【正文】 經(jīng)過綜合考察、對比市場上的相關(guān)產(chǎn)品，某選擇LeagVi。l 由于蠕蟲病毒、木馬、間諜件、流氓軟件泛濫，防病毒系統(tǒng)往往不能有效發(fā)現(xiàn)這些軟件，解決這些問題往往更多地依賴加強桌面PC的安全設(shè)置（如防火墻、IE設(shè)置等）、安裝最新操作系統(tǒng)補丁等手段來防范，傳統(tǒng)的手工設(shè)置方式效率低下。l 經(jīng)常有桌面PC感染網(wǎng)絡(luò)病毒，由于網(wǎng)絡(luò)規(guī)模大，對這些感染病毒的電腦定位、查找非常困難。l 由于分支機構(gòu)、工廠眾多，技術(shù)人員經(jīng)常需要在路途上花費大量的時間，僅僅為解決一個簡單的桌面機問。作為一家技術(shù)領(lǐng)先的醫(yī)療設(shè)備生產(chǎn)廠商，外來電腦接入網(wǎng)絡(luò)可能導(dǎo)致公司技術(shù)資料泄密，網(wǎng)絡(luò)安全遭受威脅。近年來由于業(yè)務(wù)增長迅速，公司員工、桌面PC數(shù)量快速增長，IT維護維護任務(wù)日益加重，由于IT維護技術(shù)人員嚴重不足，產(chǎn)生了一系列問題：l 難以統(tǒng)計網(wǎng)上的各種軟件、硬件資產(chǎn)。經(jīng)過3個星期的部署，某聯(lián)通的LeagView系統(tǒng)全面上線。u 豐富報表，便于決策和管理。u 集中式安全設(shè)置，包括集中式Windows本地安全策略設(shè)置、集中式u 集中式設(shè)備定位，可以依據(jù)IP、MAC、用戶名等信息進行快速定位，發(fā)現(xiàn)異常的電腦。LeagView允許管理員對數(shù)以千計的桌面電腦進行集中管理、維護，包括：u 集中式軟件分發(fā)，包括對應(yīng)用軟件、補丁軟件的自動分發(fā)和自動安裝。對不符合安全規(guī)定的電腦或者外來電腦，限制其接入內(nèi)部網(wǎng)絡(luò)或者限制其訪問重要服務(wù)器和網(wǎng)絡(luò)資源。同時能夠檢測常見的桌面安全設(shè)置。l 桌面電腦和手提電腦安全漏洞檢測。l 信息安全管理。這些問題包括：l 資產(chǎn)管理與資產(chǎn)變更管理。某聯(lián)通經(jīng)過長時間的考察、選型，最終選擇了某科技有限公司的LeagView系統(tǒng)解決其在桌面電腦管理方面所遇到的問題。（3） 對不符合安全要求或者外來的電腦接入到內(nèi)部局域網(wǎng)時進行控制，例如：對未安裝防病毒軟件的、有操作系統(tǒng)補丁漏洞的、或者外來的電腦接入網(wǎng)絡(luò)進行控制。由于缺乏必要的管理手段和工具，許多企業(yè)桌面PC經(jīng)常爆發(fā)大規(guī)模的網(wǎng)絡(luò)病毒，導(dǎo)致網(wǎng)絡(luò)大范圍癱瘓。日常桌面管理中經(jīng)常需要依據(jù)IP地址、MAC地址、主機名等對桌面PC進行定位，如找到桌面PC在哪臺交換機的哪個端口上，找到該PC在哪個房間的哪個信息點上，設(shè)備快速定位可以有效解決這方面的管理要求。此外，某聯(lián)通還有以下桌面電腦的管理要求。分發(fā)期間可按網(wǎng)絡(luò)流量智能分配網(wǎng)絡(luò)帶寬，不影響主機的業(yè)務(wù)工作。（4） 軟件分發(fā)問題由于病毒、補丁等問題，需要經(jīng)常對桌面電腦的軟件進行升級和維護，由于某聯(lián)通的電腦數(shù)量龐大，手工方式很難保證所有的桌面電腦的軟件和補丁及時升級。某聯(lián)通的遠程管理及遠程控制系統(tǒng)要求以較小的網(wǎng)絡(luò)帶寬對遠程主機進行連接，不影響遠程主機的業(yè)務(wù)操作。在資產(chǎn)發(fā)生變更時及時報警，并自動生成各類資產(chǎn)報表。（2） 資產(chǎn)管理問題由于某聯(lián)通的桌面PC和手提電腦數(shù)量多，由于電腦的升級、更新頻繁，如何對這些電腦的軟件、硬件資產(chǎn)進行管理、統(tǒng)計，如何防止資產(chǎn)非正常流失，如何防止資產(chǎn)浪費一直是個難題。附錄1. 某科技公司簡介2. LeagView應(yīng)用案例 金融行業(yè)成功案例 典型案例詳細說明案例一 某聯(lián)通應(yīng)用案例：某聯(lián)通作為中國聯(lián)通的子公司，在某有5個較大的辦公場所，近百個營業(yè)網(wǎng)點，長期以來，由于辦公場所地理位置分散，營業(yè)網(wǎng)點數(shù)量多，內(nèi)部網(wǎng)絡(luò)安全和桌面電腦的管理控制非常困難。UniAccessTM可以自動發(fā)現(xiàn)網(wǎng)絡(luò)上的所有計算機，并可以對所有計算機提供如下信息：l 計算機的IP/MAC/主機名/交換機端口；l 計算機當(dāng)前是否在線；l 計算機當(dāng)前是否安裝了Agent；l 計算機當(dāng)前的Agent是否能夠與UniAccessTM服務(wù)器通信；因此，管理維護人員可以非常有效地掌握哪些計算機沒有安裝Agent，. 系統(tǒng)部署時間由于UniAccessTM的安裝、部署簡單，系統(tǒng)的部署時間相對其它同類產(chǎn)品而言較短。當(dāng)計算機登錄的時候發(fā)現(xiàn)UniAccessTM Agent不在客戶端計算機上，它可以自動從存放UniAccessTM Agent安裝程序的位置啟動安裝。如果有GPO功能則可以高效的部署UniAccessTM Agent。有關(guān)更多的組策略方面的信息，參見微軟的知識庫文章。你可以直接運行這個程序來直接安裝client，或者調(diào)用它的參數(shù)進行安裝。必須以管理員權(quán)限登錄目標計算機并進行安裝。l UniAccessTM Agent 總是可以通過在每臺計算機上手工運行UniAccessTM Agent安裝程序來進行安裝。用戶只需點擊其相應(yīng)的URL即可實現(xiàn)安裝。l 管理員只要有遠程計算機的管理員用戶名及密碼，并且在相關(guān)的服務(wù)端口沒有被防火墻關(guān)閉的情況下，即可對遠程的計算機進行批量的安裝。UniAccessTM Agent支持的操作系統(tǒng) UniAccessTM Agent支持Windows 9Windows 2000、Windows XP、Windows 2003等各種操作系統(tǒng)，由于Windows 98操作系統(tǒng)本身的限制，有少部分功能在Windows 98的終端上不能實現(xiàn)。一般情況下，終端上只有一個進程在終端上執(zhí)行，在啟用遠程協(xié)助的情況下，會有兩個進程，極少部分特殊的終端可能會有三個進程用于執(zhí)行某些特定的任務(wù)。. UniAccessTM Agent的特點及其部署方法UniAccessTM Agent的特點UniAccessTM在設(shè)計時，充分考慮了在數(shù)以千計、乃至數(shù)以萬計的桌面電腦環(huán)境中部署UniAccessTM的復(fù)雜度，系統(tǒng)提供了多種部署手段和部署工具，包括遠程自動部署安裝工具。. 探測器(1臺，可選)有時需要在網(wǎng)絡(luò)內(nèi)部署探測器，探測器有兩個用途：1.） VLAN，用于管理未安裝Agent的客戶機，2.）軟件方式實現(xiàn)準入控制，、Cisco NAC EoU認證的情況下實現(xiàn)網(wǎng)絡(luò)接入控制。Radius服務(wù)器配置要求如下：節(jié)點數(shù)配置要求用戶確認5000個終端l 1CPU：主頻 Hz以上l DRAM： 512MB以上l Hard disk：20GB IDEl 網(wǎng)卡：100MB. 補丁下載服務(wù)器（1臺，可選）在某些情況下，需要將補丁下載服務(wù)器獨立部署，例如：UniAccessTM管理服務(wù)器部署在內(nèi)網(wǎng)。服務(wù)器需要SQL Server 2000數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫占用空間的大小取決于以下因素，包括：l 被管理的客戶機的數(shù)量l 被監(jiān)控的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)數(shù)量l 使用“某IT安全運維管理系統(tǒng)”的事件l 其它因素…..部署功能支持節(jié)點數(shù)配置要求（最低要求）部署UniAccessTM+UniMon（包含網(wǎng)絡(luò)行為審計功能）1000臺終端設(shè)備+50臺網(wǎng)絡(luò)設(shè)備l 2CPU：主頻 Hz以上l DRAM： 2GB以上l Hard disk：80GB IDEl 網(wǎng)卡：100MB. Radius服務(wù)器（2臺，必選1臺）若需要部署準入控制，一般建議采用雙Radius服務(wù)器，且建議Radius服務(wù)器的主服務(wù)器采用獨立的硬件服務(wù)器。UniAccessTM內(nèi)置HTTP服務(wù)器軟件，因此操作系統(tǒng)安裝時請勿啟用Microsoft IIS系統(tǒng)。. UniAccessTM服務(wù)器硬件（1臺，必選項目）運行UniAccessTM后臺服務(wù)器軟件以及Microsoft SQL Server 2000應(yīng)用。圖 39 服務(wù)器部署示意圖在上圖中，分支機構(gòu)的終端在下載軟件、補丁時將直接從中繼器中獲取。為了使得軟件分發(fā)、補丁分發(fā)等任務(wù)能夠以盡可能少的網(wǎng)絡(luò)資源以及加快任務(wù)的執(zhí)行速度，建議采用中繼器模式，即：服務(wù)器先把需要下發(fā)的文件、補丁先分發(fā)給中繼器，當(dāng)終端向UniAccessTM服務(wù)器請求下載時，UniAccessTM服務(wù)器將自動給終端分配一個中繼器，終端將從中繼器直接下載所需要的文件或補丁。圖 38 終端安全管理解決方案示意圖在上圖中，各種安全管理的策略的下發(fā)，以及終端上報的各類審計信息，均可以由終端直接與UniAccessTM服務(wù)器直接交互完成。. 服務(wù)器部署建議UniAccessTM采用先進的軟件架構(gòu)，單臺服務(wù)器最大可以支持1萬臺以上的終端安全管理。UniAccessTM提供了多種技術(shù)手段，例如：WEB安裝、HTTP聯(lián)動、防火墻聯(lián)動等手段，方便客戶機軟件的部署。UniAccessTM是真正能夠發(fā)現(xiàn)所有外來設(shè)備，以及真正能夠發(fā)現(xiàn)“脫僵”客戶機的內(nèi)網(wǎng)安全管理產(chǎn)品。管理服務(wù)器能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)上的網(wǎng)段，發(fā)現(xiàn)每個網(wǎng)段的計算機設(shè)備，發(fā)現(xiàn)設(shè)備之間的連接關(guān)系，避免了用戶部署時候所需要做的繁瑣的MAC地址登記工作。只要一臺管理服務(wù)器就可以對數(shù)十個、上百個跨越不同地理位置的網(wǎng)絡(luò)進行管理。6. 服務(wù)器配置與系統(tǒng)安裝、部署建議. UniAccessTM安全接入管理系統(tǒng)的部署優(yōu)勢UniAccessTM產(chǎn)品設(shè)計時，就充分考慮了UniAccessTM系統(tǒng)的部署問題，使得用戶可以快速、有效、易行地部署整個管理系統(tǒng)。對于一些服務(wù)器或者由管理員負責(zé)的公共客戶機，管理員擁有它們的系統(tǒng)管理員賬戶和口令，管理系統(tǒng)可以讓管理員通過界面集中遠程安裝，而不需要讓管理員到每臺機器上手工安裝。一個用戶在同一臺客戶機上多次申請安裝客戶機軟件時，用戶列表信息中只能是同一條。對于后面新增加的客戶端，管理員也可以通過界面生成新的校驗碼并由管理系統(tǒng)自動發(fā)送給客戶機用戶。生成的校驗碼可以通過郵件方式自動發(fā)送給相應(yīng)用戶，以便該用戶能夠在安裝客戶機軟件時用此郵件地址和校驗碼輸入?？蛻魴C如果不是首次安裝，則不需要填寫申請信息。客戶機在首次安裝客戶機軟件安裝包之前，必須填寫注冊信息，注冊信息的內(nèi)容包括用戶名、電話、電子郵件、所屬部門、工作地點、校驗碼等信息?？蛻魴C軟件安裝包可以被客戶化，管理員可以根據(jù)需要在客戶化客戶機軟件安裝包時定制提供的功能、顯示的圖標、顯示的界面標題和管理服務(wù)器的IP地址。. 客戶機軟件部署建議為了支持大規(guī)模安裝，管理系統(tǒng)必須提供Web方式安裝客戶機軟件。l 防火墻聯(lián)動部署。l 網(wǎng)站聯(lián)動部署。l 遠程安裝工具。由于UniAccessTM采取了獨特的技術(shù)，任何計算機只要接入到網(wǎng)絡(luò)就可以被快速發(fā)現(xiàn)并定位，因此管理員可以準確掌握桌面PC安裝代理的總體狀況；l 反卸載功能。l 傻瓜式安裝，客戶機軟件安裝簡單，用戶只需要鼠標點擊一次HTTP鏈接，不需要輸入任何參數(shù)（配置了代理安裝驗證的除外），即可完成整個安裝過程。. UniAccessTM的客戶機軟件部署技術(shù)由于桌面PC的數(shù)量很多，使用的人員對計算機知識的掌握程度差異很大，如何方便、快捷、有效地部署代理是桌面管理產(chǎn)品的一個重要問題。只要在所有桌面電腦上全面部署客戶機軟件，才能夠保障安全管理的嚴密性。UniAccessTM提供管理員和終端用戶之間的文字聊天工具，雙方可以進行文字聊天解決故障問題。UniAccessTM在遠程控制時需要進行口令驗證，口令不正確將被禁止訪問。遠程監(jiān)控和遠程協(xié)助又支持共享式和獨占式。管理員通過UniAccessTM的web管理界面可以直接登錄到遠程終端，實時看到遠程終端的屏幕、操作遠程終端的鼠標和鍵盤。管理員也查詢某臺終端設(shè)備的所有軟件分發(fā)任務(wù)的執(zhí)行情況。下圖是軟件分發(fā)任務(wù)執(zhí)行統(tǒng)計信息，包括目標設(shè)備總數(shù)、安裝成功的設(shè)備總數(shù)、安裝失敗的設(shè)備總數(shù)、下載失敗的設(shè)備總數(shù)、未安裝的設(shè)備數(shù)。UniAccessTM也支持中繼方式分發(fā)軟件，將軟件包先分發(fā)到中繼設(shè)備，再從中繼設(shè)備分發(fā)到目標終端。管理員為某個軟件分發(fā)任務(wù)設(shè)置的應(yīng)用范圍可以是IP地址范圍、網(wǎng)段、部門、某類設(shè)備、某類操作系統(tǒng)等。. 軟件分發(fā)管理. 斷點續(xù)傳UniAccessTM軟件分發(fā)支持斷點續(xù)傳，如果在軟件分發(fā)過程中網(wǎng)絡(luò)斷開或者終端設(shè)備被關(guān)機，當(dāng)網(wǎng)絡(luò)連接正常后，UniAccessTM客戶端代理能夠從原來的文件下載點開始繼續(xù)下載軟件。UniAccessTM還允許管理員為某個補丁定義自動分發(fā)與安裝策略，此時UniAccessTM在策略目標范圍內(nèi)檢查終端設(shè)備是否安裝了該補丁，對于未安裝的終端設(shè)備，在指定時間內(nèi)將補丁主動推下去進行安裝。補丁自動分發(fā)與安裝策略配置界面如下圖所示。管理員可以為某類微軟產(chǎn)品如Windows 2000操作系統(tǒng)定義自動分發(fā)與安裝策略，策略內(nèi)容包括需要升級的補丁級別、補丁分發(fā)時間、補丁安裝方式、是否需要管理員確認、補丁分發(fā)的目的機器范圍、分發(fā)采用的中繼設(shè)備、補丁下載的最大流量等。管理員可以通過補丁安裝信息列表查看某臺終端設(shè)備需要安裝哪些補丁、哪些補丁已經(jīng)安裝、哪些補丁未安裝信息，界面如下圖所示。圖 32 補丁信息. 客戶端用戶手工安裝補丁UniAccessTM客戶端會向終端用戶顯示本機有哪些補丁未安裝以及這些補丁的詳細信息，如下圖所示。UniAccessTM可以控制只有管理員確認的補丁才會被分發(fā)到各個終端。. 補丁測試UniAccessTM支持補丁測試機制。Agent在離開網(wǎng)絡(luò)的情況下，能夠繼續(xù)執(zhí)行各種管理策略，各種審計信息在離線時，Agent會自動記錄在本地硬盤，在下次連線后自動上傳給服務(wù)器。此外，通過Agent所提供的雙向防火墻功能，可以防止通過FTP方式外傳文件。. 文件共享方式外傳控制UniAccessTM可以防止桌面終端用戶通過文件共享的方式外傳文件，例如：通過Windows共享、FTP共享等。. WebMail方式外傳控制通過UniAccessTM提供的Web訪問控制，可以限制桌面終端用戶通過WebMail方式外傳文件。UniAccessTM可以定義終端設(shè)備能夠通過哪些POP3和SMTP服務(wù)器收發(fā)郵件，禁止通過哪些POP3和SMTP服務(wù)器收發(fā)郵件，哪些需要進行審計。. MSN/文件外傳控制UniAccessTM能夠?qū)ψ烂娼K端用戶使用MSN/等進行監(jiān)控和管理，禁止其通過/MSN外傳文件。UniAccessTM可以設(shè)置對U盤的注冊，對于已注冊的U盤可以使用，而未注冊的U盤一概不可使用；另可對U盤的數(shù)據(jù)進行加密，加過密的U盤只允許在指定的設(shè)備上使用，否則一概為亂碼。當(dāng)U盤接入到客戶端時，UniAccessTM會判斷該U盤是可以被讀