|
一、背景 随着自研操作系统在关键行业的逐步普及应用,终端大规模使用带来管理压力及安全风险,使得终端集中化管理与安全管控需求日趋迫切。在信息技术应用创新领域,市场上已有的针对自研操作系统的终端管理产品,多是基于操作系统开发的上层应用,无法与操作系统深度结合从而实现从系统底层进行统一管理。统信软件技术有限公司(简称:“统信”)作为一家以“打造操作系统创新生态,给世界更好的选择”为己任的基础软件公司,深入学习习近平总书记的重要指示精神,“努力实现关键核心技术自研化,把创新主动权、发展主动权牢牢掌握在自己手中”,主动承担研发自主创新基础软件的重任——打造统信操作系统(统信 UOS)。统信积极开展操作系统替换实践工作,支撑国家工程项目建设,短期内已取得了一定应用成果,有效推动了信息技术应用创新产业生态发展。
二、现状分析 在关键行业的信息技术应用创新应用实际场景中,客户通常存在庞大复杂的组织架构,下属人员数量众多,并有着不同的职责划分,人员流动性大导致信息变更频繁,组织架构及人员管理运维复杂,且各办公及业务场景中涉及的终端数量繁多。场景中涉及众多业务系统帐号不统一,独立进行帐号管理及身份认证,导致管理困难且混乱,人员需使用多套帐号密码访问业务系统,用户体验不佳。大规模终端缺乏统一管理手段,存在诸多安全隐患,如:人员使用不合规应用软件导致数据丢失甚至系统崩溃;终端连接不合规外设造成数据泄露;终端网络端口缺乏访问限制,存在非法入侵风险。综合上述现状,主要需求如下: (1) 组织架构与人员管理:针对组织架构复杂、人员众多、信息变更频繁等现状,需要提供集中化、可视化的管理运维方式,并支持从现有系统同步与批量导入。 (2) 统一身份认证:针对各业务系统帐号不统一、管理混乱、用户使用不便等现状,需要统一身份认证功能,为各类业务系统提供认证服务。 (3) 终端安全管控:在终端数量庞大且多样的使用环境下,存在数据安全风险,需要对终端系统功能进行统一集中管理,对应用、外设、网络等功能的使用按业务要求进行安全管控。 Windows 操作系统环境下通常采用 AD 域(Active Directory)及组策略实现统一管理,在当前背景下,需完成对 Windows 操作系统及 AD 域的整体替换。针对自研化操作系统大规模应用场景中的上述需求,统信通过深入调研,结合统信操作系统产品特性和技术优势,推出自主研发的统信集中域管平台产品。
三、产品介绍 3.1. 产品简介 统信集中域管平台(简称:“域管平台”)以组织架构与人员管理、统一身份认证、终端安全管控为主要功能,对组织架构及人员、权限、终端进行集中管理和全方位安全策略防护,并提供企业服务接口供第三方应用调用。通过简洁易用、可扩展、可定制的管理软件产品,满足客户对终端的深入管理需求,提高运维支持效率,为关键行业场景提供集中管理整体解决方案。 3.2. 产品架构 3.2.1. 产品概况 图 3- 1 组成示意 域管平台基于 C/S 架构设计,由服务端和客户端组成。服务端实现域管平台主要功能,通过 Web 管理平台为管理员提供可视化管理界面,进行组织架构和人员信息维护、策略配置等操作。客户端实现策略接收、策略执行、数据上报等功能。客户端已通过插件形式集成在统信桌面操作系统控制中心,无需单独部署。 图 3- 2 系统示意 域管平台作为基础服务平台提供企业服务接口,支持与各类应用系统对接。域管平台通过数据同步接口、身份认证接口完成与第三方数据源、认证源的对接,主数据源与认证源支持 AD/OpenLDAP 认证源、办公类认证源(如 OA、HR 等)及其他第三方源。域管平台提供开放的接口服务,通过丰富的企业服务接口为应用服务系统提供支持,包括应用商店、邮箱等系统应用及视频会议、协同办公等生态合作应用。企业服务接口包括为第三方应用提供认证、数据同步等功能,满足应用使用场景中的实际需求。 3.2.2. 功能模块 图 3- 3 功能模块 组织架构与人员管理模块提供基础数据维护功能,支持对数据源进行配置。统一身份认证模块提供认证服务,支持配置认证源。终端安全管控模块提供终端管控、安全管控等策略管理功能。日志报表管理模块集中展示各类日志及数据统计报表。
3.2.3. 技术架构 图 3- 4 技术架构 域管平台产品技术架构分为三层:数据层、服务层、网关层。 (1) 数据层 平台业务数据和缓存数据采用 MySQL 及 Redis 数据库进行存储,支持主从部署方式,采用标准读写分离方式,提高读写性能及稳定性,同时保证数据访问层的高可用。平台文件存储选择 GlusterFS 分布式存储方式,具有高扩展性、高可用性、高性能、可横向扩展等特点,避免服务中文件读写的单点故障隐患。 (2) 服务层 平台服务采用微服务架构。对业务服务进行功能拆分,同时对整个系统的各服务进行抽象分层,对各个层次实现松耦合,提高开发和维护效率。域管平台服务提供 Docker 虚拟化部署,保证与物理机环境隔离。支持 DockerSwarm 集群部署方式,保证业务层面的高可用。 (3) 网关层 通过 Nginx 服务接入,采用负载均衡机制,将访问请求分发后端应用服务,避免单点故障,保障接入高可用及高并发情况下平台服务稳定可靠。平台采用自研证书认证体系,域管客户端和第三方应用都采用双向认证机制,保证传输层的安全性。 3.3. 产品功能 3.3.1. 组织架构与人员管理 (1) 组织架构管理 域管平台提供组织架构管理功能。支持通过管理平台创建、修改组织架构,可对组织架构进行导入、导出操作。 (2) 人员管理 域管平台提供人员管理功能。支持通过管理平台新增、编辑、删除人员帐号及信息,可对人员帐号进行导入、导出操作。支持对人员帐号进行权限管理,包括启用、停用等操作。 (3) 数据批量导入 可通过多种方式批量导入组织架构及人员信息数据,支持从第三方数据源同步。导入方式包括平台模板导入、接口调用写入、数据同步导入。 1) 模板导入:可通过 Web 管理平台获取模板,完成数据录入后通过管理平台上传模板导入组织架构及人员信息。 2) 接口调用写入:现有第三方认证系统或业务系统,可通过调用域管平台提供的组织架构和人员同步接口,将基础数据同步至域管平台。 3) 数据同步导入:支持通过 LDAP 协议,从现有系统中同步组织架构和人员信息至域管平台,支持全量/增量同步方式。 3.3.2. 统一身份认证 (1) 域管平台认证 域管平台提供统一身份认证。终端用户可通过帐号和密码进行认证,支持在线/离线认证方式,满足多种网络环境下的身份认证需求。基于对组织架构及人员信息数据管理以及开放的企业服务接口能力,帮助企业建立统一认证平台,为多种业务场景提供统一的身份认证服务。 (2) 第三方认证 域管平台支持第三方认证。域管平台支持添加认证源,可完成与第三方系统认证服务的对接,从而实现调用第三方系统进行认证。 3.3.3. 终端管控 (1) 终端管理 通过域管平台可查看终端的基础信息、硬件信息、软件信息、策略信息等。客户端对终端各类信息进行收集,在服务端进行汇总并展示,支持终端信息的批量导出,为管理员提供简单快捷的资产管理方式。统信桌面操作系统已在系统控制中心集成域管平台客户端,仅管理员权限帐号可执行终端退域操作,避免用户误操作造成终端脱离管理。 (2) 终端控制 通过域管平台可对终端进行远程控制,包括远程 SSH 连接、远程关机及重启等。管理员通过在远端对终端进行运维操作,可对用户上报的终端问题进行远程协助支持,提高运维处理效率。 (3) 终端配置 域管平台支持对终端显示设置及功能配置进行管理,满足个性化配置需求。 1) 基础配置:提供包括壁纸、屏保、启动页背景等显示设置,以及电源管理、时间同步等功能配置。 2) 高级配置:支持对系统任务栏及控制中心功能进行配置,实现模块及功能入口的启用/禁用操作。
3.3.4. 安全管控 (1) 外接设备管控 域管平台支持对外接设备(如 USB 存储设备等)的使用进行管控,禁止非授权设备连接至终端进行数据读写操作,避免终端数据被非法导出造成泄露,保障数据安全。在管控模式上,以 USB 存储设备为例,支持“禁用”、“可读”、“可写”三种模式: 1) “禁用”模式:默认禁用 USB 存储设备,并上报设备接入记录,管理员可对存储设备配置白名单放行,将存储设备授权给指定终端后,用户即可使用白名单内的设备在此终端上进行读写操作。 2) “可读”模式:用户在当前终端只能读取 USB 存储设备内容,无法执行文件写入。 3) “可写”模式:用户在当前终端对 USB 存储设备的使用无限制。 (2) 应用软件管控 域管平台支持配置不同应用软件来源,包括系统源和局域网商店源,管理员可从系统仓库或局域网商店仓库中挑选软件,对软件来源、软件类别、软件别名等信息进行标注,标注完成即可向终端推送已标注的软件。域管平台提供了完善的应用管控服务,支持应用下发、更新、卸载、黑名单等功能,保证终端只能安装、运行受信任的应用软件,屏蔽不合规软件、恶意软件带来的安全风险,满足终端应用安全需求。 (3) 网络管控 域管平台支持配置多种网络功能管控策略,限制终端网络访问及共享,保障网络安全。 1) 防火墙配置:通过下发安全策略,配置终端防火墙策略,限制端口访问。 2) 远程访问限制:支持设置是否允许其他终端远程访问到此终端,屏蔽未授权的远程访问。 3) 个人热点管理:支持设置功能启用/禁用,限制终端对外共享网络。 4) 无线网卡管理:支持设置无线网卡启用/禁用,管理终端无线网卡使用方式。 (4) 云桌面管控 域管平台支持统信 UOS 云桌面管控。域管平台已与国内主流云桌面服务商完成适配对接,可对云端统信 UOS 进行管控,包括软件下发安装、策略执行、系统升级等,对云桌面操作系统使用提供完备的安全管控手段。此外,通过与云厂商的深度对接,实现云桌面使用的一体化体验:用户在云桌面客户端软件登录时,使用域帐号登录,认证通过即可免密登录云端统信 UOS,并在系统内免密访问第三方业务应用。 (5) 分级管控 域管平台通过级联部署方式,实现针对多级组织架构的分级管控。管理方式上,级联部署方式中总部管理员可查看下级单位域管平台运营数据,并可执行管控。总部管理员制定统一管控策略,并向下级单位分发,实现统一策略集中管控;下级单位管理员也可按各自单位的管理规范进行管控策略的制定下发。域管平台通过策略优先级判断机制实现策略叠加生效,通过强制原则与就近原则对策略优先级进行判定:强制策略,默认上级优先级更高;非强制策略,默认下级优先级更高。 3.3.5. 策略管理 域管平台提供策略管理功能,管理员可对配置的管控策略、安全策略进行统一管理及分发。支持策略按组织架构分发、强制生效、定时同步等执行机制,可满足复杂组织架构场景中的终端管理需求。 (1) 策略列表:集中展示各类策略及相关信息,并提供策略编辑、下发、删除等功能。 (2) 策略同步及设置:通过策略同步功能指定策略执行对象,通过同步设置功能设定终端向服务器自动拉取策略的周期。 (3) 策略视图:展示组织架构中各部门绑定执行的策略信息。 3.3.6. 任务管理 域管平台提供任务管理功能。管理员可通过任务下发来完成对应的运维管理操作,可下发的任务类型包括:更新系统、软件推送、下发脚本、客户端更新等。管理员可设置任务执行时间,包括立即执行、定时执行、周期执行,满足不同场景中任务的时效性需求。管理员通过任务统一配置、批量下发方式,可实现集中管理,提升运维效率。 3.3.7. 日志与报表管理 (1) 日志管理 域管平台提供丰富的日志管理功能,管理员可在后台查看人员日志、终端日志、平台日志、USB 设备日志及策略日志。 1) 人员日志:基于人员维度,记录终端及软件使用等关键行为日志,包括人员在终端上进行的登录、登出操作,以及针对各个软件进行的打开、关闭操作。 2) 终端日志:基于终端维度,记录系统版本及软件版本变更日志,包括终端所属部门、终端 IP、MAC 等基础信息及软件名称、安装升级的操作时间、安装的版本信息。 3) 平台日志:记录管理员通过管理平台针对各功能模块进行的操作情况。人员管理日志包括人员的添加、修改、删除、导入、导出等操作;部门管理日志包括部门的添加、编辑、删除等操作;终端管理日志包括终端编辑、删除、启用、停用、调整部门等操作;USB 授权管理日志包括 USB 设备白名单的添加、移除操作。 4) 外接设备日志:记录外接设备(如 USB 设备等)使用情况,包括设备接入及移除操作。 5) 策略日志:记录策略管理及配置变更相关日志。策略管理日志包括策略的编辑发布、策略组管理、策略优先级设置等;配置变更日志包括策略配置属性及执行范围变更记录。域管平台提供了可视化的日志管理功能,支持日志筛选和关键字检索,提升日志查看效率。通过域管平台日志模块,有助于管理员对管控终端状态以及用户操作记录全面深入了解,便于问题的发现与解决。 (2) 报表管理 域管平台提供报表管理功能,包括终端每日上线率以及使用时长等数据报表展示,并支持数据导出功能,帮助管理员快捷获取终端实际使用情况。此外,支持依据场景需求进行定制化报表开发,为客户提供更为全面的个性化数据统计与报表展示,为管理与决策提供数据支持。 3.3.8. 开放能力管理 域管平台基于 OpenAPI 提供丰富的开放能力,支持第三方应用进行调用,对外提供多种服务支持,为客户提供安全、高效、可拓展的业务应用支撑平台。支持 Webhook 事件通知机制,并通过密钥对服务访问权限进行严格管理。具体开放能力包括: (1) 组织人员同步:支持第三方应用对组织架构及人员数据增删改查,提供便捷的基础数据获取方式。 (2) 统一身份认证:支持各业务系统使用统一身份认证服务,无需分别对接认证源系统,实现高效认证。 (3) 信息查询:支持包括终端列表、终端详情、终端任务状态、各类任务执行状态等信息查询获取,实现多平台数据互通。第三方应用通过应用注册方式接入域管平台服务,完成应用注册后,可获得应用 ID、秘钥、证书等信息,通过使用证书信息基于 OpenAPI 调用,获得平台提 供的开放能力。此外,第三方应用可通过配置回调接口,订阅平台相关数据变更事件,从而进行及时响应。第三方应用可使用的服务访问权限,由管理员通过域管平台开放能力管理模块进行分配。
3.4. 技术实现 3.4.1. 数据同步 域管平台针对客户现有管理系统或认证系统场景,为组织架构及用户数据提供自动同步解决方案,可高效完成基础数据的同步导入。针对使用 AD 域(Active Directory 目录服务)和 OpenLDAP(轻型目录访问协议的开源目录服务)的场景,域管平台同步模块基于 LDAP 协议,可实现数据自动同步机制。通过域管平台提供的数据同步配置功能,完成基础数据在两个系统间的匹配映射,将 AD 域、OpenLDAP 中的数据同步存储到域管平台,支持手动/自动同步、全量/增量同步。系统间同步对接过程无须进行任何二次代码开发,快捷高效完成基础数据的同步导入。
3.4.2. 身份认证 域管平台提供一体化的安全身份认证服务。通过对统信 UOS 用户登录模块进行改造,从系统层面实现对网络帐号登录的支持。域管平台自研多源认证框架,在平台自有认证源之外,可将 AD 域、OpenLDAP 等认证服务器添加为平台认证源,通过代理转发方式完成用户身份验证,实现与现有认证系统快速对接。域管平台支持离线认证,满足无网络及网络信号不佳场景下的认证需求。客户端首次在线认证通过后,在终端对域帐号登录信息进行本地加密存储,用户登录时进行离线校验,校验通过可完成登录。此外,支持对离线登录有效期精准配置,确保登录安全受控。域管平台基于标准 OAuth2.0 协议,为第三方应用提供单点登录服务。第三方应用进行请求并验证通过后,域管平台向该应用颁发“令牌”(Token),包括“访问令牌”(Access Token)及“刷新令牌”(Refresh Token)。应用通过使用“访问令牌”进行单点登录,在其有效期内可直接进行登录,无需重复请求;应用通过使用“刷新令牌”可自助更新“访问令牌”的有效期。从而简化认证校验过程,对第三方应用提供高效的统一认证服务。 3.4.3. 系统级管控 域管平台系统级管控能力依赖于统信 UOS 底层,各种策略通过调用操作系统级 API 及通信数据总线等方式(如 GSettings、DBus 等)实现控制功能,从而提供包括系统功能的隐藏或展示、系统配置修改、系统操作权限控制等管控功能。域管平台对统信 UOS 进行深入、细化的操作系统配置项管理,同时实现了全面的系统软硬件资源管控。从操作系统底层执行管控,可保障管控的安全性和稳定性。在策略管理方面,域管平台结合操作系统的系统级及用户级服务,提供终端配置和用户配置两种不同维度的策略。域管平台支持策略叠加机制,配合自研策略优先级判定算法,可实现通用策略的统一下发与管控,也可针对不同组织架构及分组进行差异化、精细化策略控制,满足复杂场景的管控要求。 3.5. 产品参数 3.5.1. 兼容性说明 表 3- 1 兼容性说明 类别 | 客户端 | 服务端 | 操作系统版本 | 统信桌面操作系统 | 统信服务器操作系统 | 处理器架构 | AMD64、ARM64、MIPS64 等 | AMD64、ARM64、MIPS64 等 |
3.5.2. 推荐硬件配置 表 3- 2 推荐硬件配置(单节点部署) 硬件类别 | 配置要求 | CPU | AMD 架构 32 核心及以上 ARM 架构 64 核心及以上 | 内存 | 128GB 及以上 | 硬盘 | 数据库存储 256GB PCIE SSD 及以上 其他存储 2TB SATA 及以上 | 网络带宽 | 千兆网络 |
3.5.3. 核心性能指标 表 3- 3 核心性能指标(单节点部署)
3.5.4. 产品部署方式 Ø 单节点部署 域管平台支持单节点部署方式。针对终端规模较小的场景,可选择单节点部署方式。服务器资源需求相对较少,可快速部署上线。 Ø 集群部署 域管平台支持集群部署方式。针对大规模终端使用场景,可选择集群部署方式。集群部署方式可满足高并发场景,实现服务高可用。应用服务集群支持横向拓展,可轻松应对后续终端规模持续增长带来的服务压力。 Ø 级联部署 域管平台支持级联部署方式。针对企业多级组织架构,可选择级联部署方式,实现分级管控。在总部和下级单位分别独立部署域管平台,便于管理员后期运维支持。通过级联方式将总部和下级单位的域管平台建立关联,实现数据互通。
四、产品优势 4.1. 全面防护 域管平台采取统一身份认证、用户权限控制、终端策略配置等集中管理技术手段,收集终端策略执行数据、用户行为数据,支持细粒度的个性化管控,从权限管理层面、终端功能层面建立多维度管理机制,构造全面防护体系。权限管理层面,通过安全身份认证及用户权限严格控制,屏蔽非法用户访问及越权操作;终端功能层面,通过对操作系统功能,如外设使用、网络访问等进行限制,防止违规使用造成数据泄露等安全问题。 4.2. 深入管控 统信作为操作系统厂商,对终端操作系统的底层运行原理和系统管控机制有深入研究,在终端管控深度及管控能力方面具备天然优势。域管平台以策略方式实现管控,通过配置下发策略完成对终端的管理。管控深度方面,域管平台与统信 UOS 深入结合,基于系统底层接口实现,为用户提供系统级终端管控服务。管控功能方面,可提供身份认证、系统配置、应用软件管理、安全策略等多方位的管控服务。 4.3. 安全化 域管平台由统信自主研发,掌握全部源代码和核心技术,拥有知识产权,可避免源代码或技术不可控带来的潜在漏洞风险。域管平台经过严格的安全测试,包括 OWASP TOP10 (开放式 Web 应用程序安全项目 Open Web ApplicationSecurity Project 十大应用安全风险)涉及的漏洞类型测试、所有接口安全评估和测试、用户权限划分审核和测试、数据传输加密安全测试等,确保产品的足够安全。域管平台支持局域网部署方式,最大程度上避免用户敏感信息外泄。域内终端与域管平台服务端之间的通信,使用安全证书加密,确保操作系统认证足够安全。
五、服务与支持 5.1. 服务方案 统信建立了完善的产品售前、售中、售后技术服务体系,通过有效的组织运作机制和过硬的技术实力,为用户提供标准化、规范化、专业化的技术服务支持。统信拥有一支高素质、高学历,经验丰富、技术突出、且覆盖全国的专业技术支持服务团队,可为用户提供远程支持、现场支持、培训认证、顾问咨询、系统定制等一系列服务支持。能够满足用户快速响应、及时处理并修复问题的需求,还可以按照用户个性化需求提供定制服务,满足不同用户在各复杂业务应用场景的需要。详细服务可详见:https://www.uniontech.com/next/support/guide/1。 表 5- 1 服务类型说明 类型 | 范围 | 远程服务 | 升级服务:定期发布产品安全与功能升级补丁 在线服务:网络热线直连或留言响应 Bug 修复:在线 Bug Case 报告与跟踪 电话支持服务:5×8 或 7×24 小时电话响应 邮件支持服务:对用户邮件进行响应及支持 | 现场服务 | 部署服务:批量部署服务支持 巡检服务:定期用户使用情况巡检 应急服务:现场应急响应与事件处理 | 培训服务 | 使用培训:统信集中域管平台用户使用培训
管理培训:面向系统管理员的安装、运维、排错等技能培训
| 定制服务 | 系统定制服务:根据客户需求对域管平台进行定制 系统对接服务:其他系统与域管平台对接提供研发级支持 |
|
私信
