LANDesk桌面管理与安全解决方案.docx

LANDesk 桌面管理与安全解决方案蓝代斯克（北京）软件有限公司目 录1前言12项目需求42.1项目背景42.2LANDesk桌面管理顾问针对用户需求管理理念分析62.3LANDesk桌面管理产品优势123方案设计143.1设计原则143.1.1产品定位：143.1.2高可实施性：143.1.3高可管理性：143.1.4高灵活性：153.1.5高可扩展性：153.2设计框架概述163.2.1产品架构163.2.2管理模式介绍163.2.3基于角色的管理173.2.4本地账户管理173.2.5客户端部署方式173.2.6异构客户端支持183.3LANDesk产品优势193.3.1公司及产品成熟度193.3.2良好的用户口碑193.3.3系统的稳定性203.3.4高效的管理效率203.3.5安全性高203.4LANDesk桌面管理系统管理解决方案213.4.1IT资产管理213.4.2客户端远程协助233.4.3应用程序授权管理253.4.4应用程序分发263.4.5电源管理283.4.6操作系统部署283.5LANDesk桌面管理系统安全解决方案293.5.1补丁管理系统293.5.2客户端安全威胁管理313.5.3间谍软件检测与防护353.5.4防病毒软件管理363.5.5外设控制管理373.5.6软件禁用管理383.5.7LANDesk主机入侵保护解决方案40附件433.6LANDesk公司简介433.7LANDesk软件分发技术说明443.7.1LANDesk有目标的多址广播443.7.2LANDesk对等下载463.7.3LANDesk动态带宽调整471 前言当企业内部客户端计算机出现各种各样的管理问题的时候（可能是计算机出现故障需要管理员维护，也有可能是需要企业信息安全管理者为其安装某个软件，或者内网发生病毒攻击），企业信息安全管理者往往认为需要快速解决客户端的维护问题（通过直接地远程控制以及强制的分发软件）以及考虑通过强制的控制模式应付用户的行为（不允许连接未经安全验证的互联网络导致病毒感染以及攻击），因此导致企业不断地增加安全设备以及软件应付内部网络安全。但是实际上当企业信息安全管理者实施部署强制的管理模式而往往在发生相关问题的时候，无论是管理问题还是安全问题，企业信息安全管理者都习惯使用强硬的管理模式的工程项目来进行操作，例如行为控制，但是却忽略了用户对于这类管理的抵触性！强制限制用户更多导致用户的抵触，对弈只能导致项目的不断投入，用户的不断破解。所以企业信息安全管理者发现计算机的用户总在与强制的管理模式作抵触，总能发现计算机用户使用各种方式突破企业信息安全管理者的控制，包括使用通过互联网轻松得到的各样黑客强大工具。随之而来的是这些工具由于可能被捆绑了间谍软件或者病毒而导致的内部攻击。结果企业信息安全管理者为了应对无法预料的内部攻击以及破解，不断地更新内网安全产品以及制定各样的规章制度，进入一个不良的管理循环，最后导致用户与企业信息安全管理者矛盾重重。但是，作为企业信息安全管理者，其初衷仅仅是为了实现计算机系统的高可用性以使得最终用户受惠，但为什么总觉得终端计算机用户总是抵触他们的控制？作为计算机终端的使用者，其要求仅仅是在计算机发生故障的时候企业信息安全管理者能够很好地为他们服务，但是为什么总觉得信息安全管理员总在想方设法限制他们的工作行为？LANDesk专业桌面管理顾问认为最好的管理模式是：明确有力但合理的规章制度，有效但不会产生抵触情绪的管理工具，以及计算机管理者以及计算机被管理者相互之间的理解（通过产品上线宣传）才能够实现客户端终端计算机的管理。例如使用无抵触情绪的管理工具用于维护工作，配合规章制度管理以及安全宣传教育提高用户的计算机安全使用水平，避免其无意中访问非安全网站等。LANDesk桌面管理软件具备强大的桌面管理工具以及桌面安全管理工具！但是LANDesk认为，最好的管理以及安全防线是必须是企业信息安全管理者与用户配合实现的，LANDesk专业桌面管理软件所体现的理念是：最方便用户使用的基础上进行底层的安全防护；通过企业安全意识的宣传，配合企业安全管理者的策略，借助LANDesk管理工具，使得企业内部员工都能理解企业信息安全管理者管理理念，服从管理要求。最终用户不会抗拒一个能够真正帮助他们处理问题的管理模式，但是用户也明白假设违规，就会受到企业对他的规章制度上的惩罚，因此在企业信息安全管理者的管理理念以及企业安全行政策略的指引下，用户能更加自由地而且正规的使用信息系统工作，不会感觉受到企业信息安全管理者的限制，也不会产生由于其认为不合理的限制导致的各种类型的抵触情绪。当管理到位，当曾经部署的管理软件，安全软件在桌面管理软件的联动下，企业信息安全管理者不再需要源源不断的购买新的产品用于内部安全以及限制最终计算机用户，节省公司的投入；客户端员工得到他们信任的维护管理，再配合企业的规章制度；最终能够实现企业向管理要效益的典范。LANDesk桌面管理体系作为桌面管理软件的先驱以及规范制定者，提供业界最顶尖的桌面管理产品，能够为提高XXXXX桌面计算机的高可用管理性提供全面的管理以及安全解决方案。LANDesk桌面管理解决方案和安全管理解决方案是应用于大中型企业环境下的计算机管理的最佳解决方案。它提供了从计算机资产管理、软件分发、软件统计、远程协助、系统部署等方面的众多管理功能，再通过主动的补丁管理、软件控制、硬件控制、间谍软件查杀，安全威胁分析，自定义漏洞、准入控制、软件虚拟化等强大的功能提升XXXXX企业桌面安全水平。LANDesk是国外电信、制造、金融、保险、证券、政府以及各计算机厂商进行IT管理以及ITIL管理的必备工具。LANDesk终端安全管理系统目标：提高XXXXX终端设备的高管理性以及高安全性，保证终端设备高效、安全、稳定运行！同时获得最大的投资回报！2 项目需求2.1 项目背景随着信息化工作的普及完善，目前XXXXX的IT系统的建设已经具备了相当的规模，网络、服务器、客户机和运行在上面的应用形成了XXXXX业务运行的基础支撑环境，业务系统越来越依赖于IT系统，而作为整个IT基础设施中数量最多的客户机，是XXXXX管理部门最急需统一管理的部分。但是XXXXX是一个允许员工自由思想的企业，因此管理模式不能够引起用户的抵触情绪，影响用户的办公情绪。目前XXXXX在企业内网管理以及安全管理主要存在以下问题：1、 由于计算机设备的经常性更新和变化，XXXXX的IT相关管理部门对计算机设备的管理和统计经常处于一种无序及手工统计的状态，当设备更新频繁时，原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成设备管理的混乱，甚至出现设备的任意更换，失窃。使得企业信息安全管理者收到变更告警、无法快速查询企业的资产情况以及为采供部们出具准确的报表。2、 当XXXXX财务部需要统计非IT资产例如机架、墨盒、打印纸等非个人计算机类的资产时仅能通过独立记录的方式填写，统计非常困难。当企业需要一套知识库以及事件登记便于建立ITIL的服务流程管理，却无法通过统一的平台录入，导致了之间无法关联统计3、 目前XXXXX的计算机数目已经达到XXXXXXXXXXXXXXXXXXXX台以上，在软件分发、软件统计、远程协助上处于被动地手工安装状态，造成了维护以及大型软件实施、升级以及协助方面效率低下；由于处于多个网段，同时推送一个软件曾经尝试过点对点分发导致的网络风暴；由于用户的端账号权限限定，软件安装需要管理员的权限；分发的过程中有时由于静默安装而受到终端用户的抵触；当需要分发一些应用设置的时候，企业信息安全管理者无从下手分发。4、 每当XXXXX采购部门购买一批新的电脑，但是处于成本问题以及机器更新问题，前期的操作系统授权可以使用旧的，所以新的计算机无需购买操作系统，但是对于新购买的计算机均需要花费大量的时间用于安装以及部署。5、 当用户计算机软件使用包括系统出现问题，微软的远程维护桌面总是不受用户欢迎，导致往往无法连接，同时速度慢，无安全验证记录，无法确保通信安全以及操作行为安全，用户抵触心理严重，使得XXXXX的计算机维护人员每当出现问题都只有到现场解决。6、 微软补丁越来越多，但是总出现安全漏洞，例如第三方的应用程序的播放器或者文字阅读器等；修补完微软补丁后总要求重新启动，假设忘记点击“稍后重新启动”，计算机的自动重启会把用户的信息资料都丢失；同时没有测试流程，结果当发现某一个补丁与应用程序冲突，其无法整体卸载，曾经为了卸载某一个使得OA无法登录服务器的微软补丁足足花费信息安全管理者一个月的时间，同时用户怨声载道。7、 用户没有设置强硬的密码、没有设置好IE的安全选项、错误打开了WWW的服务用户仅仅是图个方便、用户缺乏安全意识、用户没有根据规章制度使用。信息管理员认为不能因此而限制他们的上网行为，不能应此而限制他们的接入内部网络行为，因为这样会使得他们抵触。经过安全知识培训，大部分用户已经很好地注意安全使用计算机的行为，但是还是有个别用户需要特意强调，无法获知他们在那个位置，但无论如何，不能限制他们接入网络的行为，不能使他们产生管理的抵触心理。8、 间谍软件不断地被防病毒软件杀灭，但是很快同样一个病毒又把同样一台计算机感染了，不断地查杀不断地感染，导致系统出现不可预料地问题。9、 购买了所听闻的国际上知名的病毒防火墙，但是总是无法使得所有客户端都能准时获取病毒定义码，无法建立整体的安全体系；后来又换了另外一个国际知名品牌的病毒防火墙，还是出现同样的问题。经过查证，并不是病毒防火墙的问题，而是企业内部移动办公计算机很多，总是错过病毒定义的升级。同时当病毒攻击使得当前的防火墙被关闭，管理员总是措手不及。10、 企业内部明文规定了财务部以及设计部门等重要部门不允许使用即时通信工具；不允许使用移动存储设备；但是其它部门却是允许使用的。XXXXX需要强硬的产品配合规章制度进行控制，但是必须要能实现企业能指定计算机的控制范围。11、 在XXXXX企业内部由于网络建设的原因，整栋大楼里面非办公区域例如墙壁，门柱上都配置的网口，便于信息安全管理者能够最快地从身边的网络接口接入网络处理紧急事务。但是外部的非企业办公人员的未经允许接入却是一个很大的安全隐患。办公区域的工作人员可能时刻观察自己的网络接口，但是非办公区域却无法被工作人员所监控，因此，需要一款准入控制软件，能够使得管理员提供安全认证信息以及计算机符合健康要求的情况下登录内部网络，但对于外部非企业办公人员则无法接入。12、 软件授权费用昂贵，企业日常使用某个收费软件的人数以及不同时段同时使用这个收费软件的人数比例相差巨大（早班、中班、晚班），但是假设按照并发数购买了软件的授权，每当使用完软件又要卸载以释放License又很繁琐；企业的应用程序例如office2000以及office2003文件的使用冲突，等，但是企业内部客户端上部分客户端含有office2000，部分客户端含有office2003，这时文档读取会出现问题；时下很多软件都不支持vista，如何使得使用在windows XP上的软件不需要微软的专门支持也能使用在Vista上很关键，因为企业还需要一段时间用于评估Vista或者某一个软件是否合适企业的应用，但是又不能避免之间的兼容问题。2.2 LANDesk桌面管理顾问针对用户需求管理理念分析基于XXXXX的企业客户端数目为XXXXXXXXXXXXXXXXXXXX节点，LANDesk认为管理以及安全解决方案需要进行安全防护以及巩固的范围将非常广，因此LANDesk通过国内外相关行业的成功实施经验为XXXXX选择了LANDesk管理套件以及安全套件的解决方案。LANDesk管理套件解决方案管理理念概述：1、 资产管理为XXXXX企业信息管理员最关注的问题。通过LANDesk资产管理器，XXXXX信息安全管理员能够收集超过1800种软硬件以及网络资产信息，同时搜集用户的部门、姓名、办公分机号码、职位等XXXXX信息管理员自行定制的信息收集类型以实现用户个人信息与计算机的资产信息绑定，实现资产统计与用户个人信息绑定、实现管理操作对象为个人的信息例如部门、职位等。任何资产管理数据可生成完整的数据报表，报表格式支持用户设定，协助XXXXX的信息管理员制作一份具有企业特色的报表；同时通过LANDesk非IT资产的管理，您可以管理到全面的您能想象出来的需要管理的资产，例如知识库等。LANDesk软硬件资产管理系统为XXXXX的信息管理员带来最全面的企业客户端资产收集！但是收集不意味着简单获取资产！ LANDesk不但能够收集超过1800种资产（全球最全面），同时考虑用户的工作细节，仅需要懂的您的母语，任何资产管理相关人员都可以在几分钟时间内形成任何多种资产的混合查询，并生成报表!同时,查询出来的结果能够分组，意味这您可以形成超级域架构（微软的域只能划分很少量内容的OU），而且对分出来的组可以实现比微软域的计算机更多更全面的操作！LANDesk是一个能让用户自由思维并协助用户实现管理观念的软件，通过LANDesk，您可以感觉到管理的自由以及细腻！2、 LANDesk软件授权管理功能为XXXXX的信息管理员提供最准确的软件使用情况统计，例如某一个软件在不同部门内部的使用情况，谁在使用，总共使用的计算机数目等，数据可生成报表提供参阅。同时根据统计的数目，XXXXX信息管理员可以为采购进行详细的计划，应该购买多少套软件，提出完整的软件购买喜欢以及合适的资金数据。LANDesk应用程序授权管理为XXXXX的信息管理员带来软件快速地定位、统计以及控制。您可以知道企业中有什么软件在运作，是否超出了您的控制范围？应该如何把握？LANDesk应用程序授权管理能够协助您处理！3、 计算机数目众多，以XXXXX拥有XXXXXXXXXXXXXXXXXXXX台计算机的数目，假设以人工安装软件的方式进行软件的升级以及部署将需要花费大量的人力以及物力。LANDesk应用程序分发将协助XXXXX快速地针对个人、部门、职位等信息统计目标进行完全不需要终端用户参与的、不需要占用网络主体流量的软件分发以及自动安装，而且整个安装过程不需要重新启动计算机，因此对客户端用户的使用不造成影响。LANDesk应用程序分发为XXXXX的信息管理员带来应用程序快速地分发、安装、卸载而无需任何用户参与以及可进行忙时分发！当您获知到用户需要软件安装的时候，只需要点击立即分发软件。该软件立即从当前网络一台性能最好的计算机中传输到需求安装软件的计算机并自动静默安装，这就是LANDesk的专利传输技术加上为用户考虑的细节功能。4、 XXXXX的计算机数为XXXXXXXXXXXXXXX台，而且以XXXXX目前的计算机发展规模将很快超越XXXXXXXXXXXXXXXX台以及更多数目。XXXXX的系统管理员需要对如此众多的计算机进行高效率的维护，假设现场服务的话将需要花费大量的人力以及物力。借助LANDesk客户端远程协助功能，XXXXX系统管理员无论在企业的任何一个有联网计算机的位置，均可以实现对发生故障的计算机进行远程的维护。同时，由于采用了用户以及管理端同一界面，而且连接登录需要用户确认的方式，有效避免了用户针对远程维护的抵触情绪。LANDesk客户端远程协助为XXXXX的信息管理员带来最容易被用户接受的协助、最准确的定位、最安全的连接、最快速的控制功能。作为ITIL管理环节中的专业工具，LANDesk让XXXXX的信息中心为员工故障计算机的维护随时随地进行，提升管理效率，提高客户满意度！一个普通远程维护工具能够实现的，LANDesk能够更好地实现！一个普通远程维护工具所不能够实现的例如考虑到使用者的情绪的，LANDesk能够很好地实现。5、 当XXXXX一次性购买了一批计算机需要进行统一的系统部署、当遇到系统崩溃需要恢复系统时，LANDesk操作系统部署将能够协助XXXXX的系统管理员进行系统的统一部署。LANDesk操作系统部署为XXXXX的信息管理员带来操作系统的快速分发；不需要为一次性购买回来的大批量裸机系统计算机需要安装操作系统而烦恼，LANDesk能够为您服务！LANDesk安全套件解决方案管理理念概述：1、 补丁欠缺是目前XXXXX企业内部客户端首先需要解决的问题。通过LANDesk补丁管理系统，保障XXXXX的企业客户端不受病毒的攻击。系统没有了漏洞，病毒将无法攻击其脆弱之处，因此系统补丁的全面性非常关键，LANDesk通过提供全面补丁类型（收集众多厂家的补丁程序，包括微软），让用户可以选择最大程度的参与修补过程或者最简化的方式对补丁进行修补；LANDesk补丁管理系统为XXXXX的企业客户端带来最基础的安全保障!但是为什么不使用免费地补丁管理系统呢？LANDesk在补丁修补领域的过人之处决定了这一切：最全面的包含第三方的补丁程序包；用户可以让补丁在任意时间对任意部门任意员工进行管理员指定的补丁修补；修补过程不需要重启，不会弹出要求重启并倒数的对话框，不会要求用户参与；打错了某一个安全应用补丁，LANDesk能够找出并卸载。这就是LANDesk的补丁管理器，一个能让用户感觉到不但能够细致参与到每一个补丁修补环节，具备高安全性！特别是高安全性，为什么要打补丁？就是为了系统的高安全性。但是考虑到用户数据的安全性了吗？LANDesk考虑并已经实现了2、 补丁得到完整的修补，但是客户端用户的疏忽操作将导致全面的安全漏洞，因此XXXXX安全信息管理员需要全面检查企业内部的客户端的安全威胁情况。LANDesk安全威胁管理为XXXXX企业客户端带来全面的安全评估以及分析，通过LANDesk的安全威胁评估，XXXXX安全信息管理员可以快速获得当前客户端的整体安全趋势，在发生安全事故前进行处理，保证客户端安全地可持续运作。LANDesk安全威胁管理为XXXXX企业客户端带来全面的安全评估！LANDesk并不能协助用户把所有的安全问题都修复，例如您的密码问题。因为我们还需要考虑到使用者的应用问题，以及最重要的情绪问题！假设某用户由于密码不够8位而被LANDesk安全威胁管理修改了密码，使用者本身已经无法登录系统，那用户必定认为LANDesk阻碍他们的工作，必定产生抵触情绪。LANDesk的管理理念是最管理工具配合行政，从互相了解角度处理用户安全问题！例如密码问题，LANDesk会告诉您“您的密码和管理策略不符合，请修改”但是不会帮您修改！但是对于其它例如与安全至关紧要的威胁，LANDesk将会以强大的修复力量进行修正并出报告说明！3、 已经或者可能被安装了间谍软件的XXXXX企业客户端计算机，LANDesk间谍软件管理将带来全面的间谍软件防护。间谍软件防护在各防病毒软件上的表现都各有侧重点，LANDesk间谍软件使用的软件库为针对网络应用程序方面，针对用户使用的过程中因为疏忽而感染的间谍软件。LANDesk的间谍软件库提供不断地升级，以满足企业的安全防护需求。LANDesk间谍软件管理为XXXXX企业客户端带来全面的间谍软件防护，LANDesk能够很好找出间谍软件，并根据管理员的要求进行消灭，同时考虑到其实否会重复感染，LANDesk间谍软件工具能够在计算机上尽量修复并尽力保护不让同样一个间谍软件在同样的计算机上面安装第二次！4、 防病毒定义包的更新到位往往是企业信息安全管理员所关心的安全问题，主要原因在于防病毒软件往往由于客户端的个人防火墙或者网络因素得不到更新，而防病毒服务器却无法发现。LANDesk病毒防护管理为XXXXX企业客户端带来全面的病毒防护二层保障，通过和Symantec 、Trend、McAfee、Sophos防病毒软件的联动，主动检查客户端的病毒定义是否最新，如果非最新版本，LANDesk将提供病毒定义安装与未升级到最高病毒定义版本的计算机客户端。以此同时，LANDesk AV能够协助您在企业防病毒软件无法工作的时候作为主病毒软件工作，以卡巴斯基的引擎以及优良的性能，继续保护企业不受到病毒的侵害！LANDesk病毒防护管理为XXXXX企业客户端带来全面的病毒防护二层保障！LANDesk设计理念往往考虑到用户内部发生安全问题的根源！假设一个防病毒软件有多强大，只要内部的计算机存在无法更新其病毒定义包，那木桶响应将导致整体的安全性降低！您是否有感觉，补丁修补完了，最新的杀毒软件也安装上了，为什么还会感染病毒？LANDesk关注细节并告诉您目前存在的安全问题，防病毒联动就是其中之一！5、 数据信息为企业的发展之本，XXXXX的企业数据将通过LANDesk设备连接控制管理以及LANDesk软件禁用管理得到全面的保障。通过LANDesk设备连接控制管理为XXXXX企业客户端带来全面的数据信息传输安全保障；通过LANDesk软件禁用管理为XXXXX企业客户端带来全面的数据信息应用安全保障。信息安全管理员可以设定策略应用的对象，策略强制执行。LANDesk设备连接控制管理为XXXXX企业客户端带来全面的数据信息传输安全保障！但是您是否认为应该放松点控制，让部分合法的设备在部分合法的员工计算机上使用？但是您也知道牢固的安全和灵活的应用是矛盾的，只能选择折中点。LANDesk的设备管理理念就是一个折中点！不但能够控制管理的范围（如意资产查询组合的范围）还能控制设备的类型，例如USB端口设备的类型。LANDesk软件禁用管理为XXXXX企业客户端带来全面的数据信息应用安全保障！普通软件通过进程控制，有效吗？请修改程序名称试试！是否发现程序进程也发生改变？LANDesk的技术是使用内部文件名称（源程序名称），不随着进程以及外部程序名称改变而改变，您可以自定义范围（如意资产查询组合的范围）以及自定义程序，实现软件的禁用管理。6、 在数据的世界中，安全漏洞无所不在。即使客人到会议室进入我们的网络上网，其计算机的病毒将可能导致整个网络的瘫痪；墙上的信息端口随时由于非XXXXX企业客户端的接入而导致安全隐患。LANDesk网络信任准入为XXXXX企业客户端带来全面的网络边界安全保障，通过LANDesk网络信任准入，管理员可以在使用微软IAS或者第三方的身份认证工具的基础上加入LANDesk的联动。如果没有安装LANDesk客户端，不允许通过身份认证，同时安全好客户端之后，LANDesk将进行补丁等各方面的自动修复，保障企业的准入安全。LANDesk网络信任准入为XXXXX企业客户端带来全面的网络边界安全保障！信任准入处理发展阶段，必须配合多方面产品的协同处理才能完善，任何一个产品都无法独立完成，LANDesk与多方产品结合，以硬件最低的要求实现准入控制！通过多方面协助，完整准入体系！LANDesk软件虚拟化解决方案管理理念描述1、 是否感觉到购买软件成本过高，但是企业由于同时使用该软件的人数不多，其实并不需要购买当前企业使用该软件人数的授权数目而使用同时使用该软件的人数授权数目以节省成本？但是又不想在需要软件的时候安装而为了释放授权时卸载，反反复复？通过LANDesk软件虚拟化即可实现！XXXXX企业用户可以实现购买软件授权成本的大量节省，便于维护软件的使用标准，便于维护系统的稳定；不但不需要在本地安装，可以可以在USER权限下使用，不影响系统稳定性，不产生软件之间DLL文件冲突。LANDesk从软件使用成本以及维护细节上为用户进行了充分考虑！2.3 LANDesk桌面管理产品优势1、公司及产品成熟度LANDesk公司（及其前身Intel公司软件部）有20多年管理领域的经验，是桌面管理标准的制订者及终端安全管理系统的领导厂商。其产品也有十余年的历史，Intel和LANDesk先后投资5亿美金到该产品的研发中，其产品后台有2，500，000行代码，在全球累计发售了250，000，000个客户端许可。该产品已经被证明为业界最佳的终端系统和安全管理产品。2、良好的用户口碑LANDesk产品在全球及国内拥有广泛的用户群，用户口碑非常好。以下为LANDesk中国区部分典型客户：政府：国家劳动部/国家财政部/国家质监总局金融：中国建设银行（全行）/中国人民银行（全行）/深圳发展银行（总部）电信：中国联通/中国电信/中国移动能源：中国石化/胜利油田.电力：宁波电力、北京电力、上海电力、吉林电力传媒：中央电视台/北京电视台/人民日报/解放日报/中国青年报制造：可口可乐 / 东芝 / 安利 / 佳能（中国）/威胜电子保险：友邦保险/中英人寿3、系统的稳定性系统部署架构简单，对系统影响非常小。不管是跨网段、VLAN、广域网，甚至是有多个分支机构通过低带宽接入，都能实现统一控制及管理，并且不需部署二级服务器，从而最大限度降低对整个系统的影响，保证系统的稳定性。4、高效的管理效率拥有带宽优化的三大专利技术，有目标多址广播技术能大大降低分发带来的带宽拥堵，分发时可调节的网络占用率能最大程度的减低分发软件/补丁给客户端带来的影响；对等下载技术使得每个子网只需要从服务器分发一次程序包/补丁程序、其他机器就可以直接从这台计算机获取软件包/补丁程序，无须再去服务器下载，最大限度减轻服务器的压力；动态带宽调整技术保证在在低代宽环境下的软件分发时不影响业务系统的运行；高效的远程控制功能，提高维护的效率；强大的操作系统部署功能，可批量安装及快速恢复操作系统；专业化的软件及补丁分发功能，实现自动化的软件统一部署；5、安全性高LANDesk终端安全解决方案通过补丁管理、安全威胁分析、网络准入控制、防病毒联动、设备禁用、软件禁用等功能，最大程序地保证终端系统的安全预防及保护。3 方案设计为了实现XXXXX终端设备的高管理性以及高安全性，确保XXXXX终端信息安全管理平台高效、安全、稳定运行，并依据XXXXX以用户需求为导向的管理需求分析，我们推荐采用业界领先的LANDesk终端信息安全管理平台。3.1 设计原则3.1.1 产品定位：能够帮助企业最有效的保证所有终端设备的安全性是每一个信息化安全项目的目的，而如何拥有一个好的管理平台是信息安全项目成功的关键。毕竟对企业来讲，管理是主动的，安全是被动的。LANDesk终端信息安全管理平台始终致力于帮助企业搭建一个主动管理的信息安全平台，在考虑到企业内管理者和使用者多方面的需求后，形成的一套完全适用于现代企业的终端信息安全管理平台。3.1.2 高可实施性： 对于企业信息安全管理来讲，再好的管理平台如果得不到使用者的支持配合，都无法发挥其管理上的效果。LANDesk终端信息安全管理平台真正做到了从每一个使用者的角度出发设计软件，所有的技术在实现了有效管理的基础上，更多的为终端的使用性能做考虑，从而保证了在不影响终端日常工作的前提下，完成信息安全管理的所有工作。也只有这样，我们才能赢得更多终端使用者对于管理工作的支持和认可，确保信息安全管理工作的有效性。3.1.3 高可管理性： 对于企业信息安全的管理者来讲，每天都充斥着许多重要的工作，包括网络维护、终端维护、应用系统维护等等，不可能把全部的精力都放在某一个管理平台上。为了帮助管理者减轻管理上的压力，LANDesk终端信息安全管理平台可实现多种管理方式，让管理员在任何地方都可以管理到企业内的所有终端设备；甚至我们还提供无人值守化的智能化管理，通过各种告警手段及自动化处理流程，使管理员可以更轻松实现对所有终端设备的远程管理，让一切尽在掌握。 3.1.4 高灵活性：对于企业信息安全项目实施来讲，每一个企业都不希望改变现有的环境。LANDesk终端信息安全管理平台也充分考虑到了企业这方面的需求，管理平台高度的灵活性不仅可以支持AD和工作组等多种环境的部署；在安全准入方面，我们也为企业定制了多套适用于不同环境的安全准入实施方案。更可贵的是，随着未来业务和应用的变化，LANDesk终端信息安全管理平台可以很方面地调整系统配置，而且配置的调整尽量在服务器端控制，避免在客户端配置。3.1.5 高可扩展性： 对于企业来讲，在未来的很长一段时间内，终端的信息安全都将是一个长久不变的主题。为了更好的适应企业内终端不断扩充的现实，为了更好的适应操作系统及应用平台不断发展的变革背景，LANDesk终端信息安全管理平台提供了多种扩展性手段。面对企业今后扩容的需求，无论是采用单点管理中心还是分布式管理中心，LANDesk终端信息安全管理平台支持纵向扩展例如增加CPU,内存，磁盘数量可以增加单台服务器的处理能力，横向扩展例如增加服务器的数量，多台服务器分担系统角色等。面对操作系统及应用平台的变革性发展，LANDesk公司拥有全球众多IT主流厂商长年的合作关系，包括对NAC、AMT、Vista等最新的技术都有着非常强的支持力度，确保能为企业用户提供常年的终端信息安全管理支持。3.2 设计框架概述3.2.1 产品架构汇总服务器（10万点级别）核心服务器（万点级别）3.2.2 管理模式介绍根据客户实际网络架构和部署规模的不同，LANDesk管理套件有两种管理模式：单服务器管理模式（管理上限为10，000个节点）和多服务器分区管理模式（管理规模可以达到数十万点）下面就分别介绍这两种模式。单服务器管理模式 在该种模式下，只有唯一的管理套件核心服务器管理全网所有客户端，管理的客户端规模上限为10,000台。该核心服务器通过连接到internet上的LANDesk安全内容网络服务更新安全内容。该核心服务器上可以连接一个到多个管理控制台进行分级管理，如上图所示。所有的管理数据统一保存在核心服务器后台的数据库中。该种方式的实现特点是架构简单，易于部署和管理。比较适用于企业网络连接比较正规，管理模式比较简单，带宽资源比较丰富的环境。多服务器分区管理模式 在该种模式下，多个管理套件核心服务器分别管理各自区域的客户端，每个核心服务器可以管理多达10，000个客户端。所有核心服务器管理的客户端数据可以通过汇总的方式统一由汇总核心服务器进行集中存储和展现。该种方式还可以在企业网络中架设安全定义更新服务器来统一更新所有核心服务器的安全定义。该种方式的实现特点是管理层次比较清晰，管理规模比较大。适用于网络分布式非常明显，管理机构和部门比较复杂，企业规模比较大的环境。3.2.3 基于角色的管理LANDesk管理权限的划分可以和本地账户或活动目录的管理进行无缝的集成。LANDesk管理员可以通过对域账户或本地账户进行详细的功能和范围授权，无缝集成现有网络目录和本地对象，同时该目录或者对象必须是核心服务器本地LANDesk管理组的成员才能够登录到LANDesk系统。通过角色管理可以使用管理套件控制台直接查看AD架构，而无须在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU (organization units)，在分配权限时支持继承的概念。3.2.4 本地账户管理LANDesk管理套件可以对受管理客户端的账户做全面管理，通过远程访问客户端本地的用户和组对象，管理员可以方便的对客户端本地账户进行添加，删除，修改等操作。同时，管理员可以方便的修改客户端的用户密码，无论是修改某台指定客户端的密码还是批量修改客户端密码，使用该功能，管理员可以回收客户端超户的密码并强制客户端使用受限身份登录系统。3.2.5 客户端部署方式LANDesk的客户端有多种部署方式，包括直接通过连接到服务器共享安装，通过Web共享安装，域登录脚本安装和从控制台进行的后台远程推送安装。除此之外，LANDesk提供了高级客户端安装功能，该功能允许首先发送一个基本的MSI代理到客户端（大小仅为完整客户端的几十分之一），然后通过基本代理逐渐将完整客户端下载到本地安装。该方式的优点是可以支持低速带宽的分发并且可以利用域分发策略对MSI包直接分发。3.2.6 异构客户端支持LANDesk管理的客户端不仅包含从Windows 9x到Windows 2003全系列的Windows平台，而且包含部分Linux/Unix平台。在windows平台上LANDesk支持本文当中描述的完整的功能集。在Linux/Unix支持上包括常用的平台和功能。平台支持功能支持Windows9x (95/98)MeNT (server/workstation)2000 (server/workstation)XP (home/professional)2003 (standard/advanced/enterprise)资产扫描软件分发远程控制软件授权监控操作系统分发自动客户端部署Linux/UnixRed hat 9SuSe 9MandrakeHP Uno 11.x通用基本代理资产扫描RPM包分发自动客户端部署3.3 LANDesk产品优势3.3.1 公司及产品成熟度LANDesk公司（及其前身）有20多年管理领域的经验，是桌面管理标准的制订者及终端安全管理系统的领导厂商。其产品也有十余年的历史，Intel和LANDesk先后投资5亿美金到该产品的研发中，其产品后台有2，500，000行代码，在全球累计发售了250，000，000个客户端许可。该产品已经被证明为业界最佳的终端系统和安全管理产品。3.3.2 良好的用户口碑LANDesk产品在全球及国内拥有广泛的用户群，用户口碑非常好。以下为LANDesk中国区部分典型客户：政府：国家劳动部/国家财政部/国家质监总局金融：中国建设银行（全行）/中国人民银行（全行）/深圳发展银行（总部）电信：中国联通/中国电信/中国移动能源：中国石化/胜利油田.电力：宁波电力、北京电力、上海电力、吉林电力传媒：中央电视台/北京电视台/人民日报/解放日报/中国青年报制造：可口可乐 / 东芝 / 安利 / 佳能（中国）/威胜电子保险：友邦保险/中英人寿3.3.3 系统的稳定性系统部署架构简单，对系统影响非常小。不管是跨网段、VLAN、广域网，甚至是有多个分支机构通过低带宽接入，都能实现统一控制及管理，并且不需部署二级服务器，从而最大限度降低对整个系统的影响，保证系统的稳定性。3.3.4 高效的管理效率拥有带宽优化的三项专利技术，有目标多址广播技术能大大降低分发带来的带宽拥堵，分发时可调节的网络占用率可以最大程度的减低分发软件/补丁给客户端带来的影响；对等下载技术使得每个子网只需要从服务器分发一次程序包/补丁程序、其他机器就可以直接从这台计算机获取软件包/补丁程序，无须再去服务器下载，最大限度减轻服务器的压力；动态带宽调整技术保证在低代宽环境下的软件分发时不影响业务系统的运行；高效的远程控制功能，提高维护的效率；强大的操作系统部署功能，可批量安装及快速恢复操作系统；专业化的软件及补丁分发功能，实现自动化的软件统一部署；3.3.5 安全性高LANDesk