統(tǒng)信終端域管平臺(tái)-產(chǎn)品白皮書(shū)

1、統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)UNIONTECHOS HYPERLINK l _bookmark0 .1 HYPERLINK l _bookmark1 1.1.1 HYPERLINK l _bookmark2 1.2.2 HYPERLINK l _bookmark4 .4 HYPERLINK l _bookmark3 2.1.4 HYPERLINK l _bookmark5 2.2.5 HYPERLINK l _bookmark6 .6 HYPERLINK l _bookmark7 3.1.6 HYPERLINK l _bookmark8 3.2.7 HYPERLINK l _bookmark9

2、3.3.8 HYPERLINK l _bookmark10 3.4.9 HYPERLINK l _bookmark11 3.5.10 HYPERLINK l _bookmark12 3.6.12 HYPERLINK l _bookmark13 3.7.13 HYPERLINK l _bookmark14 3.8.14 HYPERLINK l _bookmark15 3.9.15 HYPERLINK l _bookmark16 3.10.16 HYPERLINK l _bookmark17 3.11.18 HYPERLINK l _bookmark18 .19 HYPERLINK l _book

3、mark19 .21 HYPERLINK l _bookmark20 .23 HYPERLINK l _bookmark21 .24 HYPERLINK l _bookmark22 .25 HYPERLINK l _bookmark25 .26 HYPERLINK l _bookmark23 9.1.26 HYPERLINK l _bookmark24 9.2.26 HYPERLINK l _bookmark26 9.3.27 HYPERLINK l _bookmark27 9.4.27 HYPERLINK l _bookmark28 9.5.27 HYPERLINK l _bookmark2

4、9 9.6.27 1.1.統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)目前統(tǒng)信軟件己和龍芯、飛騰、申威、鮑鵬、兆芯、海光等廠商開(kāi)展了廣泛和深入的合作，與國(guó)內(nèi)各主流整機(jī)廠商，以及數(shù)百家軟件廠商展開(kāi)了廣泛的合作，共同建設(shè)和發(fā)展全新的軟硬件生態(tài) 體系。1.2. 統(tǒng)信終端域管平臺(tái)統(tǒng)信終端域管平臺(tái)采用 B/S 架構(gòu)的管控后臺(tái)和 C/ S 架構(gòu)的終端程序， 通過(guò)整套簡(jiǎn)潔易用、可擴(kuò)展、可定制的通用型終端集中管控軟件，方便黨、政、軍、企客戶對(duì)其管理區(qū)域范圍下的所 有人員和終端進(jìn)行集中管理與維護(hù)。系統(tǒng)主要由：用戶終端管理、軟件管理、遠(yuǎn)程維護(hù)、安全策略、病毒防護(hù)、管理端角色權(quán)限管理6 個(gè)部分組成。用戶終端管理劃分終端區(qū)域：可針對(duì)各

5、機(jī)構(gòu)對(duì)終端進(jìn)行區(qū)域化管理；人員架構(gòu)管理：可映射人員架構(gòu)，進(jìn)行區(qū)域化的人員管理；集中身份認(rèn)證：可限制用戶可登錄終端的范圍。軟件管理系統(tǒng)管理：統(tǒng)系統(tǒng)升級(jí)軟件分發(fā)管理：業(yè)務(wù)軟件統(tǒng)下載、安裝、更新、刪除；系統(tǒng)設(shè)詈管理：可下發(fā)腳本指令，批量對(duì)終端進(jìn)行個(gè)性化設(shè)置（如系統(tǒng)壁紙、系統(tǒng)設(shè)置等）。第 2 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)遠(yuǎn)程維護(hù)權(quán)限范圍設(shè)置：可根據(jù)各級(jí)別管理員職責(zé)設(shè)定遠(yuǎn)程維護(hù)的權(quán)限和范圍。遠(yuǎn)程維護(hù)：可誦過(guò)任務(wù)下發(fā)的方式進(jìn)行遠(yuǎn)程維護(hù)。其他維護(hù)方式：支持遠(yuǎn)程登錄和腳本下發(fā)。安全策略終端配詈集中管控：可針對(duì)指定范圍內(nèi)用戶（或終端）進(jìn)行配詈修改（權(quán)限定制）管控范圍：密碼安全等級(jí)、屏保時(shí)間、鎖屏鎖屏?xí)r間等。病毒

6、防護(hù)可安裝防病毒軟件并通過(guò)技術(shù)手段在內(nèi)網(wǎng)進(jìn)行病毒庫(kù)升級(jí)（與第三方安全廠商合作）。管理端角色權(quán)限管理可設(shè)置不同權(quán)限的管理員角色；可配置各種權(quán)限：如區(qū)域分配，人員、終端、業(yè)務(wù)軟件等管理權(quán)限。 第 3 頁(yè)2.1.遠(yuǎn)程維護(hù)方面問(wèn)題定位困難，維護(hù)人員學(xué)習(xí)和操作門(mén)檻較高，維護(hù)手段單有限。安全策略方面無(wú)法對(duì)安全進(jìn)行全面細(xì)致的集中管控，存在極大的安全隱患！報(bào)表統(tǒng)計(jì)方面無(wú)法全面掌握了解管控下的各項(xiàng)信息，不便于提前發(fā)現(xiàn)問(wèn)題或優(yōu)化管控策略。 2.2. 解決思路管控系統(tǒng)與操作系統(tǒng)高度集成，發(fā)揮最大效能！解決兼容性問(wèn)題，簡(jiǎn)化終端上的安裝難度，降低運(yùn)維成本依靠操作系統(tǒng)的核心優(yōu)勢(shì)提升集中管控能力：更高的安全性，更細(xì)致的管控

7、粒度以集中管控業(yè)務(wù)場(chǎng)景為中心，反向發(fā)展操作系統(tǒng)本身，構(gòu)建集中管控生態(tài)體系第 5 頁(yè)3.1. 終端人員 ： 由 WEB 服務(wù)端集成的 LDAP 系統(tǒng)管理終端管理員： 在登錄終端時(shí)將被賦予使用 sudo 命令的權(quán)限。普通用戶： 在登錄終端時(shí)為普誦的 Linux 用戶， 不帶管理員權(quán)限。特色功能：Excel 表格導(dǎo)入、賬戶停用、關(guān)聯(lián)信息展示 （區(qū)域、終端、軟件）、日志統(tǒng)計(jì)（終端使用、軟件使用、We b 賬號(hào)操作）終端設(shè)備 ( PC)管理Q.,O 句麓,0它2它：OO3CO2它3208C2”.l1III8/ / /,:,c遭,!OS 山口工吝C?“比乞,父勺：）公，/0口U”l.每臺(tái)終端中的 “Age

8、 nt（與管理平臺(tái)通信的客戶端軟件）會(huì)將在本地收集到的硬、軟件信息、Mac 地址、IP 地址上報(bào)給平臺(tái)， 并默認(rèn)顯示在終端設(shè)備詳 情中。平臺(tái)將對(duì)客戶端上報(bào)上來(lái)的各類(lèi)數(shù)據(jù)進(jìn)行處理，并根據(jù)硬件信息綜合運(yùn)算得出唯的終端標(biāo)識(shí)碼。只要終端的硬件信息沒(méi)有發(fā)生變化（更換硬件），該標(biāo)識(shí)碼將伴隨終端的全生命周期，避免 重裝系統(tǒng)后平臺(tái)將終端誤認(rèn)為新終端的問(wèn)題。第 7 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)統(tǒng)計(jì)數(shù)據(jù)：基本信息： 終端狀態(tài)、Mac 地址、IP 地址、創(chuàng)建時(shí)間、設(shè)備別名、在線狀態(tài)、系統(tǒng)版本、終端備注等硬件信息： 主板、CPU 、內(nèi)存、 顯卡、硬盤(pán)等登錄日志：人員賬號(hào)、區(qū)域信息、行為時(shí)間、操作內(nèi)容等已裝軟件：軟件名

9、稱、軟件版本、更新?tīng)顟B(tài)等操作歷史： We b 管理員信息、操作時(shí)間、變更終端信息、變更操作內(nèi)容特色功能：誦過(guò)點(diǎn) 擊“在線 SSH 按鈕， 可以網(wǎng)頁(yè)的形式直接打開(kāi)該終端的ssh 會(huì)話界面，誦 過(guò)命令行對(duì)終端進(jìn)行全面細(xì)致的遠(yuǎn)程管理。區(qū)域管理區(qū)域中心第 8 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)軟件倉(cāng)庫(kù)管理：支持手動(dòng)配詈軟件倉(cāng)庫(kù)地址。支持手動(dòng)標(biāo)記軟件，標(biāo)記內(nèi)容有：包名、分類(lèi)、名稱、圖標(biāo)、備注、來(lái)源、官網(wǎng)，通過(guò)標(biāo)記軟件可以更好的管理所分發(fā)的軟件。特色功能：所有應(yīng)用都需要經(jīng)過(guò)簽名認(rèn)證才可在 UOS 上安裝運(yùn)行， 通過(guò)嚴(yán)格的審核機(jī)制， 能有效避免惡意軟件帶來(lái)安全隱患，強(qiáng)化的集中管控區(qū)域的信息安全?？刹榭此熊浖幕?/p>

10、本信息、當(dāng)前狀態(tài)（版本是否最新）、使用記錄（人員終端使用 情況）、管理員操作記錄權(quán)限和配置管理定制權(quán)限一 步馭1 洗擇需要定制權(quán)限的人員D 遠(yuǎn) 鉆五心 鉞吐婦竺 句可g=王芷亟婦臧認(rèn) 認(rèn)土扭左X內(nèi)斤芍人 1 1:1綴心比 ” 認(rèn)口 2 C 立 0 1 成員 正霄 認(rèn)心X只l汾 ”心認(rèn)泣刀,1J立 135J3一顱覓歸內(nèi)吝一護(hù)2心矗，一”l旮霄倫藝妊冒霄褫勺魯k 、4妞 1 壓 的從什國(guó)霆可使用“定制權(quán)限”功能，對(duì)該區(qū)內(nèi)的“人員終端軟件”問(wèn)的權(quán)限進(jìn)行精細(xì)化配詈。第 10 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)可配詈內(nèi)容：防火墻配置：可結(jié)合系統(tǒng)預(yù)詈的安全中心或第三方殺毒軟件使用；屏幕保護(hù)：配詈開(kāi)啟或關(guān)閉狀態(tài)，

11、以及開(kāi)啟狀態(tài)下的超時(shí)時(shí)間；息屏設(shè)詈：配置屏幕關(guān)閉的超時(shí)時(shí)間；密碼強(qiáng)度：配置終端用戶在修改密碼時(shí)的密碼強(qiáng)度要求，包括密碼長(zhǎng)度、密碼內(nèi)容要求等；壁紙?jiān)O(shè)定：配詈終端在用戶登錄后使用的壁紙；腳本執(zhí)行：可上傳單次執(zhí)行的配詈腳本，可查看最后次執(zhí)行腳本時(shí)的執(zhí)行的狀態(tài)、名稱、時(shí)間、內(nèi)容。操作步驟：l)選擇指定人員：編號(hào)、人員名稱、工號(hào)、人員備注、角色、狀態(tài)、當(dāng)前授權(quán)終端、當(dāng)前終端配詈、當(dāng)前軟件授權(quán)時(shí)間、最后次登錄時(shí)間選擇指定終端：編號(hào)、設(shè)備別名、終端備注、在線清況、狀態(tài)、當(dāng)前授權(quán)人員、當(dāng)前終端配詈、當(dāng)前系統(tǒng)狀態(tài)、系統(tǒng)更新時(shí)間配詈所選終端：防火墻配詈、屏幕保護(hù)、息屏設(shè)詈、密碼強(qiáng)度、壁紙?jiān)O(shè)定、執(zhí)行腳本選擇指定軟件

12、：編號(hào)、軟件圖標(biāo)、軟件名稱、軟件備注、當(dāng)前軟件狀態(tài)、當(dāng)前授權(quán)人員、區(qū)內(nèi)版本號(hào)、軟件更新時(shí)間執(zhí)行權(quán)限第 11 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)提升數(shù)據(jù)和系統(tǒng)安全：對(duì)于具有存儲(chǔ)功能的 USB 設(shè)備進(jìn)行白名單管控，只 有在白名單中的設(shè)備才能正常使用。特色功能：白名單時(shí)效限制，即 超過(guò)時(shí)效后 USB 存儲(chǔ)設(shè)備可自動(dòng)從白名單中移除。因?yàn)閁SB 存儲(chǔ)設(shè)備多為第三方廠商提供，因此技術(shù)上無(wú)法誦過(guò)硬件進(jìn)行嚴(yán)格標(biāo)記，因此借助時(shí)效機(jī)制可有效管控設(shè)備風(fēng) 險(xiǎn)，也進(jìn)步減輕管理員的工作量。系統(tǒng)設(shè)置吐畦。百如沒(méi)系和信息醞午管控界訖 早笠乒本 兇 1灼 艾心0 , .1c貯河,沁 9尺心77 屯13系織狀態(tài)企上夭勸 1的？幾& :

13、6 廿 運(yùn)行如訂小時(shí)0 系空間占用片 1扣 少嘩吝戶遼WEB冒理員田 星人 n 2系統(tǒng)信息：系統(tǒng)名稱、系統(tǒng)版本、更新時(shí)間；狀態(tài)數(shù)據(jù)：上次啟動(dòng)時(shí)間、運(yùn)行時(shí)間、圖片空間占用WEB 管理員人數(shù)信息管理員設(shè)詈：管理員樹(shù)狀圖第 16 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)管理員詳細(xì)信息新建管理員企業(yè)定制：平臺(tái)名稱網(wǎng)站 Logo瀏覽器標(biāo)簽頁(yè)圖標(biāo)軟件分類(lèi)系統(tǒng)配置：平臺(tái)初始化設(shè)詈倉(cāng)庫(kù)鏡像源地址設(shè)詈系統(tǒng)版本更新客戶端：僅面向超級(jí)管理員提供下發(fā)最新的管控客戶端第 17 頁(yè)可統(tǒng)信終端域管平臺(tái)組成部分：UOS 專(zhuān)業(yè)版操作系統(tǒng)客戶端 (Age nt , 運(yùn)行在終端設(shè)備中）WEB 管理軟件（服務(wù)端程序 ， 包括 Nginx、Ma

14、riaDB、消 息系統(tǒng)等）LDAP 組件（權(quán)限管理 ， 服務(wù)端程序）。統(tǒng)信終端域管平臺(tái)硬件及性能要求：基準(zhǔn)服務(wù)器配置：CPU: Intel Xeon CPU ES-2620 V3 2.40GHz內(nèi)存： 1 6G 以 上硬盤(pán)： SSD 系統(tǒng)盤(pán)512G, 機(jī)械數(shù)據(jù)盤(pán)4T 或以上 (RAID 情況）數(shù)據(jù)吞吐量：支持 10k 并發(fā)連接支持SOq ps 數(shù)據(jù)處理上報(bào)請(qǐng)求第 19 頁(yè)非國(guó)產(chǎn)自主操作系統(tǒng)仔非操作系統(tǒng)廠商國(guó)產(chǎn)自丑瘓作系統(tǒng)安全可靠，無(wú)貿(mào)易風(fēng)險(xiǎn)操作系和商嚴(yán) 匣 二了管控能力有限3功能豐富 經(jīng)驗(yàn)成熟方案成熟可靠菲容性有局限定制化能力弱-【心.,功能可靈活定制平臺(tái)寸七思路最終目標(biāo)是構(gòu)建整個(gè)集中管控的生

15、態(tài)可“統(tǒng)信終端域管平臺(tái)” 的組成部分包括 Nginx 、Maria DB、Redis、LDAP、消息系統(tǒng)、平臺(tái) 業(yè)務(wù)系統(tǒng)等多個(gè)模塊。其采用的部署模式為 Docker 化部署方式，只 需部署服務(wù)器支持 Docker 環(huán)境即可安裝本平臺(tái)。并且本平臺(tái)支持?jǐn)?shù)據(jù)持久化存儲(chǔ)，在更新本平臺(tái)的單個(gè)或多個(gè)組件時(shí)只需更 新對(duì)應(yīng)的 Docker 鏡像 (Im age) 即可完成更新， 并且數(shù)據(jù)不會(huì)丟失， 極大的降低了平臺(tái)部署難度。根據(jù)實(shí)際測(cè)試 ， 部署本平臺(tái)耗時(shí)為 30 分鐘左右， 相比千傳統(tǒng)的安裝式部署方案減少部署時(shí)間 90% 以上。本平臺(tái)配套的系統(tǒng)鏡像（定制化 ISO 鏡像）支持終端設(shè)備“自動(dòng)注冊(cè)” 功能，即

16、當(dāng)終端設(shè)備啟動(dòng)后， 其內(nèi)部的 Agent 將會(huì)根據(jù)配置文件自動(dòng)向平臺(tái)發(fā)起注冊(cè)請(qǐng)求 ， 并在平臺(tái)中完成終端設(shè)備的注冊(cè)流程， 并在平臺(tái)中的“終端中心”中 予以顯示。該功能能夠有效降低平臺(tái)WEB 管理員在前期錄入終端設(shè)備時(shí)的工作量。第 21 頁(yè)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)集中管控提供的是套標(biāo)準(zhǔn)化的解決方案。針對(duì)實(shí)際場(chǎng)景中的客戶需要，會(huì)進(jìn)行需求采集、確認(rèn) 和針對(duì)性的二次設(shè)計(jì)，誦 過(guò)基千 UOS 操作系統(tǒng)本身的協(xié)調(diào)優(yōu)化，可以更充分的應(yīng)對(duì)各種深層次的管控需求。統(tǒng)信終端域管平臺(tái)解決方案，是在 UOS 系統(tǒng)上的延伸，以 彌補(bǔ)批量裝機(jī)后管理者對(duì)終端管控的要求，因此可以從系統(tǒng)最底層的角度出

17、發(fā)設(shè)計(jì)，以獲得更好的管控效果。同時(shí)懷有開(kāi)放的心態(tài)， 攜手行業(yè)中的其他廠商，努力共建自主操作系統(tǒng)的生態(tài)體系，優(yōu)勢(shì)互補(bǔ)，相輔相成。心屯I15I S1邑l- l。酗， 喧：II 易 ! .,第 22 頁(yè)可產(chǎn)品架構(gòu)圖前痐|生嚴(yán)荒123NII產(chǎn) 管念WEB干 臺(tái)1接口層|Ag e n tII膽 t fulAP II用戶管理：二二/終荒業(yè)含任務(wù)l 二婦 I Il 匕二 年控寶：I1 1三 向代理 I In sq l;i服3層1數(shù) 據(jù)存 儲(chǔ)二MySQLRed is令g運(yùn)行環(huán)境I三國(guó)二工二1第 23 頁(yè)可目前系統(tǒng)的大部分功能，都是與廣東某銀行合作的基礎(chǔ)上設(shè)計(jì)與研發(fā)的。其實(shí)用性、安全性、穩(wěn) 定性都是按金融單位的

18、技術(shù)要求進(jìn)行實(shí)現(xiàn)。隨著合作的深入，全面的投入使用，統(tǒng)信終端域管平臺(tái)將會(huì)以極高的速度迭代發(fā)展，適應(yīng)越來(lái)越 多的行業(yè)，解決更加廣泛的管控需求。第 24 頁(yè)可凸夕士，亡、一口統(tǒng)信終端域管平臺(tái)特點(diǎn)：目前系統(tǒng)已具備核心的管控功能，且具有對(duì)系統(tǒng)全面深入的管控能力。集中管控系統(tǒng)是 UOS 的次重要嘗試，以 全面覆蓋用戶的業(yè)務(wù)需要。誦過(guò)底層和上層系統(tǒng)之間的協(xié)作，集中管控可以發(fā)揮出最大的效能。集中管控的場(chǎng)景范圍很廣，涉及不同的行業(yè)和不同的維度，因此絕不會(huì)是家獨(dú)大的結(jié)果， 提供基礎(chǔ)底層的管控架構(gòu)，攜手合作伙伴共建生態(tài)，是更重要的目標(biāo)和價(jià)值。第 25 頁(yè)9.1. 9.2. 統(tǒng)信終端域管平臺(tái)產(chǎn)品白皮書(shū)應(yīng)急服務(wù)：完備的應(yīng)急響應(yīng)流程，可及時(shí)處理用戶緊急事件。培訓(xùn)服務(wù)使用培訓(xùn)：提供操作系統(tǒng)的用戶使用培訓(xùn)；研發(fā)培訓(xùn)：基于國(guó)產(chǎn)與開(kāi)