù)器冗余策略，自動(dòng)找到第二個(gè)服務(wù)器，因此，這種技術(shù)，能夠在不增加客戶硬件投資的前提下，依賴客戶現(xiàn)有資源就能夠解決服務(wù)器動(dòng)態(tài)均衡負(fù)載、動(dòng)態(tài)部署等一系列問題，從而確保服務(wù)器系統(tǒng)一直能夠正常工作，避免客戶端脫離管理而造成負(fù)面作用。(一) 應(yīng)用創(chuàng)新：應(yīng)用創(chuàng)新點(diǎn)一：進(jìn)程管理策略通常，IT運(yùn)維系統(tǒng)都集中在服務(wù)器與網(wǎng)絡(luò)設(shè)備，而針對(duì)桌面的管理方案比較少。銳捷研發(fā)初期，在做系統(tǒng)分析的時(shí)候，就充分與客戶溝通，發(fā)現(xiàn)了客戶實(shí)際的困

6、難和需要。這種情況普遍發(fā)生在，一客戶普遍沒有采用統(tǒng)一的目錄服務(wù)系統(tǒng)，無法統(tǒng)一采用目錄部署相應(yīng)的策略，造成每個(gè)PC的使用者就是該P(yáng)C的管理者，那么一旦這個(gè)PC出現(xiàn)問題，就造成的不是這個(gè)PC本身的問題，而是全網(wǎng)絡(luò)都可能被影響。因此，進(jìn)程管理策略，基于銳捷PFI技術(shù)，能夠協(xié)助客戶，對(duì)桌面應(yīng)用程序進(jìn)行管理和規(guī)。對(duì)于原先屬于失控的桌面進(jìn)程管理，提供非常有力的手段。應(yīng)用創(chuàng)新點(diǎn)二：網(wǎng)絡(luò)資源訪問策略為了保證PC的安全性，客戶會(huì)為其所有PC部署防病毒軟件，有的甚至部署網(wǎng)絡(luò)PC防火墻軟件，確保PC的安全性。但這些只能起到最基本的作用，就是無法保證其使用者行為的安全性。現(xiàn)在越來越多的病毒和木馬，都充分利用使用者對(duì)安

7、全知識(shí)的缺乏了解，從而獲得使用者的合法確認(rèn)，接著就可以大肆破壞了。RG-SMP 2.X桌面管理/審計(jì)組件則采用SPI技術(shù)，對(duì)每個(gè)PC的使用者，對(duì)其行為定義了網(wǎng)絡(luò)訪問策略，就是說，在未經(jīng)IT管理員的允許下，其訪問網(wǎng)絡(luò)資源會(huì)受到控制。一般包括服務(wù)器資源，其他用戶的PC上的資源，都會(huì)缺少相應(yīng)的容保護(hù)，而如果對(duì)所有PC使用者都缺少其網(wǎng)絡(luò)資源訪問管理策略的話，資源被隨意訪問，甚至感染病毒就變成很自然的事情了。RG-SMP 2.X桌面管理/審計(jì)組件能夠預(yù)先定義各種網(wǎng)絡(luò)資源訪問策略，如屬于生產(chǎn)部門的，屬于銷售部門的，屬于單位最高管理層的，那么PC用戶被分別部署不同權(quán)限的資源，就只能被授予有限的網(wǎng)絡(luò)資源可以使

8、用或訪問，從而就進(jìn)一步使PC用戶網(wǎng)絡(luò)行為得到規(guī)，也在資源上更加安全。(二) 產(chǎn)品主要從以下幾個(gè)方面著手：u 智能化數(shù)據(jù)采集：采用Microsoft WMI（Windows Instrumentation Interface）技術(shù)，能夠獲取PC所有的硬件配置、BIOS信息、安裝的軟件信息、設(shè)備驅(qū)動(dòng)、連接的外設(shè)信息、相關(guān)注冊(cè)表信息等。對(duì)于WMI無法提供的數(shù)據(jù)采集需求，則必需采用匯編等開發(fā)語言，基于系統(tǒng)底層自行獲取，數(shù)據(jù)采集主要要求：一數(shù)據(jù)的準(zhǔn)確性，數(shù)據(jù)實(shí)際真實(shí)反映PC的信息，不能出現(xiàn)兩次讀取數(shù)據(jù)在無變更情況下有差異的情況，且在有變更情況下應(yīng)該讀取變更詳細(xì)信息；二數(shù)據(jù)采集應(yīng)該能夠依據(jù)操作系統(tǒng)的變更自

9、動(dòng)識(shí)別，應(yīng)能夠獲取PC信息變更事件，捕獲到事件后對(duì)數(shù)據(jù)重新采集。u 建立能夠支撐大量并行操作的通訊消息平臺(tái)：由于針對(duì)客戶幾百甚至幾千臺(tái)PC的管理需求，必須建立能夠適應(yīng)大量終端并發(fā)存取與響應(yīng)得通訊體系，以確保數(shù)據(jù)：一能夠準(zhǔn)確傳遞到服務(wù)器和管理員控制臺(tái)；二能夠支撐當(dāng)某一事件發(fā)生時(shí)，幾百個(gè)請(qǐng)求同時(shí)連接，要保證低的丟包率，建立高效的并行處理機(jī)制；三當(dāng)管理控制臺(tái)對(duì)某個(gè)或某些終端采取即時(shí)手段的時(shí)候，要能夠最快速地將策略下達(dá)并準(zhǔn)確執(zhí)行。u 建立數(shù)據(jù)分析模型：將終端采集的各種數(shù)據(jù)，加以分析整理，形成Inventory、Process、System Patch、Peripherals、Network Ports

10、、Performance、Capacity等等報(bào)表，給管理員直接的查詢模型，要能夠：一模型反映管理員最經(jīng)常需求的業(yè)務(wù)模型；二模型需能夠即時(shí)反應(yīng)，既模型反映的包括當(dāng)時(shí)的數(shù)據(jù)，而不能僅依賴歷史數(shù)據(jù)；三模型應(yīng)該能夠提供客戶自定義的需求，當(dāng)管理員需要進(jìn)一步挖掘數(shù)據(jù)的時(shí)候，應(yīng)該提供相應(yīng)的查詢手段。u 建立統(tǒng)一化策略機(jī)制：PC數(shù)量比較多的情況，不同PC其在應(yīng)用運(yùn)行的權(quán)限、數(shù)據(jù)存取權(quán)限、外設(shè)使用權(quán)限、網(wǎng)絡(luò)訪問的權(quán)限等都需要預(yù)先設(shè)定，而如果逐個(gè)去設(shè)置，那么會(huì)非常繁瑣，如300個(gè)PC，如果讓一個(gè)工程師去設(shè)置的話，那會(huì)占用其大量的時(shí)間，且策略隨著管理需求的變更會(huì)隨時(shí)改變，因此，需要一體化的策略機(jī)制，使策略設(shè)計(jì)、部

11、署、啟用等，能夠智能化作業(yè)。u 數(shù)據(jù)安全：由于本產(chǎn)品所涉與的是PC本身的管理，因此其權(quán)限要求非常高，所以需要對(duì)其所有通訊進(jìn)行全程加密，通常TCP/IP作為明文協(xié)議，用Sniffer工具很容易獲取其數(shù)據(jù)容，這樣就會(huì)對(duì)系統(tǒng)本身產(chǎn)生非常巨大安全隱患，一旦系統(tǒng)通訊被破解，就會(huì)涉與到眾多PC的安全問題。因此，需要從四個(gè)方面進(jìn)行安全性考慮：一對(duì)數(shù)據(jù)通訊進(jìn)行全程加密，確保數(shù)據(jù)在網(wǎng)絡(luò)傳遞過程中是密文；二服務(wù)器與客戶機(jī)的存取，需進(jìn)行身份驗(yàn)證；三是控制臺(tái)對(duì)客戶機(jī)的訪問，需要采用動(dòng)態(tài)Key加密技術(shù)，一次訪問采用的key只能本次發(fā)揮作用，訪問斷開則key失效；四要求其服務(wù)器數(shù)據(jù)必須具有存取限制，控制臺(tái)有密碼保護(hù)，同時(shí)

12、數(shù)據(jù)庫(kù)支持大型數(shù)據(jù)庫(kù)，確保安全。u 網(wǎng)絡(luò)訪問過濾技術(shù)：Windows下的通訊攔截都是基于對(duì)數(shù)據(jù)報(bào)的攔截技術(shù)之上。當(dāng)然在具體的實(shí)現(xiàn)方式上它們卻有很大的不同?？偟膩碚f可分為用戶級(jí)和核級(jí)數(shù)據(jù)報(bào)攔截兩類。其中核級(jí)主要是TDI過濾驅(qū)動(dòng)程序，NDIS中間層過濾驅(qū)動(dòng)程序，NDIS過濾鉤子驅(qū)動(dòng)程序等，它們都是利用網(wǎng)絡(luò)驅(qū)動(dòng)來實(shí)現(xiàn)的；而用戶級(jí)的過濾包括SPI接口，Windows2000包過濾接口等。在服務(wù)器和客戶端通訊過程中，使用winsock進(jìn)行網(wǎng)絡(luò)通訊。Winsock 2 是一個(gè)接口，而不是協(xié)議，所以它可以用于發(fā)現(xiàn)和使用任意數(shù)量的底層傳輸協(xié)議所提供的通信能力。起初的Winsock是圍繞著TCP/IP協(xié)議運(yùn)行的

13、，但是在Winsock2中卻增加了對(duì)更多傳輸協(xié)議的支持。Winsock2不僅提供了一個(gè)供應(yīng)用程序訪問網(wǎng)絡(luò)服務(wù)的Windowssocket應(yīng)用程序編程接口（API），還包含了由傳輸服務(wù)提供者和名字解析服務(wù)提供者實(shí)現(xiàn)的Winsock服務(wù)提供者接口（SPI）。u 高效的編碼方式實(shí)現(xiàn)遠(yuǎn)程視頻傳輸：視頻傳輸?shù)幕具^程是發(fā)送端采用改進(jìn)的H.263視頻壓縮標(biāo)準(zhǔn)對(duì)原始視頻流進(jìn)行壓縮后通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程傳輸；接收端采用相應(yīng)的H.263解碼標(biāo)準(zhǔn)對(duì)接收的數(shù)據(jù)進(jìn)行解碼并實(shí)時(shí)顯示，從而達(dá)到實(shí)時(shí)監(jiān)控的目的。其網(wǎng)絡(luò)傳送平臺(tái)如圖所示。通過高效的的編碼解碼，實(shí)現(xiàn)了平滑的圖像傳輸和監(jiān)控。(三) 產(chǎn)品技術(shù)路線描述RG-SMP 2.X

14、桌面管理/審計(jì)組件主要是針對(duì)Windows操作系統(tǒng)平臺(tái)，且對(duì)于大量終端，采用分布式的服務(wù)器架構(gòu)。通過這一架構(gòu)，能夠適應(yīng)多種網(wǎng)絡(luò)模式，且采用集中管控機(jī)制，分支機(jī)構(gòu)的數(shù)據(jù)將最終都同步到管理服務(wù)器，由管理服務(wù)器統(tǒng)一定義與部署管理策略。針對(duì)終端，則充分利用WMI、SPI、BITS、MBSA、PFI、FACF等技術(shù)：WMI、MBSA、PFI、FACF與各種Windows SDK文件系統(tǒng)訪問過濾規(guī)則部署網(wǎng)上鄰居過濾操作系統(tǒng)平臺(tái)：Windows 98、Windows NT、Windows 2000、Windows XP、Windows 2003桌面設(shè)置信息各種PC性能閥值應(yīng)用軟件部署RG-SMP客戶端調(diào)度程

15、序Win Socket、SPI硬件與外設(shè)配置應(yīng)用程序信息補(bǔ)丁安裝信息網(wǎng)絡(luò)端口與流量網(wǎng)絡(luò)通訊過濾(四) 產(chǎn)品技術(shù)實(shí)現(xiàn)依據(jù)1設(shè)計(jì)思想依據(jù)：包括文獻(xiàn)，或?qū)＠?，或發(fā)明等RG-SMP 2.X桌面管理/審計(jì)組件主要依據(jù)ITIL（IT基礎(chǔ)架構(gòu)庫(kù)）作為基本的設(shè)計(jì)思想，并充分結(jié)合國(guó)客戶的管理需求，按照簡(jiǎn)單化的設(shè)計(jì)理念，形成能夠?yàn)镮T管理者的快速解決問題的工具。ITIL是1989年英國(guó)政府商務(wù)辦公室（OGC）提出的旨在提高IT管理服務(wù)水平的管理體系。ITIL通過對(duì)企業(yè)資源、提高IT服務(wù)的可用性、可靠性與安全性，以與評(píng)估服務(wù)質(zhì)量成本，服務(wù)流程等一系列的針對(duì)IT運(yùn)維的指導(dǎo)性理論，可以幫助企業(yè)IT服務(wù)提供和支持能力的提

16、高，組織企業(yè)高效有效地運(yùn)用技術(shù)，讓既有信息資源得到最大的效能。2. 關(guān)鍵技術(shù)實(shí)現(xiàn)的依據(jù)：在一些關(guān)鍵技術(shù)上，均采用已經(jīng)廣泛采用且可靠穩(wěn)定的技術(shù)來具體實(shí)現(xiàn)，確保開發(fā)出的產(chǎn)品能夠有高兼容性、安全性和穩(wěn)定性。RG-SMP 2.X桌面管理/審計(jì)組件的各主要功能模塊，在具體的實(shí)現(xiàn)技術(shù)上，充分運(yùn)用操作系統(tǒng)提供的SDK和底層接口。自行開發(fā)的 PFI、FACF技術(shù)，也是基于各Windows操作系統(tǒng)提供的存管理技術(shù)和文件系統(tǒng)技術(shù)開發(fā)而成的。加密數(shù)據(jù)通訊平臺(tái)。RG-SMP 2.X桌面管理/審計(jì)組件根據(jù)OpenSSL提供的加密原理和技術(shù)，充分運(yùn)用RSA和DES等加密算法，對(duì)服務(wù)器到客戶端、服務(wù)器到控制臺(tái)等，進(jìn)行加密處

17、理，使得所有通訊即使被從網(wǎng)絡(luò)上截獲，都無法解碼，無法獲得實(shí)際的通訊容。對(duì)于控制臺(tái)直接訪問客戶端的情況，則除了加密傳輸外，還另外為每次傳輸，由RG-SMP 2.X桌面管理/審計(jì)組件服務(wù)器專門動(dòng)態(tài)生成key，一旦通訊完畢，則自動(dòng)失效，確保即使控制臺(tái)通訊被攔截，但由于無法獲得動(dòng)態(tài)的key，而無法繼續(xù)與客戶端通訊，確保客戶端的管理安全性。數(shù)據(jù)庫(kù)組件封裝。傳統(tǒng)的軟件架構(gòu)都采用應(yīng)用程序直接通過類似ADO等數(shù)據(jù)庫(kù)連接部件直接訪問數(shù)據(jù)庫(kù)的方法，但在實(shí)際的工作中，由于后臺(tái)數(shù)據(jù)庫(kù)會(huì)依據(jù)客戶本身采購(gòu)的大型數(shù)據(jù)庫(kù)不一樣，而造成軟件的使用受阻，如有的客戶是Oracle，而有的客戶是SQL Server，而有的客戶沒有采

18、購(gòu)任何大型數(shù)據(jù)庫(kù)，則只能用桌面的數(shù)據(jù)集如MDB來代替。而真正要做到一個(gè)應(yīng)用程序兼容所有數(shù)據(jù)庫(kù)，則按照傳統(tǒng)的方法，需要把所有的數(shù)據(jù)庫(kù)操作都放在應(yīng)用程序部，這樣既不利于程序移植，又不能充分體現(xiàn)面向?qū)ο蟮拈_發(fā)方法。因此RG-SMP 2.X桌面管理/審計(jì)組件采用將數(shù)據(jù)庫(kù)訪問進(jìn)行封裝，將所有的訪問行為規(guī)化設(shè)計(jì)，形成標(biāo)準(zhǔn)的XML，由數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行XML的解析，然后再進(jìn)行數(shù)據(jù)庫(kù)存儲(chǔ)，存取操作都通過標(biāo)準(zhǔn)接口，而數(shù)據(jù)庫(kù)服務(wù)器與數(shù)據(jù)庫(kù)的訪問，則根據(jù)不同的數(shù)據(jù)庫(kù)類型自行調(diào)整。這一技術(shù)能夠最大程度地對(duì)數(shù)據(jù)庫(kù)業(yè)務(wù)邏輯進(jìn)行封裝，使得系統(tǒng)的部署更加優(yōu)化，且更具有靈活性。大型網(wǎng)絡(luò)管理支持。從RG-SMP 2.X桌面管理/審

19、計(jì)組件現(xiàn)有客戶規(guī)模分析，30%的客戶其PC規(guī)模都超過500，而15%的客戶，都是分布式的網(wǎng)絡(luò)架構(gòu)，普遍的一個(gè)需求就是總部與分部，不在同一局域網(wǎng)絡(luò)，而多采用租用電信寬帶的方法，這就在架構(gòu)上對(duì)RG-SMP 2.X桌面管理/審計(jì)組件提出了挑戰(zhàn)。RG-SMP 2.X桌面管理/審計(jì)組件采用了多服務(wù)器分布式的管理架構(gòu)。RG-SMP 2.X桌面管理/審計(jì)組件提供三種服務(wù)器模式，既管理服務(wù)器、二級(jí)管理服務(wù)器、中繼服務(wù)器架構(gòu)。對(duì)于大型用戶，其管理的根服務(wù)器通常可以部署RG-SMP 2.X桌面管理/審計(jì)組件的管理服務(wù)器，而對(duì)于分支機(jī)構(gòu)，則采用二級(jí)管理服務(wù)器，使得分支機(jī)構(gòu)的管理人員直接對(duì)本地進(jìn)行管理，同時(shí)總部也有權(quán)限直接管理分支機(jī)構(gòu)。而中繼服務(wù)器則進(jìn)一步對(duì)PC管理圍大的機(jī)構(gòu)，提供每增加一個(gè)中繼服務(wù)器，則進(jìn)一步擴(kuò)大管理圍的作用。從而通過管理層次：管理服務(wù)器、二級(jí)管理服務(wù)器、中繼服務(wù)器，使整個(gè)管理圍不斷擴(kuò)大。最終適應(yīng)大型網(wǎng)絡(luò)管理的需要，如下圖：(五) RG-SMP 2.X桌面管理/審計(jì)組件主要有如下優(yōu)勢(shì)：à 客戶需求體現(xiàn)準(zhǔn)確，RG-SMP 2.X桌面管理/審計(jì)組件的設(shè)