信创安全 | 升腾威讯智能安全管控解决方案
点击 信创纵横 并设为星标⭐️ 及时获取最新资讯
编者按:升腾威讯自主研发的针对多种硬件平台、多种操作系统、多种应用软件、多种外设的全方位智能管控方案,该方案是针对党政信创替换过程中终端运维管理难、安全管控难而量身打造的行业解决方案,方案可实现信创替代过程中多系统、多平台、多应用、多设备管理系统的大批量信创终端管控方案。
编辑|信创纵横公众号(ID:xinchuangzh)出品 | 安东工作室作者|升腾威讯转载|请注明出处
01
解决方案基本概述
升腾威讯自主研发的针对多种硬件平台、多种操作系统、多种应用软件、多种外设的全方位智能管控方案,该方案是针对党政信创替换过程中终端运维管理难、安全管控难而量身打造的行业解决方案,方案可实现信创替代过程中多系统、多平台、多应用、多设备管理系统的大批量信创终端管控方案。
客户端软件集成在信创终端上,通过服务端识别纳管,实现对信创终端的统一管理。进行补丁统一升级,支持针对终端外设进行权限设置,支持对网站设置黑名单,支持设置进场黑名单等,提供统一的大数据展示平台,清晰明了展示终端上线情况。有效解决异构环境下的信创终端管理问题,降低运维成本;通过远程维护,批量升级,无须现场支持,即可解决80%的终端运维问题,很好满足党政区县信创替代等场景需求。
此外,福建升腾资讯有限公司作为福建省龙头企业,是最早在信创领域布局的厂商,是信创行业引领者和赋能者,升腾威讯智能终端管控方案、智慧金融移动营销整体解决方案2款产品入围2022年福建省信息技术应用创新解决方案,是对升腾在党政、金融行业的信创建设中,为行业信创替代需求而打造的大规模信创终端管控方案价值的肯定。
02
解决方案总体架构及说明
01
功能架构
Spring 容器:负责生产创建各种Bean实体,组装实体配件,充分利用Spring良好的特性,实现依赖注入,解耦实体之间的联系,降低系统构建的复杂度。之所以把Spring容器放在最底层,是因为spring当中会负责初始化所有的类,提供访问环境。而且这个容器实际上与其他层有个最大的区别就是,这个一层并不是系统jar的集合,而只是由微内核初始化加载起来的。
核心层:核心层包括微内核与核心组件两大块,微内核框架负责系统启动配置的加载,框架及组件的加载,并提供组件之间通信的环境(通过类加载器提供访问环境)。核心组件主要负责一些核心功能的实现,主要用来支撑系统正常运行所需要的服务部件。目前设计主要包括:部署模式,Web容器模块,数据存储模块,调度及线程模块,安全管理模块,缓存管理模块,授权管理模块。
系统层:这层主要是包含一些系统组件,这些组件的功能都是一些非常基本都功能,或者这些功能是实现绝大数业务的基础或者共性。目前设计主要包括:资源中心,设备中心,全局配置,网络中心,任务调度,用户管理等。
02
系统架构
软件行业有一个亘古不变的哲理:唯有变化是不变的。为了能够更好的屏蔽变化产生的混乱,带来的风险,需要一个良好的隔离机制,将易于变化的事物有效的分离出去,以降低变化对系统所造成的影响。根据软件的经典GRASP、SOLID、KISS设计原则,将平台体系划分如下:
平台结构自底向上分为四层,即微内核层+系统组件+基础业务组件+业务子系统,下面对这四层的功能职责作简单的描述:
容器:采用Spring作为组件容器,负责生产创建各种Bean实体,组装实体配件,类似于硬件主板的功能,充分利用Spring良好的特性解藕实体之间的联系,降低系统构建的复杂度。
内核层: 这里主要借鉴微内核、插件体系思维和企业服务总线的理念进行架构设计。该层包括两部分,微内核和系统组件。微内核作用是引导并启动平台,负责将各种组件装载运行,并提供组件之间的消息通道,是平台的核心所在。系统组件主要用于管理业务组件和平台本身,丰富扩展平台的功能,并实现与第三方框架的无逢集成,同时还将提供分布式通信的接口,以降低上层业务组件的构建复杂度。
基本模块:各个业务子系统所依赖的基础模块。基础模块应该为上层提供业务底层、抽象、强大的业务服务,以及统一通用的外界接口。
03
数据架构
数据库服务采用开源数据库postgres,为平台提供数据存储服务,是非常重要的底层服务,不能出现异常。否则系统大部分功能都会出现问题。
数据库服务高可用方案采用:Keepalived+异步流复制的postgres HA的方案。
“Keepalived+异步流同步”部署结构图
存储多副本设计
底层数据支持2副本以上配置,自动对数据进行多副本写入,数据可靠性达到7个9。在主机或硬盘发生故障的情况下,数据仍然能够安全被存储或使用。同时数据会自动进行均衡修复,保证有足够的副本数量,避免数据丢失。此外,系统支持SSD寿命检测,提前进行风险告警。
虚拟机快照
系统支持虚拟机快照技术,管理员可以定期对虚拟机进行快照备份。当虚拟机出现故障无法启动时,可以通过快照快速回复,保证虚拟机使用的连续性。系统还支持对接专业的虚拟机备份系统,通过专业的虚拟机备份系统实现定时定期的增量或全量备份。
管理数据备份
04
网络架构
下图是一个典型的企业局域网的网络拓扑图,各部门通过交换机组建各自的业务网络环境,然后通过总部的路由器接入局域网中; 将智能管控系统部署在总部服务器上,便能对网络中的业务客户端进行有效的管理。
03
解决方案功能模块介绍
技术特点 |
1) B/S架构部署:极大减少部署成本与维护成本,随时随地,连通网络,即可轻松实现管理。 2) 部署结构灵活,节省部署成本:管理服务器、数据库服务器和文件服务器支持单独部署和集中部署。 3) 产品操作简便:功能模块划分清晰,使用手册完备,易安装,易部署,与现有的网络环境和业务系统完成兼容。 本系统的主要特性包括:
1) 终端出现故障,快速远程分析并解决问题,快速响应,减少业务损失,提高业绩; 2) 终端配置或业务升级,批量操作快速完成任务,减少时间和人力成本,助力快速扩展业务; 3) 员工办公操作尽在掌控中,促进员工高效办公,提高整体工作效率。
1) 本系统快速实现批量软件/补丁分发,减少重复性工作,节省时间和人力; 2) 分发多类型的软件安装包及其文件,批量分发安装,大幅度提高效率; 3) 同时针对升腾云终端实现自动系统升级、补丁升级。
1) 简易部署:系统所有组件安装在同一台服务器上,适合管理终端数量在5000以下的企业; 2) 高级部署:管理服务器、文件服务器、数据库分别安装在不同的服务器上,可根据管理的终端数量增加管理服务器和文件服务器,适合上万级终端管理;
|
核心优势 |
支持对局域网内的终端、广域网上的云终端进行远程集中管理、统一升级,无须现场支持;
通过任务调度来执行设备的管理操作,可灵活指定任务执行时间,实现无人值守的管理过程。
1) TC通过DHCP扩展标签方式、DNS自动发现方式、服务器自动扫描等方式实现云终端自动纳管。 2) 系统支持按照出口地址(广域网为外网地址,局域网为内网地址)进行动态归组,简化管理。终端接入网络,即可被自动管理,并根据组织架构自动分组。
1) 无需区分硬件平台和操作系统,补丁/软件/驱动升级,智能匹配设备、自动升级; 2) 支持龙芯、鲲鹏、飞腾、兆芯 与 统信系统、银河麒麟 任意组合管控;
客户端采用插件体系结构,实现了功能模块化,模块可以方便的集成到管理系统中,服务器端采用分层体系结构,体系架构可伸缩性强,可根据客户端的需求,快速定制产品功能。
1) 支持外设、端口、软件、上网行为黑名单管理; 2) 管理服务采用三权分立、等级权限分配,管理员操作可追溯;
1) 一屏式展示软硬件资产、上线率、终端健康状态、软件利用率等数据,资产信息一目了然,利于预算决策; 2) 终端健康状态实时展示,管理员可迅速识别故障终端,进行维护; |
04
解决方案应用案例
福建省侨联,本轮计划更新70台信创整机,建设需求可以简化业务系统升级,所带来的大量PC安装、配置工作。同时,为了保障督促使用信创台式机,新一轮建设,希望能够对在线整机进行资产和使用情况统计。
【主要解决问题】
新系统上线、原有系统升级的推广问题。包含B/S、C/S等多套业务系统、软件,需要在局内以及分散各地的预算单位进行安装、配置、升级,工作量大;
各个预算单位的软件故障运维问题。预算单位分散,使用人员IT技术有限,出现系统、软件问题后,财政局运维人员需要到现场处理,时间成本高。
需要有统一管理后台,能够实时看到在线终端的使用情况和资产情况。
通过在福建省侨联上构建一个统一管理平台:升腾智能管控系统,让用户在不影响正常办公情况下,所有的信创台式机都能够被纳入管理。采用“升腾智能管控系统+升腾C76-G2”,实现对新上线的升腾C76-G2进行统一管理,提供了补丁升级、软件黑名单、外设黑名单、资产统计、消息推送等功能。
智能升级:支持对“龙芯、鲲鹏、飞腾、兆芯 + UOS、Kylin”(任意组合)补丁升级,实现补丁、软件、驱动智能匹配、自动升级,减少运维;
安全管控:实现对信创PC的软件、外设、端口、上网行为黑名单管控,降低数据泄露、系统损坏风险;
智能分析:提供资产报表统计,终端资产、上线率、健康状态、软件利用率等数据实时统计分析,简化维护,易于决策;
自动分组:可对在网信创PC实现自动纳管、智能分组,支持局域网、广域网管理。
【方案组成】
信创台式机:升腾C76-G2+银河麒麟桌面版V10+内置智能管控客户端;
智能管控系统:提供了补丁升级、软件黑名单、外设黑名单、资产统计、消息推送等功能。
实现信创桌面整机替代原PC方案,升腾威讯信创桌面整机,配套终端管理系统,实现统一管理和运维,较PC方案减少80%以上运维工作;实现国产操作系统对未迁移应用的支持,解决“不可用”、“不好用”等问题,满足党政办公安全和使用体验等需求。
05
解决方案相关产品列表
01
专利清单
序号 | 专利名 | 类型 | 专利号 | 专利权人 | 授权公告日 | 法律状态 |
1 | 嵌入式系统加密备份还原方法及系统 | 发明专利 | 200810071394.4 | 福建升腾资讯有限公司 | 2012-01 | 授权有效 |
2 | 基于磁盘虚拟技术的USB存储设备数据保护方法 | 发明专利 | 201110440944.7 | 福建升腾资讯有限公司 | 2014-07 | 授权有效 |
3 | 基于端末的网络访问控制系统
| 发明专利 | 201210030423.9 | 福建升腾资讯有限公司 | 2014-11 | 授权有效 |
4 | 广域网下实现NAT穿透的方法及系统
| 发明专利 | 201210178368.8 | 福建升腾资讯有限公司 | 2015-09 | 授权有效 |
5 | 基于Web的远程桌面展示方法 | 发明专利 | 201210318791.3 | 福建升腾资讯有限公司 | 2016-03 | 授权有效 |
6 | 客户端的flash插件与服务端IE浏览器的网页脚本交互的方法 | 发明专利 | 201310475791.9 | 福建升腾资讯有限公司 | 2016-08 | 授权有效 |
7 | 基于DHCP扩展标签实现网络设备自动发现的方法 | 发明专利 | 201410074622.9 | 福建升腾资讯有限公司 | 2017-02 | 授权有效 |
02
软件著作权
序号 | 软件名称 | 著作权人 | 权利取得方式 | 权利范围 | 登记号 |
1 | 智能管控系统[简称:MSPAD] V7.2 | 福建升腾资讯有限公司 | 原始取得 | 全部权利 | 2020SR1183472 |
03
荣誉
福建省科技进步奖二等奖
04
信创互认证
序号 | 材料名称 |
1 | 解决方案架构图 |
2 | 智能管控系统&统信&海光联合互认证 |
3 | 智能管控系统&统信&兆芯联合互认证 |
4 | 升腾C73A&银河麒麟桌面操作系统V10互认证 |
5 | 升腾C73系列(C73A)&兆芯KX-6000系列处理器互认证 |
6 | 升腾C73系列(C73A)&百敖固件互认证 |
7 | 升腾C73系列(C73A)&红莲花安全浏览器 |
8 | 升腾C73系列(C73A)&立思辰打印机、扫描仪 |
9 | 升腾C73系列(C73A)&影源扫描仪 |
10 | 升腾C73系列(C73A)&永中office |
11 | 升腾C73A&统信桌面操作系统V20 |
12 | CNAS测试报告 |
13 | 福建省归国华侨联合会合同 |
14 | 专利证书 |
15 | 软著证书 |
16 | 荣誉证书 |
06
解决方案联系方式
新媒体策划 沈连芬 18050404540
END
点击图片查看完整内容: