IPDSMS系统管理套件(白皮书).doc

IPDSMS系统管理套件IPDSMS系统管理套件(技术白皮书草案)DOCNO : SAL产生部门DEV 研发SAL 销售-SUP文档内容分类STU 需求与结构PRO 协议DB 数据库FRM 界面TES 测试IFD 接口SUP 维护-001该类文档编号-01文档版本-2020/1/23文档形成时间二二二二年一月上海创多软件有限公司序IPDSMS系统管理套件（IPD System Manage Suit），是针对网络终端管理的全面解决方案。该套件经历多个版本的不断创新和改进，集多年政府/企事业网络终端管理项目实施的丰富经验，为用户提供符合其网络实际情况、能简捷高效地规范网络终端操作模式和完善网络终端管理方式的专业化管理平台。截止目前，IPDSMS系统管理套件已提供了资产管理、进程控制、软件分发、自动补丁、端口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓扑十个管理模块。IPDSMS系统管理套件最大程度地将网络终端管理中重复性高、耗时费力的日常工作，由IT管理员的手工操作转变成由计算机自动完成，使网络终端管理变得高效、准确、及时；极大减轻网络终端管理的压力，降低IT管理员的劳动强度；最大程度满足网络终端管理不断增长的需求，提高网络终端的管理效率和质量，真正实现网络管理自动化。目录1.前言52.IPDSMS的特点62.1.实用性72.2.易用性72.3.移动性72.4.灵活性83.IPDSMS的功能93.1.完善的资产管理103.1.1.硬件资产管理103.1.2.软件资产管理103.1.3.软硬件变动管理103.1.4.资产台帐管理113.2.实时的进程监控113.2.1.自带的进程信息库113.2.2.信息库升级与扩充113.2.3.监控/干预程序运行113.3.智能的补丁策略123.3.1.自动补丁安装123.3.2.补丁更新与下载123.3.3.软件分发与安装133.4.强大的端口策略133.4.1.TCP/UDP端口访问规则143.4.2.URL访问规则143.4.3.阻止网络病毒传播143.4.4.分布式防火墙15 3.4.5. 端口查询.15 3.4.6. 网络带宽控制.153.5.便捷的远程维护153.5.1.远程故障诊断和排除153.5.2.终端远程接管人性化153.6.安全的外设管理163.6.1.允许/禁止外设163.6.2.特定文件操作监控163.7.高效的桌面设置163.7.1.IP/MAC地址绑定163.7.2.网络带宽控制173.7.3.桌面环境设置173.8.接入安全控制管理173.9.实时资源预警173.9.1.动态显示终端运行状态173.9.2.阀值设定与异常处理183.10.互连网访问日志.183.11. 外设访问日志.203.12.分级服务器模式213.12.1.多级服务器213.12.2.管理分级214.部署方式225.运行环境245.1.客户端245.2.服务器245.2.1.硬件环境245.2.2.软件环境251. 前言随着社会的发展和生产力水平的提高，政府和企业拥有的信息资源和处理信息的能力成为最能代表其综合实力和管理效率的战略资源。如何管理不断增加和更新的信息化设备并使之发挥出最大的作用成为每一个管理者必须面对的问题，尤其是对于数量庞大的网络终端；如何管理并保障信息安全，成为最重要，也是最耗时的管理任务。l 庞大的网络，众多的终端，你是否还只能拆开机箱逐台进行硬件配置资产的清点?l 终端上纷杂各异的软件,你通过什么方法进行统计?l 你今天是否在为昨天哪几台终端安装了新的软件和硬件而冥思苦想?l 你是否还在为如何杜绝员工上班时间网上炒股、BT下载、QQ聊天、玩游戏而犯愁?l 微软又发布了新的补丁，你是否还在为如何为成百的PC以最快的速度安装补丁头痛呢?l 公司业务要求为市场部全体员工开通MAIL功能和MSN功能，要求为对外宣传部的全体员开通WEB浏览功能，要求为技术部开通FTP、MSN和WEB功能，你如何完成呢？l 跨楼层、跨地域的电脑分布，是否还只能来回奔波进行维护？l 便捷的U盘，时尚的MP3，你是否正在为如何防止公司重要文档和资料的随意拷贝，进而泄密而寝食不安? 2. IPDSMS的特点IPDSMS系统管理套件采用基于B/S结构的分级多服务器架构，其后台采用C/S结构，采用可拆分的独立功能模块形式，把实用、易用、便捷、灵活的系统管理工具提供给最终用户。其逻辑结构如图1。2.1. 实用性IPDSMS系统管理套件充分考虑客户的实际需求，最大程度地贴近用户网络环境，其开发、改进和完善的出发点和驱动因素，都是用户需求和市场反馈。IPDSMS系统管理套件的每一个独立功能模块都是从详尽的市场调研和无数的市场推广及项目实施中提炼出来的，都进行了实用化的功能设计和全面的优化，以期客户最小的投资实现最全面且实用的管理功能。资产管理、进程控制、软件分发、自动补丁、端口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓扑十个管理模块，每一个模块都使其相对应的管理工作变得高效、快捷。2.2. 易用性IPDSMS系统管理套件将所有的网络管理功能用统一的WEB浏览器界面实现。其集成度是其它产品所无法比拟的。统一的界面、操作方式，对简体/繁体中文、英语和日语的全面支持，使你只要会浏览WEB网页，就能使用IPDSMS系统管理套件。IPDSMS系统管理套件操作界面的开发目标，就是让IT管理员无须任何培训就可以使用，进行系统管理。2.3. 移动性IPDSMS是基于Web的网络管理系统，具有Web环境下的各种优良特点，包括使用方便，不限于指定的操作工作站，可以同时支持多人在不同的地点访问管理网络，方便地分级监控体系架构，适合于任何规模的网络管理。适合于多人多点同时进行网络管理操作；2.4. 灵活性IPDSMS系统管理套件提供一个完全客户化的定制管理套件，采用先进的结构化和模块化设计，各功能模块拆分组合非常容易，还可为客户定制特定的功能需求，使用户能够方便地建立基于任务优化控制台视图和基于用户规则的对控制台功能访问限制。快速发现企业计算机资产信息、软件硬件配置情况和在网络中的位置，策略制定与应用和完善的商业报表给IT管理员带来对系统管理准确、及时实施控制的能力。3. IPDSMS的功能IPDSMS系统管理套件由十个功能模块组成。这些功能模块是全独立，可分割、可集成。用户完全可以根据网络现状和管理需求进行选择。如图2所示。3.1. 完备的资产管理3.1.1. 硬件资产管理硬件资产管理为IT管理员提供便捷的查看全网终端硬件分布情况的有效手段。这一功能同样也能为终端的资产管理带来便利。硬件表极大的方便了资产统计人员，避免了过去做资产统计必须拆机箱的做法，IPDSMS利用先进的自动捕获技术，及时收集所有硬件信息，并以WEB页面、报表等形式提供给使用者。IPDSMS可捕获的信息包括：主板型号、CPU型号、CPU主频、内存大小、硬盘序列号、硬盘容量、硬盘剩余空间、光驱类型、光驱型号、网卡MAC地址、显卡型号、声卡型号、软驱型号等，涵盖了日常终端资产统计的所有内容。极大地提高了终端硬件资产统计的效率。3.1.2. 软件资产管理软件资产管理使IT管理员能快速查看全网已安装软件及其分布情况。IPDSMS采用分布处理、集中管理的模式，通过分布在客户端（被管理端）的IPDSMS子模块快速分析本地已安装软件，并在IPDSMS服务器端汇集成全网统计信息。IPDSMS采用了交叉搜索判定方式，准确定位网络中各终端安装的所有软件信息，确保万无一失。通过软件资产管理，IT管理员可以快速获知已安装软件的种类和名称，以及这些软件在网络终端中的分布情况，是否有终端还未安装必需的软件，是否有终端安装有不符合规定的软件等信息。3.1.3. 软硬件变动管理软硬件变动管理是在提供软硬件当前配置安装信息统计的基础上IPDSMS向用户提供的一个具有变革意义的功能。通过软硬件变动管理，IT管理员和资产管理员可以跟踪网内终端硬件和软件的历史变化信息。哪些机器增加了新硬件，哪些机器安装或者卸载了软件，软硬件变动管理都进行实时的记录和统计、形成报表，做到有据可查、有证可依。3.1.4. 资产台帐管理IPDSMS快速软/硬件资产统计功能，使IT管理员的工作效率得到提高。以此为基础，IPDSMS更提供了IT资产台帐功能，使财务部门的IT资产统计同样变得高效准确。财务部门通过IPDSMS的资产台帐功能可以及时获得信息系统的软/硬件资产报表。3.2. 准确的进程监控程序监控功能使用IT管理员可以对网络终端当前正在运行的应用程序及其分布进行统计。也可能对不符合公司/企业规定的应用程序运行进行干预。3.2.1. 自带的进程信息库IPDSMS自带了进程信息库。进程信息库是基于市面上现有的软件进行构建的。包含进程的所属应用软件名称、用途及其分类。通过IPDSMS自带的进程信息库，IT管理员可以快速识别和统计全网正在运行的应用程序，并可制定应用程序的运行规则进行预先的策略设定。简单的几个设置，就达到了显著的效果.即使非专业人员，也可以简单而轻松的管理全网络的可运行程序。3.2.2. 信息库升级与扩充IPDSMS自带的进程信息库具备了升级扩充能力，以对新出现的软件进行识别。IPD将定期更新和升级进程信息库，并免费向所有注册用提供。这也是IPD向用户提供的售后增值服务之一。IT管理员不用费尽脑汁去想办法应对层出不穷的新程序，只需定期升级进程信息库，就能使进程管理工作按计划有步骤的进行。3.2.3. 监控/干预程序运行进程管理使IT管理员可以对当前全网各终端正在运行的应用程序进行实时地统计。这就为IT管理员对正在运行的应用程序进行监控和干预提供了可能。如监控可疑进程（病毒，木马，蠕虫等），干预不符合公司/企业规定的应用程序运行（上班时间使用QQ、MSN，BT，FlashGet，玩游戏，看电影、钞股等）。通过使用IPDSMS的进程管理功能，IT管理员可以及时停止这些进程的运行，也可利用进程管理中的黑名单设置，进行永久性的进程运行屏蔽。（如在黑名单中加入RealPlayer并指定黑名单生效的时间，则在指定时间内各终端均无法启动RealPlayer。）利用IPDSMS的进程管理功能，IT管理员可以全局性的掌控网络中应用程序的运行策略，确保内部网络的高可利用性和高安全性。3.3. 智能的自动补丁自动补丁包含两个主要的功能。一是传统意义上的补丁自动下载与安装，包括操作系统补丁和应用程序补丁，尤其是指微软发布的各种补丁。二是各种应用软件的分发和自动安装。3.3.1. 自动补丁安装IPDSMS的自动补丁模块最基本的功能就是按照即定的策略对网络终端进行补丁的自动下载和自动安装。通过IPDSMS的自动补丁模块，IT管理员可以对已知和未知的补丁制定下载和安装策略。如补丁是否安装、安装的条件、安装的时间等，并可跟踪各终端的补丁安装记录。这种策略可以是针对单台终端的，也可以是针对一组或多台终端的。IPDSMS将自动检测全网终端的补丁现状，下栽还未安装的补丁，并以服务器为中心，进行策略控制下的推送安装，确保所有网络终端能在最短的时间按即定策略完成所需补丁的安装，减少黑客或病毒攻击的机率，提高网络及终端的安全性和可用性。3.3.2. 补丁更新与下载IPDSMS充分运用了自身的服务器端特性，使补丁的下载和安装在IPDSMS服务器端进行集中控制。针对微软的各类补丁，IPDSMS开发了增量下载和自动下载机制。客户端（网络终端）的补丁直接来源于IPDSMS服务器端。这就意味着在运行IPDSMS自动补丁模块的网络中，从外网下载补丁的将只有IPDSMS服务器，其带来的外网出口带宽节约是极其可观的。同时IPDSMS开发的增量补丁下载机制更进一步节约了外网出口带宽IPDSMS服务器只下载IPDSMS服务器中缺少的补丁，而不是全部的补丁。同时，IPDSMS发行包提供了微软件补丁光盘，包含了已有（截止发行包制作时）的微软补丁。IPDSMS开发的自动补丁下载机制，使IT管理员可以设定IPDSMS服务器定期从外网检测补丁更新信息。由于IPDSMS采用增量下载机制，你也不用担心不同的检测时间间隔对外网出口带宽的影响差异。（我们并不建议用户设定过短的时间间隔。）试想一下，假如设定检测时间间隔为两小时，那么，IPDSMS服务器最长两小时就可以检测到微软新发布的补丁并进行下载，同时利用自身的补丁推送功能下载完成后立即按新补丁的即定策略（IT管理员事先指定）开始向网内策略指定的终端下发并安装，其效率和智能化程度是不言而喻的。3.3.3. 软件分发与安装IPDSMS在成功开发出补丁智能化安装功能后，更进一步向用户提供了应用软件自动下发与安装功能。这里所指的应用软件包括所有的可执行程序和数据文件。IPDSMS这一新增的功能使网络终端进行软件安装时IT管理员必须物理接触终端成为历史，极大降低了IT管理员的工作强度，提高了工作效率。IPDSMS提供的软件自动下发与安装同样是基于策略控制的。IT管理员制定策略，剩下的都交给IPDSMS！3.4. 强大的端口策略IPDSMS端口策略中所指的端口，是广义的端口，既包括通常所指的TCP/UDP协议端口，也包括IP/MAC地址、URL列表等。换一种说法，是指客户端（网络终端）访问网络的方式和渠道。这种策略应用在各个终端之上，具有明显的分布式特征。这种策略的实施，使不符合规定的网络访问被拦截在它的发源地终端本身，可以极大的降低路由器、网关和防火墙的压力。3.4.1. TCP/UDP端口访问规则TCP/UDP端口访问管理功能可以让IT管理员对不同的网络终端设定对特定TCP/UDP协议端口的访问规则。如是否允许访问、允许访问的时间等。TCP/UDP端口访问规则的实施，可以使用IT管理员拥有对特定网络应用程序的运行进行控制的能力，是在进程管理的基础上对网络终端行为的另一种管理方式。因为所有依赖于TCP/IP协议的网络应用，不论是完成特定功能的应用程序，还是病毒木马，都必需经由特定的TCP/UDP端口实现。通过TCP/UDP端口访问管理，IT管理员可以部署相应策略，允许或禁止终端访问特定的资源，如市场部门不能访问财务部，一般员工不能访问管理级的服务器资源，彻底解决网络资源访问权限规划的问题。3.4.2. URL访问规则通过实施IP地址访问规则，IT管理员可以根据企业/公司的规定，对不符合规定的URL地址进行屏蔽，只开放符合规定的URL地址，达到对网络访问进行控制的目的。如一般员工只能访问公司邮件系统，只能上公司网站等。用技术手段对公司/企业的规章制度落到实处提供了保障。3.4.3. 阻止网络病毒传播IPDSMS的端口策略也可用于辅助防止网络病毒传播。由于防病毒软件的滞后性，新型的网络病毒（如蠕虫类的冲击波、震荡波、高波等病毒）得以在网络中快速传播。在杀毒软件升级之前，除了断开网络，几乎没有别的办法。直至逐台杀毒完成，网络才能恢复正常。（通常我们都会使用拔网线杀毒，而这是极其痛苦和没有效率的过程。）面通过IPDSMS的端口策略，IT管理员可以关闭所有终端上病毒赖以传播的端口，迫使蠕虫病毒成为单机病毒，为查杀病毒创造条件，起到事半功倍的效果。3.4.4. 分布式防火墙通过部署有效合理的端口策略，还能辅助硬件防火墙提高网络性能。当网络不断扩张的时候，内部子网越来越大，网络终端数量越来越多，数据流量越来越大。为了实现内网不同终端的访问规则，必须在防火墙上设置更多的策略和规则。防火墙也必须用更多的时间检测数据是否符合访问规则，当规则越来越多时，防火墙的性能就会下降，甚至可为网络访问的瓶颈，使得网络整体性能下降。通过IPDSMS的端口策略部署，可以把应该在防火墙上做的访问策略转移到终端上来，把不符合规定的访问拦截在它的源头终端本身，在网络边界的防火墙则不需要复杂的访问规则，其性能得以提高，网络的利用率也相应提高，业务流程更加顺畅。3.4.5. 端口查询端口查询可以对单点PC的端口开放情况进行查询，当有危险端口开放的时候，管理员可以根据情况，进行控制。3.4.6网络带宽控制IPDSMS提供了分布式的网络带宽控制功能。应用这一功能可以大大降低突发大带宽网络访问对网络造成的冲击。IT管理员可以设定网络流量允许的最大值，当流量超过设定值的时候，IPDSMS客户端将自动降低网络流量，达到平抑网络流量的目的。同时这种控制是分布式的，位于受控的网络终端中，不会对路由器、交换机、网关造成影响3.5. 便捷的远程维护通过IPDSMS，IT管理员可以获取网络终端的实时屏幕图像和对网络终端的操作控制权（也可称为对终端的接管）。可以只获取屏幕实时图象，也可同时获取屏幕实时图象和对终端的操作控制权，使IT管理员可以进行远程故障诊断和排除。3.5.1. 远程故障诊断和排除IPDSMS的远程支持功能，使IT管理员可以跨地域解决终端常见的问题。只要终端还能运行，网络在正常工作，IT管理员就可以在自已的办公室里通过IPDSMS进行远程支持，不用为了要打开故障终端里的一个应用程序，点两次鼠标而来回奔波。提高工作效率。3.5.2. 终端远程接管人性化为了符合人性化、以人为本的管理理念，IPDSMS在提供远程支持功能时专门增加了可选的接管确认选项。设定确认选项后，管理员在获取网络终端的实时屏幕图像和对网络终端的操作控制权（接管）前，必须要终端的当前用户确认。没有用户的确认则无法接管终端。3.6. 安全的外设管理3.6.1. 允许/禁止外设IPDSMS所提供的外设管理，包括对USB设备、串口设备、并口设备、软驱、光驱、内置MODEN等设备的管理。可以针对每一类的外设设定允许使用或禁止使用的策略。在USB设备中，IPDSMS还区分了U盘、移动硬盘、打印机、键盘、鼠标等不同的设备，使外设管理更准确。通过IPDSMS的外设管理功能，你再也不用因为安全和保密的需要而在外部设备或接口上贴封条，或直接破坏外设接口等，既达到了管理的目的，又保证了终端的硬件完整性。3.6.2. 特定文件操作监控IPDSMS提供对特定文件操作的监控和阻断功能，为实现对企业/公司核心、保密资料的保护提供了可能。这种监控和阻断的实现，是能过制定文件操作策略并部署到终端上实现的。对于不符合策略的文件操作，IPDSMS将依据策略规则做出阻断或记录。3.7. 高效的桌面设置为了提高终端应用环境的可维护性，IPDSMS提供了高效的桌面设置功能。3.7.1. IP/MAC地址绑定IPDSMS的IP/MAC地址绑定功能，使IT管理员可以更加严格的规划和分配网络中的IP地址、防止用户自行改变IP地址。当终端应用了IP/MAC绑定策略，而终端用户自行改变IP地址，则IPDSMS会阻止改变IP地址，同时阻断该终端的网络访问。IPDSMS在阻断访问后会自动恢复绑定的IP地址，恢复成功后重新开放该终端的网络访问功能。这一过程不会影响到其它终端的网络访问。3.7.2. 桌面环境设置通过桌面环境设置管理，IT管理员可以进行远程终端维护，如对系统服务的查看和做启停控制、查看各个磁盘的使用情况和分区大小、对本地用户的查看和做启停控制、对共享文件的查看和做启停控制、对系统日志的查看、对IE进行绑定、让客户端和服务器时间同步、对开机程序的查看和控制、定时开关机等。而这些设置，都是在管理界面中以策略的形式制定并下发至终端，IT管理员并不需要直接操作目标终端。3.8. 接入安全控制IPDSMS提供了接入安全和内网安全控制手段，通过此功能，可以有效的管理内网安全。功能如下：l 新接入网或非法PC：阻断其网络通信：例外放行：重定向l 合法但未安装客户端：阻断其网络通信：例外放行：重定向l 合法其地址变更：阻断其网络通信：例外放行：重定向l 未安装规定软件时：阻断其网络通信：例外放行：重定向l 安装非法软件时：阻断其网络通信：例外放行：重定向3.9. 实时的资源预警IPDSMS可以实时的监控各终端的运行状态，并可设定告警条件，做到自动报告，分类处理。3.9.1. 动态显示终端运行状态IPDSMS可以实时的监控终端CPU使用率、内存使用量、硬盘使用率、网络使用率等终端当前运行对系统资源的消耗情况。可以早期发现和跟踪非正常的资源消耗，为定位未知病毒、恶意攻击等提供了可能。同时，也为保持全网的正常运行提供了检测手段。3.9.2. 阀值设定与异常处理IT管理员可以设定IPDSMS终端资源监控自动报警的判定阀值（条件），当符合自动报警的监控事件出现时，IPDSMS将产生告警信息使IT管理员能在第一时间了解到非正常运行的资源消耗和设备异常。3.10互连网访问日志随着互联网的普及，越来越多的企业加入了这条四通八达的信息高速公司，一方面这使得企业的信息化建设，交流与信息来源提供了有力保障，另一方面也为企业来了一些风险，比如黑客攻击，信息泄露，病毒传播，员工上网聊天以及一些其他与工作无关的娱乐等。本项目的提出主要针对信息泄露和员工上网监视，做到对时间，地点，工具（计算机），数据（外发信息以及文件等）的监视。基本功能：IM软件的监视监视常用IM软件的聊天记录和文件传输，基于底层的协议分析实现一个IM协议分析规范，以插件(DLL等方式)的方式装处多个IM协议分析模块，各个协议分据模块据根需要分自相应的数据，并且自已处理相应的信息输出与记录FTP的监视 支持对WIN自带的FTP以及其他以FTP协议以标准的上传工具进行上传文件的监视。分析FTP协议，对于FTP登陆服务器的记录，FTP上传，FTP下载的文件名，文件大小进行记录，如需要还可以记录下相应用户和密码WEBMAIL和网络磁盘的监视支持在WEBMAIL或者是网络硬盘以及其他各类网站上的上传文件的监视（包括文件名，路径和数据）。 分析数据包中基于WEBMAIL或者网络硬盘采用的HTTP协议上传数据方式，并从中取出相应的数据部分，包括名称和文件内容，同时记录下相应的网址SMTP；POP3邮件的监视支持对以SMTP,POP3标准协议开发的各类邮件客户端(比如FOXMAIL,OUTLOOK等)的收发邮件的监视（包括发件人，收件人，时间，主题，正文以及附件等）。分析SMTP.POP3协议，将所有收发邮件以标准的EML格式保存，如需要还可以同步记录下相应的用户和密码WEB访问的监视支持对所有WEB访问的详细记录，包括访问网址以及可以获取的标提等。记录各个用户用什么浏览器（仅客户端代理方式支持），在什么时间，访问了什么网址，同时支持对WEB访问进行过滤（根据图片，声音，视频，脚本，网页等）日志查询主要是日后审计或者备查，根据指定的条件从数据库（如果是基于代理的，后台还需要另一套流程从客户端取回相关的数据，值得注意的是此数据可能相当庞大）查询相关的记录,并且支持记录以标准的TXT,HTML格式保存基于文件访问的日志管理，是审计类管理需求的重要组成部分，其管理目标之一就是确保数据的安全性，对PC使用者在使用PC过程中的文件访问有历史记录，当发生数据流失等问题的时候，可以追溯到某一个历史的文件访问事件，找到真正导致数据安全性问题的原因，从而为以后提供相应保护策略。3.11 外设访问日志IPDSMS 文件访问日志，能够有效记录PC使用者对本地磁盘用户文件、移动存储设备的文件读取和写入操作，并对每个历史访问记录，标示其发生的时间、目标存储器类型等等，使得记录的保存更加准确，便于以后的查询遍历。IPDSMS 文件访问日志系统，提供两种方式的检索方式。n 以TreeView方式，可以逐台PC，查询其历史的记录，并且可以选择不同的时间段，更准确定位。n 以关键字模糊查询的方式，管理员可以直接输入待查的字符串，系统则进行全范围检索，把匹配的历史记录显示出来，这是一种非常便利的检索方式，但如果历史记录的数据量比较大，结果反馈快慢则依据服务器性能和关系数据库运行效率。IPDSMS 文件访问日志同时提供针对不同PC策略机制，也就是说，IT主管可以根据情况，安排某些PC需要启用策略，从而对其文件访问有所记录，而有的PC则不需要，因此，可以灵活安排。IPDSMS 文件访问日志，可以配合IPDSMS 外设管理一起使用。外设管理主要体现的是事前的管理策略，也就是说，通过定义管理范围内的所有PC，对外设如U盘、刻录机、CDROM、DVD、软驱等存储设备的使用权限，使用户无法未经授权，不可以向U盘拷贝数据、或者刻录文件等。IPDSMS 文件访问日志是采取可追溯性的管理思路，做到所有访问有据可查，其数据安全性措施是采用事后的管理策略。所以IPDSMS用户可以根据本单位的管理策略，选择不同的模式达到管理目的。3.12分级服务器模式3.12.1多级服务器IPDSMS系统管理套件采用分级服务器模式，可以很好的对大规模的网络进行分级管理，在服务器级上实现了分布与集中的集成。位于上层的服务器可以管理下层的服务器，而下层服务器不能管理比自已级别高或同级的服务器。这一机制符合现代企业/公司的层级化管