【正文】 任務(wù)執(zhí)行的非常慢。為了使得軟件分發(fā)、補丁分發(fā)等任務(wù)能夠以盡可能少的網(wǎng)絡(luò)資源以及加快任務(wù)的執(zhí)行速度，建議采用中繼器模式，即：服務(wù)器先把需要下發(fā)的文件、補丁先分發(fā)給中繼器，當(dāng)終端向UniAccessTM服務(wù)器請求下載時，UniAccessTM服務(wù)器將自動給終端分配一個中繼器，終端將從中繼器直接下載所需要的文件或補丁。下圖時服務(wù)器的部署示意圖。圖 39 服務(wù)器部署示意圖在上圖中，分支機構(gòu)的終端在下載軟件、補丁時將直接從中繼器中獲取。也可以在總部的網(wǎng)絡(luò)中設(shè)置若干個中繼器，這樣總部的終端可以更快地下載補丁和軟件。. UniAccessTM服務(wù)器硬件（1臺，必選項目）運行UniAccessTM后臺服務(wù)器軟件以及Microsoft SQL Server 2000應(yīng)用。服務(wù)器操作系統(tǒng)可以選用Windows2000以上中文版系統(tǒng)。UniAccessTM內(nèi)置HTTP服務(wù)器軟件，因此操作系統(tǒng)安裝時請勿啟用Microsoft IIS系統(tǒng)。服務(wù)器上需安裝SQL Server數(shù)據(jù)庫，實現(xiàn)對全網(wǎng)所有系統(tǒng)的管理。服務(wù)器需要SQL Server 2000數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫占用空間的大小取決于以下因素，包括：l 被管理的客戶機的數(shù)量l 被監(jiān)控的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)數(shù)量l 使用“某IT安全運維管理系統(tǒng)”的事件l 其它因素…..部署功能支持節(jié)點數(shù)配置要求（最低要求）部署UniAccessTM+UniMon（包含網(wǎng)絡(luò)行為審計功能）1000臺終端設(shè)備+50臺網(wǎng)絡(luò)設(shè)備l 2CPU：主頻 Hz以上l DRAM： 2GB以上l Hard disk：80GB IDEl 網(wǎng)卡：100MB. Radius服務(wù)器（2臺，必選1臺）若需要部署準入控制，一般建議采用雙Radius服務(wù)器，且建議Radius服務(wù)器的主服務(wù)器采用獨立的硬件服務(wù)器。在預(yù)算不足的情況下， Radius服務(wù)器可以和其它應(yīng)用共享一臺硬件服務(wù)器。Radius服務(wù)器配置要求如下：節(jié)點數(shù)配置要求用戶確認5000個終端l 1CPU：主頻 Hz以上l DRAM： 512MB以上l Hard disk：20GB IDEl 網(wǎng)卡：100MB. 補丁下載服務(wù)器（1臺，可選）在某些情況下，需要將補丁下載服務(wù)器獨立部署，例如：UniAccessTM管理服務(wù)器部署在內(nèi)網(wǎng)。補丁下載服務(wù)器配置要求如下：節(jié)點數(shù)配置要求用戶確認不限l 1CPU：主頻 Hz以上l DRAM： 256MB以上l Hard disk：40GB IDEl 網(wǎng)卡：100MB備注：可以選用淘汰的PC機頂替。. 探測器(1臺，可選)有時需要在網(wǎng)絡(luò)內(nèi)部署探測器，探測器有兩個用途：1.） VLAN，用于管理未安裝Agent的客戶機，2.）軟件方式實現(xiàn)準入控制，、Cisco NAC EoU認證的情況下實現(xiàn)網(wǎng)絡(luò)接入控制。探測器安裝服務(wù)器要求如下：節(jié)點數(shù)配置要求用戶確認不限l 1CPU：主頻 Hz以上l DRAM： 256MB以上l Hard disk：20GB IDEl 網(wǎng)卡：100MB備注：可以選用淘汰的PC機頂替。. UniAccessTM Agent的特點及其部署方法UniAccessTM Agent的特點UniAccessTM在設(shè)計時，充分考慮了在數(shù)以千計、乃至數(shù)以萬計的桌面電腦環(huán)境中部署UniAccessTM的復(fù)雜度，系統(tǒng)提供了多種部署手段和部署工具，包括遠程自動部署安裝工具。安裝在桌面電腦上的UniAccessTM代理軟件短小精悍，僅僅占用很少的內(nèi)存以及1％以下的CPU資源。一般情況下，終端上只有一個進程在終端上執(zhí)行，在啟用遠程協(xié)助的情況下，會有兩個進程，極少部分特殊的終端可能會有三個進程用于執(zhí)行某些特定的任務(wù)。安裝UniAccessTM代理之后，沒有管理員的授權(quán)，普通用戶無法卸載、刪除或者中止執(zhí)行UniAccessTM代理，并且代理安裝之后，代理不會打開可以被外部訪問的TCP端口。UniAccessTM Agent支持的操作系統(tǒng) UniAccessTM Agent支持Windows 9Windows 2000、Windows XP、Windows 2003等各種操作系統(tǒng)，由于Windows 98操作系統(tǒng)本身的限制，有少部分功能在Windows 98的終端上不能實現(xiàn)。UniAccessTM Agent的部署UniAccessTM提供了多種技術(shù)和方法部署UniAccessTM Agent，包括使用UniAccessTM遠程部署工具、Active Directory登錄腳本、第三方工具以及手工安裝。l 管理員只要有遠程計算機的管理員用戶名及密碼，并且在相關(guān)的服務(wù)端口沒有被防火墻關(guān)閉的情況下，即可對遠程的計算機進行批量的安裝。l 通UniAccessTM提供的一個WEB插件，可以配置當(dāng)未安裝UniAccessTM Agent的計算機去訪問IIS WEB服務(wù)器時，WEB服務(wù)器將自動彈出界面要求客戶機安裝UniAccessTM Agent。用戶只需點擊其相應(yīng)的URL即可實現(xiàn)安裝。l 可以給目標系統(tǒng)用戶發(fā)送一個正文帶有URL鏈接的，用戶收到該URL之后，只需點擊URL即可實現(xiàn)安裝UniAccessTM Agent。l UniAccessTM Agent 總是可以通過在每臺計算機上手工運行UniAccessTM Agent安裝程序來進行安裝。這對于較少數(shù)目的計算機來說是一個快速且有效的方法。必須以管理員權(quán)限登錄目標計算機并進行安裝。l 可以使用Microsoft Installer (MSI)版本的UniAccessTM Agent安裝程序來進行自動安裝。你可以直接運行這個程序來直接安裝client，或者調(diào)用它的參數(shù)進行安裝。通過使用MSI版本的client安裝程序，可以為UniAccessTM Agent MSI的分發(fā)創(chuàng)建一個組策略對象（Group Policy Object ，GPO）。有關(guān)更多的組策略方面的信息，參見微軟的知識庫文章。l 可以通過使用Active Directory Group Policy Objects (GPO)來定義一個策略，強制在特定組（比如組織單位，域，等）的每臺計算機上安裝UniAccessTM Agent，這個策略在每次用戶登錄到這個特定的域的時候應(yīng)用到客戶端計算機。如果有GPO功能則可以高效的部署UniAccessTM Agent。l 在一個AD域，登錄腳本可以用來檢查UniAccessTM Agent是否存在。當(dāng)計算機登錄的時候發(fā)現(xiàn)UniAccessTM Agent不在客戶端計算機上，它可以自動從存放UniAccessTM Agent安裝程序的位置啟動安裝。Agent一旦部署，系統(tǒng)今后可以對Agent進行自動升級維護。UniAccessTM可以自動發(fā)現(xiàn)網(wǎng)絡(luò)上的所有計算機，并可以對所有計算機提供如下信息：l 計算機的IP/MAC/主機名/交換機端口；l 計算機當(dāng)前是否在線；l 計算機當(dāng)前是否安裝了Agent；l 計算機當(dāng)前的Agent是否能夠與UniAccessTM服務(wù)器通信；因此，管理維護人員可以非常有效地掌握哪些計算機沒有安裝Agent，. 系統(tǒng)部署時間由于UniAccessTM的安裝、部署簡單，系統(tǒng)的部署時間相對其它同類產(chǎn)品而言較短。一般來說，類似XXXX這樣的大型網(wǎng)絡(luò)系統(tǒng)，整個軟件的部署實施時間需要6－8周左右的時間。附錄1. 某科技公司簡介2. LeagView應(yīng)用案例 金融行業(yè)成功案例 典型案例詳細說明案例一 某聯(lián)通應(yīng)用案例：某聯(lián)通作為中國聯(lián)通的子公司，在某有5個較大的辦公場所，近百個營業(yè)網(wǎng)點，長期以來，由于辦公場所地理位置分散，營業(yè)網(wǎng)點數(shù)量多，內(nèi)部網(wǎng)絡(luò)安全和桌面電腦的管理控制非常困難。具體來說，這些需要解決的管理問題包括：（1） 防止非法外來接入以及信息安全保障問題由于辦公場地分散，某些辦公場所有無線AP設(shè)備，如何防止外來的電腦通過無線AP等方式接入到某聯(lián)通的內(nèi)部網(wǎng)絡(luò)竊取機密文件，防止員工通過某聯(lián)通以外的電子郵件服務(wù)器收發(fā)郵件泄漏公司機密，防止員工通過USB、撥號上網(wǎng)等方式泄漏公司機密成為某聯(lián)通非常關(guān)注的重要問題。（2） 資產(chǎn)管理問題由于某聯(lián)通的桌面PC和手提電腦數(shù)量多，由于電腦的升級、更新頻繁，如何對這些電腦的軟件、硬件資產(chǎn)進行管理、統(tǒng)計，如何防止資產(chǎn)非正常流失，如何防止資產(chǎn)浪費一直是個難題。某聯(lián)通的資產(chǎn)管理系統(tǒng)要求對網(wǎng)絡(luò)上的電腦資產(chǎn)信息進行自動收集、統(tǒng)計，并可定期生成報表。在資產(chǎn)發(fā)生變更時及時報警，并自動生成各類資產(chǎn)報表。（3） 遠程管理及遠程控制問題某聯(lián)通的在某有多個辦公場所，由于地理位置分散，長期起來給桌面電腦的管理維護帶來了極大的不便。某聯(lián)通的遠程管理及遠程控制系統(tǒng)要求以較小的網(wǎng)絡(luò)帶寬對遠程主機進行連接，不影響遠程主機的業(yè)務(wù)操作?？煞秩珯?quán)控制和旁觀模式控制遠程主機，實現(xiàn)遠程操作主機，包括安裝、刪除程序，關(guān)機，重新啟動等操作。（4） 軟件分發(fā)問題由于病毒、補丁等問題，需要經(jīng)常對桌面電腦的軟件進行升級和維護，由于某聯(lián)通的電腦數(shù)量龐大，手工方式很難保證所有的桌面電腦的軟件和補丁及時升級。某聯(lián)通要求軟件分發(fā)系統(tǒng)對主機進行分類，按照不同操作系統(tǒng)分發(fā)不同系統(tǒng)補丁、程序，可實現(xiàn)定時、定量、續(xù)傳方式分發(fā)軟件。分發(fā)期間可按網(wǎng)絡(luò)流量智能分配網(wǎng)絡(luò)帶寬，不影響主機的業(yè)務(wù)工作。（5） 相關(guān)報表管理問題為管理方便，某聯(lián)通要求桌面電腦管理系統(tǒng)必須提供豐富的報表系統(tǒng)。此外，某聯(lián)通還有以下桌面電腦的管理要求。（1） 設(shè)備快速定位。日常桌面管理中經(jīng)常需要依據(jù)IP地址、MAC地址、主機名等對桌面PC進行定位，如找到桌面PC在哪臺交換機的哪個端口上，找到該PC在哪個房間的哪個信息點上，設(shè)備快速定位可以有效解決這方面的管理要求。（2） 桌面PC安全漏洞管理。由于缺乏必要的管理手段和工具，許多企業(yè)桌面PC經(jīng)常爆發(fā)大規(guī)模的網(wǎng)絡(luò)病毒，導(dǎo)致網(wǎng)絡(luò)大范圍癱瘓。爆發(fā)大規(guī)模網(wǎng)絡(luò)病毒的主要原因在于缺乏必要的桌面PC安全漏洞管理。（3） 對不符合安全要求或者外來的電腦接入到內(nèi)部局域網(wǎng)時進行控制，例如：對未安裝防病毒軟件的、有操作系統(tǒng)補丁漏洞的、或者外來的電腦接入網(wǎng)絡(luò)進行控制。以提高內(nèi)部網(wǎng)絡(luò)的安全性，防止網(wǎng)絡(luò)因為病毒、木馬攻擊而癱瘓。某聯(lián)通經(jīng)過長時間的考察、選型，最終選擇了某科技有限公司的LeagView系統(tǒng)解決其在桌面電腦管理方面所遇到的問題。LeagView作為一款技術(shù)領(lǐng)先的桌面安全管理產(chǎn)品，為某聯(lián)通解決絕大多數(shù)桌面電腦和筆記本電腦管理中一直存在的諸多問題。這些問題包括：l 資產(chǎn)管理與資產(chǎn)變更管理。LeagView自動采集桌面電腦和筆記本電腦的軟件、硬件資產(chǎn)信息，自動發(fā)現(xiàn)資產(chǎn)變更。l 信息安全管理。LeagView能夠自動發(fā)現(xiàn)接入到網(wǎng)絡(luò)中的外來電腦，防止外來電腦竊取機密文件，能夠?qū)?nèi)部網(wǎng)絡(luò)的電腦撥號上網(wǎng)或者使用USB等行為進行監(jiān)控，通過上網(wǎng)審計和上網(wǎng)過濾功能防止員工使用外部的郵件服務(wù)器收發(fā)郵件。l 桌面電腦和手提電腦安全漏洞檢測。LeagView自動檢測所有的操作系統(tǒng)漏洞、微軟應(yīng)用系統(tǒng)漏洞，確保桌面系統(tǒng)的安全性。同時能夠檢測常見的桌面安全設(shè)置。l 安全接入控制。對不符合安全規(guī)定的電腦或者外來電腦，限制其接入內(nèi)部網(wǎng)絡(luò)或者限制其訪問重要服務(wù)器和網(wǎng)絡(luò)資源。l 集中式維護。LeagView允許管理員對數(shù)以千計的桌面電腦進行集中管理、維護，包括：u 集中式軟件分發(fā)，包括對應(yīng)用軟件、補丁軟件的自動分發(fā)和自動安裝。u 集中式遠程管理，包括遠程協(xié)助、遠程監(jiān)控多種管理模式。u 集中式安全設(shè)置，包括集中式Windows本地安全策略設(shè)置、集中式u 集中式設(shè)備定位，可以依據(jù)IP、MAC、用戶名等信息進行快速定位，發(fā)現(xiàn)異常的電腦。u 集中式資產(chǎn)管理，可以依據(jù)資產(chǎn)的配置，對設(shè)備進行快速定位。u 豐富報表，便于決策和管理。LeagView提供各種類型的資產(chǎn)、軟件、安全漏洞、變更等報表，方便管理和決策。經(jīng)過3個星期的部署，某聯(lián)通的LeagView系統(tǒng)全面上線。案例二 某應(yīng)用案例：某公司（以下簡稱“某”）是國內(nèi)最大的醫(yī)療設(shè)備生產(chǎn)商，總部位于中國某，在中國28個主要城市以及香港、加拿大設(shè)立了分支機構(gòu)，在世界各地建立了強大的分銷和服務(wù)網(wǎng)絡(luò)。近年來由于業(yè)務(wù)增長迅速，公司員工、桌面PC數(shù)量快速增長，IT維護維護任務(wù)日益加重，由于IT維護技術(shù)人員嚴重不足，產(chǎn)生了一系列問題：l 難以統(tǒng)計網(wǎng)上的各種軟件、硬件資產(chǎn)。個別員工私自從Internet下載商品軟件并在桌面PC上安裝，被某國外公司控訴盜版；l 由于某公司業(yè)務(wù)發(fā)展迅速，無法統(tǒng)計接入網(wǎng)絡(luò)的桌面PC數(shù)量、位置，更無法對外來電腦接入網(wǎng)絡(luò)的行為進行有效的控制。作為一家技術(shù)領(lǐng)先的醫(yī)療設(shè)備生產(chǎn)廠商，外來電腦接入網(wǎng)絡(luò)可能導(dǎo)致公司技術(shù)資料泄密，網(wǎng)絡(luò)安全遭受威脅。l 雖然通過VLAN等技術(shù)對研發(fā)部門的計算機進行安全管理和控制，但是，無法對撥號上網(wǎng)，無線AP，USB硬盤使用等行為進行有效的管理和控制。l 由于分支機構(gòu)、工廠眾多，技術(shù)人員經(jīng)常需要在路途上花費大量的時間，僅僅為解決一個簡單的桌面機問。l 由于公司的許多生產(chǎn)、行政、業(yè)務(wù)人員在計算機知識方面較弱，經(jīng)常需要IT維護人員協(xié)助安裝ERP軟件、安裝補丁包，使得維護工作量很高。l 經(jīng)常有桌面PC感染網(wǎng)絡(luò)病毒，由于網(wǎng)絡(luò)規(guī)模大，對這些感染病毒的電腦定位、查找非常困難。l 缺乏有效的手段對員工的上網(wǎng)進行審計和過濾，特別是對業(yè)務(wù)人員的筆記本電腦，傳統(tǒng)的審計和過濾手段根本無法解決該問題。l 由于蠕蟲病毒、木馬、間諜件、流氓軟件泛濫，防病毒系統(tǒng)往往不能有效發(fā)現(xiàn)這些軟件，解決這些問題往往更多地依賴加強桌面PC的安全設(shè)置（如防火墻、IE設(shè)置等）、安裝最新操作系統(tǒng)補丁等手段來防范，傳統(tǒng)的手工設(shè)置方式效率低下。由于市場上解決這些方面問題的產(chǎn)品或者解決方案較少，即使有也往往不能完全解決某的全部管理需求，并且多數(shù)的產(chǎn)品在部署實施方面工作量大而且比較復(fù)雜。經(jīng)過綜合考察、對比市場上的相關(guān)產(chǎn)品，某選擇Lea