IPDSMS系统管理件技术白皮书

1、最新 精品 Word 欢迎下载 可修改IPDSMS系管理件IPDSMS 系统管理套件(技术白皮书草案)DOCNO : SAL-SUP-001-01-2022/5/1二五年八月成都市信息技术发展有限 公司IPDSMS 系统管理套件序IPDSMS 系统管理套件（IPD System Manage Suit），是针对网络终端管理的全面解决方案。该套件经历多个版本的不断创新和改进，集多年政府/企事业网络终端管理项目实施的丰富经验，为用户提供符合其网络实际情况、能简捷高效地规范网络终端操作模式和完善网络终端管理方式的专业化管理平台。截止目前，IPDSMS 系统管理套件已提供了资产管理、进程控制、软件分发

2、、自动补丁、端口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓朴十个管理模块。IPDSMS 系统管理套件最大程度地将网络终端管理中重复性高、耗时费力的日常工作，由IT 管理员的手工操作转变成由计算机自动完成，使网络终端管理变得高效、准确、及时；极大减轻网络终端管理的压力，降低IT 管理员的劳动强度；最大程度满足网络终端管理不断增长的需求，提高网络终端的管理效率和质量，真正实现网络管理自动化。版权声明IPD，IPDSMS，IPDVIEW 是上海创多软件公司的注册商标；Windows，Windows98，WindowsNT，WindowsXP，Windows2000，Windows2021，

3、Microsoft，IIS，Access，SQLServer，MSN，RealPlayer 是微软公司的注册商标；QQ 是腾讯公司的注册商标。IPDSMS 系统管理套件目录1. 前言.52. IPDSMS 的特点.62.1. 实用性.72.2. 易用性.72.3. 移动性.72.4. 灵活性.83. IPDSMS 的功能.93.1. 完备的资产管理.10硬件资产管理.10软件资产管理.10软硬件变动管理.10资产台帐管理.113.2. 准确的进程监控.11自带的进程信息库.11信息库升级与扩充.11监控/干预程序运行.113.3. 智能的自动补丁.12自动补丁安装.12补丁更新与下载.12软件

4、分发与安装.133.4. 强大的端口策略.13端口访问规则.14访问规则.14阻止网络病毒传播.14分布式防火墙.153.5. 便捷的远程维护.15远程故障诊断和排除.15终端远程接管人性化.153.6. 安全的外设管理.16IPDSMS 系统管理套件允许/禁止外设.16特定文件操作监控.163.7. 高效的桌面设置.16/MAC 地址绑定.16网络带宽控制.17桌面环境设置.173.8. 直观的网络拓扑.173.9. 实时的资源预警.17动态显示终端运行状态.17阀值设定与异常处理.183.10. 分级服务器模式.18多级服务器.18管理分级.184. 部署方式.195. 运行环境.215.

5、1. 客户端.215.2. 服务器.21硬件环境.21软件环境.22IPDSMS 系统管理套件1. 前言随着社会的发展和生产力水平的提高，政府和企业拥有的信息资源和处理信息的能力成为最能代表其综合实力和管理效率的战略资源。如何管理不断增加和更新的信息化设备并使之发挥出最大的效益成为每一个管理者必须面对的问题，尤其是对于数量庞大的网络终端；无处不在的信息，如何管理终端，如何保障信息安全，成为最重要，也是最耗时的管理任务。 庞大的网络，众多的终端，你是否还只能拆开机箱逐台进行硬件配置资产的清点呢? 终端上纷杂各异的软件,你通过什么方法进行统计呢? 你今天是否在为昨天哪几台终端安装了新的软件和硬件而

6、冥思苦想呢? 你是否还在为如何杜绝员工上班时间网上钞股、BT 下载、QQ 聊天、玩游戏而犯愁呢? 微软从黑客的攻击中发现了新的BUG，今天又发布了10 个补丁，你是否还在为如何为成百的PC 以最快的速度安装这些补丁头痛呢? 新的公司业务要求为市场部全体员工开通MAIL 功能和MSN 功能，要求为对外宣传部的全体员开通WEB 浏览功能，要求为技术部开通 和WEB 功能，你如何完成呢？时间就是金钱，你不着急吗？ 小王的机器在十楼，你在五楼的IT 办公室，你已经看到他的机器在线了，可他打电话说不能上网，你是否只能上到十楼为他排障，发现其实只是浏览器的设置出了问题。如果在另一栋楼怎么办？你来回半小时就

7、是为了找出设置页点击两次鼠标？ 你是否经历过因为你的电脑故障而丢失你的IT 管理和统计资料呢？ 便捷的U 盘，时尚的MP3，你是否正在为如何防止公司重要文档和资料的随意拷贝，进而泄密而寝食不安?这些文档和资料又是员工上班一定要用的，怎么办？IPDSMS 系统管理套件2. IPDSMS 的特点IPDSMS 系统管理套件采用基于B/S 结构的分级多服务器架构，其后台采用C/S 结构，采用可拆分的独立功能模块形式，把实用、易用、便捷、灵活的系统管理工具提供给最终用户。其逻辑结构如图1。IPDSMS 系统管理套件2.1. 实用性IPDSMS 系统管理套件充分考虑客户的实际需求，最大程度地贴近用户网络环

8、境，其开发、改进和完善的出发点和驱动因素，都是用户需求和市场反馈。IPDSMS 系统管理套件的每一个独立功能模块都是从详尽的市场调研和无数的市场推广及项目实施中提炼出来的，都进行了实用化的功能设计和全面的优化，以期客户最小的投资实现最全面且实用的管理功能。资产管理、进程控制、软件分发、自动补丁、端口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓朴十个管理模块，每一个模块都使其相对应的管理工作变得高效、快捷。2.2. 易用性IPDSMS 系统管理套件将所有的网络管理功能用统一的WEB 浏览器界面实现。（这些操界面都是提供给IT 管理员的，被管理用户无需了解和知晓。）其集成度是其它产品所无法

9、比拟的。统一的界面、统一的操作方式，对简体/繁体中文、英语和日语的全面支持，使你只要会浏览WEB 网页，就能使用IPDSMS 系统管理套件。（当然，你还得会一点网管知识因为你是IT 管理员）。IPDSMS 系统管理套件操作界面的开发目标，就是让IT 管理员无须任何培训就可以使用，进行系统管理。2.3. 移动性IPDSMS 是基于Web 的网络管理系统，具有Web 环境下的各种优良特点，包括使用方便，不限于指定的操作工作站，可以同时支持多人在不同的地点访问管理网络，方便地分级监控体系架构，适合于任何规模的网络管理。适合于多人多点同时进行网络管理操作；IPDSMS 系统管理套件2.4. 灵活性IP

10、DSMS 系统管理套件提供一个完全客户化的定制管理套件，采用先进的结构化和模块化设计，各功能模块拆分组合非常容易，还可为客户定制特定的功能需求，使用户能够方便地建立基于任务优化控制台视图和基于用户规则的对控制台功能访问限制。快速发现企业计算机资产信息、软件硬件配置情况和在网络中的位置，策略制定与应用和完善的商业报表给IT 管理员带来对系统管理准确、及时实施控制的能力。IPDSMS 系统管理套件3. IPDSMS 的功能IPDSMS 系统管理套件由十个功能模块组成。这些功能模块是全独立，可分割、可集成。用户完全可以根据网络现状和管理需求进行选择。如图2 所示。IPDSMS 系统管理套件3.1.

11、完备的资产管理硬件资产管理硬件资产管理为IT 管理员提供便捷的查看全网终端硬件分布情况的有效手段。这一功能同样也能为终端的资产管理带来便利。硬件表极大的方便了资产统计人员，避免了过去做资产统计必须拆机箱的做法，IPDSMS 利用先进的自动捕获技术，及时收集所有硬件信息，并以WEB 页面、报表等形式提供给使用者。IPDSMS 可捕获的信息包括：主板型号、CPU 型号、CPU 主频、内存大小、硬盘序列号、硬盘容量、硬盘剩余空间、光驱类型、光驱型号、网卡MAC 地址、显卡型号、声卡型号、软驱型号等，函盖了日常终端资产统计的所有内容。极大地提高了终端硬件资产统计的效率。软件资产管理软件资产管理使IT

12、管理员能快速查看全网已安装软件及其分布情况。IPDSMS 采用分布处理、集中管理的模式，通过分布在客户端（被管理端）的IPDSMS 子模块快速分析本地已安装软件，并在IPDSMS 服务器端汇集成全网统计信息。IPDSMS 采用了交叉搜索判定方式，准确定位网络中各终端安装的所有软件信息，确保万无一失。通过软件资产管理，IT 管理员可以快速获知已安装软件的种类和名称，以及这些软件在网络终端中的分布情况，是否有终端还未安装必需的软件，是否有终端安装有不符合规定的软件等信息。软硬件变动管理软硬件变动管理是在提供软硬件当前配置安装信息统计的基础上IPDSMS 向用户提供的一个具有变革意义的功能。通过软硬

13、件变动管理，IT 管理员和资产管理员可以跟踪网内终端硬件和软件的历史变化信息。哪些机器增加了新硬件，哪些机器安装或者卸载了软件，软硬件变动管理都进行实时的记录和统计、形成报表，做到有据可查、有证可依。IPDSMS 系统管理套件资产台帐管理IPDSMS 快速软/硬件资产统计功能，使IT 管理员的工作效率得到提高。以此为基础，IPDSMS 更提供了IT 资产台帐功能，使财务部门的IT 资产统计同样变得高效准确。财务部门通过IPDSMS 的资产台帐功能可以及时获得信息系统的软/硬件资产报表。3.2. 准确的进程监控程序监控功能使用IT 管理员可以对网络终端当前正在运行的应用程序及其分布进行统计。也可

14、能对不符合公司/企业规定的应用程序运行进行干预。自带的进程信息库IPDSMS 自带了进程信息库。进程信息库是基于市面上现有的软件进行构建的。包含进程的所属应用软件名称、用途及其分类。通过IPDSMS 自带的进程信息库，IT 管理员可以快速识别和统计全网正在运行的应用程序，并可制定应用程序的运行规则进行预先的策略设定。简单的几个设置，就达到了显著的效果.即使非专业人员，也可以简单而轻松的管理全网络的可运行程序。信息库升级与扩充IPDSMS 自带的进程信息库具备了升级扩充能力，以对新出现的软件进行识别。IPD将定期更新和升级进程信息库，并免费向所有注册用提供。这也是IPD 向用户提供的售后增值服务

15、之一。IT 管理员不用费尽脑汁去想办法应对层出不穷的新程序，只需定期升级进程信息库，就能使进程管理工作按计划有步骤的进行。监控/干预程序运行进程管理使IT 管理员可以对当前全网各终端正在运行的应用程序进行实时地统计。这IPDSMS 系统管理套件就为IT 管理员对正在运行的应用程序进行监控和干预提供了可能。如监控可疑进程（病毒，木马，蠕虫等），干预不符合公司/企业规定的应用程序运行（上班时间使用QQ、MSN，BT，FlashGet，玩游戏，看电影、钞股等）。通过使用IPDSMS 的进程管理功能，IT 管理员可以及时停止这些进程的运行，也可利用进程管理中的黑名单设置，进行永久性的进程运行屏蔽。（如

16、在黑名单中加入RealPlayer 并指定黑名单生效的时间，则在指定时间内各终端均无法启动RealPlayer。）利用IPDSMS 的进程管理功能，IT 管理员可以全局性的掌控网络中应用程序的运行策略，确保内部网络的高可利用性和高安全性。3.3. 智能的自动补丁自动补丁包含两个主要的功能。一是传统意义上的补丁自动下载与安装，包括操作系统补丁和应用程序补丁，尤其是指微软发布的各种补丁。二是各种应用软件的分发和自动安装。自动补丁安装IPDSMS的自动补丁模块最基本的功能就是按照即定的策略对网络终端进行补丁的自动下载和自动安装。通过IPDSMS 的自动补丁模块，IT 管理员可以对已知和未知的补丁制定

17、下载和安装策略。如补丁是否安装、安装的条件、安装的时间等，并可跟踪各终端的补丁安装记录。这种策略可以是针对单台终端的，也可以是针对一组或多台终端的。IPDSMS将自动检测全网终端的补丁现状，下栽还未安装的补丁，并以服务器为中心，进行策略控制下的推送安装，确保所有网络终端能在最短的时间按即定策略完成所需补丁的安装，减少黑客或病毒攻击的机率，提高网络及终端的安全性和可用性。补丁更新与下载IPDSMS 充分运用了自身的服务器端特性，使补丁的下载和安装在IPDSMS 服务器端进行集中控制。针对微软的各类补丁，IPDSMS 开发了增量下载和自动下载机制。客户端IPDSMS 系统管理套件（网络终端）的补丁

18、直接来源于IPDSMS 服务器端。这就意味着在运行IPDSMS 自动补丁模块的网络中，从外网下载补丁的将只有IPDSMS 服务器，其带来的外网出口带宽节约是极其可观的。同时IPDSMS 开发的增量补丁下载机制更进一步节约了外网出口带宽IPDSMS 服务器只下载IPDSMS 服务器中缺少的补丁，而不是全部的补丁。同时，IPDSMS发行包提供了微软件补丁光盘，包含了已有（截止发行包制作时）的微软补丁。IPDSMS 开发的自动补丁下载机制，使IT 管理员可以设定IPDSMS 服务器定期从外网检测补丁更新信息。由于IPDSMS 采用增量下载机制，你也不用担心不同的检测时间间隔对外网出口带宽的影响差异。

19、（我们并不建议用户设定过短的时间间隔。）试想一下，假如设定检测时间间隔为两小时，那么，IPDSMS 服务器最长两小时就可以检测到微软新发布的补丁并进行下载，同时利用自身的补丁推送功能下载完成后立即按新补丁的即定策略（IT 管理员事先指定）开始向网内策略指定的终端下发并安装，其效率和智能化程度是不言而喻的。软件分发与安装IPDSMS 在成功开发出补丁智能化安装功能后，更进一步向用户提供了应用软件自动下发与安装功能。这里所指的应用软件包括所有的可执行程序和数据文件。IPDSMS 这一新增的功能使网络终端进行软件安装时IT 管理员必须物理接触终端成为历史，极大降低了IT 管理员的工作强度，提高了工作

20、效率。IPDSMS 提供的软件自动下发与安装同样是基于策略控制的。IT 管理员制定策略，剩下的都交给IPDSMS！3.4. 强大的端口策略IPDSMS 端口策略中所指的端口，是广义的端口，既包括通常所指的TCP/UDP 协议端口，也包括IP/MAC 地址、URL 列表等。换一种说法，是指客户端（网络终端）访问网络的方式和渠道。这种策略应用在各个终端之上，具有明显的分布式特征。这种策略的实施，使不符合规定的网络访问被拦截在它的发源地终端本身，可以极大的降低路由器、网关和防火墙的压力。IPDSMS 系统管理套件TCP/UDP 端口访问规则TCP/UDP 端口访问管理功能可以让IT 管理员对不同的网

21、络终端设定对特定TCP/UDP 协议端口的访问规则。如是否允许访问、允许访问的时间等。TCP/UDP 端口访问规则的实施，可以使用IT 管理员拥有对特定网络应用程序的运行进行控制的能力，是在进程管理的基础上对网络终端行为的另一种管理方式。因为所有依赖于TCP/IP 协议的网络应用，不论是完成特定功能的应用程序，还是病毒木马，都必需经由特定的TCP/UDP端口实现。通过TCP/UDP 端口访问管理，IT 管理员可以部署相应策略，允许或禁止终端访问特定的资源，如市场部门不能访问财务部，一般员工不能访问管理级的服务器资源，彻底解决网络资源访问权限规划的问题。URL 访问规则通过实施IP 地址访问规则

22、，IT 管理员可以根据企业/公司的规定，对不符合规定的URL地址进行屏蔽，只开放符合规定的URL 地址，达到对网络访问进行控制的目的。如一般员工只能访问公司邮件系统，只能上公司网站等。用技术手段对公司/企业的规章制度落到实处提供了保障。阻止网络病毒传播IPDSMS 的端口策略也可用于辅助防止网络病毒传播。由于防病毒软件的滞后性，新型的网络病毒（如蠕虫类的冲击波、震荡波、高波等病毒）得以在网络中快速传播。在杀毒软件升级之前，除了断开网络，几乎没有别的办法。直至逐台杀毒完成，网络才能恢复正常。（通常我们都会使用拔网线杀毒，而这是极其痛苦和没有效率的过程。）面通过IPDSMS 的端口策略，IT 管理

23、员可以关闭所有终端上病毒赖以传播的端口，迫使蠕虫病毒成为单机病毒，为查杀病毒创造条件，起到事半功倍的效果。IPDSMS 系统管理套件分布式防火墙通过部署有效合理的端口策略，还能辅助硬件防火墙提高网络性能。当网络不断扩张的时候，内部子网越来越大，网络终端数量越来越多，数据流量越来越大。为了实现内网不同终端的访问规则，必须在防火墙上设置更多的策略和规则。防火墙也必须用更多的时间检测数据是否符合访问规则，当规则越来越多时，防火墙的性能就会下降，甚至可为网络访问的瓶颈，使得网络整体性能下降。通过IPDSMS 的端口策略部署，可以把应该在防火墙上做的访问策略转移到终端上来，把不符合规定的访问拦截在它的源

24、头终端本身，在网络边界的防火墙则不需要复杂的访问规则，其性能得以提高，网络的利用率也相应提高，业务流程更加顺畅。3.5. 便捷的远程维护通过IPDSMS，IT 管理员可以获取网络终端的实时屏幕图像和对网络终端的操作控制权（也可称为对终端的接管）。可以只获取屏幕实时图象，也可同时获取屏幕实时图象和对终端的操作控制权，使IT 管理员可以进行远程故障诊断和排除。远程故障诊断和排除IPDSMS 的远程支持功能，使IT 管理员可以跨地域解决终端常见的问题。只要终端还能运行，网络在正常工作，IT 管理员就可以在自已的办公室里通过IPDSMS 进行远程支持，不用为了要打开故障终端里的一个应用程序，点两次鼠标

25、而来回奔波。提高工作效率。终端远程接管人性化为了符合人性化、以人为本的管理理念，IPDSMS 在提供远程支持功能时专门增加了可选的接管确认选项。设定确认选项后，管理员在获取网络终端的实时屏幕图像和对网络终端的操作控制权（接管）前，必须要终端的当前用户确认。没有用户的确认则无法接管终端。IPDSMS 系统管理套件3.6. 安全的外设管理允许/禁止外设IPDSMS 所提供的外设管理，包括对USB 设备、串口设备、并口设备、软驱、光驱、内置MODEN 等设备的管理。可以针对每一类的外设设定允许使用或禁止使用的策略。在USB 设备中，IPDSMS 还区分了U 盘、移动硬盘、打印机、键盘、鼠标等不同的设

26、备，使外设管理更准确。通过IPDSMS 的外设管理功能，你再也不用因为安全和保密的需要而在外部设备或接口上贴封条，或直接破坏外设接口等，既达到了管理的目的，又保证了终端的硬件完整性。特定文件操作监控IPDSMS 提供对特定文件操作的监控和阻断功能，为实现对企业/公司核心、保密资料的保护提供了可能。这种监控和阻断的实现，是能过制定文件操作策略并部署到终端上实现的。对于不符合策略的文件操作，IPDSMS 将依据策略规则做出阻断或记录。3.7. 高效的桌面设置为了提高终端应用环境的可维护性，IPDSMS 提供了高效的桌面设置功能。IP/MAC 地址绑定IPDSMS 的IP/MAC 地址绑定功能，使I

27、T 管理员可以更加严格的规划和分配网络中的IP 地址、防止用户自行改变IP 地址。当终端应用了IP/MAC 绑定策略，而终端用户自行改变IP 地址，则IPDSMS 会阻止改变IP 地址，同时阻断该终端的网络访问。IPDSMS 在阻断访问后会自动恢复绑定的IP 地址，恢复成功后重新开放该终端的网络访问功能。这一过程不会影响到其它终端的网络访问。IPDSMS 系统管理套件网络带宽控制IPDSMS 提供了分布式的网络带宽控制功能。应用这一功能可以大大降低突发大带宽网络访问对网络造成的冲击。IT 管理员可以设定网络流量允许的最大值，当流量超过设定值的时候，IPDSMS 客户端将自动降低网络流量，达到平

28、抑网络流量的目的。同时这种控制是分布式的，位于受控的网络终端中，不会对路由器、交换机、网关造成影响。桌面环境设置通过桌面环境设置管理，IT 管理员可以进行远程终端维护，如禁止系统级共享（C$，D$，ADMIN$ 等）、禁止用户共享、禁止使用控制面板、禁止开放Guest 帐号、禁止密码缓存等。而这些设置，都是在管理界面中以策略的形式制定并下发至终端，IT 管理员并不需要直接操作目标终端。3.8. 直观的网络拓扑IPDSMS 提供了网络拓朴自动生成功能，自动识别网络结构，并以网络拓扑图的方式提供给管理员。通过网络拓朴图，IT 管理员可以对网络运行现状进行快速、直观地监控，为合理规划、调整网络结构，

29、监控网络运行状态、定位和排除故障提供了可能。使IT 管理员面对的不在只是枯燥的列表和数据，而是以图形化，直观的方式管理网络。3.9. 实时的资源预警IPDSMS 可以实时的监控各终端的运行状态，并可设定告警条件，做到自动报告，分类处理。动态显示终端运行状态IPDSMS 可以实时的监控终端CPU 使用率、内存使用量、硬盘使用率、网络使用率IPDSMS 系统管理套件等终端当前运行对系统资源的消耗情况。可以早期发现和跟踪非正常的资源消耗，为定位未知病毒、恶意攻击等提供了可能。同时，也为保持全网的正常运行提供了检测手段。阀值设定与异常处理IT 管理员可以设定IPDSMS 终端资源监控自动报警的判定阀值（条件），当符合自动报警的监控事件出现时，IPDSMS 将产生告警信息使IT 管理员能在第一时间了解到非正常运行的资源消耗和设备异常。3.10. 分级服务器模式多级服务器IPDSMS 系统管理套件采用分级服务器模式，可以很好的对大规模的网络进行分级管理，在服务器级上实现了分布与集中的集成。位于上层的服务器可以管理下层的服务器，而下层服务器不能管理比自已级别高或同级的服务器。这一机制符合现代企业/公司的层级化管理模式的需求，同样也适合平衡管理负载的网管要求。管理分级IPDSMS 系统管理套件采用分级的管理授权模式。在单服务器IPDSMS 系统管理套件应用中，可以容纳多个拥