CN114422542A - 一种终端域管系统 - Google Patents
一种终端域管系统 Download PDFInfo
- Publication number
- CN114422542A CN114422542A CN202111512974.4A CN202111512974A CN114422542A CN 114422542 A CN114422542 A CN 114422542A CN 202111512974 A CN202111512974 A CN 202111512974A CN 114422542 A CN114422542 A CN 114422542A
- Authority
- CN
- China
- Prior art keywords
- server
- layer
- terminal domain
- management
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
一种终端域管系统,包括:客户端、服务端和网关,所述网关分别与所述客户端和所述服务端连接。本申请提供的一种终端域管系统,通过一系列的过程,解决了一些企业场景中终端用户数量庞大、构成复杂,来自不同组织架构的安全管理问题:用户和终端的集中管理,更贴合组织架构关系,从而使管理员可以更便捷、快速的进行企业的企业内人员资产管理;以模块化方式实现安全策略,提供多种访问控制策略的统一平台;统一的用户与终端管理,按照终端或组织架构统一配置策略,实现安全策略随组织绑定,不跟随设备变更而变化,当企业内人员调整,可快速响应新组织内的安全策略;提供标准化平台,可以高效的拓展安全策略,自定义安全组合。
Description
技术领域
本发明属于操作系统技术领域,具体涉及一种终端域管系统。
背景技术
操作系统是基础设施建设中至关重要的一部分,想要保证国产操作系统的自主可控,势必要构建一套国产的安全管控体系,确保信息安全和业务稳定运行。
目前很多企业用户大量使用AD域对终端进行集中式管理,通过AD域与第三方安全软件结合实现统一账号管理、病毒防护、安全策略下发等功能。伴随着国产操作系统的计算机、服务器在行业企业的快速铺开,终端设备的集中管理、整合域控、安全策略、软件下发、终端审计等多方面功能逐渐实现,提供一套全面、可靠的安全管控方案是十分重要且必要的。管控方案的形成一方面可提升自主可控的信息基础设施体系和应用服务能力,另一方面可填补国产操作系统管控领域的缺失。
但是,在国产操作系统领域,缺少一种针对终端设备的集中管理系统,在大规模的企业应用中无法快速有效地管理企业资产,无法解决大批量用户工作协同问题。
对于国产操作系统来说,缺少一款系统软件用以保障设备的终端安全性,保障用户的数据安全和网络安全。
发明内容
为解决上述问题,本发明提供了一种终端域管系统,包括:客户端、服务端和网关,所述网关分别与所述客户端和所述服务端连接。
优选地,所述服务端包括:服务层、中间件层、存储层和集成层,其中,所述服务层分别与所述网关和所述中间件层连接,所述存储层分别与所述中间件层和所述集成层连接。
优选地,所述服务层包括:浏览器管理入口、监控服务器、认证服务、NTP、DNS、服务器日志收集和日志收集服务器。
优选地,所述中间件层包括:Redis和数据同步工具。
优选地,所述存储层包括:MariaDb、elasticsearch、LDAP和EXT。
优选地,所述集成层包括:Docker和国产操作系统。
优选地,所述客户端包括:QT用户界面、服务器交互模块、包管理模块、数据管理模块、身份认证模块、日志模块、Dbus通信模块、用户管理模块和Dbus后台服务。
本申请提供的一种终端域管系统,通过一系列的过程,解决了一些企业场景中终端用户数量庞大、构成复杂,来自不同组织架构的安全管理问题:
(1)用户和终端的集中管理,更贴合组织架构关系,从而使管理员可以更便捷、快速的进行企业的企业内人员资产管理;
(2)以模块化方式实现安全策略,提供多种访问控制策略的统一平台;
(3)统一的用户与终端管理,按照终端或组织架构统一配置策略,实现安全策略随组织绑定,不跟随设备变更而变化,当企业内人员调整,可快速响应新组织内的安全策略;
(4)提供标准化平台,可以高效的拓展安全策略,自定义安全组合。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种终端域管系统的示意图;
图2是本发明提供的一种终端域管系统的示意图;
图3是本发明提供的一种终端域管系统的示意图;
图4是本发明提供的一种终端域管系统的示意图;
图5是本发明提供的一种终端域管系统的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本申请中的缩略语和关键术语定义:
B/S架构:Browser/Server Architecture(浏览器和服务器架构),一种网络架构模式,用于进行信息分布式处理。
C/S架构:server/client(服务器-客户机),通常采取两层结构,服务器负责数据的管理,客户机负责完成与用户的交互任务。
VUE:是一套用于构建用户界面的渐进式JavaScript框架。
Flask:是一个使用Python编写的轻量级Web应用框架。
Dbus:即D-bus,是一个三层架构的进程间通信系统,其功能已涵盖进程间通信的所有需求,并具备一些特殊的用途。
Nginx:是一款轻量级的Web服务器/反向代理服务器及电子邮件代理服务器,在BSD-like协议下发行。
Kafka:是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。
Kerberos:是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
NTP:Network Time Protocol(网络时间协议),是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源做同步化。
DNS:Domain Name System(域名系统),它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
Redis:Remote Dictionary Server(远程字典服务),是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
MariaDB:是一个数据库管理系统,主要由开源社区在维护。
Elasticsearch:是一个分布式、高扩展、高实时的搜索与数据分析引擎。
LDAP:Lightweight Directory Access Protocol(轻型目录访问协议),是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。
Docker:是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器或Windows机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。
AD:ActiveDirectories(活动目录),是一组定义,存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
如图1-5,在本申请实施例中,本发明提供了一种终端域管系统,包括:客户端、服务端和网关,所述网关分别与所述客户端和所述服务端连接。
在本申请实施例中,所述服务端包括:服务层、中间件层、存储层和集成层,其中,所述服务层分别与所述网关和所述中间件层连接,所述存储层分别与所述中间件层和所述集成层连接。
在本申请实施例中,所述服务层包括:浏览器管理入口、监控服务器、认证服务、NTP、DNS、服务器日志收集和日志收集服务器。
在本申请实施例中,所述中间件层包括:Redis和数据同步工具。
在本申请实施例中,所述存储层包括:MariaDb、elasticsearch、LDAP和EXT。
在本申请实施例中,所述集成层包括:Docker和国产操作系统。
如图1,本发明的服务端系统架构,分为四层:服务层、中间件层、存储层、集成层;开发语言主要基于GO/Python代码实现,并集成一些开源框架,可以运行于国产操作系统平台。各层具体设计如下:
(1)服务层
浏览器管理入口:用户以浏览器方式访问管理平台,在web平台上直接进行交互操作;采用前后端分离模式,分别使用VUE与Flask框架;
监控服务器:与客户端数据交互核心模块,负责数据收集以及策略下发;
认证服务:基于Kerberos协议,为整个系统的用户服务和其他组件提供身份验证服务;
NTP:对时服务器,用于客户端与服务端时间同步;
DNS:域名服务器,用于解析域名/IP关系;
服务器日志收集:收集服务器自身的系统日志,并上报至日志收集服务;
日志收集服务器:收集、解析客户端/服务器日志并存入elasticsearch中;
(2)中间件层
Redis:内存键值对数据库,用于存储客户端上报的状态报文和待下发的指令;
数据同步工具:负责系统间的数据同步;
(3)存储层
MariaDb:关系型数据库,用于存储大多数关系型数据;
elasticsearch:支持全文搜索的搜索引擎,用于存储和查询客户端和服务器的系统日志和审计日志;
LDAP:一种基于389LDAP项目的文件服务器,所有用户身份,策略,配置或证书都存储在其中;
EXT:操作系统的一种文件系统;
(4)集成层
Docker:一种轻量化的容器方案,支持分布式;
国产操作系统:底层平台支撑。
在本申请实施例中,所述客户端包括:QT用户界面、服务器交互模块、包管理模块、数据管理模块、身份认证模块、日志模块、Dbus通信模块、用户管理模块和Dbus后台服务。
如图2,在本申请实施例中,客户端总体架构主要分为九大功能模块,根据功能特点与业务需求采用C/S架构模式,开发语言基于Python/C代码实现,可以运行于国产操作系统平台上。具体功能模块设计如下:
服务器交互模块:负责终端设备的监控信息收集、上报、策略执行等,与其他模块的交互使用dbus通信;
QT用户界面:用于针对用户使用的UI前端,与其他模块的交互使用dbus通信;
包管理模块:用于系统升级,与其他模块的交互使用dbus通信;
日志模块:提供dbus服务用于终端日志收集,并将结果上报至服务器日志收集服务;
身份认证模块:用于终端用户的身份鉴权;
Dbus后台服务:用于提供操作系统管控接口,执行对应管控策略。
如图3,在本申请实施例中,本系统发明从组织管理维度出发,面对当前企业中设备、人员数量众多管理混乱的问题,将设备、人员统一加入指定组织中,从组织中统一管理,并进行安全策略的统一下发。
如图4,在本申请实施例中,组织管理中,可以自主管理用户/主机,进行用户/主机的增加、删除、禁用、启用、信息修改,所有信息变更均会同步至LDAP,具体流程以添加用户信息为例。
如图5,在本申请实施例中,实施前检查步骤如下:
服务端配置是否符合实施要求;客户端配置是否符合实施要求;服务端与客户端之间是否符合网络延迟要求:5ms以内;服务端是否可以负载现有客户端数量;具体部署实施方案及交付版本是否经研发确认。
使用前需进行健康检查,具体步骤为:服务端和客户端网络连通性;服务端和客户端时间是否同步;本系统服务端相关服务是否正常;本系统有无错误提示;检查服务端服务相关日志。
部署实施,具体步骤为:
服务端:部署国产操作系统并修改主机名,完成后进行防火墙配置和本地源配置。
客户端:部署国产操作系统并配置好IP,安装相应安装包。
主机加域:点击对应应用程序,输入服务端地址,根据提示输入对应用户信息,完成受控管理。
本申请提供的一种终端域管系统,通过一系列的过程,解决了一些企业场景中终端用户数量庞大、构成复杂,来自不同组织架构的安全管理问题:
(1)用户和终端的集中管理,更贴合组织架构关系,从而使管理员可以更便捷、快速的进行企业的企业内人员资产管理;
(2)以模块化方式实现安全策略,提供多种访问控制策略的统一平台;
(3)统一的用户与终端管理,按照终端或组织架构统一配置策略,实现安全策略随组织绑定,不跟随设备变更而变化,当企业内人员调整,可快速响应新组织内的安全策略;
(4)提供标准化平台,可以高效的拓展安全策略,自定义安全组合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (7)
1.一种终端域管系统,其特征在于,包括:客户端、服务端和网关,所述网关分别与所述客户端和所述服务端连接。
2.根据权利要求1所述的终端域管系统,其特征在于,所述服务端包括:服务层、中间件层、存储层和集成层,其中,所述服务层分别与所述网关和所述中间件层连接,所述存储层分别与所述中间件层和所述集成层连接。
3.根据权利要求2所述的终端域管系统,其特征在于,所述服务层包括:浏览器管理入口、监控服务器、认证服务、NTP、DNS、服务器日志收集和日志收集服务器。
4.根据权利要求2所述的终端域管系统,其特征在于,所述中间件层包括:Redis和数据同步工具。
5.根据权利要求2所述的终端域管系统,其特征在于,所述存储层包括:MariaDb、elasticsearch、LDAP和EXT。
6.根据权利要求2所述的终端域管系统,其特征在于,所述集成层包括:Docker和国产操作系统。
7.根据权利要求1所述的终端域管系统,其特征在于,所述客户端包括:QT用户界面、服务器交互模块、包管理模块、数据管理模块、身份认证模块、日志模块、Dbus通信模块、用户管理模块和Dbus后台服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111512974.4A CN114422542A (zh) | 2021-12-11 | 2021-12-11 | 一种终端域管系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111512974.4A CN114422542A (zh) | 2021-12-11 | 2021-12-11 | 一种终端域管系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114422542A true CN114422542A (zh) | 2022-04-29 |
Family
ID=81266358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111512974.4A Pending CN114422542A (zh) | 2021-12-11 | 2021-12-11 | 一种终端域管系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114422542A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900439A (zh) * | 2022-05-06 | 2022-08-12 | 北京中睿天下信息技术有限公司 | 域间访问关系的可视化技术 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100011412A1 (en) * | 2008-04-25 | 2010-01-14 | Thales | Method for managing cryptographic equipment with a unified administration |
| CN105471840A (zh) * | 2015-11-12 | 2016-04-06 | 中国建设银行股份有限公司 | 一种大型企业网环境下终端管理系统 |
| CN112529530A (zh) * | 2020-12-16 | 2021-03-19 | 思极智联(内蒙古)信息通信科技有限公司 | 一种基于微服务、微应用的移动应用管理平台 |
-
2021
- 2021-12-11 CN CN202111512974.4A patent/CN114422542A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100011412A1 (en) * | 2008-04-25 | 2010-01-14 | Thales | Method for managing cryptographic equipment with a unified administration |
| CN105471840A (zh) * | 2015-11-12 | 2016-04-06 | 中国建设银行股份有限公司 | 一种大型企业网环境下终端管理系统 |
| CN112529530A (zh) * | 2020-12-16 | 2021-03-19 | 思极智联(内蒙古)信息通信科技有限公司 | 一种基于微服务、微应用的移动应用管理平台 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900439A (zh) * | 2022-05-06 | 2022-08-12 | 北京中睿天下信息技术有限公司 | 域间访问关系的可视化技术 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109559258B (zh) | 教育资源公共服务系统 | |
| CN111190730B (zh) | 异构云管理平台 | |
| US9965724B2 (en) | System and method for determining fuzzy cause and effect relationships in an intelligent workload management system | |
| US10104053B2 (en) | System and method for providing annotated service blueprints in an intelligent workload management system | |
| CN109670297B (zh) | 业务权限的开通方法、装置、存储介质及电子设备 | |
| US20120066487A1 (en) | System and method for providing load balancer visibility in an intelligent workload management system | |
| WO2008033394A2 (en) | Complexity management tool | |
| CN102103518A (zh) | 一种在虚拟化环境中管理资源的系统及其实现方法 | |
| CN111913734A (zh) | 一种基于微服务技术体系的在线开发平台 | |
| Tekinerdogan et al. | Feature-driven design of SaaS architectures | |
| CN111045652B (zh) | 配电网开发及服务系统 | |
| CN114422542A (zh) | 一种终端域管系统 | |
| US20200293502A1 (en) | Systems and methods for database management system (dbms) discovery | |
| CN113923200A (zh) | 海量api网关服务的实现方法及装置 | |
| CN111400374B (zh) | 一种面向数据挖掘的容器化数据探索隔离区及其使用方法 | |
| CN111147429B (zh) | 一种项目研发环境部署系统 | |
| CN110759191B (zh) | 基于5g智慧园区电梯控制方法 | |
| Öztürk et al. | Feature modeling of software as a service domain to support application architecture design | |
| RU2361366C1 (ru) | Способ гарантированного доведения информации в неоднородной вычислительной сети | |
| CN110569026A (zh) | 一种基于j2ee框架面向服务的系统架构方法 | |
| CN116132250A (zh) | 运维系统、方法、存储介质、电子设备 | |
| Hao | Edge Computing on Low Availability Devices with K3s in a Smart Home IoT System | |
| Gu et al. | Research and design of digital content management system based on microservice | |
| Xuning et al. | Research of campus resource management based on cloud computing | |
| Lin | A novel college network resource management method using cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |