浙江九州制藥廠解決方案臺州新遠見電腦網(wǎng)絡公司TEL88836932一、方案設計原則1、先進性與成熟性采用當今國內(nèi)、國際上先進和成熟的計算機應用技術，使搭建的硬件平臺能夠最大限度的適應今后的辦公自動化技術和系統(tǒng)維護的需要。從現(xiàn)階段的發(fā)展來看，系統(tǒng)的總體設計的先進性原則主要體現(xiàn)在使用THINCLIENT/SERVER計算機體系是先進的、開放的體系結構，當系統(tǒng)應用量發(fā)生變化時具備良好的可伸縮性，避免瓶頸的出現(xiàn)。2、實用性與經(jīng)濟性實用性就是能夠最大限度地滿足實際工作的要求，是每個系統(tǒng)平臺在搭建過程中必須考慮的一種系統(tǒng)性能，它是對用戶最基本的承諾。辦公自動化硬件平臺是為實際使用而建立，應避免過度追求超前技術而浪費投資。3、擴展性與兼容性系統(tǒng)設計除了可以適應目前的應用需要以外，應充分考慮日后的應用發(fā)展需要，隨著數(shù)據(jù)量的擴大，用戶數(shù)的增加以及應用范圍的拓展，只要相應的調(diào)整硬件設備即可滿足需求。通過采用先進的存儲平臺，保證對海量數(shù)據(jù)的存取、查詢以及統(tǒng)計等的高性能和高效率。同時考慮整個平臺的統(tǒng)一管理，監(jiān)控，降低管理成本。4、標準化與開放性系統(tǒng)設計應采用開放技術、開放結構、開放系統(tǒng)組件和開放用戶接口，以利于網(wǎng)絡的維護、擴展升級及外界信息的溝通。計算機軟硬件和網(wǎng)絡技術有國際和國內(nèi)的標準，但技術標準不可能詳細得面面俱到，在一些技術細節(jié)上各個生產(chǎn)廠商按照自己的喜好設計開發(fā)，結果造成一些產(chǎn)品只能在較低的層面上互通，在較高層面或某些具體方面不能互通。我們不但選用符合標準的產(chǎn)品，而且盡量選用市場占有率高、且發(fā)展前景好的產(chǎn)品，以提高系統(tǒng)互通性和開放性。5、安全性與可維護性隨著應用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長，并且將涉及到各類的關鍵性應用，系統(tǒng)的穩(wěn)定性和安全性要求都相對較高，任意時刻系統(tǒng)故障都可能給用戶帶來不可估量的損失，建議采用負載均衡的服務器群組來提高系統(tǒng)整體的高可用。6、整合型好當前采用企業(yè)級的域控制管理模式，方便對所有公司內(nèi)所有終端用戶的管理，同時又可以將公司里計算機的納入管理范圍，極大地降低了網(wǎng)絡維護量，并能整體提高當前網(wǎng)絡安全管理二、用戶需求分析浙江九州制藥公司現(xiàn)有使用OA服務器HP370和殺毒服務器HP3000和ERP軟件服務器HP370等3臺服務器，網(wǎng)康NS250防火墻，ADVSJW74AVPNHP網(wǎng)關，DLINK3326核心交換機，現(xiàn)在由于業(yè)務拓展需要，客戶需要新增加3個部門，增加的部門使用終具體為外貿(mào)銷售部門大概30個終端用戶。需求上網(wǎng)、郵件、MSN、銷售系統(tǒng)、ERP。FTD應用、研究所部門50個終端用戶需求上網(wǎng)、郵件、MSN、資料加密、級別設定。質量部倉庫20個終端用戶需求上ERP財務20臺終端用戶。需求2臺上網(wǎng)因此，我們根據(jù)客戶的需求采用以下方案，幫助客戶完成業(yè)務拓展求，并保證客戶有必要的拓展性三、具體方案介紹1、終端服務器建立根據(jù)公司的實際需求，方案主要從數(shù)據(jù)安全，維護和管理等方面要求，先用先進的THINCLIENT/SERVER架構，業(yè)務前臺和辦公桌面采用WYSETHINCLIENT，根據(jù)用戶的數(shù)量以及分布位置部署2臺服務器做為終端服務器，并使兩臺終端服務器實現(xiàn)LOADBALANCE（解釋參閱備注）。另外架設一臺文件服務器，為公司里用戶存儲文件使用，文件服務器可以采用NAS或盤陣，用戶個人的PROFILE及數(shù)據(jù)，均存放在文件服務器。使用LOADBALANCE的好處是服務器的其中一臺服務器一旦出現(xiàn)故障，網(wǎng)絡負載均衡功能讓另外一臺服務器可以繼續(xù)提供完全相同的服務給客戶端，而漫游用戶的所有資料都存放在FILESERVER或NAS上面，所以對用戶的體驗來講完全沒有區(qū)別，可以保證正常的工作。2、終端使用和管理公司用戶采用目前最先進的域控制管理體系，管理員只需在DC上面建立一個新的訪問終端服務使用的OU，把需要訪問的帳號復制到新的OU中，利用組策略來實現(xiàn)一部分的權限管理控制，使管理員很容易地管理終端用戶登錄、用戶權限等。并可以將公司所有服務器和PC納入管理體系，方便的管理所有公司內(nèi)的機器。如（1）、用戶的登錄跟域用戶緊密相連，由DC來驗證用戶。（2）、登錄終端服務器的用戶可以受到OU策略的限制，如，服務器的磁盤限制，一些重要的設定限制（打印機、桌面、開始菜單等一些功能）（3）、使用者設置成漫游用戶，可以實現(xiàn)用戶使用任意設備，登錄到任意一臺終端服務器，其個人的PROFILE及文檔設置完全一致。（4）、管理員可以應用活動目錄、組策略、智能鏡像管理用戶，同時可很好的同PC用戶協(xié)同工作，統(tǒng)一管理，統(tǒng)一維護。3、對于未來的客戶端對于未來的公司的新員工或者車間，可以直接采用瘦客戶機，不但能夠節(jié)省購買與建置成本，更能大幅降低未來人員維護與管理的成本，實現(xiàn)集中管理。4、對于未來的擴展今后，當浙江九州制藥公司有新的應用程序需要給用戶使用，管理員在終端服務器上安裝即可。而當同時并發(fā)使用人數(shù)增加時，只需在DC上開設一個帳號就可以快速擴充系統(tǒng)的服務量，整個系統(tǒng)擁有良好的可擴展性四、系統(tǒng)網(wǎng)絡拓撲圖五、方案特點高可靠性THINCLIENT/SERVER本身不提供任何對外的數(shù)據(jù)接口，即可避免外來的病毒入侵，又可以防止內(nèi)部人員直接從客戶端泄露公司重要資料，從而提高了系統(tǒng)和公司資料的安全簡單易用THINCLIENT/SERVER操作簡單，界面直觀，無需培訓。THINCLIENT/SERVER采用嵌入式操作系統(tǒng)，更讓您放心使用，不必擔心自己的誤操作會導致系統(tǒng)癱瘓，特別適合于企業(yè)單位信息化建設的需要。維護方便由于采用集中式管理，使系統(tǒng)具備良好的可維護性，可大大減輕網(wǎng)管人員工作量。易于升級由于本系統(tǒng)采用THINCLIENT/SERVER模式，應用軟件的升級或發(fā)布只需在服務器端進行即可?？煽焖俨渴饝贸绦?，提高工作效率。經(jīng)濟實用該方案在滿足企業(yè)信息化建設需求的同時，有效控制了系統(tǒng)總體擁有成本。應用靈活可以靈活管理終端用戶的接入，可以和現(xiàn)有的PC用戶應用無縫融合，快速升級。六、方案優(yōu)勢降低總擁有成本（TCO）。包括購置成本、人工成本（升級維護）、管理成本和操作者使用成本。減少維護量、增強可管理性。本地無需升級和維護，管理和維護集中在服務器端進行，并且可以進行遠程監(jiān)控。集中管理WYSETHINCLIENT/SERVER的運算、存儲及防病毒管理等都在服務器上完成，通過服務器對不同用戶進行授權和應用管理，降低管理成本，提高了管理效率，有效避免了員工上班時間利用網(wǎng)絡計算機做與工作無關之事。實現(xiàn)真正意義上的集中式管理，網(wǎng)絡計算機本身無需維護，網(wǎng)管人員只對服務器和網(wǎng)絡環(huán)境進行維護即可。增強穩(wěn)定性。采用分層模塊化設計的嵌入式系統(tǒng)，不易崩潰。提高網(wǎng)絡帶寬利用率。終端與終端服務器之間數(shù)據(jù)流量小，瞬間只占用30K網(wǎng)絡帶寬，占用網(wǎng)絡帶寬少，傳輸迅速，提高了工作效率。增強系統(tǒng)、網(wǎng)絡的安全性。系統(tǒng)采用模塊化設計，本地沒有存儲設備，可有效防止病毒感染和傳播；用戶使用唯一的ID身份認證，可以有效地對用戶進行監(jiān)管；傳輸數(shù)據(jù)經(jīng)過加密處理。七、終端服務器選型在整個系統(tǒng)結構中，終端服務器的選擇至關重要，它必須支持高速的網(wǎng)絡連接、具有快速的I/O通道以支持多媒體數(shù)據(jù)庫的存取，并且要具有很高的可靠性。服務器的選擇主要考慮以下幾個因素I/O吞吐能力系統(tǒng)總線速度中央處理器及內(nèi)存的擴充能力可靠性與穩(wěn)定性先進性與安全性可擴充性和性價比多機協(xié)同工作能力備注LOADBALANCE通過使用由兩臺或多臺計算機一起組成的集群，網(wǎng)絡負載均衡使得終端服務器的可用性提高，可擴展性改善?？蛻舳耸褂脝我籌P地址訪問集群。網(wǎng)絡負載均衡集群與運行單一服務器程序的單一主機有明顯區(qū)別，集群中某主機發(fā)生故障時，集群系統(tǒng)保證提供不間斷的服務。集群還可以比單一主機更迅速地響應客戶請求（對于負載均衡的端口）。每當有新的會話請求，LOADBALANCEDSERVER會依據(jù)已經(jīng)計算（根據(jù)服務器的CPU、MEMORY、HARDDISK等）得到的每臺SERVER的LOAD值，分配請求會話給一個負載最輕的終端服務器。解決方案結構及設計未經(jīng)整合的IT架構經(jīng)過整合后的IT架構從上圖中可以很清晰分辨出企業(yè)IT架構整合前和整合后的差別，而對于使用IBM刀片服務器方案的用戶，只需要申請服務器硬件，存儲和LINUX的預算。最開始他們可以使用開源軟件，隨著業(yè)務發(fā)展可以使用IBM提供的社區(qū)軟件，這些社區(qū)軟件可以隨著客戶業(yè)務的發(fā)展升級到IBM企業(yè)級軟件產(chǎn)品。IBM提供的運行社區(qū)軟件包括IBMDB2社區(qū)版，IBMWEBSPHERE應用服務器社區(qū)版，IBMHTTP服務器。開發(fā)社區(qū)軟件包括應用開發(fā)工具，方案集合工具以及實施向導幫助用戶的應用開發(fā)和實施。對于所有用戶，方案可以總結為以下六種業(yè)務整合，商業(yè)智能，內(nèi)容管理，電子商務，架構和門戶。IBM社區(qū)軟件正是可以作為一個平臺，支持軟件商進行個性化應用的開發(fā)。八、客戶端桌面安全管理功能概述技術功能系統(tǒng)支持管理網(wǎng)絡終端軟硬件資產(chǎn)采集客戶端的硬件設備信息（諸如硬盤、CPU、內(nèi)存等）、位置信息（設備名稱、使用人、聯(lián)系電話、房間號等），注冊后存儲到數(shù)據(jù)庫中可自動發(fā)現(xiàn)客戶端安裝的軟件，將所有相關數(shù)據(jù)入庫管理；支持在管理中心對注冊客戶端進行聯(lián)機卸載。系統(tǒng)支持報警設備資產(chǎn)信息變化，報警未注冊設備、注冊程序卸載行為，實時檢測硬件設備變化情況（如設備硬件變化、網(wǎng)絡地址更改、USB設備接入等）。支持網(wǎng)絡終端IP分組功能，按照不同的區(qū)域、部門進行劃分管理組。自動檢測網(wǎng)絡中IP資源使用情況，列表注冊客戶端、未注冊客戶端及機器在線情況，以取代原始的數(shù)據(jù)資料記載的手段，增強設備管理信息的實時性、準確性。支持對網(wǎng)絡中客戶端流量進行監(jiān)控報警對客戶端設備流量進行采樣并實時排序，監(jiān)視網(wǎng)絡的異常流量和異常連接，客戶端輸入或輸出流量超越管理員設定閥值時報警，對可疑發(fā)包、可疑并發(fā)連接進行阻斷，防止非法入侵、濫用網(wǎng)絡資源。支持對重要主機進行運維監(jiān)控，支持對客戶端硬盤、CPU、內(nèi)存等系統(tǒng)資源應用狀況的監(jiān)控，在超過管理員設定閥值時自動報警。支持對客戶端MAC和IP地址的綁定管理，任意其中一個發(fā)生改變，系統(tǒng)將自動報警，報警后自動恢復原有IP配置。支持對重要服務器、路由器、交換機等網(wǎng)絡設備的保護，有效保障網(wǎng)絡的穩(wěn)定運行。支持對網(wǎng)絡中計算機的接入、帶出行為進行報警，并能夠自動阻斷違規(guī)行為。支持監(jiān)控網(wǎng)絡中客戶端的非法外聯(lián)行為，實時檢測內(nèi)部網(wǎng)絡（包括物理隔離和邏輯隔離網(wǎng)絡）用戶通過調(diào)制解調(diào)器、網(wǎng)卡等設備非法外聯(lián)互聯(lián)網(wǎng)行為，并遠程告警或阻斷。支持進行移動設備接入監(jiān)控，對本單位移動設備進行特征標志，禁止外單位的移動設備接入本單位計算機。支持進行文件操作監(jiān)控，支持對文件拷入、拷出行為的監(jiān)控，基于文件名、文件內(nèi)容等關鍵字匹配規(guī)則對網(wǎng)絡客戶端進行過濾搜索。支持審計IE訪問記錄，檢查客戶端訪問某一特定網(wǎng)絡的歷史信息，如訪問WWWSINACOM后的IE緩存、COOKIE信息、收藏夾等。支持進行軟件黑白名單審計管理，網(wǎng)管制定各種黑白名單策略后，報警處置客戶端中安裝運行的非法軟件或者進程，如QQ、MSN、炒股等，搜索病毒、木馬等可疑程序。支持客戶端防火墻功能，對客戶端進行端口訪問控制，由管理員制定策略統(tǒng)一在客戶端桌面執(zhí)行。支持對客戶端進行涉密安全審計，包括注冊表審計審計注冊表鍵或者鍵值是否符合某一條件；用戶密碼審計審計系統(tǒng)用戶、網(wǎng)絡共享、屏幕保護等密碼是否符合規(guī)范；用戶權限審計監(jiān)控系統(tǒng)用戶及用戶組的變化。系統(tǒng)支持自帶客戶端安全策略中心庫，由管理員在控制臺制定，安全策略統(tǒng)一分發(fā)至客戶端后執(zhí)行。要求終端信息遠程管理功能，諸如運行進程查看、安裝軟件審核、漏打補丁查看、終端安全審計、客戶端網(wǎng)絡配置修改等信息。支持硬件接口控制，控制外設的使用，管理員啟用或禁用軟驅，光驅，U盤，打印機，MODEL，串口，并口。支持進行腳本分發(fā)控制客戶端操作，向客戶端分發(fā)用戶腳本，控制客戶端的進程啟停，以及軟件的下載、安裝等；向客戶端分發(fā)注冊表腳本，對客戶端的注冊表進行新建、修改、刪除操作。支持桌面消息通知，向客戶端發(fā)送消息通知，請求重新注冊信息、要求升級等消息。支持進行客戶端防毒審計，監(jiān)控主流防病毒軟件在客戶端的安裝情況，并以圖表的形式直觀表示，報警未安裝殺毒軟件客戶端。支持對互聯(lián)網(wǎng)補丁進行增量分離下載，經(jīng)過病毒檢測后將補丁導入內(nèi)網(wǎng)，建立內(nèi)網(wǎng)補丁庫。支持按照不同類別對補丁進行歸類系統(tǒng)補丁、IE補丁、應用程序補丁等，并詳細列表補丁信息。支持補丁閉環(huán)自動測試功能，對下載的補丁進行自動測試（建立測試網(wǎng)絡組），試通過完成后存入補丁庫。支持客戶端補丁自檢測，在內(nèi)網(wǎng)中建立補丁檢測網(wǎng)站，客戶端用戶訪問網(wǎng)站后，WEB網(wǎng)頁自動檢測顯示客戶端補丁安裝信息，用戶可進行補丁下載安裝；管理員可以在管理控制臺上遠程檢測客戶端補丁安裝狀況。支持補丁分發(fā)策略制訂，支持用戶自定義補丁策略并自由配置分發(fā)，基于客戶端網(wǎng)絡IP范圍、操作系統(tǒng)種類、補丁類別（系統(tǒng)補丁、IE補丁、應用程序補丁以及網(wǎng)管自定義補丁類等）等制訂策略，發(fā)送至客戶端后統(tǒng)一按策略執(zhí)行應用。支持補丁自動分發(fā)安裝，在指定時間、指定網(wǎng)絡范圍內(nèi)以不同方式（如推、拉）分發(fā)補丁，或者根據(jù)腳本策略統(tǒng)一控制客戶端下載補丁。當系統(tǒng)監(jiān)測到有客戶端未打補丁時，可對漏打補丁客戶端進行推送補丁。支持補丁分發(fā)流量和連接數(shù)控制，以免占用太大帶寬，影響網(wǎng)絡正常工作。對于長期不打補丁的客戶端，支持通過補丁管理系統(tǒng)阻止其接入內(nèi)網(wǎng)的行為；補丁分發(fā)支持分發(fā)普通文件到客戶端。達到投標產(chǎn)品為具有成功實施案例的成熟產(chǎn)品，基于C/S、B/S混合管理模式構架，對網(wǎng)絡中WINDOWS系統(tǒng)客戶端進行管理。達到基于WEB方式對系統(tǒng)控制臺進行操作管理。系統(tǒng)管理員登錄支持IP地址訪問限定，只有獲得授權的計算機才能進入系統(tǒng)控制臺。系統(tǒng)支持對數(shù)據(jù)的整理，對長期不開機以及IP重復的機器進行整理。系統(tǒng)支持分權限管理，按照管理區(qū)域、安全策略、權限項列表等對不同的管理員帳戶進行分配。設備統(tǒng)計查詢支持柱狀圖方式直觀顯示網(wǎng)絡中注冊設備和安裝殺毒軟件情況，并可以對設備系統(tǒng)信息（如操作系統(tǒng)和IE類型）和設備硬件信息（如CUP、內(nèi)存、硬盤等）進行圖形化統(tǒng)計。支持管理員對控制臺的操作日志記錄，包括登陸日志、系統(tǒng)操作日志、策略制訂日志等。系統(tǒng)支持對各種日志的導出查詢，支持EXCEL、TXT、WORD、HTML格式的文件導出。系統(tǒng)安裝部署支持網(wǎng)頁自動注冊，在注冊WEB主頁上設置注冊代碼，未注冊客戶端訪問WEB頁面時能夠自動彈出注冊提示窗口。支持對網(wǎng)絡中的遠程注冊客戶端進行阻斷，支持跨網(wǎng)段、跨VLAN阻斷，支持對未注冊客戶端的告警和自動阻斷。支持防火墻聯(lián)動擴展，同防火墻通訊，將本系統(tǒng)報警信息反饋給防火墻，由防火墻采取處置措施，或者做記錄。支持對文件打印可以進行有選擇性的禁止或對所有文件打印進行審計，并上傳到服務器進行存儲。支持對網(wǎng)絡共享進行管理，能夠發(fā)現(xiàn)網(wǎng)絡中的共享行為，并可以對網(wǎng)絡共享進行管理，對網(wǎng)絡共享中拷貝的文件進行審計。支持終端對發(fā)送的文件進行處理，禁止或允許終端進行文件輸出管理，并審計或在服務器上記錄發(fā)送的郵件。支持對系統(tǒng)目錄、軟件目錄、共享目錄的文件進行保護，禁止對其進行訪問、修改、刪除等操作，并對結果進行記錄。支持對HTTP訪問進行審計，能夠單獨或成批進行訪問審計，并將審計結果進行記錄。九、方案預計費用（按20USER計算）軟件費用按20個客戶機USER序號產(chǎn)品單價數(shù)量總價1WINDOWS2003ADVANCEDSERVER232001232002WINDOWS2003CAL2602052003WINDOWS2003TERMINALSERVERLICENSE79220158404世紀互聯(lián)桌面控制軟件47020094000小計138240作為一個基于微軟軟件的方案包包括以下基本的組成部分編號描述數(shù)量單價總價銷售部服務器79812FCHS20167GHZ雙內(nèi)核ULP超低電壓2MBL2,FSB667,512M2DDR2,OPEN25“SAS1180001800026K5776IBM36GB10KSASNHSHDDHS207981125002500主域服務器79812FCHS20167GHZ雙內(nèi)核ULP超低電壓2MBL2,FSB667,512M2DDR2,OPEN25“SAS1180001800039M58092GB2X1GBKITPC232