1、现状与需求

随着企业信息化程度的提高，数量众多的桌面PC管理成为XX医院系统管理员越来越重要的工作，XX医院目前拥有上千台PC机及终端。系统管理员在日常维护过程中主要面临以下问题，而这些问题，既给系统管理员带来沉重的工作负担，也会严重影响企业的业务运作。

数量众多

在信息系统中桌面系统(PC)的数量往往是最多的，这些桌面系统往往很分散，分布于不同的楼层，甚至分布于不同的大楼，加上使用这些桌面系统的用户技能水准差异很大，使得管理维护工作很困难;

病毒和安全攻击

频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对2004年上半年病毒统计报告显示，1月到6月共新出现了4496种针对Windows操作系统的病毒，是03年同期的4倍。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因，组织内部的PC机很容易被攻击和被病毒感染。

软件升级与补丁安装

为解决安全问题，管理员经常需要在多台机器上安装同一个软件或补丁，如操作系统补丁包，传统的手工安装要花费系统管理员大量时间。

PC机配置管理

IP地址冲突是经常发生的事情，如果没有一个及时、详细的设备配置清单，系统管理员很难马上知道发生冲突的设备在哪、设备的用户是谁。另外，对PC机做硬件升级、软件安装也需要了解当前PC机的配置情况。由于PC机软硬件配置是不断变化的，因此如何及时获得组织内所有PC机的准确软硬件配置信息是系统管理员面临的一个难题。

依据IP或MAC地址定位

由于病毒攻击、安全攻击、IP地址冲突等问题，往往要求用户依据IP或MAC地址对PC快速定位，目前系统管理员普遍缺乏快速有效的定位手段。

远程监控与维护

为提高效率，系统管理员经常需要做远程支持，帮助用户快速及时解决PC机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。

终端接入控制

目前大部分终端在接入网络的时候，都没有经过严格的身份认证，对终端也没有有效的验证手段。无法对终端接入网络之前，进行有效的合法性，安全性的检查。受病毒感染的终端，未打补丁的终端如果随意接入网络，势必给整个网络的安全带来重大的隐患。为了解决以上安全以及管理问题，使得整合系统内的终端高效的运行，同时也为了帮助管理的工作，减轻管理员的负担，考虑建设桌面安全和终端准入控制系统。系统应该至少实现如下功能：

资产管理。提供对终端资产收集和汇总统计。包括资产跟用户的关联。

终端安全性检查。包括Windows补丁检查，防病毒软件版本、病毒特征库版本检查，违规软件安装检查;共享目录检查;分区表检查;屏幕保护密码检查，不同用户组的不同安全策略;

网络强制身份认证。支持用户名、密码;Windows域认证;MAC地址认证等认证方式，支持RADIUS认证、用户名和MAC绑定、硬盘ID绑定以及三者结合。

根据安全策略，对不满足安全策略的终端不予以网络接入，并推送强制Portal页面或有明显标志提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。

系统管理功能。支持分节点、分级管理功能。可以对不同部门，不同应用等的终端进行分组管理。不同的组具有不同的管理员。

支持终端行为监控和防泄密检查。对USB存储设备、PPPoE拨号监视。

对现有防病毒软件的支持。(目前防病毒软件使用的有CA Antivirus和卡巴斯基防病毒软件、Macfee、AVG、Norton、趋势以及金山毒霸、瑞星等国产杀毒软件)。