电视台网络安全解决方案

1、辽宁电视台网络系统安全规划方案沈阳荣信华科技有限公司二00五年五月目 录一、辽宁电视台当前网络与应用现状分析3二、辽宁电视台网络安全改造规划7三、辽宁电视台网络管理解决方案17四、LANDesk客户端管理解决方案24（一）LANDesk管理套件主要功能及技术介绍251.1资产管理261.2 软件分发281.3 远程帮助311.4软件许可监控321.5操作系统部署及配置迁移331.6补丁管理器34（二）LANDesk管理套件的管理目标40五、辽宁电视台现有服务器安全改进分析42六、辽宁电视台数据库安全分析47七、辽宁电视台网络系统改造所需设备配置及实施规划49一、辽宁电视台当前网络现状分析辽宁电

2、视台经过多年IT建设，当前已经建立了规模化的计算机网络应用系统。网络中运行着新闻采编播系统、节目生产管理系统、固定资产管理系统、广告管理系统、电子图书馆系统等各多种应用系统。在网络设备方面，现有核心交换机Passport 8610两台，作分核心层交换设备进行相互负载分担及冗余备份，其下通过双链路连接各楼层交换机BayStack 450-24T，实现链路冗余备份。其主要的网络设备有Nortel Passport 8610核心交换机两台，楼层交换机Nortel BayStack 45024T三十台左右，天融信防火墙 NGFW 4000，绿盟 NIDS，福信科技的非法外联检测系统等设备，当前网络结构

3、如下：内部网采用Vlan方式进行逻辑分割，采用天融信防火墙进行内外网的隔离。并且部署了入侵检测，网络防病毒体系。建立了覆盖各部门的计算机应用信息系统。经我公司对辽宁电视台网络应用系统的全面分析，结合半年来我公司对辽宁电视台IT系统运行维护的经验总结，辽宁电视台当前的网络应用系统，还存在许多不足之处，主要表现在以下几个方面：1. 网络整体安全性能不够网络内时常由于蠕虫病毒爆发，造成网络阻塞，正常应用时断时续。服务器时而受到网络攻击，曾经造成FTP服务器的文件丢失。2. 网络的可管理性较差辽宁电视台现有客户端计算机800台左右,计算机中心在客户端计算机的日常维护中，需花费大量的人力与时间进行客户机

4、的日常维护管理工作。虽然在网络内部署了瑞星网络版杀毒软件，但由于当前计算机中心管理人员无法对客户端机器进行全面控制，大量客户端机器不安装杀毒软件或曾经安装但现在卸载或停用,计算机中心人员无法对客户端计算机进行管理性控制，瑞星网络版杀毒软件未能起到应有的作用，造成蠕虫病毒交叉感染、严重泛滥，严重影响了网络的正常应用。同时，由于计算机设备的更新和变化，对台内的计算机设备的管理和统计经常处于一种无序及手工统计的状态，当设备更新频繁时，原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成设备管理的混乱；安全漏洞与日俱增，原有的手工安装和分发升级文件包和补丁需要更多的人力

5、资源，还会造成时间的迟滞，影响企业的运行效率，给企业带来损失。非合法办公软件及其他软件的使用，不但造成了生产效率的低下，也给企业的形象造成了极差的影响。根据我公司在以往的网络维护当中，蠕虫病毒爆发时，对辽宁电视台网络数据流量的采样分析，下图为某一客户机在某一时刻向网络发送数据包的情况。在蠕虫病毒爆发时，类似此台客户机向网络内频发大量数据包的机器数量很多，造成网络阻塞，正常应用时断时续。发生此种情况为目前由于计算机中心对客户机的控制能力较弱而引起，为改善此种情况的发生，首要问题是加强计算机中心对全部客户机与整个网络系统的监视与控制能力。3. 现有服务器安全有待进一步提高现在台内的服务器应用主要有

6、FTP服务器、Mail服务器、Web服务器以及DNS服务器。在这里我首先针对服务器设备所存在的问题、隐患进行分析：1、现在的机房管理制度还不够完善。一些非技术人员可以随意进出机房，有可能导致服务器端的直接故障。2、现行机房规划不够完善。服务器分布散乱，没有固定标示，而且部分服务暂由PC机承担， 导致服务的稳定性受到影响。3、部分设备老化。导致服务器的效率低下，甚至已经影响到了服务器的正常应用。4、现行服务器中，存在一些与服务器应用无关的软件、服务、协议，他们的存在会降低服务器的安全性。5、现行服务器中，密码口令规律性太强，且较容易被人掌握，需要进一步规范。6、数据备份策略不完善。导致在数据受损

7、时，不能及时挽回损失。7、各个服务器权限划分不规范，没能仔细划分用户权限。8、各个服务器在初始安装以及使用过程中出现问题，存在安全漏洞。二、 辽宁电视台网络安全改造规划为改善辽宁电视台网络系统的整体安全性能，使辽宁电视台的网络系统应用水平进一步提高，需对辽宁电视台的网络系统进行全面的安全改造。通过在企业中实施全面、有效、合理的安全措施将达到以下目标： 1、保护企业运营网的业务不间断的正常运作。包括构成网络系统的所有设施、系统、以及系统所处理的数据（信息）。 2、企业中的重要信息在可控的范围内传播，即有效的控制信息传播的范围，防止重要信息泄露给企业外部的组织或人员，如当前的或潜在的竞争对手。 3

8、、以有限的代价，提高企业为其客户提供优于竞争对手的服务的能力，以获得竞争优势。 根据辽宁电视台网络系统的特点，对其网络安全策略的制定力图达到一个整体性的设计考虑。 由于网络信息安全是一个系统工程，任何一个环节的安全漏洞都可能带来全系统的不安全。因此为保证系统的全面安全，我们在网络系统中从系统多个层面入手，采用了多种有效的安全措施来实现网络系统安全。 网络安全结构模型为简化网络结构复杂度，方便问题的分析，我们将网络结构图简化为网络结构模块框架图。简化后的系统网络结构模块框架图如下： 在上图中，我们将用户网络分为几个模块：应用服务器群、用户工作站、内网设备、边界路由器（或防火墙）等，其中内网设备包

9、括内部各种网络交换机等。在辽宁电视台的网络环境中，服务器主要为两台Sun 3500作为应用服务器， FTP、WWW、DNS等PC服务器。此服务器部分应为网络安全的重点区域。网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制，全网动态安全体系可由下面的公式概括：网络安全=风险分析+制定策略+防御系统+实时监测+实时响应+灾难恢复即：网络的安全是一个“APPDRR”的动态安全模型，如图所示。上图的安全模型为网络建立了四道防线：安全保护是网络的第一道防线，能够阻止对网络的入侵和危害；安全监测是网络的第二道防线，可以及时发现入侵和破坏；实时响应是网络的第三道防线，当攻

10、击发生时维持网络“打不垮”；恢复是第四道防线，使网络在遭受攻击后能以最快的速度“起死回生”，最大程度上降低安全事件带来的损失。从安全体系的可实施、动态性角度，动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御系统、监控与检测、响应与恢复等各个方面，并且考虑到各个部分之间的动态关系与依赖性。进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析（又称风险评估、风险管理），是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法：定性分析和定量分析。在制定网络安全策略的时候，我们要从全局进行考虑，基于风险分析的结果进行决策。采取科学的风险分析方

11、法对公司的网络进行风险分析是非常关键的。在确认了有关的安全要求的前提下，下一步应是制定及实施安全策略，来保证把风险控制在可接受的范围之内。安全策略的制定，依据相关的国内外标准或行业标准进行设计。安全策略的制定，针对辽宁电视台的网络应用、安全环境、安全目标而量身定制，选择合适的安全体系规划网络的安全。安全策略制定后，在与用户技术人员进行充分的沟通确认后，进行全网安全策略的实施。包括在交换机上设置访问控制列表（Traffic filter）, 防火墙策略的调整、入侵检测IDS策略的调整等。经过我公司对辽宁电视台当前网络安全系统的充分分析论证，提出的网络安全整体规划结构如下：下面，基于网络安全系统中

12、各个方面，分析系统的安全风险并提出安全规划建议。（一）内网服务器区域内网服务器区域的当前网络连接情况如下所示： 小型机SUN 3500及所有PC服务器都直接连在核心交换机Passport 8610上，网内的所有客户机都可不限权限的对服务器进行访问。服务器区域与内网客户机没有进行安全隔离，存在较大的安全隐患。内网蠕虫病毒爆发，也同时对服务器区域造成较大的安全威胁。我们建议对服务器区域进行安全隔离，规划后的网络结构如下：内网区域访问服务器需经过防火墙认证控制，同时，由于防病毒网关的隔离，内网的病毒也无法感染服务器区域，极大的提高了服务器区域的安全性。当前，辽宁电视台内的其他部门还有应用服务器放置在

13、本部门内，没有在计算机中心统一管理。经网络安全改造后，由于服务器区域安全性能的极大提高，此部分服务器可统一放置于计算机中心的服务器区域，提高了访问的安全性，同时方便统一管理，对以前服务器的正常应用不会造成任何影响。（二）DMZ区域原DMZ区域的网络连接情况如下所示：防火墙连接只在主核心交换机上，其DMZ接口连接DMZ区域交换机，服务器连接在DMZ交换机上。规划后的网络结构如下：采用两台防火墙进行热备配置，分别连接两台核心交换机。设备及链路都进行了冗余配置，提高了网络的健壮性。（三）Internet连接当前连接情况：防火墙经外网交换机接入Internet。此区域当前存在一定的安全隐患：首先，防火

14、墙作为企业接入Internet的出口，占有及其重要的作用，一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与Internet失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。规划后的结构：新增加一台防火墙和一台防病毒过滤网关。防病毒网关可对进入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网的安全性。当前城域网Internet连接的带宽为20M，根据辽宁电视台未来的应用需求，可考虑网络改造后，将Internet连接带宽升级为100M。（四）与播出系统的网络连接情况当前网络由于出于安全性考虑，播出系统与台内的网络系统没有进行连接。在网络安全改造后，由于

15、安全性能的提高，可将两个网络进行连接，提高网络的使用效率。两个网络之间采用防火墙和病毒过滤网关进行安全隔离，即使主网络内即使有病毒也不会影响到播出系统。（五） 内网设备的安全内网网络设备包括网络系统内部二层交换机和三层核心交换设备。它们是网络访问和网络服务的桥梁，修改或破坏网络设备或配置都会带来用户业务的安全损失。网络设备可能遭遇的网络攻击有： 非法登入 地址欺骗 服务攻击，如DoS攻击 窃听 要消除和减轻对系统网络设备的安全攻击或危险，对辽宁电视台的网络采取以下措施： 利用网络入侵检测系统监视、发现对网络设备的攻击行为，如DoS攻击。 利用防火墙（包括边界和主机防火墙）制止非法网络访问和地址

16、欺骗。 在核心交换机上配置访问控制列表（Traffic Filter）限制非法用户对网络设备的访问及限制网络中的非法数据流量。 为实时监控网络中可能的对系统内网网络设备的攻击行为，在网络中采用入侵检测产品IDS自动检测网络数据流中潜在的入侵、攻击和滥用行为，提供网络保护功能。（五）物理设备的安全在中心机房与外网互连部分使用了部分D-link非网管交换机和集线器，此部分低端网络设备性能不够稳定，且难于进行网络管理。此部分设备一旦出现问题，将会影响全台对Internet的连接，建议对此部分设备进行更换。现在此部分的线路连接不够规范合理，走线较为凌乱，且没有线路标识，给网络故障的排除造成一定的困难。

17、建议在此部分设备更换后，对线路进行规范整理。维护及改善机房内的UPS供电系统,确保设备供电的安全性。（六）荣科公司网络安全的其它建议仅仅依靠纯技术工具来实现安全目标也是不现实的，经验表明，没有一套好的网络安全管理规章制度、安全风险评估和处置办法等管理手段，没有对具体业务的安全特点和安全环境的正确分析和认识，任何安全技术、产品都解决不了真正的安全问题。一个好的安全管理应包括以下要素：公司对网络安全高度重视成员知晓并遵从安全管理规则和指南 完备的安全职责和安全评价方法，处理渠道 了解企业的业务需求，制定相适应的安全措施 了解安全风险所在 长远安全规划 专业的安全管理队伍 采用面向业务的全面安全解决

18、方案没有两个用户的业务形式、业务行为、业务环境是完全相同的，这就注定每个用户的业务对安全的需求是各不相同的。真正解决用户的安全问题就必须去了解用户的业务并制定出真正满足用户业务的安全解决方案。三、辽宁电视台网络管理解决方案保障全网网络设备的稳定正常运行是保障应用系统正常运行的基础。当前辽宁电视台没有一套系统的网络管理软件对全网进行实时管理故障分析，使网络故障定位比较困难，延缓了网络故障的解决时间，效率较低。在辽宁电视台当前的网络规模下，选择一套系统的网络管理软件平台进行全网的监控与管理已经显得尤为必要。Tivoli Netview可以满足大型和小型网络管理人员的需要，能够提供可扩展的全面、分布

19、式网络解决方案，以及灵活的管理关键任务的能力。从确保关键业务系统的可用性和提供快速的问题解决方案。Tivoli Netview网络管理解决方案可以实现：通过可用性评估和故障隔离来进行问题的管理； 通过一个Web控制台为不同地域的网络管理员提供网络管理功能； 提供一个可扩展、分布式的管理解决方案； 生成网络运行趋势和分析报告。Tivoli netview生成的网络实时拓扑图：Tivoli NetView是IBM公司著名的网络管理软件，能够提供整个网络环境的完整视图，实现网络产品的管理。它采用标准的SNMP协议对网络上符合该协议的设备进行实时的监控，对网络中发生的故障进行报警，从而减少系统管理的管

20、理难度和管理工作量。NetView以其先进性、可靠性、安全性获得多项大奖，在市场上有较高的占有率。Tivoli Netview能够帮助企业用户快速实施低成本的网络管理解决方案。（一）Tivoli Netview的主要功能对网络设备的自动发现自动发现管辖区域内的网上的IP资源，如：服务器、工作站、路由器和交换机等，并自动以不同的图标表示不同的设备，也可以规定搜索的地址范围。NetView能够根据发现的数据自动生成整个网络的拓朴图，即可在图形用户界面上再现直观的网络拓扑结构图，使系统管理员对整个区域的网络系统有一个全面的了解。事件处理/报警NetView通过轮循或请示/应答方式对整个网络的设备进行

21、监控，网上IP资源会在需要的时候发生相应的报告，NetView可以持续不间断地对网上的IP资源的状态，配置和事件进行监控。事件自动响应机制可使网络管理员从手动操作中解放出来。在NetView中可以对某些监控的对象，如某块网卡的网络流量等，设置阀值。当所设定的阀值一旦达到的时候，NetView会报警、自动执行相应的处理等。NetView具有处理网络事件的Correlation Engine的功能。使管理人员只对关键事件加以关注，使其在大网及超大网的事件管理上，达到很高的效率。两级管理模式对于大型网络，透过WAN进行单点网络管理时，往往会出现SNMP包占用大量并不宽裕的网络带宽的情况，从而影响客户

22、业务系统的应用。在NetView中可以采用两级管理的模式：NetView级联：在中心和一些广域连接的节点，分别安装NetView，对该节点的网络进行管理，然后可将各节点的事件根据重要级别发送到中心的NetView，中心可以对整个网络进行全局管理和控制，从而提高管理效率。MLM模式：这是NetView的独特功能，MLM（中级管理器）是在各节点运行的NetView进程，该进程没有界面，不需用户管理。网络管理人员可以在中心通过MLM所具有的过滤、阀值和自动功能对相关进程系统进行管理。支持多种数据库，促进业务智能：NetView支持DB2,Sybase,Oracle,Informix等业界著名的数据库

23、管理系统，可以将网络管理数据传入关系型数据库系统中。从而为大量网络管理数据的处理，分析，报表制作提供了方便。强大的报表功能NetView产生了大量信息，可以存储在关系型数据库中，所以查询、制作报表十分简单。强大的Web集成能力NetView有极强的Web能力，自带Web Server，支持图形化的拓扑显示。通过Web浏览器，可以实现许多管理能力。灵活的两次开发接口网络管理的世界是灵活多变的，NetView提供多种机制让用户扩展功能以满足特殊需要。客户可以对标准的MIB数据进行扩充，建立自己的MIB应用。企业和服务提供商越来越认识到在当今计算环境中网络管理的重要战略地位。IBM Tivoli N

24、etView 扩展了传统网络管理技术特性，确保关键业务系统的可用性并提供快速问题解决。IBM Tivoli NetView 检测TCP/IP 网络、显示网络拓扑结构、关联和管理事件和SNMP 陷阱、监控网络运行状况并收集性能数据。通过提供可伸缩性和灵活性，Tivoli NetView 满足了大型网络管理人员的需要，用以管理关键任务环境。 IBM Tivoli NetView 通过以下功能实现其管理目标：提供可升缩的分布式管理解决方案。 迅速识别导致网络故障的根源。 构建管理关键业务系统的集合。 与领先的软件产品集成，例如 CiscoWorks2000。 维护资产管理的设备清单。 评估系统可用性

25、并提供问题控制和管理的故障隔离。 报告网络趋势并进行分析。 Tivili Netview的功能总结：特性优势获益路由器故障隔离迅速识别并关注发生网络错误的问题根源缩短响应和解决网络错误所需的时间。减少事件流量企业可伸缩性使用真正的分布式组件，包括Tivoli NetView Mid-level Manager、Tivoli NetView server 和Java Web 控制台减少网络流量。支持设备的本地管理。通过减少所需的系统资源数量来最大限度地利用计算资源集成 Tivoli 系统管理应用程序在计算环境中，可以跨所有资源共享信息和通用范例支持从一组核心应用程序管理所有资源。减少培训成本和管

26、理复杂度Web 浏览器界面允许用户从任何支持的Web浏览器中查看网络信息通过提供易用的远程访问特性将信息分发给更多人用户定义的检测限制在指定节点进行检测支持您管理最关注的设备。提供更快的数据库响应，以便利用更少的硬件资源来更快速地解决问题SmartSets组合网络设备以满足您的需要允许您关注特定资源，以更快速地解决问题。确保所有受管数据的准确一致性。通过自动调整到一个动态环境，减少错误率本地级别的自动问题检测和响应在用户受到影响前，自动校正错误根源最大程度地减少昂贵的停机时间和性能问题。使技术人员可关注更重要的问题。无需在远程位置配备专门人员 （二）Tivili Netview的竞争优势高度实

27、用性现在企业的管理模式更为灵活，有集中有分布，网络管理的最后目的是为了保证企业业务的正常运行。在架构企业网络管理体系的时候，可以根据企业现有的运作模式来确定NetView的设置方式。高度灵活性任何企业都不可能是一成不变的，产品的灵活性决定了解决方案适应其操作和管理环境变化的难易程度，NetView具有高度的灵活性： Tivoli的产品提供了大量的工具包和应用程序接口。 NetView能够对布局变化自动做出反应。 在管理域的定义、建立和改变上都非常简单，管理视图易于调整以反应域中相互关系的变化、信息需求的变化。 高度自动化作为成熟的网络管理产品，NetView使内部管理过程自动化，这一方式提供一

28、种预先行动系统，能够在网络出现问题以前作出反应。高安全性及可靠性NetView提供先进的网络管理安全性与可靠的支持。网络管理人员具有独立于操作系统的多层安全性帐户与登录口令，可在分布式网络管理系统的任一端登陆管理系统，或进行加锁。在可靠性上，NetView系统提供完善的热备份机制，无论是在多个NetView之间还是在NetView与MLM之间。易于使用的界面NetView图形界面基于OSF/Motif和X-Window系统标准，可以监控网络的动态视图。图形界面支持多种网络模型，包括环、树、总线型和星型，以满足不同网络的需要。对第三方厂家的支持NetView能够管理第三方厂家的网络设备，NetV

29、iew支持标准的MIB-II管理信息及主要厂家的MIB管理信息。另一方面，NetView不仅仅是一个网络管理软件，而且还是一个网管平台，许多厂家在开发网络设备的同时也开发了基于NetView的管理软件。多平台的支持能力NetView支持AIX, Sun Solaris, Digital UNIX和Windows。四、LANDesk客户端管理解决方案根据辽宁电视台目前客户端管理的现状，我们推荐使用LANDesk的客户端管理解决方案进行辽宁电视台客户端的管理。LANDesk管理套件作为一个完全集成的模块化软件，拥有资产管理、软件分发及修复、OS分发及配置迁移，软件许可监控、远程帮助以及补丁管理器、

30、服务器管理器等多个模块和插件。这些模块能实现企业IT设备全生命周期管理并且在企业信息资源管理系统发生意外损失时，能将损失减少到最低点，同时最大程度的提高IT的投资回报。可大大加强计算机中心对终端PC机的控制能力。LANDesk桌面管理套件是应用于大中型企业环境下的计算机管理的最佳解决方案。它提供了从计算机资产管理、软件分发及应用以及远程帮助等方面的众多功能，已经成为国外电信、金融、保险、证券、政府以及各计算机厂商进行企业IT管理的必备工具。LANDesk产品的用户包括可口可乐、HONEYWELL、美国航空航天局、汉莎航空、TOSHIBA、东京三菱银行、美国第一银行、SUNTRUST保险、中国石

31、化、中央电视台等，已在全球部署了超过2亿5千万个节点。（一）LANDesk管理套件主要功能及技术介绍蓝代斯克管理套件 8 使IT专家能够自动完成系统管理任务以及预先管理桌面设备、服务器和移动设备。没有任何管理解决方案能象蓝代斯克管理套件这样更全面、更集成化、更易于使用。蓝代斯克管理套件 8 提高了企业IT管理的效率，使IT员工能够： 保持最新的安全补丁和病毒更新 高效的安装和维护桌面软件 减少软件许可证的费用以及响应审计的要求 降低支持中心费用 自动的发现和管理软硬件资产 向新操作系统迁移用户和配置信息蓝代斯克管理套件 8 在对网络资源影响最小的情况下，能充分发挥企业现有的在异构环境下技术投资

32、的优势，如数据库、应用程序以及目录服务等。1.1 资产管理：本软件具有强大的计算机资产管理功能，通过LANDesk Management Suite中集成的客户端的库存管理功能，所有的软硬件库存数据都将存放在中心数据库中以备查询，服务器端能管理所辖的客户端的计算机软硬件资源，包括硬件、软件的数量、版本等。如：所辖客户端的计算机的BIOS参数内容、CPU类型、内存数量、系统信息、操作系统版本等。库存管理可支持基于INTEL架构的服务器及客户端，可支持WINDOWS，LINUX及UNIX平台。资产管理为帮助公司了解现有计算机资产信息，并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础

33、信息。LANDesk 管理套件已定义多达100种报表，并与Crystal report紧密集成，由用户自定义报表类型。同时，LANDesk支持以WEB方式展示报表内容。LANDesk管理套件具有完善的报警功能，能够将所有的库存变化以日志及警报的方式及时通知管理人员，同时还支持以邮件、SNMP陷阱等多种方式提供报警，也支持调用运行程序进行自我修复，充分确保服务器及其他设备的运行安全。1.2 软件分发： 作为桌面设备管理行业的领导厂商, LANDesk的软件分发功能具有高效、安全及全面的特点。LANDesk的软件分发功能支持多种软件分发格式，包括：LANDesk 程序生成安装包、多文件MSI安装包

34、、独立软件安装包、操作系统映像以及WISE安装包。LANDesk的软件分发功能技术使用了多项业界领先的专利技术来确保分发任务的高效、完整，并且对系统资源的耗费最小化。这些重要的功能和技术包括：可计划的任务分发、灵活的应用策略管理、任务完成、基于快照的程序包生成器及增强程序包生成器、有目标的多址分发技术、对等下载、字节级的断点续传技术、带宽检测技术、动态带宽调整技术、多映像格式的操作系统分发技术、多平台支持技术等。此外，LANDesk Management Suite内置的应用修复功能，还可以对客户端出现程序损坏时对关键文件进行修复。例如：当用户打开一个应用程序如WORD，如果软件出现问题而不能

35、正常运行时，应用修复功能能够自动的对损坏或删除的程序文件进行更新，当修复完成后，应用程序能够自动的执行。可计划的任务分发：LANDesk的软件分发任务可即时或按自定义的计划时间向指定的客户群组进行分发操作并可定义重复的频率及分发任务失败后的重新开始，计划分发还可采用网络唤醒技术在非工作时间唤醒目标设备并进行分发作业，极大的减少对正常业务的影响。灵活的应用策略管理：LANDesk的应用策略管理可针对特定目标群组制定单独的应用策略，目标群组可以是任何LANDesk群组、LDAP及AD成员组或根据自定义查询结果产生。通过制定不同的应用策略来确保管理实施的高效性和灵活性。任务完成：LANDesk通过连

36、接时检测未完成任务并继续完成来确保分发任务的有效实施，与字节级的断点续传技术的结合是针对临时连接的便携设备及移动环境下的手持设备的分发任务的极佳解决方案。基于快照的程序包生成器及增强程序包生成器：LANDesk采用在与目标设备类似的基准设备上通过对比软件安装前后变化的快照技术生成软件安装包，快照技术能够方便的将多种软件集合生成单一安装包并进行分发，极大的提高的工作效率。增强程序包生成器提供了基础的安装包生成程序，使用脚本语言为专业的IT维护人员提供自主定义软件安装方法，用户可定义安装文件内容、界面、注册表键值、执行条件和安装过程中可执行的命令等。 有目标的多址分发技术：LANDesk的核心服务

37、器使用有目标的多址分发技术来自动发现适合作为域或子网代表的客户端，并通过与域代表的点对点传输来下载软件包，并由域代表最终在子网内进行广播分发来实现高效的软件分发。使用TMC技术，可以突破多子网广播的路由壁垒，并且节省子网间有限的带宽以及主机资源。由第三方测试机构做出的测试结果表明，TMC技术比Unicast技术节省75%以上的带宽资源并且有最小的时间消耗。LANDesk TMC（有目标多址广播）与Unicast及手动安装性能对比Example Comparison No Systems1200Network Bandwidth100Utilization50%Package Size129Su

38、bnets50ManualUnicastingMulticastingTime per System (Mins)10Total Time (Hrs)2006.880.29Bandwidth (MB)6450Bandwidth CompareManualUnicastMulticastManual100.00%100.00%2400.00%Unicast100.00%100.00%2400.00%Multicast4.17%4.17%100.00%Time CompareManualUnicastMulticastManual100.00%2906.98%69767.44%Unicast3.4

39、4%100.00%2400.00%Multicast0.14%4.17%100.00%对等下载：LANDesk的客户端在使用对等下载技术时会主动查询子网其他客户端或缓存，如发现已有下载的软件包，客户端会自动实现本地下载，当子网内无相应数据时，客户端才向核心服务器发起下载请求，能够降低主机资源和带宽耗费。字节级的断点续传技术：LANDesk在实现软件分发任务时，如有任何原因造成的下载中断，客户端再次连接时会自动进行断点续传，从而确保安装任务完成。带宽检测技术：LANDesk软件分发功能可自定义检测带宽，在低速连接时不进行软件分发操作，从而确保软件分发不会影响移动或便携式设备在低速网络连接时（Mo

40、dem）其他必要的业务功能。动态带宽调整技术：LANDesk的动态带宽调整技术能够确保带宽资源的有效使用性。动态带宽调整功能可自定义软件分发作业最小的带宽占用，并可自动检测当前网络带宽使用情况，当发现有带宽空闲时，动态带宽调整功能会缓慢的提高分发任务的带宽占用比例直至基本全部占用，当发现有其他任务需要占用网络资源时，动态带宽调整功能会迅速释放所有带宽，并下降及维持基本的自定义带宽占用直至下次有空闲资源为止。动态带宽调整技术减少了管理对网络资源的压力并确保用户必须的业务功能不受影响。多映像格式的操作系统分发技术：LANDesk管理套件支持分发LANDesk Image格式、Norton Ghos

41、t格式、PowerQuest格式的映像文件，并可通过PXE技术实现远程的裸机操作系统分发和配置文件更新。多平台支持技术：LANDesk支持Windows及Mac环境下的软件分发任务。1.3远程帮助及问题解决：可以对远程需要帮助的计算机进行在服务器端的操作，这样，可以帮助远程的客户端进行异地操作和检查系统问题，充分发挥、共享服务器端的技术优势。 1.4软件许可监控：对客户端的软件授权证书进行检查和限制。使用软件许可监控功能，你可以轻松的了解当前网络中应用软件的使用数量，可以知道当前软件的使用趋势，也可以限制许可证的使用数量，确保公司的软件使用符合许可。同时，针对例如聊天软件或游戏等影响企业工作的

42、非合法软件，也可以通过应用程序拒绝来限制使用应用软件的使用，从而控制应用软件的非法使用。1.5操作系统部署及配置迁移：LANDesk操作系统部署向导自动的完成整个操作系统部署和迁移流程。自动化的配置文件迁移保存用户、系统和应用程序设置并且在迁移完成后自动恢复配置，可扩展的应用程序迁移库和SDK意味着你可以自主开发迁移脚本。映像无关性部署可以分发由任何标准工具制作的映像。蓝代斯克有目标的多址广播技术使用在向多用户进行部署任务带宽占用最小化；PXE代理技术实现了向裸机部署操作系统而无需子网专用服务器；基于脚本的安装后配置实现完成无人值守任务（SYSPREP）操作系统部署和迁移功能包括： 蓝代斯克操

43、作系统部署向导引导IT管理人员完成整个操作系统部署和迁移流程 远程映像捕获使创建操作系统映像更容易 映像无关性分发允许使用由其他映像工具创建的现有磁盘映像 自动的配置文件迁移捕获用户和应用程序设置，桌面设备和用户数据，你可以在映像部署后快速的恢复用户环境 可扩展的应用程序迁移库以及可用的SDK 蓝代斯克有目标的多址广播技术在加速了向多目标的部署的同时最小化带宽占用来减少总的网络流量而且不需要专用硬件设备或者改变路由器配置。 PXE代理技术允许快速的裸机介质安装而不需要在每个子网内的专用服务器、启动盘或网络重配置 自动的SYSPREP管理使用映像部署后配置完全自动化 自动的部署应用程序使用户可以

44、立即的完成部署后启动和运行1.6补丁管理器：LANDesk补丁管理器是应用于企业环境下的计算机补丁管理的最佳解决方案。它提供了从计算机系统与应用程序的自动漏洞检测、自动的漏洞评估、与风险中的设备的自动定位、漏洞的自动修复，同时与软件分发功能的完美结合，使补丁分发更加高效。蓝代斯克补丁包管理器8是蓝代斯克管理套件8的附加服务能够高效的自动进行漏洞评估，修补以及即时的补丁管理。功能包括： 与蓝代斯克管理套件8无缝集成，实现在单一全面的管理环境里统一的关键任务管理。 自动的与已知漏洞的标准数据库对比评估当前状态并定位和向每台存在漏洞的计算机分发合适的补丁 控制台显示检测的漏洞易于帮助管理者计划、定位

45、和制定决策； 自动的补丁下载和分发安装包加速了解决安全隐患的时间 预先测试补丁功能能够确保补丁安装后的状态和功能不被影响 任务完成，状态监控和库存审计帮助IT确保补丁能够成功安装 基于策略的管理能够自动的识别、下载、定位和安装补丁以及基于规则的实现主动的补丁管理和计算环境安全1.6.1 LANDesk补丁管理结构及说明（1）补丁管理层次LANDesk桌面安全管理可分为三个层次：a. 安全补丁管理LANDesk补丁管理器能够更高效的实现安全补丁管理。补丁可以被存储在本地网络来确保它们的更高可读性和加速分发。每个补丁都是预先被测试并被校验能够按要求安装和执行。安全漏洞能够直接被显示在控制台上。按平

46、台、安全漏洞、影响程序或者单独计算机进行划分来实现快速的计划和修补。能够直接从控制台研究单独的安全漏洞和相关的补丁。单键点击访问能够加速您做出的决定。直接从检测出的安全漏洞列表中选择目标和修补方式，更快的解决所有的问题。LANDesk补丁管理器能够使用多种方法来分发补丁。 计划任务使用任务计划器来建立软件分发任务和向有安全漏洞的计算机分发补丁。实现快速的修复；使用LANDesk有目标多址广播技术来减少对网络的影响。 应用策略增加补丁策略到一个新的或已有的策略中从而实现对现有或将来所有的有安全漏洞的设备有效。领先的LANDesk对等下载技术能够在广域网条件下高效的实现策略。 自动修复自动的向选定

47、的设备安装当前或将来可能的补丁；无须IT人员的干涉。单独使用以上选项或混合使用来修复当前的安全漏洞并确保将来的补丁安全。b. 病毒更新包管理使用LANDesk补丁管理器中的自定义漏洞功能，用户可以方便的将客户端的任意的文件属性（如版本、日期或文件大小）或注册表属性指定为自定义的漏洞约束条件，并利用漏洞扫描器对可能存在相应约束条件的客户端进行扫描，确定存在漏洞设备，同时，可利用修补功能自动或手动的安装相应的程序包。通过以上方法，IT管理员可以对企业内部多种防病毒程序进行快速的病毒升级包更新。IT管理人员可以将已知下载的各类防病毒升级包作为修补程序，并通过跟踪不同防病毒程序的升级包版本以及相应的防

48、病毒程序是否存在来确定客户端是否处于安全威胁状态。如果客户端病毒版本较老，补丁管理器可以快速的将新的升级包安装到客户端。病毒更新包能够充分发挥补丁管理器现有的软件分发方面的优势，能够快速并且高效的将升级包分发至用户系统，而且能够支持企业目前存在的多种防病毒产品的情况，利用有业界领先的有目标多址广播及对等下载技术，LANDesk病毒更新包管理能够提供远超于防病毒产品自身分发机制的高效率。c. 桌面安全策略管理LANDesk补丁管理器有极强的桌面安全策略定制能力，使用LANDesk程序包生成器的专家模式，用户可以自定义客户运行的可执行程序及脚本，包括对注册表及组策略的配置等，从而可以实现对客户端基

49、础安全状态的管理，如通过注册表控制限制使用CDROM或USB设备，限制修改网络属性或IE属性，或者是设定本地安全策略来提供对弱口令及其他组策略的限制（需操作系统支持）。对客户端的各种安全配置可以方便的封装为可执行文件，然后使用LANDesk软件分发策略向需要管理的设备进行分发作业即可。此外，使用LANDesk补丁管理器中的自定义安全漏洞功能可以灵活的自由扩展到管理的任意细节，由IT管理员分析并任意定义客户端约束条件，如注册表或者文件夹等，将已封装好的可执行文件作为修补程序。当漏洞扫描器发现客户端出现相应的约束条件时（如驱动程序版本不符），系统可自动或手动的应用相关的修补程序（更新驱动程序），以

50、确保客户端使用最新的应用环境。(2) 功能特性LANDesk补丁管理器 Patch Manager 8是一个可更新的服务，扩展了LANDesk管理套件 8的能力，实现在异构IT环境内自动的安全漏洞评估和补丁管理，建立和保持应用程序和操作系统的安全基线、稳定性和性能。LANDesk补丁管理器使用IT员工能够： 使用主动的安全漏洞扫描实现快速的评估系统 依据业界标准的信息数据源来定位安全漏洞 研究、回顾和下载可用的补丁 通过自动地定位和补丁分发实现高效的修补已知的安全漏洞 建立主动的管理策略来自动的保持当前的补丁更新(3) 补丁管理器的企业效益a. 方便的定位安全漏洞 依据业界标准的信息源主动的扫

51、描被管理计算机并确定应用程序和操作系统安全漏洞：自定义漏洞功能能够支持客户自已定义的应用程序、策略以及安全需要。直接在控制台上查看评估结果并且按漏洞、平台、应用程序或者单独计算机来进行划分并帮助您设计您的修补计划。 快速的定位和下载与每个漏洞相关的补丁：每个补丁都是预先被测试并被校验能够按要求安装和执行。只需简单的点击要求，就能交互每个补丁的已知问题，从而易于定位独特的需求和问题，甚至包括不能访问的系统和需要手工修补的设备。b. 高效的控制修复 LANDesk补丁管理器 8是全面的、通用的和高效的补丁修补工具。快速的计划分发任务能够向单独的计算机或群组应用补丁。通过建立策略能够自动的用向特定的

52、操作系统安装特定的补丁。能够通过自动修复功能自动的下载和安装新的补丁。 报告修复结果，包括哪台计算机需要特定的补丁，哪台计算机已经安装了补丁，哪台计算机需要进行手工修补。快速的定位不能被修复的设备来处理特殊需求和要求。报告已完成和正在进行的修复需求。（二）LANDesk管理套件的管理目标2.1 实施控制使用统一的数据库来建立系统信息的单一数据源，使用卓越的蓝代斯克技术带来更高的效率，使用完全客户化定制和集成的控制台，蓝代斯克管理套件在更小花费下代给您更多的控制能力。发现企业计算机资产信息，它们的配置情况和在网络中的位置。软件分发、应用策略管理和更多的商业报表给IT管理人员带来了对每个系统配置实

53、施控制的新工具并且能够使之标准化，然后自动化的维护设备。快速的定位指定目标设备，然后高效的分发软件、升级包和补丁程序来管理全网内的计算机。使用自动的操作系统部署和配置迁移工具来帮助用户向新操作系统升级。建立同时基于机器配置和用户信息的策略来自动地安装或卸载软件，分发补丁和更新包。配置一台新计算机、安装新的软件、补丁包变成了非常简单的事，只需将一个用户或一台设备定义到相应的策略组内，剩下的就交给系统去处理吧。新策略能够自动的在全部企业环境下延续。提升了计算机中心对客户端机器的控制能力，通过软件分法、远程管理功能加强对客户机的管理控制能力，减少因客户机病毒爆发、其它问题引起对整个网络的不良影响。2

54、.2 提高效率效率意味着自动完成日常任务，并且对人力及IT资源产生最小的影响。在最少的时间、努力和花费下做更多的事。一个完全客户化定制的控制台能够方便的建立基于任务优化的控制台视图和基于用户规则的对控制台功能的访问限制。例如，可以给财务部门的职员只定义库存跟踪和分析功能，给支持中心的职工只定义远程控制的功能，给IT管理人员定义远程对全部功能访问权限-但只能在他使用办公室的计算机的时候。卓越的蓝代斯克技术，例如有目标的多址广播(tm)以及对等下载(tm)使快速、高效的软件和操作系统部署成为可能，并且支持对网络影响最小的应用策略管理，在无需专用硬件设备和特定配置情况下实现高效率的管理。2.3 减轻

55、管理上的痛苦高效并且自动化在您企业环境里实施控制能使您更容易的适应新技术和新应用的发展，并且对新的问题和新的威胁及时响应。知道企业有什么资产和知道如何这些资产是如何配置的能够排除系统的不确定性和减少在系统管理中的痛苦。强大的查询工具使用您能快速的分析和了解企业的IT环境从而使您能在软件、硬件有更新或升级需求时作出明智的决定。丰富的商务报表能够更容易的显示共同任务的进展，证明IT标准的符合度以及计划您未来的扩充计划。减少您在IT管理上的痛苦-使用蓝代斯克管理套件 8 来实施控制以保持全面集成的系统管理。2.4确保安全无缝集成意味着使用单一，完整的解决方案来统一重要的系统管理任务。发挥领先的LANDesk技术例如有目标的多址广播和对等下载的优势加速对有安全漏洞系统的修补并且高效的保持整个网络的补丁策略。完善和统一的架构带来了业界领先的易于使用、高效和控制的软件，同时也带来了创新的技术，创造出一个单一、集成的解决方案，使用LANDesk管理