幻影终端集中化管理平台技术白皮书解说.docVIP

幻影终端集中化管理平台 技术白皮书 版本：V2.0 文档创建日期：2014/06 深圳市鑫网电科技有限公司 目　录 1. 前言概要 3 2. 幻影系统技术原理 5 2.1. 系统架构 5 2.2. 技术路线 5 2.3. 实现功能 7 2.3.1. 桌面应用集中管理 7 2.3.2. 数据分离集中管理 9 2.3.3. 终端快速恢复管理 10 2.3.4. 底层外设端口管理 11 2.3.5. Web统一界面管理 12 3. 系统部署架构 14 4. 总结 16 前言概要 随着国家大力发展工业制造业，国内大型工程制造企业、军工企业、各研究所等正处于快速发展时期。制造任务紧、标准高，能否缩短周期、高质量完成制造、科研任务已经成为这些企业主要面临的主要挑战。目前企业在信息化建设发展中主要存在以下问题： 现有安全权限过低 由于Windows系统本身的漏洞，企业不得不在操作系统之上再部署其他管控应用软件，例如，部署通用的域控策略、终端防病毒、终端行为管控系统等。但带来另外一个问题是：应用层面的防护方式完全依赖Windows操作系统，只要终端能避开Windows系统则等于没有安全。当前利用光盘、U盘等其他介质引导WinPE、NtfsDOS等第三方的引导系统、或是将硬盘挂到其他电脑上作为从属盘，都可以轻易的绕开已经部署的应用管控工具，终端违规行为无法及时有效的阻断。 数据静态安全的缺失 在企业业务的运行中，数据始终随着终端的访问和应用随时进行调取，时时流动的。为了确保这部分数据的安全性，可控性，应对日益严重的安全威胁，动态安全机制安全防御水平这对于 桌面容灾无法建立 在现代信息化建设中，后台数据的容灾已经被越来越多的被关注。对应的解决方案也比较成熟，一般采用本地灾备或异地灾备，实现手段多种多样。相对后台容灾，IT架构下主体的前端终端的桌面却依然建立有效的容灾机制。在遭遇病毒、木马、蓝屏死机后，IT部门不得不进行重新为其部署新的操作应用系统和应用软件，原有桌面环境和数据得不到保留。且由于部署新环境的过程需要漫长的等待暂停时间，严重制约了IT部门的维护效率以及前端终端人员的工作效率。 信息数据边界不确定 通常企业依照防火墙设备的策略将信息数据边界进行了划分。防火墙以外为非可信区域，防火墙以内为可信区域。然而随着信息安全事件的不断出现，原有的区域划分已经变得模糊。根据IDC的统计，越来越多的安全事件起因来自所谓的内部可信区域。在确保内部正常办公的情况下，还要确保数据边界的可控，成为信息管理部门必须解决的问题。 现有安全手段的效性 依靠实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等应用控制程序建立的安全体系，虽然从架构上已经实现了大部分的安全目标，但所有这些措施都没有从源头上去保障信息的安全。企业信息安全依然面临诸多风险。 因此，应时而生的终端集中化管理技术已经成为解决现阶段企业困境的最佳方式和途径，利用集中化管理技术，为整个企业的业务平台、信息化运行平台提供相应的支撑作用。 幻影终端集中化管理平台是深圳鑫网电公司自主研发具有知识产权认证的平台软件系统。幻影系统是一套硬盘为基础的运算模式，藉以从事使用者服务管理与供应工作的平台；实际上在传统以硬盘为基础的运算架构中增加硬盘存取路径的层次，并在路径中加入管理功能。 幻影系统技术原理 系统架构 幻影终端集中化管理系统由服务器主控程序、客户端程序、Web service统一管理程序三部分组成。 服务器主控程序安装在机架式硬件服务器或刀片式服务器上。其主要功能是提供系统的管理服务、管理员登陆管理界面、系统认证U-KEY的识别和读取、策略的制定及部署。 客户端程序则通过网络引导后，部署于前端的PC终端上。客户端程序主要承载着与服务器的通讯，接受策略的下发，执行策略的部署。同时，客户端会将PC终端的运行情况进行汇总后反馈给服务器，以便管理员进行查看和分析。 Web service统一管理程序安装于主控服务器上，在浏览器中输入统一的服务器管理地址后，管理员可对系统内的一台或多台服务器进行操作及查看，并支持三员设置，提供多个管理员权限账户，提高系统的安全性。 技术路线 幻影系统架构重新定义了一个新的终端集中化管理方向，系统程序将用户前端桌面转化存储成了一个整体数据保存于后端服务器上，变成一个企业的桌面计算环境的资源池，可以统一或单独随需提供给桌面用户，可使任何应用或操作系统保持持续优化、升级、更新和一致以及高可用状态。同时没有在终端运行速度、效能、兼容性和用户体验及使用习惯上有任何折中。幻影系统使得企业有能力去转化、管理和优化以PC为主的IT系统基础架构。 幻影系统通过网络向最终用户交付桌面应用环境和应用软件，实现了分散PC的集中化管理，