新一代桌面管理主要问题分析

申请免费试用、咨询电话：400-8352-114

桌面管理平台的必要性

目前国内政府机关、军队、公安、保密部门、科研机构、金融及证券和企事业单位中的网络都具有相当的规模，网络中大量使用计算机及其它网络设备。这些设备带来高效应用的同时，由于自身确实存在着安全风险隐患，应该采用相关网络安全技术、手段来保障整个网络运行的安全。

尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决：
 
移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素；内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为；
违反规定将专网专用的计算机带出网络进入到其它网络；

大规模病毒（安全）事件发生后，网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节，无法做到事后分析、加强安全预警；静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况；针对网络内部安全隐患，自动检测网络中主机的安全防范等级，进行补丁大面积分发，彻底解决网络中的不安全因素。

如何解决以上这些安全问题成为网络工程师最为关注的问题，需要从全网每个网络参与者进行控制，保证其网络行为的安全，因此对内网部署桌面管理软件就显得非常必要，通过规范内网所有人员的操作，保障网络的安全运行。

桌面管理平台解决方案

桌面管理平台旨在为大型企事业单位、政府解决数量众多的桌面电脑安全管理维护问题而设计，可以很好地解决系统管理员面临众多问题，解决数量众多的桌面电脑批量安全管理，行为审计和远程维护等难题,一般来说具有以下基本功能:

完备的IT资产分级安全管理
由于不同信息资产其安全等级不同，在安全管理上必须采用不同的安全管理策略。BS7799作为全球安全管理的最佳实践规范，也强调要对不同安全要求的信息资产采取不同的安全管理策略。

硬件资产管理为IT管理员提供便捷的查看全网桌面终端硬件分布情况的有效手段。包括硬件设备信息统计、软件资产统计、设备变更信息统计，要求能够自动探测当前网络中的所有机器，记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息、物理位置，IT资产从采购时输入一直到接入网络、日常维修、一直到报废。一般按照部门、IP地址范围、MAC地址、设备类型、操作系统类别、操作系统语言、资产各种配置、设备在线状态等等方式分类。

桌面设置及运维
系统管理员可以通过WEB管理平台，远程管理桌面终端的进程、共享文件夹、远程重启、注销、锁定、解锁、关闭甚至卸载终端，还可以获取远程桌面屏幕。可以通过WEB平台进行桌面网络属性设置，比如修改网络参数、修改计算机名称、工作组名称等等。

智能补丁管理
自动补丁包含两个主要功能，自动补丁漏洞检测安装，网络内所有计算机补丁安装情况浏览。桌面管理平台的自动补丁模块最基本的功能就是按照即定的策略对桌面终端进行补丁的自动检测、服务器对所需的补丁下载和自动安装。

桌面管理平台的策略都可以针对单台终端，也可以采用继承上级组的机制对一组或多台终端生效，同时将自动检测每个桌面终端的补丁现状，下载企业需要的还未安装的补丁，并以服务器为中心，进行策略控制下的推送安装，确保所有网络桌面终端能在最短时间内按即定的策略完成所需的补丁安装，减少黑客或病毒攻击的机率，提高网络及终端的安全性和可用性。

黑白进程管理
通过桌面管理平台策略中心的黑白进程策略，网络管理员能够对网络中所有客户端主机中当前运行的所有进程进行实时监控，网络管理员可以根据需要直接终止非法进程（如木马程序、QQ、MSN和网络游戏以及蠕虫病毒等）的运行，并能在一些非法及非正常运行的进程时，根据网络管理员的安全策略自动报警或中止这些非法进程的运行。

外接设备管理
桌面管理平台策略中心的设备策略对所有安装客户端主机的外接设备进行统一的管理，网络管理员只需在控制中心进行相应的配置即可控制这些主机是否允许其使用诸如USB接口、并口、串口、光驱、软驱等外接设备。该功能最大的特色是在对USB接口进行管理时，若用户使用USB键盘和鼠标时是不会限制的，只有用户使用USB硬盘和优盘等存储设备时才会被禁止。

便捷的远程维护
桌面管理平台主要提供两种远程维护方式，远程桌面查看、远程终端控制，并且配合消息交换功能，可以很好地让IT管理员进行远程故障诊断和排除，很好地提高工作效率。并且支持可以让客户端确认的过程。如果没有用户的确认则无法接管终端。终端远程服务只是在需要的时候开启，使用动态密码方式保证远程服务的安全性。

简易终端接入安全控制
规定企业的DMZ服务器，桌面管理平台安全接入控制杜绝非法外来电脑接入内部网络，除非得到网络管理员的确认，并提供用户MAC认证机制。同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止。一方面可以防止这些桌面电脑成为病毒攻击目标，还可以防止这些主动成为病毒传播的源头。

软件分发与安装
桌面管理平台提供了客户很方便的像可执行程序、MSI安装包或者文档数据文件自动下发与安装的功能。支持参数方式增加软件分发时安装选项，这一功能可以使得IT管理员很方便快速部署软件，极大地降低了IT管理员的工作强度，提高工作效率。并且可以按照部署范围进行分发，不会影响企业整体网络带宽。

桌面管理平台具有的优势

Broadview DCC是为企业管理者量身定做的联网桌面终端综合管理平台，在设计时遵循了ITIL/ITSM规范及公安部信息安全标准等原则，切实总结了近五年来国内企业IT管理的实际需要，是真正适合用户最迫切需求的桌面系统管理平台。作为一款成熟稳定的产品, Broadview DCC具有以下优势：

保护用户投资：
用户投入低，桌面管理平台基于开源环境研发，所用的数据库、web服务器等均为开源产品，用户只购买产品本身即可，无附加成本；无其他投入风险，全部采用开源产品，规避了存在知识产权纠纷的风险；软件可免费为用户升级新的版本，不必再进行投入。

部署实施简便：
服务器端软件安装非常简便，安装过程清晰明了；客户端的安装可通过软件提供的远程推送工具单独或批量推送安装，且安装后的客户端将自动在资产管理中分组。

软件稳定性高：
服务器端软件以服务的方式启动，无需过多人工干预，占用服务器资源也比较少，经多家客户实际测试，稳定性比较高；客户端稳定性在桌面安全管理类产品中尤其比较重要，桌面管理平台客户端没有用户界面，也没有任务栏图标，占用内存资源低。

软件易用性高：
桌面管理平台通过Web进行管理，用户界面比较友好，整体菜单不超过三级即可实现要实现的每一项功能，且功能分类比较合理，容易理解，易用性比较高；资产的分组管理及多级管理可让用户方便的针对某些终端或某个终端定制单独策略，提供了资产拖动功能，拖动后的终端将可以继承上级组的安全策略，极大的方便策略的定制与调整；所有的安全策略既可以继承上级策略也可以单独制定，提供极其简便的管理方案。

桌面管理与行为审计功能比较强大：
对桌面可进行远程监视、远程控制，定期抓屏，录像等；对桌面用户的多种行为可做审计，包括邮件、上网、即时通讯、文档修改、打印、应用软件使用等；对桌面主机安全方面的措施比较全面：可以定义危险进程做黑名单，远程监控主机进程并可以并远程结束危险进程；可远程结束主机共享目录，防止通过目录共享产生安全漏洞；补丁管理增加的审核机制可防止未经测试且不稳定的补丁被安装。