幻影终端集中化管理平台技术白皮书.

1、幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 i幻影终端集中化管理平台幻影终端集中化管理平台技术白皮书技术白皮书版本：V2.0 文档创建日期：2014/06深圳市鑫网电科技有限公司幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 ii目目录录1. 前言概要前言概要.32. 幻影系统技术原理幻影系统技术原理.52.1. 系统架构.52.2. 技术路线.52.3. 实现功能.72.3.1. 桌面应用集中管理.72.3.2. 数据分离集中管理.92.3.3. 终端快速恢复管理.102.3.4. 底层外设端口管理.112.3.5. Web 统一界面管理 .123. 系统部署架构系统

2、部署架构.144. 总结总结.16幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 31. 前言概要前言概要随着国家大力发展工业制造业，国内大型工程制造企业、军工企业、各研究所等正处于快速发展时期。制造任务紧、标准高，能否缩短周期、高质量完成制造、科研任务已经成为这些企业主要面临的主要挑战。目前企业在信息化建设发展中主要存在以下问题： 现有安全权限过低 由于 Windows 系统本身的漏洞，企业不得不在操作系统之上再部署其他管控应用软件，例如，部署通用的域控策略、终端防病毒、终端行为管控系统等。但带来另外一个问题是：应用层面的防护方式完全依赖 Windows 操作系统，只要终端能避开

3、Windows 系统则等于没有安全。当前利用光盘、U盘等其他介质引导 WinPE、NtfsDOS 等第三方的引导系统、或是将硬盘挂到其他电脑上作为从属盘，都可以轻易的绕开已经部署的应用管控工具，终端违规行为无法及时有效的阻断。 数据静态安全的缺失在企业业务的运行中，数据始终随着终端的访问和应用随时进行调取，时时流动的。为了确保这部分数据的安全性，可控性，应对日益严重的数据安全威胁，通常都会建立比较完善的动态数据保护安全机制。但是，当数据最终保留于前端终端上，成为静态数据时，其安全防御水平相比动态防御就相差了很多。用户可以利用私拆硬盘等方式轻易的获取已经驻留本地硬件上的数据。这对于企业信息管理部

4、门而言，是相当头痛的问题。 桌面容灾无法建立在现代信息化建设中，后台数据的容灾已经被越来越多的被关注。对应的解决方案也比较成熟，一般采用本地灾备或异地灾备，实现手段多种多样。相对后台容灾，IT 架构下主体的前端终端的桌面却依然建立有效的容灾机制。在遭遇病毒、木马、蓝屏死机后，IT 部门不得不进行重新为其部署新的操作应用系统和应用软件，原有桌面环境和数据得不到保留。且由于部署新环境的过程需要漫长的等待暂停时间，严重制约了 IT 部门的维护效率以及前端终端人员的工作效率。 信息数据边界不确定幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 4通常企业依照防火墙设备的策略将信息数据边界进行了

5、划分。防火墙以外为非可信区域，防火墙以内为可信区域。然而随着信息安全事件的不断出现，原有的区域划分已经变得模糊。根据 IDC 的统计，越来越多的安全事件起因来自所谓的内部可信区域。在确保内部正常办公的情况下，还要确保数据边界的可控，成为信息管理部门必须解决的问题。 现有安全手段的效性依靠实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等应用控制程序建立的安全体系，虽然从架构上已经实现了大部分的安全目标，但所有这些措施都没有从源头上去保障信息的安全。企业信息安全依然面临诸多风险。因此，应时而生的终端集中化管理技术已经成为解决现阶段企业困境的最佳方式和途径，利用

6、集中化管理技术，为整个企业的业务平台、信息化运行平台提供相应的支撑作用。幻影终端集中化管理平台是深圳鑫网电公司自主研发具有知识产权认证的平台软件系统。幻影系统是一套终端硬盘扇区数据管理及存储为基础的运算模式，藉以从事使用者服务管理与供应工作的平台；实际上是在传统 PC的以硬盘为基础的运算架构中增加硬盘扇区数据存取路径的层次，并在路径中加入管理功能。通过自主研发的核心 PIM 群集文件架构技术、EDSC 网络硬盘扇区数据传输协议、LocalCache 本地扇区数据缓存技术、Web service统一界面管理等多个技术实现了多桌面应用环境的模块化组合和动态生成以及随需提供。在对服务器压力以及网络带

7、宽占用极小的情况下，确保了桌面运行的效果和传统的 PC 没有任何差异和改变，建立了在集中化管理技术领域中的全新的技术方向和解决方案。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 52. 幻影系统技术原理幻影系统技术原理2.1. 系统架构系统架构幻影终端集中化管理系统由服务器主控程序、客户端程序、Web service 统一管理程序三部分组成。服务器主控程序安装在机架式硬件服务器或刀片式服务器上。其主要功能是提供系统的管理服务、管理员登陆管理界面、系统认证 U-KEY 的识别和读取、策略的制定及部署。客户端程序则通过网络引导后，部署于前端的 PC 终端上。客户端程序主要承载着与服务器

8、的通讯，接受策略的下发，执行策略的部署。同时，客户端会将 PC 终端的运行情况进行汇总后反馈给服务器，以便管理员进行查看和分析。Web service 统一管理程序安装于主控服务器上，在浏览器中输入统一的服务器管理地址后，管理员可对系统内的一台或多台服务器进行操作及查看，并支持三员设置，提供多个管理员权限账户，提高系统的安全性。2.2. 技术路线技术路线幻影系统架构重新定义了一个新的终端集中化管理方向，系统程序将用户前端桌面转化存储成了一个整体数据保存于后端服务器上，变成一个企业的桌面计算环境的资源池，可以统一或单独随需提供给桌面用户，可使任何应用或操作系统保持持续优化、升级、更新和一致以及高

9、可用状态。同时没有在终端运行速度、效能、兼容性和用户体验及使用习惯上有任何折中。幻影系统使得企业有能力去转化、管理和优化以 PC 为主的 IT 系统基础架构。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 6幻影系统通过网络向最终用户交付桌面应用环境和应用软件，实现了分散PC 的集中化管理，在保证 PC 速度的前提下做到了计算环境 OS&AP 和 PC 硬件的完全脱离，使得桌面计算环境可以随需派送和选择，这样可以让 IT 管理更加灵活，IT 架构更加安全和可靠。达到了客户端随需选择应用环境（OS&AP On-Demand）的 IT 管理理想境界，使得客户端具备了在任何

10、时间任何地点都有安全稳定的计算环境，同时实现了以 PC 为主的 IT 基础架构的完全集中管理，IT 基础架构更加的弹性和灵活，极大的增强了企业的竞争力，做到了 PC 的应用随需应变。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 72.3. 实现功能实现功能2.3.1. 桌面应用集中管理桌面应用集中管理管理员在后台的主控服务器上安装幻影系统的服务器程序，安装完成后插上系统启动认证 USB-KEY 并输入正确的管理员账户后即可登录服务器控制界面进行策略的设置及部署：在完成服务器的安装工作后，管理员即可进入终端的桌面应用环境的建立操作。利用区域内的任意一台客户端，安装企业内部的基本操作系

11、统如Windows 7 及其他应用软件。通过幻影系统客户端专有的通讯协议与幻影服务器建立连接，透过网络引导将该应用系统打包上传到幻影主控服务器上，成为应用系统资源 PIM，从而形成企业级应用的标准化终端桌面应用环境节点。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 8在基础节点上，管理员还可以根据企业各个部门的应用，制作不同的终端桌面应用节点，如办公应用部门的应用节点、财务部门的应用节点、设计部门的应用节点、生产部门的应用节点等。每个次级节点下都可以再安装其他新的应用软件则形成其他新的应用节点，从而可以派发部署给应对的部门用户。对于企业内部其他终端，管理员只需要将终端的开机启动模式

12、改为网络引导启动模式，并将其 MAC 地址信息加入列表中进行资源节点的分配及策略的定幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 9制。终端开机通过网络引导连接到服务器，验证其合法身份后由客户端发起资源调取请求。服务器收到指令后将应用资源以扇区的方式，随需下发到前端客户端的硬盘上，建立客户端应用桌面环境。以 windows xp 为例，用户从一台全新的裸金属终端启动到能获取标准的应用桌面，实际只需要 4-5 分钟即可进入工作界面。当用户点击新的应用时，客户端会透过网络再次向服务器发起调取，每次调取的应用节点数据量都以扇区的方式保存于本地硬盘并记录，以便于下一次开机时同样的数据量从硬

13、盘直接调用。幻影系统客户端的所需调用机制有效降低了企业网络带宽压力，并确保数据的回溯性及安全性。2.3.2. 数据分离集中管理数据分离集中管理在幻影系统的架构下，终端的桌面操作系统及应用环境由幻影系统从后端统一派发并管理。通过与身份认证服务器策略的结合，管理员可以将用户的数据可以指定的、全部集中到后端数据中心的文件存储设备上进行管理。利用存储分配策略将后台存储服务器上的用户个人数据空间透过网络配发给前端用户使用。在用户前端操作界面中可以看到幻影集中管理平台分配的终端桌面和由存储服务器分配的个人存储盘。用户从个人存储盘上获取数据进行编译、使用，并最终保存于存储盘中。终端用户退出域账户后存储盘自动

14、收回。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 10最终在终端桌面只呈现一个桌面和分配的远端存储空间盘符。终端用户的数据集中到后台存储，当需要操作时，透过网络连接到存储上访问；退出系统存储系统即停止服务，数据收回，有效确保了终端不保留数据的架构。通过部署幻影集中化管理平台，建立了安全的数据传输通道。终端数据集中到后台存储上后无论从安全性，还是管理的便捷性来说都得到大幅度提高。数据集中到后台，即使终端遭到病毒的破坏，数据也不会丢失；数据在后台可由信息中心统一进行管理、备份，建立安全访问机制。通过数据的集中管理，实现了管理的扁平化，提高了企业内部信息中心的管理效率，在确保数据安全性

15、的同时也实现了数据的完整性。2.3.3. 终端快速恢复管理终端快速恢复管理根据 IDC 对 500 家大型企业信息部门的调查，用户级终端因系统损坏，信息 IT 部门管理员对其进行重装操作系统及应用软件的维护时间从 1-2 小时不等。有部分终端还可能找不到对应的驱动程序，导致系统无法运行。这些无效的工作大量占用了企业信息部门宝贵的人力物力资源。而利用幻影集中化管理平台的还原功能，管理员可以在后台定制标化的工作桌面环境。一旦终端出现蓝屏，死机等问题，只需要通过流程上的审批，管理员在确定审批通过结果后在后台的幻影系统主控平台管理界面中右键对其终端进行复原操作，幻影终端集中化管理平台技术白皮书深圳市鑫

16、网电科技有限公司 11整个运行模式如下所示：终端重新开机即可进入原有标准化的工作环境，无缝过渡。2.3.4. 底层外设端口管理底层外设端口管理幻影系统支持对终端底层外设端口的接管，管理员可以利用幻影系统和其他系统做管理联动。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 12例如管理员设置用户无法使用 USB 设备的策略，当被管理的终端进入系统后插入一个 USB 设备，如下图所示：在磁盘管理界面下可看到插入的 USB 设备系统无法识别，如下图所示：通过策略的管理，使得终端无论从应用层还是底层都可以做到安全、可靠。2.3.5. Web 统一界面管理统一界面管理幻影系统增加了 Web s

17、ervice 管理功能，管理员可以通过搭建的 Web 界面管理平台对多台幻影主控服务器进行操作，利用单一界面的 Web 管理界面即可实现高效的管理。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 13按照国家相关的安全要求，幻影系统建立了三员管理策略。即系统管理员，安全保密员，安全审计员。其中系统管理员主要对整个系统进行设置，对安全保密员、安全审计员等配置相关的管理模块。安全保密员主要对系统进行策略的制定和部署。安全审计员主要负责对系统产生的 Log 日志进行查看，对系统管理员、安全保密员日常的操作行为进行审计查看。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 143.

18、系统部署架构系统部署架构在整体安全体系的保障下，幻影系统采用采用集中部署的方式，架设于企业中心机房进行使用管理。内部终端只需跟服务器连通，即可加入整体的架构中来，根据权限即时获得应用系统和进行数据存取。幻影主控服务器端最低硬件配置需求：设备 规格操作系统Windows 2008 R2 Server中央处理器2.4 GHz 及以上双核处理器硬盘至少两块 500GB 的 SATA II /SCSI 7200RPM 硬盘 内存4GB（含以上）光驱AT-API 光驱（可选）幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 15USB 接口4 个独立运行的 USB 插口网卡2 个千兆网卡此外，幻影系统还支持 1-1 或 1-N 模式的服务器灾备建立。主服务器宕机后，备援服务器自动接管主服务器的工作，客户端无缝过渡到备援服务器上运行，确保企业 24*7 小时的运行。幻影终端集中化管理平台技术白皮书深圳市鑫网电科技有限公司 164. 总结总结幻影集中化管理平台通过自有核心技术实现了多桌面应用环境的模块化组合和动态生成以及随需提供，同时在对服务器压力以及网络带宽占用极小的情况下，确保了桌面运行的效果和传统的 PC 没有任何差异和改变，建立了在集中化管理技术领域中的全新的技术方向和解决方案。由于调用原有终端 PC 的 cup、内存、硬盘、显卡、网卡、I/O