祝青柳:今天我给各位朋友、各位领导带来的是全面管控,令行禁止,终端标准化管理建议,我为什么叫构建可控互联世界,为什么互联世界要可控呢?因为按照我们跟很多企业也好,政府用户也好,沟通,他们其实普遍反映一点,互联技术确实给我们国家和我们的企业带来了生产力的提高,但是很多时候,因为基于科研发展起来的技术,它在可管可控方面存在很多问题,这样的话使得我们很多非常关键的一些应用一旦构建在它上面之后,必然面临怎么去管控它这样一个问题。联软科技我们的使命就是来帮助我们的用户来实现对互联世界的全面的管控,保障业务能够安全稳定持续的运行。今天我重点跟大家分享我们在终端型管理方面的一些经验。
我想在具体跟大家分享这些经验之前,我想问在座的各位领导和各位朋友这样几个问题,我相信很多的朋友单位都有计算机终端的网络,请问各位是否知道,在您单位的网络里,到底有多少终端是连在网络上的,这是第一个问题。第二个问题,连在网络上的这些终端有哪些它已经被管理和控制起来了。第三个问题,被管理和控制起来的这些终端,它是不是真的来符合了我们企业或者我们单位的一些管理制度和要求。为什么今天这个终端管理问题这么重要呢?实际上很重要的一个原因,最近这几年病毒、木马产业化发展,也就是这里面有利益链,有利益驱动,然后带来很多方面的问题。大家普遍发现如果你单单靠买个防病毒软件,买个防火墙软件或者买个产品回来,问题还是一大堆,没有办法解决。我和很多专家,很多用户交流之后,大家普遍得出一个结论,要解决这个问题的话,必须要把管理和这个技术结合起来,如果你管理这个技术没有办法有效的结合的话,这个问题是非常难以解决的。
很多用户为了解决前面讲的问题,他们就开始动脑筋了,就去买各种产品,但从我接触交流的大概有800多个客户,我们了解的一些情况,其实很多时候是失败大于成功。我这里有很多的例子,具体的,如果各位有兴趣,我们可以再做更详细的交流。我本人曾经在论坛上发过一个帖子,有朋友跟我说太快意恩仇的味道了,我的题目是什么?就是没有准入控制的桌面管理或者终端管理在中国注定失败。为什么会给出这样一个断言式的结论呢?因为我跟很多用户交流之后,发现一个很大的问题是什么?很多用户早期买一些桌面管理软件也好,或者其他的各种管理软件也好,后来他们发现当你今天把这些软件安装以后,三个月以后,可能有10%,20%被卸载了,再过三个月,可能有50%被卸载了,但是作为管理员,一个方面他没有办法知道哪些终端用户已经把这些客户端卸载了,哪些没有卸载。最后当越来越多的这些客户端被卸载之后,他们起到的管理作用,我们大家都可想而知了。为什么在很多的国外的一些软件,他们在美国或者在欧洲,在日本,在香港他们应用情况都比较好,为什么到了中国会出现这个情况呢?我和很多的专家和朋友,还有用户我们做交流,其实我们也在分析,一个很重要的原因,因为中国工业化进程时间比较短,员工受到职业化训练的概念和欧美和日本差距非常大,我本人有机会和香港,还有日本的一些客户做交流,他们说其实如果在香港本地的这样一些公司,如果说公司里规定上班时间不让上互联网,就这么简单的一个例子。很多员工即使他的电脑可以上互联网,他也不会上,他一般会比较自觉来遵守这个。
我得到一个吃惊的事情就是在日本,很多公司规定,如果打印机你只能打印一些指定的文件,它也会非常自觉的遵守,在国内实际情况非常不理想。当然,除了职业化训练的原因,当然,还有一些其他的原因,员工很多时候会有很多抵触情绪,比如说你这个系统降低了我的性能,影响了我的效率,或者本身确实因为桌面的环境太复杂了,每家用户,每个单位桌面的软件千奇百态,很容易产生冲突。还有一些用户匆匆忙忙上这样一些系统之前,今天为了解决桌面管理问题上了一套桌面管理软件,他没有考虑你通过这个桌面管理发生的一些事件能不能跟你SO的服务台集成。最后好像上了,效果非常有限,成为一个孤岛系统。对你整个帮助管理并不像想象中那么大。还有一些用户买了哪些软件,厂商没有对他做很好的支持,部署非常困难,根本没有很好的应用起来。这是我在论坛上发了一些帖子之后,很多热心的朋友跟我交流之后我得出的结论。
事实上,桌面管理的市场也经历了好几代,从第一代远程协助为主的管理软件发展到第二代,大家更关注防病毒,资产安全,但是在第二代它有一个特点,今天我遇到一个问题,我找一个产品,明天我遇到一个问题再找一个产品解决,很多产品研发的时候没有做一个完整的考虑,最后一个电脑装了六七个图表,为了解决不同的需求。最近几年,我们发现其实有这样一个趋势,不管是国际上的防病毒的一些大厂还是国内的某一些厂商也好,大家其实都在考虑,怎么样我通过一个客户端来解决各种跟桌面管理相关的安全需求。联软科技提供给大家的一个叫终端标准化的管理思路是什么呢?怎么样来解决前面讲的各种问题呢?我们认为如果要做桌面管理或者中央标准化,首先第一个一定要采取一个基于强制策略的准入控制系统,确保所有接到我们网络的终端都是可以管到的,你只有能够管到你才能谈后面有没有效果,怎么样。终端只要接入到我们内部的网络就必须接受网络的安全管理和控制,非法的用户没有经过许可,它他是无法访问我们的内部网络的,它也不可能访问我们各种资源。第二步,你既然把这些管到它,我们再进一步通过各种安全的策略或者安全的措施,来保障每一台电脑,让它处于一个比较稳定的运行状态,然后对这个终端要考虑怎么让它确确实实为我们企业,为我们单位在服务,不管它是在线离线都能够受到管理和控制,保存在它上面的信息不会泄漏,不会因为失窃各种原因导致你单位的信息泄密。你既然要可管可控可信会不会给我们信息管理部门带来非常大的工作量呢?所以,最后一定要有一套自动化的权生命周期的管理手段,实现对各种策略,各种安全要求的自动化的管理。总的来讲,首先第一个要解决可管的问题。第三可信,第四可为。只有这样,你才能真正让这样一套管理措施落地,和你的管理规定才能很好的结合在一起。我们联软科技推出的安全管理套件这个产品包含网络准入控制、终端管理、防信息泄漏和桌面管理。在一个客户端解决了网络准入控制、终端安全、防泄密和终端管理的各种需求。应该说这也是一个非常创新性的产品。我们总的思路是什么呢?首先第一步,第一个我们有一个接入管理技术,只要安装我们后台系统以后,我们就可以自动发现网络上所有的终端,我们可以知道哪些终端已经安装了我们这个客户端软件,哪些没有安装,这样我知道哪些被管理起来,哪些没有被管理起来。如果没有安装我们客户端软件的电脑,它一旦接入到网络,不管是打开内部的OA也好,打开Google也好,打开百度也好,或者收发Email也好,我们会自
动发一份邮件给他,这里是某某银行或者某某单位内部网络,如果你是内部单位的员工,请你安装这个安全软件,如果你是外来的访客请你和前台联系,给它一个提醒。内部的用户就必须安装这个软件,安装这个软件之后我们就会对他的帐号,对他的安全的一些状态操作系统,只有符合安全管理规定的一些电脑它才能访问相应的一些网络,财务就可以访问财务的,行政的就可以访问行政的,如果它不符合安全要求,它就会被自动的隔离,没有权限访问。这些都是在网络上自动来做的。它接入这个网络之后,我们可以对它进行进一步安全设置的检查,对它非法操作的管理限制。比如有些单位不允许用QQ传文件,我们就可以限制它或者集中的资产管理或者软件分发。最后我们实现一个目标,不漏一机,不漏一断口,不漏一策略,专人专机专用。
部署UniAcess系统,不管你通过无线接入方式,或者是有线,或者是什么,我们都可以对它进行准入控制。这里我想再多说两句,其实前面的同事也介绍了,无线的安全,不管你是胖AP,还是瘦AP,我们都可以做准入控制,而且联软目前已经通过测试的无线控制器目前国际上很多知名的品牌我们都支持,无线AP只要符合国际标准,我们都可以跟它做这块准入控制的配合。所有的准入控制全部都是通过我们后面后台的系统来控制的。所有的安全,接入的这些策略都是保存在上面。肯定有朋友担心,如果所有的电脑接入都通过这套系统控制,万一这套系统瘫痪了怎么办呢?我跟大家解释一下这套系统怎么保障的,首先如果我们数据库服务器发生了一个故障的话,并不会影响终端的接入,只是很多审计信息没有办法写入数据库里。甚至如果两个同时发生故障,我们也会有一个紧急故障自动开门技术,你们这些系统断了电,我可以把门自动打开,人可以照样进来。所以,任何一个单点的故障,甚至整个系统发生失效都不会影响我们业务网络的正常运行。客户或者用户他只需要拿着一个客户端软件,那不管是无线接进来或者是有线接进来,我们都可以对他进行集中式的统一的管理和控制。
总的来进,这套系统有个什么样的技术特点呢?首先客户端的维护非常简单,兼容性比较好。首先第一个,我们用一个客户端就实现了这些,这样可以避免多个客户端之间的冲突和资源占用以及管理带来的管理维护问题。第二,被管理的终端通常情况下不需要打开防火墙的端口。大家知道,电脑终端打开前端口一个可能带来安全隐患,第二给IT管理部门也带来很大的工作量。第三被管理的终端资源占用比较少。你这个客户端有这么多功能,会不会占用很多终端呢?我给大家介绍一下我的体会,如果是XP系统下,我们启动后,大概是占13—15兆内存,如果是Window7占用的更少。我们跟国内的很多防病毒厂商都有合作,包括我们一些产品发布直接提交给他们,这样避免一些冲突。
第二,电脑终端只要接入到网络,它就比较接受网络的管理才能访问我们内部资源,它接入网络就会被发现,而且我们还可以定位这个电脑到底是哪一个交换机,哪一个端口接进来的,马上就可以发现它。如果它不接受我们的管理,我们就可以自动的把它隔离。第三个特点,在管理的过程中,它不会对网络进行扫描,不会在网络上产生非常多的广播包,也不会对网络性能产生一个影响。跟同类产品比,UniAcess产品有什么优势呢?我们自认为在网络准入领域我们做得比较领先,这个领先主要体现在几个方面。第一组网方式非常灵活,我们这套产品可以跟各个网络设备的厂商的交换机,这些网络设备联动,而且我们可以支持各种接入方式,我们都可以做网络准入控制。第二,我们系统结构非常简单,任何一种结构方式,我们的控制措施都是相同的。所以,一旦出现故障的话,我们可靠性,各方面的考虑也都会比较完善。如果发生故障的话,我们同时后台也会提供一个故障诊断,在故障诊断里会告诉你某一台终端到底是因为什么原因接入不了,是因为密码的原因还是因为这个终端没有注册或者它不符合安全要求。在集成度方面我们跟同类的产品比,目前我们走在了前面,而且从启动速度各方面来讲,我们也有很多用户,它做过对比,我们这个客户端的启动速度是非常快的。在易用性方面我们也做了非常多的优化设备。包括后台非常复杂,我们做了很多优化,减轻管理的工作量,而且这套产品已经在非常多的金融、电信、运营商这些用户所使用。
联软科技我们自从2003年注册成立以来,一直在从事桌面安全管理这个领域,目前来看,我们已经走在了同类的前面。我们在第三代终端管理产品,我们应该是率先在业界得到这样一个应用,七年以来,我们一直非常专著的致力于构建可控互联的领域,来保障计算机网络和终端的安全高效有序运行。我们公司是在深圳,这是我们在金融、证券、基金、期货领域客户的案例。我今天就跟大家介绍到这里,如果大家有兴趣,我们可以回头跟各位领导朋友做汇报。
(责任编辑:陈曲)