信息技术发展日新月异

创多软件在IT运维信息技术领域经过多年实践，协助用户完成从IT管理向业务服务管理的转变过程，将IT管理理念向整个运维管理领域进行了推广和延伸。创多集多年丰富的运维管理和建设经验，推出了IPD桌面运维管理系统，以解决企业在IT管理面临组织协调、故障分析和人员调度等核心问题。

基于ITIL等行业管理规范，创多IPD桌面运维系统强调的核心思想是从业务角度来理解运维的需求，根据业务需求来确定服务需求，通过设备管理、问题管理、安全管理等流程支持IT基础架构和组织业务的持续运作，以保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。

创多桌面运维系统主要是围绕着技术、人员和业务流程这三个基本元素展开的，这三个要素互相关联、互相制约，共同决定业务运作的成效。企业采用的多种管理技术方法的使用成效，如技术、制度、流程等，对IT运行环境、业务系统、维护人员等综合管理等将起着决定性作用。

创多IPD桌面运维系统的首要目标是保证信息化业务系统正常、可靠、高效、安全运行；不是单一的设备管理软件，而是专门面向设备资产管理、应用系统管理、信息安全管理、运营维护等四个网络架构层次的IT管理系统。

IPD桌面运维系统包括设备资产管理、应用系统安全、运行维护和故障监测管理，并基于ITIL、ITSM等管理理念，将技术、功能、服务三个层次进行了有机结合，能够对企业桌面终端的资产、应用程序访问、系统安全加固及远程维护进行有效管理、保护和服务，支持实时信息事件收集和运维状态预览；并以日常运行维护管理流程为核心，以事件跟踪为主线，以解决IT运维管理中的问题为目的的一套高效、规范的IT运维管理平台，从而将用户复杂的IT服务工作简单化，有效提高了企业信息系统的运行管理水平和服务能力。

- 2 - IPD 桌面运维系统 Desktop Maintenance System

IPD服务管理

IPD Service Management

PC用户经常会有各种技术或操作层面的问题，需要获得IT桌面经理或网络管理员的支持，传统的支持方式费时费力，同时也很难计量服务数量、质量和水平。因此DMS首要的职能是为IT部门提供针对PC桌面运维的快速响应手段、可度量的服务流程、技术服务数据库、远程服务工具等等功能特性，从而提高IT服务的即时性和有效性。 网络化服务平台

IPD建立了一套网络化的Helpdesk技术服务平台，使PC用户和IT管理员基于一个协同的系统环境进行服务申请、应答、处理、统计等管理工作。

IPD建立了四个子系统来构成一套统一的服务平台。

服务异步处理系统PC用户向管理员提交服务申请，包括技术问题处理或者设备申请领用等，管理员对申请做出日程安排，对用户的服务申请做出应有的反馈。

会话系统实际是一套即时消息系统。PC用户直接在线向处于可以响应的管理员发出服务请求，管理员立刻反馈，并建立会话，进行在线沟通。即时系统在日常工作中经常会用到，如MSN、QQ等，为我们工作带来了极大的便利。

远程桌面支持系统是对PC用户的计算机桌面直接远程接管或查看，直接处理存在于用户桌面的有关配置或其他技术问题，是对客户技术最快速的服务方式。

软件中心 提供可维护的软件库职能，即可以供管理员建立可批量发布的分发任务，也可以作为PC用户在授权范围内，自我维护本机软件系统的软件库。软件中心提供每个软件必要信息的说明，安装指导，以及安装包上传功能。管理员可以发布或停止废弃的软件版本，使软件库内容始终与需求同步。 消息发布系统

消息发布系统可以批量化地向多个PC发布即时消息，PC用户通过小窗口阅读信息，只要PC用户在使用电脑，就能够第一时间得到消息。

消息发布系统增加了一种批量群发消息的手段，其最主要的技术手段是采用“推”方式，直接将信息推送到PC桌面，与传统的公告栏、邮件等方式的消息发布相比较，发布更快速，效果更直接。

- 3 - IPD 桌面运维系统 Desktop Maintenance System

IPD资源中心

IPD Resource Center

资源中心为管理员提供PC标准化管理必要的有关硬件、软件、知识库和配置的基准要求，使管理员对当前所掌握的PC及其相关资产可用性全面了解，并制定出PC运行所必需的标准化规则，为PC的全面、有效、规范管理提供基础。

硬件 提供当前可用硬件资源的统计和配置清单，使IT管理员能够全面掌握管理范围内，所具有的硬件资源有哪些，这些资源的配置情况如何，这些资源的可用性如何，这些资源当前的分布情况、这些资源的使用者是谁、由谁来维护的等等。

软件 提供对当前软件资产的部署情况、软件的采购情况等信息，管理员可以了解软件的供应商、服务商、使用者、管理者等信息。

知识库提供一系列有关桌面安全相关的数据，这些数据包括如应用软件、进程、服务、防病毒软件、系统补丁、常见端口，以及用户可以自行维护的有关桌面技术支持服务的解决方案、操作手册等等的方案库。这些知识库将长期得到不断维护，会及时更新，以便为桌面运维提供最新的制定安全和管理策略必须的基础数据。

基准库围绕PC可用性提出规范性的有关硬件配置和软件安装情况的标准，为使PC良好运行所必须的基础条件进行准确定义，通过配套的桌面运维系统，进行自我修复或提示，时刻监控桌面的运行环境是否合格以及查漏补缺。

资源中心通过知识库和基准库等标准化支持手段，协助IT管理员对PC规范化管理提供依据。通过不断完善的管理数据，使DMS桌面运维系统能够长期有效对采取更有效的管理措施，对于新出现的各种有关软件管理、进程控制、安全补丁更新、网络访问的多种端口、防病毒软件的版本变化等能够快速响应。

- 4 - IPD 桌面运维系统 Desktop Maintenance System

IPD资产管理

IPD Inventory System

PC数量因满足业务发展需要不断增加，但同时也带来PC资产统计、变更维护等一系列管理问题，这些问题依靠手工方式不仅工作量大且无法准确管理，因此，桌面运维管理的基本职能就是建立一套有效的资产统计分析系统，使其能够快速、准确地反映网络内PC的配置状况，为IT管理员提供自动化的资产维护解决方案。

IPD资产管理作为桌面运维管理的主要内容之一，提供PC软硬件统计、变更管理、设备维护管理等一系列管理员需要的功能特性。基于对PC软硬件的跟踪，能快速反应PC的变更，及时通报管理员。同时也提供IT设备资产管理，对于管理员日常维护网络设备等非PC的IT资产，能够登记、统计、保修警告等，使管理员管理IT资产更加便利准 确 资 给IT 表

对于自定义设备的资产，支持自定义 扫 变

对于管理范围内PC，发生如加内存、卸光驱等硬件变更，安装及卸载软件等软件 产

而对于变更管理的基准，管理员可以设置PC软硬件资产的基准，当PC的资产信息与基准不符，系统在汇总表中，自动标识其什么配置或软件发生了变动，同时如果属于正常的系统维护升 有 设

供应商管理，登记并维护供货或提供服务的供应商信息，便于管理的设备随时能够

- 5 - IPD 桌面运维系统 Desktop Maintenance System

购来源，以及该设备售后维护的联系人等信息，为资产维护提供服务备忘录。采购项目管理，登记采购项目，随时了解管理设备的采购时间和项目信息，

设备随时了解其职能，以及设备维护必要的采购时间和商务信息。保内设备维护，提供各类设备的管理入口，包括扫描

管理，使管理员随时对资产各项属性料如执掌。使用者信息维护，提供该设备使用者的个人信 P

软件不断更新，配套的硬件也随之需要不断升级换代，而对于管理员而言，如果快速掌握并定位网络内具备升级条件的PC有哪些并分布在哪里等，是资产管理软件应该提供的基本职能之一。IPD资产管理提供多种形式的资产可用性统计分析手段，管理员 作 预

IPD资产管理提供PC配置变更，软件安装状态变更，设备过保等的警告支持，管理员可以定义CPU、内存、硬盘等硬件变更警告策略，也可以定义特定软件安装和卸载警告策略，同时还可以定义管理内设备如果即将超过保修期的警告提示。警告系统提高管理员对设备维 生

IPD资产管理使管理人员在很短的时间内全面掌握网内PC机实时的软硬件信息。使企业的资产管理更加透明化，解决了资产统计费时费力且的问题；变更管理及警告机制使变更信息有据可查。系统的定位功能特性协助管理员随时掌握设备的供应商、项目信息、 况

- 6 - IPD 桌面运维系统 Desktop Maintenance System

IPD补丁管理

IPD Patch Management System

哪些产品需要即时更新补丁

Windows Operating Systems

Microsoft Internet Information Server Microsoft Office

Microsoft Internet Explorer

创多IPD补丁管理系统

提供微软已经发布各产品的补丁更新服务。

创多软件基于微软的Microsoft Security Update Service技术，扫描客户机已安装微软产品的安全漏洞，建立客户网络与为微软补丁更新服务的通讯管道，即时为客户机更新安全补丁，确保PC基本的运行环境安全。

创多软件的补丁管理系统，提供补丁缓存和根据网络内PC欠缺补丁动态下载服务，同时为正式用户提供全套微软已经发布的包括Windows 2000 Professional/Server的补丁安装包。确保客户减少几个G的补丁下载量；同时即时更新服务确保微软发布补丁最快速部署和更新。

IPD补丁系统的基本特性

不同于其他方案中提供的，将补丁下载到服务商自己网络，然后再转发的特点，创多IPD提供了客户网络和微软补丁更新服务的通讯管道，避免补丁二次“污染”。

提供微软发布补丁的全部产品支持，不会因为只关注Windows 关键更新，而导致其他产品的安全漏洞带来的潜在风险。尤其是服务器产品，一旦存在漏洞，其危害性更大。

创多提供各种语言平台产品的补丁服务，不会因为客户机语言多样化，而导致管理员无法阅读或识别其他语言平台的补丁更新情况。

创多密切关注微软发布补丁的安全针对性，及时发现并避免会导致客户机出现二次产品注册等的问题，在确保客户机安全前提下，过滤了那些需要PC用户复杂操作的补丁更新，以免误操作带来其它问题。

- 7 - IPD 桌面运维系统 Desktop Maintenance System

内隔离解决方案

常规补丁模式因为是直接的与微软Update Service的互动平台，因此不存在内这样的需求，而目前越来越多和医疗等行业用户，出于网络物理等安全因素的考虑，将内部网络彻底从物理上与断开，避免的不安全内容对内网产生影响。

因此，创多提供内隔离情况下的解决方案。这一方案由两部分组成，一部分是在部署补丁更新工具，和完整内网补丁服务器和客户机补丁管理软件组成。

创多IPD补丁系统的用户化特性

创多软件对微软发布的补丁特征进行验证，确保补丁在客户机更新时，是自动的和无人值守的，更新时直接后台运行，减少用户操作。

提供基于时段的客户机补丁配置服务，管理员可以将补丁更新时间设置为中午休息时间，或其他PC用户使用少的情况下，减少对客户机的正常工作的影响。

在大型网络条件下，对补丁更新下载的数据通讯流量控制，运用微软BITS技术，对带宽尽可能占用空闲时段，避免对业务数据通讯的影响。

补丁统计和分析

提供PC补丁更新情况的全面统计，哪些PC补丁更新是完整的，哪些是不完整的，欠缺什么补丁，欠缺补丁的详细说明等，使管理员随时对存在隐患的PC实施即时的补丁更新操作。

IPD

补丁管理 系统

Microsoft Security Update Service

Microsoft Product Family

IPD

补丁下载 和维护 软件

外部网络

内部网络

内网与 物理 隔离

补丁由导出 内网导入

- 8 -

IPD 桌面运维系统 Desktop Maintenance

System

补丁更新日志为管理员提供随时检索PC更新状况的查询功能，这一特性可以帮助管理员随时了解各客户机的补丁更新情况，当微软发布新补丁后，可以第一时间了解网内补丁的更新进展情况。

创多IPD补丁更新策略

基于时间的补丁更新策略，管理员可以制定什么时间、什么PC可以自动更新补丁，并且可以灵活部署不同部门PC更新时间，以及单个PC的更新时间。补丁例外机制，提供对特殊补丁如有关

Window

s Media Player等的补丁，管理员可以选择不更新，而通过IPD补丁系统提供的补丁更新前审批，更新对系统安全有影响的补丁。 自动更新策略和手工更新策略，自动更新策略提供由IPD系统来自动分析判断客户机的补丁情况，自动更新，给管理员全自动化补丁方案，而手工更新则可以由管理员有目的选择需要更新补丁的PC，即时更新。

预警系统支持 IPD补丁管理提供关键补丁未安装告警，以及当微软正式发布新补丁后的告警。补丁缺失显然会存在安全隐患，当系统主动漏洞扫描发现关键补丁缺失，则立刻向管理员发出警报，管理员随之作出响应更新措施。

自定义数据包分发方案

对于管理员日常的数据包，希望批量分发到客户机，则可以采用IPD分发系统提供的这一特性，定义分发任务后，系统会根据设置的分发时间和目的客户机范围，批量分发，同时支持Wake On LAN机制，对于关机的情况，对远程唤醒在BIOS中配置完成后，就可以随时分发。

创多软件提供专门的打包工具，将客户的文件生成安装包，并在客户机统一执行，包括自动创建桌面快捷，以及拷贝文件到指定目录等，都可以预先定义好，而一次性分发。

- 9 - IPD 桌面运维系统 Desktop Maintenance System

IPD软件分发

IPD Software Deployment System

面对动辄几百上千的PC，IT管理人员要把一套软件系统部署到各个终端上，虽然方法很多，但如果没有批量化作业手段，工作量还是非常巨大的。逐台安装，数量少还可以但如果数量多，就会碰到部署中很多的问题，如PC用户是否在场，已经部署过的是哪些，部署期限上是否允许长期作业，软件与终端所处位置如何对应等等。

创多IPD软件分发子系统为IT部门提供批量化的软件部署平台，这一平台能够通过软件发布平台、软件制作平台、分发任务维护、任务执行与结果检查等多项职能，共同构成企业软件部署的一体化解决方案。

软件发布平台其特性表现为软件系统的集中上传、存储、下载等服务，IT管理员直接维护这一软件信息库，并按照管理需求进行分类。软件发布平台是软件分发子系统的支撑平台，其不断得到维护的软件信息库，能够既作为管理员创建分发任务的数据库，又能够为终端PC用户进行PC软件环境自我维护提供统一标准化的下载服务。

软件自维护在软件标准化管理需求前提下，软件发布平台也是PC用户自我维护本机软件环境的数据平台。非Windows域管理的PC用户，可以直接访问并下载软件发布平台提供的软件，这些软件是经过系统管理员审核验证的规范软件，因此在企业网络内部按需部署，不仅提高管理员管理效率，同时也避免PC用户滥装其他软件带来的安全隐患。当然这些操作是在IPD软件基准授权范围内进行的。

软件制作平台为用户提供分发文档数据包的制作、自行开发应用程序的安装包制作、桌面环境配置变更安装包制作等等特性。可执行软件系统的分发是软件分发的主要职能之一，而用户自定义各种形式的数据包的分发，则能够解决管理员有关数据发布、统一配置变更、统一信息发布等方面的难题。

IPD软件分发子系统为IT管理员提供批量化的数据发布手段，在IPD桌面运维整个系统的支撑下，IT管理员不仅能够了解终端PC已经具备的软件环境、配置环境、必要的数据有效性，掌握管理对象有什么的问题，而且通过分发子系统解决这些管理对象缺什么的问题，从而最大程度地确保PC环境的规范运行。

- 10 - IPD 桌面运维系统 Desktop Maintenance System

IPD远程桌面管理

IPD Remote Desktop Assistant System

网络内PC众多的情况下，如果没有有效的辅助手段，IT管理员很容易陷入应对各种PC用户的维护请求工作中，不管问题大小都需要亲自到现场解决，在维护效率上大打折扣。IPD远程维护方案提供网内直接操控请求维护PC桌面的功能特性，使管理员足不出户就可以处理常见的问题。尤其是一些跨地域的分布式网络PC，更提高了管理员的工作效率。 基本管理特性

支持全屏模式，使窗口操作更加便利，不需要来回拖拽

随时调整色彩，调整色彩质量提高显示效率

随窗口大小自动缩放，使显示页面更完整

发送Ctrl-Alt-Del组合键，适应操作系统登录

管理端与被管理端支持文件传递

支持管理端与被管理端的会话，便于管理员与PC用户的沟通

被管理端屏幕锁定功能，为管理员提供特定情况下拒绝PC用户参与的特性

管理授权

IPD远程桌面管理针对管理员管理需要，提供查看模式和操作模式。超级管理员可以针对不同的IT管理员赋予不同的操作模式，以提供安全性的情况下，达到管理目的。同时，根据管理员职责范围可灵活授权不同网段或工作组PC。 跨子网管理

对于不同子网，由于子网间通讯，不能从一个子网管理另外一个子网的PC，那么IPD远程桌面管理，为客户提供中继模式，在上述条件下，可以直接通过访问中继服务，对管理请求进行传递，间接实施桌面维护。这个方案适用于总部与分部间VPN链路，或者VLAN划分不同子网的管理。

管理端多种快捷操作

IPD桌面管理提供多种快捷操作，这些快捷包括管理员维护PC常用的各种计算机功能和属性。

提供CMD命令行窗口、RUN窗口、START操作系统菜单、控制面板、任务管理器等常见快捷方式；

还提供Windows服务、帐户管理、网络连接属性、注册表、计算机属性管理、区域和语言设置等系统配置的管理窗口支持。

- 11 - IPD 桌面运维系统 Desktop Maintenance System

管理员在即时维护计算机的时候，这些快捷方式能大大缩短操作的时间，提高操作效率，快速定位问题。

- 12 - IPD 桌面运维系统 Desktop Maintenance System

IPD进程管理

IPD Process Management System

IPD进程管理针对桌面PC应用程序，提供一整套运行管理的解决方案，目的是协助IT管理员规范桌面程序环境，阻止非法程序运行，从而保证用户在一个安全、规范的PC环境下工作，避免无关程序运行带来各种行政的和安全的问题。 应用程序管理常见问题

BT、FlashGet、迅雷等网络下载工具的随意运行，导致网络带宽被非法占用，其危害是直接导致正常的业务网络应用受到严重影响，同时擅自从互联网下载的各类软件，携带病毒和木马，将直接对内网安全带来巨大威胁。

炒股、播放电影、QQ、MSN上网聊天等软件，PC用户的这些行为，严重违反行政管理制度，影响公司形象，也同时破坏单位内部良好的工作氛围。

玩游戏如果不在网内禁止，那么直接的后果就是单位网络称为网吧，不仅影响正常工作秩序，同时网络版本的游戏更增加内部网络负荷，因此，对游戏软件的运行控制是PC运行管理中主要内容之一。

“绿色”软件由于无需在PC上注册安装，拷贝到任何PC都可以启动运行，这些小软件，即使在Windows域管理下，也无法控制，因此，这些小软件的运行，也肯定对内网安全带来隐患。

白名单进程管理方案

白名单是允许运行进程的集合，当PC作为固定职能的终端时，其日常使用时运行的应用软件比较统一，就可以仅允许其运行特定的进程，任何未授权软件禁止运行。白名单策略在桌面安全管理中，能够对PC运行环境安全起到非常有效的作用，无关的、非法的、甚至病毒的进程，都排除在外，使桌面环境规范统一。 黑名单进程管理方案

黑名单是要禁止运行的进程集合，黑名单与白名单相反，日常管理员把认为不可以运行的如“绿色”软件、炒股软件、BT等，都放到黑名单中，PC用户当启动这类软件时，系统自动阻止运行，达到管理员规范PC运行环境的目的。

黑名单策略比较适合内网PC的工作职能比较多元化、无法统一，合法运行的应用程序比较丰富且经常变化，那么黑名单可以对常见的非法软件进行管控，这样就避免PC用户随意执行无关进程。

- 13 - IPD 桌面运维系统 Desktop Maintenance System

即时进程管理

与白名单和黑名单策略不同的是，IPD进程管理提供对任意活动PC，即时获得其所运行进程的特性，帮助管理员随时发现并即刻阻止进程，提供了除批量策略化的解决方案外又一灵活的进程管理机制。

离线和分时段机制

当管理员需要制定PC与内部网络断开后的进程管理策略，那么IPD进程管理提供离线管理机制，不论是白名单还是黑名单策略，如果部署为离线生效，那么PC用户即使拔掉网线，仍然受到进程策略的管理。

IPD进程管理还提供分时段机制，这一机制为管理员提供更灵活的策略特性，使应用程序在规定的时段可以运行，规定外时段禁止运行。 预警系统支持

IPD进程管理提供关键进程未运行以及非法进程运行的灵活警告策略，对于管理员关心的如防病毒软件的进程，一旦PC用户手工停止等行为发生后，系统即刻向管理员报警，及早避免可能发生的任何安全隐患。

- 14 - IPD 桌面运维系统 Desktop Maintenance System

IPD桌面设置管理

IPD Desktop Configuration System

桌面配置需求分析

IT管理员管理的PC数量不断增加，PC统一配置越来越成为管理中突出的一个问题，如果没有集中管控的手段，那么逐台操作工作量相当大，且PC用户也会擅自变更配置，造成网内PC的基本配置无法统一管理，经常出现诸如IP地址冲突，偷偷代理上网等等一系列问题。 IP绑定管理

采用静态IP地址的网络，由于IP预先经过严格分配，那么IP地址的修改应该是在管理员计划内进行，才不至于带来地址冲突等一系列问题。IPD桌面管理提供IP地址绑定特性，管理员可以直接在控制台为PC设置IP，同时可以将IP地址绑定在该主机上，阻止PC用户随意变更。 网络配置与机器名管理

IPD桌面设置提供对PC批量设置其DNS、网关的功能特性，以及可以变更IP地址为静态地址或DHCP动态地址。同时还可以将PC的主机名称设置与主机绑定，阻止PC用户随意变更。尤其在采用DHCP的网络，主机名绑定协助管理员更容易定位一个 P IE

如果具有互联网访问条件，IPD桌面管理提供是否允许IE代理上网的设置功能，协助管理员既可以开放上网权限给PC用户，在不允许上网情况下，又可以阻止私自代理上 全 P

IPD桌面设置管理提供CPU、内存以及网络流量的监控特性，能够依据策略，监控PC各项性能指标，并图形化展现其各指标某个时间段内的数据。同时配合预警系统，定义性能警告策略，当CPU占用率超过指定比率、或者内存利用率超过指定比率，以及网络流量 指 基

- 15 - IPD 桌面运维系统 Desktop Maintenance System

于

管理人员为终端PC做标准化设置，有效地控制终端上病毒程序和流氓软件后台服务的启动 磁盘分区即时查询，帮助管理员对内部终端存储资源的使用情况了如指掌

本地帐户管理可以灵活启用和停用，防止终端PC被非法侵入，实施终端帐户严格管理

共享资源管理， IT管理员需要了解网络中的所有不安全因素，其中就包括网络共享，从目前已知病毒入侵方式上发现大部分的蠕虫及木马病毒的传播方式是通过终端间的共享传播的。管理员对于不安全的共享可以在管理平台上取消终端的共享，从而达到切断某些病毒的传播途径

系统日志查询，终端PC出现的问题非常的多，在什么情况下出现的问题也不很明确，管理员需要准确快速的判断出问题的原因，直接查看到终端的系统日志，快速而准确的定位终端出现问题的原因

时区与日期同步，管理员可以设置终端PC与服务器时间同步，保证各PC时间的一致性，即使终端用户修改了本地时间，IPD会自动同步，使PC用户擅自修改终端日期和时间，为了达到使用某种软件，违规上网等目的，不惜去修改自己的时间，为了防止这种现象的发生，避免对网络或者工作环境造成影响，

自启动程序设置，终端使用者经常会抱怨自己的PC机开机的时候特别的慢，原因实际上很简单，是由于开启时加载的自启动程序太多导致资源上占用的冲突，系统不能分配到更多的资源，还有在终端被木马病毒或者流氓软件侵袭后，这些使人厌恶的程序会在自启动程序中加载，导致系统启动非常的慢，IPD桌面管理提供自启动程序设置功能，管理员远程设置，节省时间，提高效率

开关机设置，很多终端用户下班后不关机，在自己的机器上下载电影等，负面作用显著，IPD桌面管理提供了开关机设置功能，管理员只需设置好关机时间就到点自动关机，方便了管理员的日常工作。

预警系统支持

IPD桌面设置管理提供CPU利用率、内存占用、通讯流量监控等警告策略，使管理员随时掌握终端PC运行状态，对于PC可用性提供参考，同时对PC的运行异常及时发出警告，使管理员快速做出相应的处理。

通过使用桌面设置功能，管理员可以很轻松的对企业终端机进行维护和管理，准确的制定和分析终端机的统一安全策略故障信息，从而为管理员分析问题解决问题提供了可靠的手段。实现了以网络管理以自动化、智能化的系统代替了繁杂的人工维护工作，大大减轻了网络管理人员的工作压力。

- 16 - IPD 桌面运维系统 Desktop Maintenance System

IPD非法外联管理

Illegal Network Access Management

PC用户非法网络外联是很多IT管理员头疼的事情，且随着PC软硬件技术不断更新，其外联手段多种多样，导致内部网络很严重的安全性问题。而对于PC数量众多、且应用系统多样化、网络环境复杂的企事业单位来说，必然会遇到各种各样的问题。 常见的非法网络访问带来的问题

政管理制度规定PC禁止访问互联网，而员工在局域网中通过拨号、代理、无线等多种手段非法外联，且上网手段越来越多，单纯从设备角度无法彻底控制，从而引发网络安全隐患，导致遭受黑客攻击、信息泄漏等安全事件。

C用户在上班时间遨游互联网，正常的工作秩序受到很大影响，并且下载游戏、MP3、电影、在线电影等对于有限的带宽资源经常造成网络堵塞，严重影响了公司正常业务的运行。

然部署了网络防火墙实现了内的边界保护，然而对于应用层的访问，无法得到控制，且如果内部网络间的数据访问在没有VLAN访问控制的情况下，更加无法防止非授权用户访问重要资源，对内网应用系统的数据安全带来隐患。

IPD网络行为解决方案

创多IPD网络访问管理采用防火墙技术，将网络行为的管理延伸到桌面终端，通过灵活的策略组合，实现对网络资源的合理分配和控制。IT管理员可以定义适合本单位的管理策略，针对不同特征和用途的PC，部署相应管理策略，从而在规范PC用户网络行为基础上，保证访问安全性。 设置互联网地址黑白名单访问策略

IPD非法外联提供互联网访问地址的黑白名单管理特性，通过建立相应策略，授权特定PC仅允许访问的互联网地址，或者不允许访问的地址，IT管理员灵活定义，尤其是在部分PC开放了上网权限前提下，传统手段无法针对特定PC对其地址过滤，那么IPD非法外联通过内置防火墙技术是一个很好的方案。 按协议类型网络访问管理

不论是互联网访问，还是局域网，终端用户的访问类型多种多样，如常用的有SMTP、POP3、HTTP、FTP等等，分别为客户提供了网页访问以及邮件收发等多样化的网络应用。IT管理员在面对众多PC用户网络管理问题时，IPD非法外联方案提供了灵活定义按协议类型过滤PC机网络访问的特性，使得管理员从协议层对其访问进行约束，加大了管理力度 局域网资源访问管理

网络的互通特性，在没有VLAN或其他网络访问控制前提下，PC用户有可能访问到单位内部的

- 17 - IPD 桌面运维系统 Desktop Maintenance System

各种服务器资源、敏感PC资源，如果不加以管理，肯定对内网数据安全是不利的。IPD非法外联管理提供对内网资源访问的过滤特性，协助IT管理员在建立内网资源访问的权限，提供内网安全性。

按时段分配网络资源

IT管理员可以通过定义和分配按时间段访问互联网资源的策略，使PC上网能够在指定时间有效，如正常工作时间禁止上网，而午休或下班时间，则开放访问权限，这一灵活特性使管理员在上网管理方面，能够加强管理的同时，提供机动的管理策略。 互联网访问带宽管理

连接互联网的链路是各单位的稀缺资源，在满足正常的业务需要以及众多内网用户办公需要时，带宽管理是IT管理员重要的管理内容之一，由于互联网带宽一般情况下肯定小于PC机具备的网络吞吐能力，因此，任何一个PC的带宽滥用都会导致整个网络互联网访问的速度降低。IPD网络访问管理提供分布式的互联网带宽控制功能，管理员通过带宽分配，使PC用户即使使用BT等下载工具也不会对整个带宽严重影响。 PC机监听端口即时查询

管理员随时获得PC正在监听的端口信息，对PC机通讯以及内部网络安全提供依据，通过对非法端口的判断，能够协助网管快速定位PC机出现的病毒感染或网络通讯问题，从而可以尽快采取有效措施。

在实际工作中的应用

创多IPD网络访问及非法外联管理，使PC网络行为得到有效控制，构建可控的网络环境，提升整体的网络安全。创多IPD非法外联控制策略，能够从本质上加以控制、彻底杜绝非法访问的同时，既能够严格管理，又具有一定的灵活性，为内网安全管理发挥应有的作用。

- 18 - IPD 桌面运维系统 Desktop Maintenance System

IPD外设管理

IPD Peripherals Management

PC外设常见的有U盘、移动硬盘、光驱、软驱、打印机、扫描仪，以及数码设备等，这些设备为我们日常的工作带来了极大的方便，但对于PC数量众多的企事业用户而言，众多外设的使用，在带来工作便利的同时，也带来管理上的难度。因此，一套完整严密的外设管理措施，对于企事业IT运维显得尤为重要。 PC外设管理常见问题

用户的U盘、光盘等如果本身带毒，接入到单位的PC后，很容易导致PC感染病毒，后果显然。

单位的文档等数据，可以轻易通过移动存储设备，拷贝出去，导致数据流失。

通过Modem随便拨号，访问，造成资料外泄不说，还存在网络访问的安全性，以及等可能存在的非法网络行为，这些行为对工作产生负面影响外，还对企业形象带来反面效果。

通过擅自接入打印机、扫描仪等设备，利用单位的工作环境，从事与工作不相关工作，发生违背企业管理制度的行为。

以上这些问题也仅仅是IT运维工作中经常碰到的一小部分问题，关键是当没有适当管理措施的前提下，靠员工道德教育，行为教育，并不能够真正起到积极的作用；人为的管理手段，在面对数量众多的PC使用者的时候，无法全面彻底达到管理目的。 创多IPD外设管理解决方案

创多IPD外设管理系统，是专门针对企事业单位在外设管理上的需求，通过对PC外设的使用监控，为IT运维管理者提供按照不同PC、不同类别设备、不同使用权限的管理方案。

支持多种外设，包括串并口、光驱、软驱、移动存储设备、USB接口、打印机、扫描仪、1394接口设备、红外接口、蓝牙接口、modem、PCMCIA设备、Smart读卡设备等等。

采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性。

U盘认证功能特性，使管理员可以只授权指定的移动存储设备，在指定的PC上使用，使管理更具有灵活性的同时，PC的外设使用受到策略约束。

授权的移动存储设备如U盘、移动硬盘等，可以直接进行读写控制，控制数据的方向，如使U盘只读，或者只写，对数据拷入拷出管理更严格。

为了便于设备使用，策略随时启用、停止和切换，启用后，该PC外设使用受到策略约束，而停止后，则自动放开对设备的权限。同时可以更换策略，随管理内容变更而变更，便于

- 19 - IPD 桌面运维系统 Desktop Maintenance System

管理员灵活授权。

在实际工作中的应用

创多IPD外设策略长期基于用户管理需求进行优化和改进，能够为IT管理者带来管理直接、简单易操作的管控机制。并在如银行、电力、企业、物流、设计研究机构等多个行业得到良好应用。

由于外设是PC使用者获得第三方数据的主要入口，那么通过对其获得渠道的约束，使那些具有危险性的文件，不会由于拷贝到PC上，而感染一个乃至网络范围内的PC，从安全性上有了基本保证。

很多用户关注Modem的控制，Modem是非法外联的主要通道，通过Modem的控制，则进一步使PC用户擅自安装的Modem失去了作用，阻止其访问。

由于创多IPD外设策略的灵活性，一个单位内，不同角色可以有不同的外设使用权限，使数据的拷入拷出等操作，能够按照IT管理制度严格执行，从根本上保证了更为全面桌面运行的稳定与安全。

- 20 - IPD 桌面运维系统 Desktop Maintenance System

IPD移动存储设备管理

IPD Removable Storage Management

U盘或移动硬盘给我们日常的计算机使用带来非常大的便利，尤其是U盘的容量随着技术发展越来越大，我们不仅像早期那样仅拷贝10M或20M的文件，现在上G的海量文件都可以存储，那么在企业内部，移动存储设备的使用，将显然带来不少问题：

U盘能够拷贝企业关键的海量数据，并存储在一个或几个U盘，而一旦被企业员工有意或无意拷贝到电脑上，那么就会对本企业的信息安全带来灾难

U盘的移动性，使其能够在不同PC上使用，的、内网的、家里的等等各种场合和电脑，那么当U盘访问了带毒电脑，则首当其冲会对企业网带来安全隐患。

因此，创多IPD移动存储设备管理子系统，就针对性地向企事业单位提供了妥善的解决方案。这个方案从移动存储设备的注册、认证、加密等层面，确保设备使用的合法性，以及确保数据访问的安全性。

设备注册 IPD为用户提供移动存储设备的注册功能，通过这一特性，使企事业单位内部的移动存储设备的合理使用，都需要经过一个注册申请和审批的流程，设备只有在授权后才能拷贝数据，从而从用户和设备层面进行信息安全性加以保证。

设备认证 移动存储设备在PC上接入直至能够访问，系统需要对设备的合法性进行一个认证过程，这个认证过程将直接屏蔽未注册设备的访问，从系统底层就阻止了非法设备的接入，这样就能够直接屏蔽带毒U盘，从而使PC免于来自类似移动设备的侵袭。

设备加密对于需要带离企业网络的经过认证的移动存储设备，如果没有更严密的防范措施，数据还是可以拷贝到，虽然经过U盘认证缩小并减少了信息安全风险的范围，但如果对数据本身不加以保护，还是会造成数据泄密。因此，IPD移动存储设备管理提供了对于认证设备的数据加密特性，系统经过对认证设备的初始化，当设备在企业内部使用时，数据的读写都经过加密，一旦这一移动设备带离网络，则在非授权PC上无法访问。

创多IPD移动存储设备管理子系统的部署，能够解决企事业单位在当前U盘泛滥情况下的信息安全问题，虽然移动设备为企业运营带来了很大便利，但这一便利是不可以信息安全为代价的，否则就得不偿失，因此妥善管理好这些移动设备的使用，使其依据企业管理制度使用才能够发挥其真正的作用。

- 21 - IPD 桌面运维系统 Desktop Maintenance System

案例分析 Case Study

文汇新合报业集团是中国最大的报业集团之一，成立于1998年7月25日，由创刊60年的文汇报和创刊69年的新民晚报联合组建而成。集团旗下有、、等十几报纸期刊。

文汇新合报业集团终端PC数量达4000多台，且分散于威海路、延安中路、东大名路、常熟路及其它路段的多栋大楼内，整个网络划分大小VLAN 23个，且部分VLAN间不能互访，在跨地域的楼宇之间通过VPN进行连接。

网络及PC系统已经是文汇新合报业集团最基础也是最重要的生产手段之一，从文稿撰写到出版以及发行无一例外都基于网络化的管理和运行平台高效率地进行。文新集团作为国内大型的报业集团之一，更是利用现代化管理手段，使其发行量走在国内同行的前列。

如此众多的终端管理和复杂的网络结构向文新集团IT信息管理部门提出了挑战，在确保集团各部门工作稳定运行的前提下，创多软件和文新集团的IT部门密切配合，成功地部署和实施了全网终端PC集成管理系统，从而进一步验证创多软件在面对大型复杂网络内终端管理方案的有效性和可靠性。

IPD桌面运维系统在文新集团得到了全面的应用，并得到了用户的认可。灵活的补丁管理方案使集团内部PC免疫力增强，补丁审批机制和可分期分批补丁更新机制确保系统有序可靠，将补丁更新的风险降到最低。远程桌面支持方案解决了跨地域PC维护的难题，同时桌面设置方案和进程方案更加使桌面运行环境规范化。

报业发行在时间上要求是非常高的，不能因为任何原因导致延迟哪怕是1分钟，IPD桌面运维系统的成功部署，为文新集团的网络安全性和稳定性发挥了积极的作用，创多软件将积极为用户竭诚服务，与用户密切配合，使IPD桌面运维系统为用户提供长久有效的桌面运维服务。