方案背景
随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变着现行企事业单位的管理模式。作为信息的管理部门,必须考虑当前技术的发展给我们的工作所带来的利益和威胁。如何更好的利用信息网络及终端进行安全的工作和通信,同时保护计算机自身信息的安全性,成为当前终端管理深度息安全迫在眉睫的问题。
目前各企事业单位都对IT建设和管理提出了更高的要求,各企业开始意识到在IT系统建设和管理中,必须有一套规范、可管理的IT服务管理流程,同时要从不断发展的新技术中寻求真正满足和适合企业需求的IT产品,加强IT系统的建设和管理。确保系统的正常运转,保证企业业务的开展,促进企业的发展。然而建设和管理很重要,科学有效的管理理念更加重要。
传统终端管理是基于操作系统平台之上的应用程序,操作系统及其他应用程序的不稳定,使传统的终端管理工具无法从根本上解决企业对网络、系统及信息安全的高需求,目前如何从根本上解决企业网络及终端的管理和安全问题变得格外紧迫,企业网络运行中出现的各种问题可能造成难以估量的损失,因此,确保其安全、稳定、高效的运行是十分重要的。
深度虚拟终端管理系统从当前的网络整体状况及用户需求出发,结合自身的优势为企业用户提供前瞻、专业、务实的技术解决方案。
方案需求
首先,利用终端管理技术来实现对企业内部网络终端的集中和统一化管理,从而减少传统分散管理模式的复杂性,利用全新的终端管理模式实现终端的简捷管理。
其次,要利用终端管理技术实现企业内网终端操作系统的根本保护和快速恢复;即终端计算机可避免因病毒、误操作及操作系统自身问题等因素而导致的系统和应用故障,即使故障发生也会在极短的时间内得到恢复。在保障了终端操作系统安全的基础上,结合相应的终端管理功能实现系统、网络、信息的全面安全管理。同时,要实现系统及数据的负载均衡和冗余,最大限度的保障网络及终端安全。
另外,从实现简捷运维节约人力成本,及减少软、硬件投入等方面为企业提供深入的成本控制方案。
最后,在提供优秀的终端管理解决方案的同时,保证良好的用户体验;即完全不改变终端用户原有的使用习惯。并且实施和部署过程要尽量简单,完全不影响企业工作人员的正常工作。
传统终端管理技术解决上述问题的局限性
防病毒软件
- 防病毒软件已经经过了几十年的发展,从管理角度来看,依然还是无法解决软件自身被随意卸载、病毒库没有及时更新、无法有效遏制蠕虫病毒传播。
内网安全管理软件
- 内网安全管理系统无法阻止用户自行安装软件导致出现的网络滥用行为,也无法防止各种最新病毒木马的侵入。同时,对于操作系统本身出现的驱动冲突更是无能为力。
桌面管理技术
- 桌面管理系统侧重于对信息资产的管理,无法解决病毒、木马等问题,在终端应用的控制方面基于规则库进行,很难满足客户个性化的需求。
NC、瘦客户机技术
- 瘦客户机使用专业嵌入式处理器、小型本地闪存的基于PC工业标准设计的小型行业专用商用PC。但瘦客户机性能低下,通常采用精简版本的操作系统,和人们日常使用的计算机大不相同,无法实现人性化的应用,只能适用于部分中小学教室、证券炒股终端这类对应用要求极低的场合。
WSMS
- WSMS是微软公司用于解决终端计算机自动升级问题的软件,然而在实际使用过程中,终端计算机使用者总是由于操作不当等多种原因无法保持操作系统始终处于最新补丁状态。在计算机数量众多的单位,信息技术人员也无法及时发现。
现有和终端管理相关的技术都只解决了终端问题的一部分,导致许多单位花费大量资金购买了各种终端管理设备进行部署。但由于各软件之间无法很好的兼容整合,终端管理问题始终是信息化建设中的最大的风险因素。
方案概述
为保证方案的能够最终达到企业相关要求,在设计方案时遵循如下的设计原则:
- 方案先进原则:信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先;
- 系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等;
- 可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;
- 按照GB17859-1999《计算机信息系统安全保护等级划分准则》的要求建设;
- 可靠性原则:执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;
- 经济性原则:虚拟终端管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则;
- 易操作原则:虚拟终端管理系统的使用、维护、管理、发行等方面要易操作;
- 高效原则:虚拟终端管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升;
- 功能完整原则:虚拟终端管理系统的功能完整,应用安全扩展系统功能完整;
- 灵活性原则:虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。
针对企业信息化办公环境要求,对终端实现统一、集中的管理,并最大可能的保护其办公网络和系统资源与数据的安全性,获得良好的管理。同时,要保持终端用户自由、灵活的使用习惯,保证良好的用户体验。在达到良好的管理和安全的前提下实现深入的成本控制。
本方案的总体目标是在不影响企业办公网信息化办公环境网络正常工作的前提下,从虚拟安全、桌面管理等多个角度构建一套完整的终端系统管理体系,实现对企业内部网络的全面和有效管理,最终达到企业信息化建设的相关要求。主要达到以下目标:
- 实现网络及系统的简便、有效管理
- 保护系统的可用性及系统服务的连续性
- 深入控制操作系统及应用软件成本
- 保证用户灵活、个性化应用
- 保护企业内部信息的机密性、完整性
- 防范病毒的侵害
- 保持良好的用户体验
方案部署
针对企业网络对终端管理及安全提出的功能和性能要求,北京深度创天科技有限公司为了有效的满足局域网环境下实现的要求,故提出以“深度”虚拟终端产品作为基础建设安全管理系统的构想,从管理运维、安全及应用等方面为集团网络提供全面解决方案。
深度虚拟终端管理系统分为客户端和策略管理中心两个部分,其中策略管理中心为服务器端;通过建立用户定制的操作系统镜像文件及提供虚拟防护、桌面管理及行为控制等的策略管理,为客户端提供多方面的系统及策略服务。客户端通过PXE网络启动的方式通过网络加载服务及信息。
部署方式
深度虚拟终端管理系统安装部署非常简单方便,只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,然后将所有客户机的开机启动顺序改为从网络启动即可管理,不需要逐一安装客户端代理软件。如下图:
虚拟终端管理系统在企业网络中的应用
集中、统一化管理
虚拟化在终端管理方面的优势体现在可集中、统一的对终端进行管理,可完全改变传统分散的终端管理模式;终端以远程启动的方式,根据部门或应用访问相应的,经过统一配置的操作系统镜像。因终端使用统一的操作系统镜像,所以管理员可以通过对一台终端的管理而实现对全网的管理,这将会大大改变传统分散终端管理模式的复杂性,使终端管理变得简捷。
灵活、多样化的应用
深度虚拟终端管理系统在管理上可灵活设置;既可以对终端实现严格的统一控制,也可以为终端分配个性化的系统及程序;同一类终端在安装、配置个性化程序的同时不会影响操作系统和其他用户的数据及应用软件;用户可以随心所欲的使用自己喜欢的软件。
同时,深度虚拟终端管理系统采用了服务器磁盘镜像技术和网络磁盘映射功能,使用户的个性化数据可以保存到服务器的加密镜像文件中。用户所保存的数据就像在本地磁盘操作一样简单。
全面保障系统、网络及信息的安全
无论是操作系统还是应用系统的安全和稳固,在虚拟化的平台上都会得到前所未有的提升;工作主机在启动时从虚拟磁盘进行引导,由系统服务器上直接读取操作系统镜像文件,任何问题在重启操作系统后都会恢复到正常状态。终端机本地操作系统无安全隐患,工作主机对系统的所有操作都处于虚拟环境下,任何的误操作或者病毒感染、驱动冲突、软件不兼容等问题在重启后即可快速全部恢复到正常状态。管理员只需要加固服务器端便可保证整个网络的安全和稳定。
虚拟化管理平台使终端用户在遇到各种安全事件后都能在最短的时间内恢复工作,不会再因为网络、操作系统或者是应用程序的问题而中断工作,充分保障了员工的业务连续性。
系统管理员也不会把大量的时间放在重新安装操作系统、安装行业软件或者杀毒、打补丁等工作上。
同时,终端应用程序和重要信息可以选择直接统一存储在服务器端,进行统一、加密保存,并可以创建个人加密磁盘,对个人的重要信息进行加密保存,个人加密磁盘的访问需经过认证,企业和员工的信息安全可得到保证。
另外,深度虚拟终端支持“病毒库同步”、“补丁管理”、“防ARP欺骗”、“流量控制”、“恶意网站防护”以及“驱动防火墙”等功能,从多方面保护用户终端的安全。
虚拟化和终端管理相结合的方式从根本上解决了操作系统和应用的安全问题,也可保证网络及信息的安全,为用户提供全方位的安全解决方案。
深入的成本控制
应用了虚拟终端管理系统后,网络内的终端将可实现集中、统一化管理;无论是安装软件还是补丁升级都可实现一次操作全网完成,同时“重启恢复”功能将为终端系统及应用提供根本的安全保障,无论是误操作还是病毒破坏都会在重启后瞬间得到解决。这些都为网络管理人员减少了大量重复劳动,使网络及终端管理变得简捷,从而可为企业减少大量的人力成本。
虚拟终端管理系统的集中、统一管理模式利用集中的虚拟镜像为网络中所有的终端提供系统及应用,操作系统及所有应用软件均可使用单机版替代网络版,从而为企业大幅降低软件授权成本。
虚拟终端管理系统支持无硬盘终端,这也可大量节省企业硬件采购费用,可大大延长计算机终端使用寿命,大量节省能耗。
多服务器管理
在大规模的网络环境中,深度虚拟终端管理系统提供多服务器管理功能;包括可提供多服务器间的负载均衡功能,可以使网络中的所有服务器平分所承受的网络负担以增加服务器工作效率。
同时,深度虚拟终端管理系统在多服务器的网络环境中实现了多服务器数据实时同步功能,当网络中的任何一台服务器停止工作时,其他服务器可以即时承接其工作继续为客户端提供相应的数据服务。
部署简单及良好的用户体验
“深度”虚拟终端管理系统部署极为简便,只需要部署服务器端以及一台客户端即可,其他终端只需要更改启动方式即可。同时,部署工作完全不影响终端用户的正常工作,用户工作平台可实现平滑过渡。在应用了“深度”虚拟终端管理系统后,用户可保持个性化配置和应用,感受良好的稳定性和兼容性,可流畅支持1080P高清视频播放,和使用普通的PC机无差别。