东华桌面安全管理系统白皮书

东华桌面安全管理系统(白皮书)
北京东华合创科技有限公司

东华桌面安全管理系统 1.0
目
录
一、序 ............................................................................................................................... 3 二、IT 系统管理面临的挑战............................................................................................... 4 2.1IT 部门正在发生的变化.......................................................................................... 4 2.2 内网终端管理面临的问题 ...................................................................................... 4 2.3DHC-DSMS 的目标 ............................................................................................... 5 2.4DHC-DSMS 在实际工作中的应用.......................................................................... 5 三、运维管理..................................................................................................................... 7 3.1 资产管理 ............................................................................................................... 7 3.2 应用程序管理...................................................................................................... 10 3.3 远程桌面管理...................................................................................................... 12 3.4 桌面设置管理...................................................................................................... 14 四、内网安全管理 ........................................................................................................... 16 4.1 补丁管理 ............................................................................................................. 16 4.2 接入安全控制管理 .............................................................................................. 19 4.3 网络访问管理...................................................................................................... 20 4.4 外设管理 ............................................................................................................. 23 五、安全审计管理 ........................................................................................................... 25 5.1 互联网访问日志 .................................................................................................. 25 5.2 外设访问日志...................................................................................................... 28 六、技术特点................................................................................................................... 30 6.1 分级管理支持多种管理模式 ................................................................................ 30 6.2 灵活的功能架构，方便选择和部署 ..................................................................... 30 6.3 功能实用，保护投资 ........................................................................................... 30 6.4 简洁易用，缩短学习曲线 .................................................................................... 31 6.5 策略化的管理思路 .............................................................................................. 31 6.6 模块动态加载技术，减少资源占用 ..................................................................... 31 6.7 基于 Web 的管理方式移动性好，走到哪里管到哪里 .......................................... 31 七、环境配置与部署 ........................................................................................................ 32 7.1 典型的局域网环境 .............................................................................................. 32 7.2 运行环境要求...................................................................................................... 34
2 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
一、序
说明：东华桌面安全管理系统（DHC Desktop Security Manage System 简称 DHC-DSMS） 。 本书的目的是利用 DHC-DSMS 为读者提供内网终端管理的介绍。同时也说明了 IT 部 门如何从关注技术向关注客户转型，以及对 DHC-DSMS 的最佳实践概念做个简单介绍：它 是什么？有什么好处？如何促进它的应用？ 本书阐释了 DHC-DSMS 发展的背后理性力量，简要介绍了 DHC-DSMS 的核心功能， 确保以客户为焦点的 IT 服务。
3 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
二、IT 系统管理面临的挑战
2.1IT 部门正在发生的变化
近些年来，公司业务逐渐对 IT 服务产生了依赖，这反过来改变了公司业务考虑 IT 服务 的方式和范围。IT 部门逐渐被业务管理者看成是“服务组织” ，被期望提供清晰定义的服务 来符合桌面管理的需求。这样，业务组织希望自己被 IT 部门看着是“客户” ，而非传统意义 上的“用户” 。 这些服务必须符合业务需要和客户要求，必须足够灵活以适应快速变动中的组织结构、 需求、竞争以及技术。 许多组织在受到连续缩减成本的压力的同时，持续和改进 IT 服务，还必须优化利用昂 贵的甚至是稀缺的 IT 技能。如果客户对内部的 IT 服务不满意，就会考虑外包。 多数用户对技术或者 IT 成分不感兴趣。他们的责任是维护和改进自身的业务流程，因 而他们只对 IT 架构如何支持他们工作感兴趣。当工作的特性和数量发生变化时，IT 被期望 走在服务需求前面。这要求有一个主动积极的 IT 服务策略。
2.2 内网终端管理面临的问题
当网络结构越来越庞大， 管理人员逐渐地意识到， IT 80%的工作量其实来自内网的终端 管理。 越来越多的问题开始让 IT 管理人员焦头烂额： １：IT 资产规模：如，企业有哪些资产？这些资产的数量有多少？什么版本的应用程 序被安装？是否遵循了软件许可证？什么软件需要更新?企业拥有哪些硬件资产？哪些信息 资源作为资产进行管理？ IT 资产的使用价值： IT 资产利用率？IT 系统对业务效益提升的价值是多少？对 如 业务效率提高的价值是多少？ IT 资产管理的成本： 企业范围内每个资产的总体拥有成本(TCO)是多少？事件和问 题的管理成本是多少？
4 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0 IT 资产管理的效率：部署 IT 系统花多长时间？解决问题需要花费多少时间？系统 恢复的时间？ IT 资产的风险： IT 设备的事故率是多少？宕机率是多少？IT 资产的安全状况是 什么？ ２：求救电话太多？一个三分钟解决的问题，因跨楼层和跨地域而来回奔波？ ３：没及时安装操作系统补丁带来的病毒爆发问题？ ４：资料丢失？泄密？ ５：缺乏访客管理系统，导致外来电脑随意内接？ ６：IP 冲突？ ７：无法了解外网的网站访问情况？ ８：安装某个程序的时候，全体出动？
2.3DHC-DSMS 的目标
管理的精髓在于把合理的并经过证明的想法应用到 IT 经理面临的特定情形，但并非教 条或立竿见影的时尚。 北京东华合创科技有限公司经过多年的研发，推出 DHC 桌面安全管理系统，从内网运 维、内网安全及内网审计三大领域着手解决 IT 经理所面临的问题。DHC-DSMS 更是一套健 全的想法，在削减成本和减少问题方面得到充分的证明。 DHC-DSMS 实施成功的例子数不胜数， 且日益增多。 但确保 DHC 实施的成功也要求从 制度上产生适当的行为来保证所需的技能、承诺和努力。最佳实践的 DHC-DSMS 为远见卓 识的 IT 经理提供重大价值。
2.4DHC-DSMS 在实际工作中的应用
DHC-DSMS 桌面安全管理系统采用基于 B/S 结构的分级多服务器架构， 其后台采用 C/S 结构，采用可拆分的独立功能模块形式，把实用、易用、便捷、灵活的系统管理工具提供给 最终用户。主要体现在以下几个方面：
5 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0 １、 简化工作授权，即使是对远程的地点。每一个 IT 人员都可以依照同一本手册中的 同一页内容开展工作。 ２、 制订岗位描述保持一致性，基于同样的标准进行工作而无关地点或规模。对于关 键角色的技能和知识要求对于不同的地点也可以保持一致。 ３、 每个 IT 单位都可以知道其下属单位的网络结构、IT 工作范围、职责和流程。这样 提高了集成化并减少了关键任务遭到忽视或者陷入无人地带的可能。 ４、 对于合同商、服务提供商或外包商的管理得到简化。确保所有关键流程都电子文 档化，从而，在设定服务期望和服务提供商的规则时这是非常有价值的工具。 ５、 同时，可以用来决定和控制提供 IT 服务的成本，然后有选择性的，以一种等价的 方式，从客户那边收回成本。 ６、 IT 持续性管理关注采取措施降低 IT 服务的风险， 有预案可以帮助客户在遇到全局 性或局部灾难时，恢复到可以接受的服务水平。 ７、 在有效解决内网运维、内网安全、内网审计等问题的同时，也解决了因为同样的 流程和配置极大的简化人员调配的问题。 ８、 DHC-DSMS 提供的是集成的、合理的、秩序的、有效的流程集合，中止中庸和混 乱。工作有条不紊。 与服务支持的运营过程相比，DHC-DSMS 的各个模块更是在更加战术性的层面上 运行，更重要的是，DHC-DSMS 提供了一个经过证明的实践框架，完全基于实践经验， 而非纯理论的想法。
6 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
三、运维管理
IT 管理人员日常最重要的工作任务，就是要保证终端机的正常运行。因为只有每一台终 端客户机的无故障运行，才可以保证业务系统的流畅。在看似繁重，琐碎的运维工作中，其 实只要解决好以下几个问题，那么 IT 管理人员的工作量将大大减少，并提高网络运行效率； １：资产的维护管理（包括资产变动管理） ２：应用程序管理，减少不必要的程序的启动，减少内部误用的情况发生 ３：解决好员工的因为ＰＣ故障而引发的求救 ４： 定义和规范ＰＣ使用者的网络访问权限， 减少随意访问内外网资源带来的工作效率 低下和可能引起的病毒问题 ５：对于终端客户机的桌面设置统一管理
3.1 资产管理
你有什么？在什么地方？起什么作用？为了保证高质量的 IT 服务，这是中心信息，必 须准确维护和易于获取。当事件发生时，必须记录和解决。对于财务管理、风险管理和资源 规划提供综合信息。 硬件资产管理为 IT 管理员提供便捷的查看全网终端硬件分布情况的有效手段。这一功 能同样也能为终端的资产管理带来便利。 硬件表极大的方便了资产统计人员， 避免了过去做 资产统计必须拆机箱的做法，DHC-DSMS 利用先进的自动捕获技术，及时收集所有硬件信 息，并以报表的形式提供给管理员。DHC-DSMS 可捕获的信息包括：主板型号、CPU 型号、 CPU 主频、内存大小、硬盘序列号、硬盘容量、硬盘剩余空间、光驱类型、光驱型号、网 卡 MAC 地址、显卡型号、声卡型号、软驱型号等，涵盖了日常终端资产统计的所有内容。 极大地提高了终端硬件资产统计的效率。 在管理者需要为某些 PC 机调整配置时 DHC-DSMS 提供强大的视图功能，管理者可以 根据不同的视图察看相关的 PC 机，为提高工作效率提供了有力的工具。
7 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
软件资产管理使 IT 管理员能快速查看全网已安装软件及其分布情况。 DHC-DSMS 采用 分布处理、集中管理的模式，通过分布在客户端（被管理端）的 DHC-DSMS 子模块快速分 析本地已安装软件，并在 DHC-DSMS 服务器端汇集成全网统计信息。DHC-DSMS 采用了 交叉搜索判定方式，准确定位网络中各终端安装的所有软件信息，确保万无一失。通过软件 资产管理，IT 管理员可以快速获知已安装软件的种类和名称，以及这些软件在网络终端中 的分布情况。 DHC-DSMS 还为管理者提供了非常人性化的功能——软件授权。管理者可以根据某一 软件在网络内部的实际部署情况加以授权，对软件授权进行全程追踪。 软硬件变动管理是在提供软硬件当前配置信息统计的基础上向用户提供的一个具有变 革意义的功能。 通过软硬件变动管理， 管理人员可以跟踪网内终端硬件和软件的历史变化信 息。哪些机器增加了新硬件，哪些机器安装或者卸载了软件，软硬件变动管理都进行实时的 记录和统计、形成报表，做到有据可查、有证可依。
8 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
软硬件统计功能为使用者提供了多种查询方式，如：根据硬盘大小或内存大小等关键 字信息查询管理人员需要了解的网络内部 PC 机的配置情况。 为管理者统一规划网络内部 PC 的配置提供强而有力的手段。
按操作系统查询相关组的信息
提交的查询将以图表的形式予以汇总
供应商流程和客户管理流程定义了供应商和客户之间正确的关系， 定义了终端 PC 机的 生命周期流程，确保客户的期望是现实的。这包括了和你自己供应商的关系，确保你自己的 期望是现实可行的。
9 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
3.2 应用程序管理
你的员工都在运行什么软件？哪些是允许运行的？哪些是不允许运行的？整个网络中 都有多少种类的应用软件存在？我们应该如何分类并有效管理？ 理想的情况是，可能影响工作流程的应用程序的使用事件能够被预测和防止。 解决方案要求对适当的人以适当的水平有综合的信息可以利用。 而进程管理流程确保这 个问题的有效解决。 企业内网应用程序管理面临的问题： １：BT、电驴等下载工具的滥用，严重影响了正常的网络性能。 ２：上班时间通过 IM 软件聊天、看电影、玩游戏等娱乐行为严重影响到员工的工作效 率，并可能影响到其他员工的工作积极性。 ３：随意下载来的应用程序的启动可能引起病毒感染、黑客攻击。 ４：管理人员努力通过行政手段试图约束员工，却总无功而返，问题依旧。 5：进程中总是出现可疑的病毒进程，而且通过网络监听工具可以判断出此进程就是蠕 虫或微精病毒，那么必定会影响工作人员使用，使工作人员的 PC 机资源被病毒占用，病毒 源计算机不停的发包影响网络流量和网络设备的处理能力， 对网络造成大规模的破坏。 管理 人员不能实时的掌控所有 PC 机的进程情况，只能看着这些可恶的病毒进程在网络中 PC 机 上肆虐的运行着！
DHC-DSMS 进程管理解决方案 全部进程汇总功能可以把整个网络所有运行过的进程汇总到 DHC-DSMS 自有的进程库 中，DHC-DSMS 会根据不同的进程加以识别码，根据这一特征码，对进程的唯一性做出判 断， 管理人员可以根据进程库中的任意进程察看这一进程的运行情况， 能够找到某一时刻正 在运行这一进程的所有 PC 机。利用此类功能管理人员可以针对可疑的进程（病毒）进行跟 踪， 找到问题根源， 从而在网络中彻底杜绝不良程序。 更重要的是， 管理员可以依托此功能， 对整个网络的应用程序行为进行宏观调控。 及时查询及杀死功能可以让管理人员随时检查任意ＰＣ机的当前应用程序的运行情况， 并且针对不符合管理要求的任意进程，进行即时杀死操作。
10 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0 黑白名单管理， 则可以为内网的应用程序管理建立标准。 任何可能影响工作的应用程序 （包括病毒、下载、聊天、电影、炒股等）在加入黑名单后，则无法使用，永久性进行屏蔽。 即使被管理者想通过拔掉网线等手段脱离网络， DHC-DSMS 的所有策略依然生效。保证了 管理的有效性和稳定性。
部署进程策略 预先建立进程分组 控制进程
在进程汇总中把进程划 分到某个进程组中分类
制定进程策略，确定 是否允许运行进程组
DHC-DSMS 进程管理实际应用带来的好处： １：杜绝未授权下载，严格控制网络带宽，确保业务系统正常工作。 ２：杜绝上班时间做与工作不相关的事情（游戏，电影，炒股等行为） ，做到适当的人， 只允许用适当的程序。 ３：减少非法程序的启动可能引起的病毒感染问题。从终端应用程序方面，着手病毒防 护工作。 ４：通过技术手段，才可以真正的辅助行政管理，达到立竿见影的效果。 利用 DHC-DSMS 的进程管理功能， 管理员可以全局性的掌控网络中应用程序的运行 IT 策略，确保内部网络的高可利用性和高安全性。为管理人员提供了强有力的管理工具，使得 企业内部的管理规定能够通过技术手段加以控制， 限制了在工作时间计算机使用者的使用规 范，提高了计算机使用者的工作效率，保证了员工计算机系统的稳定运行。
11 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
3.3 远程桌面管理
服务支持是关于对终端用户的服务----业务 如果怀疑稳健的 IT 服务管理流程的重要性，那么可以考虑一下 80%的报修原因在于人 员和流程。只有一小部分的系统当机是由技术失效引起的。忽视、遗忘、或者协调不够，犯 错，不进行根本原因分析，问题再次发生。 只有对终端用户给予很好的维护支持，才可以提高用户本身的流程，提高工作效率。而 如果任何时候，都要求技术支持人员到达第一现场，将造成技术支持部门倾巢出动，并疲于 奔命的情况。
企业内网桌面维护面临的问题： １：求救电话太多、任何人都要求 IT 管理人员马上到现场解决问题。 ２： 绝大部分问题却是由于操作者的疏忽或者操作不当引起， 并非求救电话所述的那般 严重。 ３：技术支持人员倾巢出动，只会造成真正问题来临时，无人响应。 ４： 管理人员疲于奔命的另一直接后果， 是无时间进行细致的内网管理和进一步的学习 提升自身水平。
DHC-DSMS 远程管理解决方案 通过 DHC-DSMS 的远程维护功能，管理人员可以很轻松的接管任意客户机，获取网络 终端的实时屏幕图像或对网络终端进行维护操作。不再需要任何维护问题都亲临现场。 为了符合人性化、以人为本的管理理念，DHC-DSMS 在提供远程支持功能时专门增加 了可选的接管确认选项。 设定确认选项后， 管理员在获取网络终端的实时屏幕图像和对网络 终端的操作控制权（接管）前，需要终端用户的确认。没有用户的确认则无法接管终端。 甚至在必要时，DHC-DSMS 还提供锁屏功能，管理员可通过此功能，让客户机无法知 道管理员所做的任何操作。 在维护的同时，考虑到要经常性的进行文件的传输，DHC-DSMS 特别增加了文件传送 的功能，两台主机间的文件传输，可以通过简单的拖拽文件进行操作，大大方便了管理人员
12 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0 的维护和操作。 远程终端的实时对话功能，也是 DHC-DSMS 追求服务的一种体现，管理人员可以通过 点对点的通信功能，和客户机工作人员进行互动，及时的沟通问题、定位问题、解决问题。
DHC-DSMS 远程维护实际应用带来的好处： １：管理人员可以在任意工作机上进行远程维护，忽视实际的地域距离。 ２：支持速度更快。 ３：原先一对一的现场支持转为远程一对多支持，效率更高。 ４：节省 IT 部门人力资源开销。 ５：更重要的是，确保任何时候，IT 部门有人值守，当真正遇到灾难性问题的时候， 可以第一时间响应。 DHC-DSMS 的远程支持功能，使 IT 管理员可以跨地域解决终端常见的问题。只要终端 还能运行，网络在正常工作，IT 管理员就可以在自已的办公室里通过 DHC-DSMS 进行远程 支持，不用为了要打开故障终端里的一个应用程序，而来回奔波。提高工作效率。
13 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
3.4 桌面设置管理
一个大型的分布式组织逐渐意识到缺乏一致的方式来管理各种不同的工作站的桌面设 置。关键 IT 桌面管理流程没有得到有效整合，并缺乏有效支持 目前各企业都已经实现了企业的信息化管理。 也都合理的配备了信息系统管理人员， 即 网络管理员。 网络管理员为了保障信息系统的稳定运行和高效率， 管理员通常需要对所有终 端设备进行维护管理，建立统一的安全管理策略。针对目前各企业庞大的网络系统，仅依靠 管理员的效能是很难实现对网络系统进行统一的管理， 而且效率低， 容易浪费大量人力物力。 那么，怎样才能够高效化的稳定部署和管理所有终端机的桌面呢？这是许多管理员遇 到的问题，然而若通过使用 DHC-DSMS 提供的桌面设置管理功能模块，则可实现提高终端 应用环境的可维护性和高效性，用户无需离开办公室的位置就可以对终端机进行远程的维 护。 DHC-DSMS 认识到一套桌面设置服务管理能够改进 IT 服务， 因此产生了桌面设置管理 模块
桌面环境设置 系统管理员同使用 DHC-DSMS 的桌面设置功能在 DHC 的控制平台上面统一实现对终端 机的系统服务、硬盘分区、本地账户、共享资源、系统日志、时区与日期、自启动程序、远 程开关机等进行查询、修改以及导出终端机的属性设置报表，从而方便管理员进行管理。
绑定功能 DHC-DSMS 的 IP/MAC 地址绑定功能， IT 管理员可以更加严格的规划和分配网络中 使 的 IP 地址、防止用户自行改变 IP 地址。当终端应用了 IP/MAC 绑定策略，而终端用户自行 改变 IP 地址，则 DHC-DSMS 会阻止改变 IP 地址，同时阻断该终端的网络访问。IE 绑定实 现绑定主页， 控制代理服务器非法连接外网， 从而杜绝了员工的非法外联给企业来得的损失。
14 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
ARP 保险箱 ARP 保险箱保护重要设备的 mac 地址不被非法欺骗例如网关、 服务器的 ip 地址。 对终 端启用保护后， 即使有欺骗终端还是能够与这些设备通讯。 启用保护的终端无法向外发送非 法 ARP 包，如果这个终端中了 arp 欺骗病毒，则此终端无法继续向外发送欺骗包。有效防 护整个网络 ARP 欺骗传播，防止数据包堵塞，降低带宽占用率，提高网络速度。
桌面设置功能的好处 通过使用桌面设置功能模块， 管理员可以很轻松的对企业终端机进行维护和管理， 准确 的制定和分析终端机的统一安全策略故障信息， 从而为管理员分析问题解决问题提供了可靠 的手段。实现了以网络管理以自动化、智能化的系统代替了繁杂的人工维护工作，大大减轻 了网络管理人员的工作压力。 有了高效的桌面设置管理机制后， 不但减轻了网管员的工作负担， 而且有利于保障整体 网络应用系统的稳定性和安全性， 提高了整体网络应用系统的工作效率。 大大提高了企业生 产力，建立了一个高效而有序的企业网络应用系统，对业务发展起到了强大的支撑作用。
15 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
四、内网安全管理
IT 管理人员在维护所有终端正常运行的同时，还肩负着两项艰巨的任务，一是病毒防 护，二是防止信息泄密。 在病毒防护上面，大部分 IT 管理人员都依赖于网络防病毒软件，但是，深入分析病毒 的传播途径，我们会发现，光有网络防病毒软件还是不够的，在力求防范于未然的指导思想 下，我们希望从各方面同时加固加防，尽可能的做好安全工作： １：由于防病毒软件的滞后性，所以我们希望，任何一台终端机都要通过某种方法，及 时的打上安全补丁 ２：在 IT 管理人员不知情的情况下，如何处理好外来访客，或者是内部员工自带笔记 本电脑的非授权接入（可能引起病毒感染或者信息泄密） ３：如果规范外设的使用权限？（手机接入、软盘、Ｕ盘、移动存储设备、红外线接入、 蓝牙接入等，都可能引起病毒感染或者信息泄密）
4.1 补丁管理
网络里有多少种语言的操作系统？他们各是什么版本？每一台电脑都安装过多少个补 丁？还缺少几个？在微软推出新的补丁的时候，IT 人员如何快递获取并让所有电脑及时安 装？ 理想的情况是，所有 PC 用户都不再关心是否安装好操作系统补丁，而由“用户”角色转 化成“客户”角色，补丁问题由 IT 部门全部解决。
企业内网补丁管理面临的问题： １：操作系统版本过多，可能还存在多种语言的操作系统。 ２：操作系统补丁过多，任何一个管理人员都无法保证能够下载到所有补丁。 ３：无法要求所有电脑同时 updata，可能引起网络负担过重而瘫痪。 ４：无法进行集中式的普通 PC 操作人员的补丁安全培训。 ５：关键补丁更新时同样要求所有 IT 人员花费大量的时间和人力逐一手动安装。
16 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
DHC-DSMS 补丁管理系统(Windows、OFFICE、SQL、Exchange)
设定补丁服务 器，设置补丁 默认规则 自动执行补丁更新 任务
设置单个补丁的 执行规则，补丁更 新前审批 设置网络内 计算机更新补丁
１：每隔 2 小时自动和微软的补丁网站通信，自动下载 wsusscan 文件，自动优化完全 补丁列表。 ２：客户端自动汇报已安装补丁列表，上传到服务器，服务器自动匹配出每个客户机的 补丁缺少情况。 ３：服务器自动下载内网缺少的所有补丁，并以“推” “拉”结合的方式，对每个客户 机进行后台安装，整个过程无界面无人值守。 ４：DHC-DSMS 在补丁安装过程中，采取 BITS 技术，做到自动识别流量带宽，内网 原有的任何业务系统不会因为大批量的补丁安装而受到丝毫影响。 ５：对于不知情用户可能在客户机打补丁过程中重启机器或关机的情况，DHC-DSMS 采取了断点续传的技术，确保补丁安装过程的连续性。
17 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
DHC-DSMS 补丁管理实际应用的好处： １：减轻 IT 管理员工作量，变手动为自动，提高工作效率，节约人力成本。 ２：提升补丁安装速度，为防病毒工作把好第一关。 ３：无界面过程，不影响当时 PC 操作人员的当前操作，不会由于补丁安装降低当前工 作人员的工作进程。 ４： 减少或杜绝通常情况下安装补丁带来的不必要的解释或ＰＣ操作人员不理解引起的 抱怨。 DHC-DSMS 在成功开发出补丁智能化安装功能后，更进一步向用户提供了应用软件自 动下发与安装功能。这里所指的应用软件包括所有的可执行程序和数据文件。DHC-DSMS 这一新增的功能使网络终端进行软件安装时 IT 管理员必须物理接触终端成为历史，极大降 低了 IT 管理员的工作强度，提高了工作效率。DHC-DSMS 提供的软件自动下发与安装同样 是基于策略控制的。
18 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
4.2 接入安全控制管理
外来人员的计算机接入，如何有效发现和管理？ 是否有人私自卸载管理客户端程序？是否私自修改 IP 地址？是否安装了非法软件？是 否未安装规定软件？ 理想的情况是，所有的非法事件，都必须得到审计和控制。实现主动式的问题管理（问 题控制、差错控制和管理报告） 。并通过持续改进服务质量，让技术人员从被动的责任中解 救出来，实现部门主动的问题管理。
DHC-DSMS 解决方案 DHC-DSMS 的接入安全控制功能提供了对非法用户接入网络、终端 IP 非法变更、卸载关 键软件等进行了阻断及重定向等管理手段。其主要特点为： DHC-DSMS 采用一次扫描实时监听机制，大大的降低了资源的消耗，并将扫描的信 息传递给管理员，管理员便可以针对非法接入的 PC 采取应对措施，从而保证了数 据的安全性。 对不合要求的 PC 采用阻断和重定向的策略，启动策略部署后，阻断服务器便实时 地对网络内部违法策略的设备执行策略， 减轻了管理员的工作量， 同时也保证了数 据的安全性。
(一) 接入安全控制功能架构示意图：
新接入网或非法的 PC 阻断网络通讯 合法 PC 如未安装 DSMS 客户端 合法 PC 其 IP 非法变更 当未安装规定软件时 当已安装非法软件时 例外放行 重定向 Web 访问
(二) 接入安全控制操作流程示意图：
①扫描服务自动部署 ②接入设备审查 ③定义安全策略 ④策略启动
19 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580

东华桌面安全管理系统 1.0
在实际工作中的应用 接入安全控制的目的是检查用户的身份及终端信息， 根据预先设定的接入安全策略， 有 效阻止不符合身份认证或安全条件的设备接入及访问网络。 避免了存在安全隐患的终端系统 的接入， 可以大大消除蠕虫和病毒对网络系统以及承载的业务越来越严重的威胁和影响， 从 而帮助客户发现、预防和消除安全威胁。 DHC-DSMS 可以通过动态部署功能，部署到任意子网，使该子网得到相应的保护，同 时通过例外机制，使确认为安全的设备或网络设备不受影响，使管理对象更具体更灵活。通 过时段例外机制，对一些调试中的设备，或者一些特殊 PC 的接入等，给出合法使用网络资 源的时间范围，使被管理设备在被管理的同时，有有一定的灵活性。
4.3 网络访问管理
内外网的网络资源，应该如何被分配？每一个部门，甚至每一个员工，应该得到多少的 网络权限？ 解决方案要求这些网络访问事件，应该是可以被预测和管理的。通过中央控管，通过更 快的反应和解决改进技术支持部门的服务质量和服务的一致性， 并提供给用户更符合要求的 网络资源。
网络访问管理遇到的问题： 企业/单位规定部分 PC 禁止访问互联网，而员工不受行政约束自行设置网络属性接入 Internet，从而引发网络安全隐患，导致遭受黑客攻击，信息泄漏等安全事件。 员工在上班时间访问一些与工作无关的网站， 导致工作效率低； 并且通过一些消耗带宽 的工具，下载游戏、MP3、电影、在线电影等，对于企业/单位有限的带宽资源，经常造成网 络堵塞，严重影响了公司正常业务的运行。 通过防火墙策略，企业/单位实现了内外网的边界保护，然而对于应用层的访问，无法 得到控制，比如禁止某些用户访问邮件服务、FTP 服务、财务系统等，防止非法授权用户访 问重要资源，加强内网应用系统的数据安全。
20 北京东华合创科技有限公司 电 话 ：010—62652568 北京市海淀区中关村紫金数码园东华合创大厦 3 号楼东华合创大厦 15 层 传 真 ：010—62652580