XXX集團(tuán)IT基礎(chǔ)架構(gòu)規(guī)劃方案

幫助顧客成功企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案XXX集IT基礎(chǔ)架構(gòu)規(guī)劃方案（簡(jiǎn)）金蝶軟件（華南區(qū)）系統(tǒng)集成部2011年03月金蝶ERP個(gè)性化管理軟件領(lǐng)導(dǎo)者0

錄目錄目項(xiàng)目背景方案整體介紹TOC\o"1-5"\h\z\o"CurrentDocument"企業(yè)IT架構(gòu) 4\o"CurrentDocument"網(wǎng)絡(luò)系統(tǒng)規(guī)劃 4\o"CurrentDocument"安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案 6\o"CurrentDocument"安全無(wú)線網(wǎng)絡(luò)規(guī)劃方案 9\o"CurrentDocument"廣域網(wǎng)互聯(lián)VPN規(guī)劃方案 11\o"CurrentDocument"網(wǎng)絡(luò)性能指標(biāo)要求 13\o"CurrentDocument"網(wǎng)絡(luò)安全規(guī)劃 13\o"CurrentDocument"計(jì)算機(jī)系統(tǒng)規(guī)劃 17\o"CurrentDocument"服務(wù)器硬件選型規(guī)劃方案 17\o"CurrentDocument"磁盤存儲(chǔ)系統(tǒng)選型規(guī)劃方案 18\o"CurrentDocument"IT基礎(chǔ)軟件和系統(tǒng)規(guī)劃 21\o"CurrentDocument"操作系統(tǒng)選型規(guī)劃方案 21\o"CurrentDocument"虛擬化規(guī)劃方案 21\o"CurrentDocument"數(shù)據(jù)庫(kù)選型規(guī)劃方案 22\o"CurrentDocument"數(shù)據(jù)安全和備份規(guī)劃 25\o"CurrentDocument"統(tǒng)一身份安全認(rèn)證規(guī)劃 29\o"CurrentDocument"企業(yè)計(jì)算機(jī)和用戶管理方案 34

\o"CurrentDocument"企業(yè)郵件系統(tǒng)選型規(guī)劃方案 38\o"CurrentDocument"企業(yè)內(nèi)部通信系統(tǒng)選型規(guī)劃方案 39\o"CurrentDocument"企業(yè)IT機(jī)房和系統(tǒng)集成環(huán)境規(guī)劃 40\o"CurrentDocument"機(jī)房規(guī)劃要求 40\o"CurrentDocument"供電系統(tǒng)規(guī)劃要求 41\o"CurrentDocument"機(jī)柜規(guī)劃要求 42\o"CurrentDocument"硬件設(shè)備安裝要求 45三、 實(shí)際案例設(shè)計(jì) 47\o"CurrentDocument"總體網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 47\o"CurrentDocument"店面遠(yuǎn)程接入設(shè)計(jì) 51店面管理系統(tǒng)設(shè)計(jì) 5356投資預(yù)五、 ^蝶系56\o"CurrentDocument"金蝶技術(shù)支持與服務(wù)體系介紹 56\o"CurrentDocument"售后技術(shù)支持與服務(wù)的方式 57XXX集團(tuán)經(jīng)過(guò)多年的經(jīng)營(yíng)，公司業(yè)務(wù)和規(guī)模在不斷發(fā)展，公司管理層和IT部門也認(rèn)識(shí)到通過(guò)信息化手段可以更好地支撐公司業(yè)務(wù)運(yùn)營(yíng)、提高企業(yè)生產(chǎn)和管理效率。同時(shí)隨著新建辦公大樓、研發(fā)大樓和廠房的落成，IT部門也需要對(duì)整個(gè)集團(tuán)的信息化和企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行規(guī)劃和建設(shè)。目前主要分為以下兩部分：樓宇智能化規(guī)劃和建設(shè)方案:主要包括視頻監(jiān)控、門禁系統(tǒng)、語(yǔ)音和數(shù)據(jù)節(jié)點(diǎn)規(guī)劃和布線、CATV、大屏幕電子顯示屏、機(jī)房建設(shè)等。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃和解決方案：主要包括企業(yè)局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)拓?fù)湟?guī)劃和網(wǎng)絡(luò)設(shè)備選型、互聯(lián)網(wǎng)接入和VPN接入、IT硬件部署和選型、企業(yè)IT信息化基礎(chǔ)軟件系統(tǒng)規(guī)劃和選型等。本方案主要是針對(duì)XXX集團(tuán)企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行規(guī)劃，并提出解決方案和進(jìn)行投資預(yù)算。而關(guān)于樓宇智能化規(guī)劃和建設(shè)的方案參見其它相關(guān)方案。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案企業(yè)門架構(gòu)下圖是一般企業(yè)的IT架構(gòu)情況，本方案主要針對(duì)IT基礎(chǔ)架構(gòu)部分進(jìn)行規(guī)劃，并提供選型和部署參考，關(guān)于企業(yè)IT業(yè)務(wù)應(yīng)用系統(tǒng)部分的規(guī)劃和建設(shè)請(qǐng)參考其它方案。： 企業(yè)IT架構(gòu)應(yīng)用系統(tǒng)（ERP系統(tǒng)/企業(yè)門戶/商業(yè)智能）基礎(chǔ)軟件系統(tǒng)（/數(shù)據(jù)庫(kù)/數(shù)據(jù)倉(cāng)庫(kù)/中間件）TT基礎(chǔ)架構(gòu)操作系統(tǒng)（操作系統(tǒng)/虛擬化軟件）計(jì)算機(jī)系統(tǒng)（服務(wù)器/磁盤存儲(chǔ)系統(tǒng)/桌面PC）應(yīng)用系統(tǒng)（ERP系統(tǒng)/企業(yè)門戶/商業(yè)智能）基礎(chǔ)軟件系統(tǒng)（/數(shù)據(jù)庫(kù)/數(shù)據(jù)倉(cāng)庫(kù)/中間件）TT基礎(chǔ)架構(gòu)操作系統(tǒng)（操作系統(tǒng)/虛擬化軟件）計(jì)算機(jī)系統(tǒng)（服務(wù)器/磁盤存儲(chǔ)系統(tǒng)/桌面PC）網(wǎng)絡(luò)系統(tǒng)（局域網(wǎng)/廣域網(wǎng)/互聯(lián)網(wǎng)/無(wú)線網(wǎng)）設(shè)備管理網(wǎng)絡(luò)系統(tǒng)規(guī)劃當(dāng)前，企業(yè)一般能給信息化方面投入有限。除了人力有限，還缺少專業(yè)人才，應(yīng)用能力、維護(hù)能力、開發(fā)能力、實(shí)施能力等都普遍較弱，這就要求網(wǎng)絡(luò)架構(gòu)成熟、穩(wěn)定安全、高可靠、高可用，盡可能少投入人力和金錢進(jìn)行維護(hù)。其次，由于企業(yè)首要解決的是生存問(wèn)題，根本沒辦法做到“先信息化，再做業(yè)務(wù)”，因此網(wǎng)絡(luò)建設(shè)實(shí)施要求必須容易，實(shí)施時(shí)間必須極短。企業(yè)的組網(wǎng)方案主要要素包括：局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡(luò)管理和安全性。具體來(lái)說(shuō)企業(yè)組網(wǎng)

需求:需求:建立安全的網(wǎng)絡(luò)架構(gòu)，總部與分支機(jī)構(gòu)的網(wǎng)絡(luò)連接;安全網(wǎng)絡(luò)部署，確保企業(yè)正常運(yùn)行；為出差的人員提供IPSec或者SSL的VPN方式；提供智能管理特性，支持瀏覽器圖形管理；網(wǎng)絡(luò)設(shè)計(jì)便于升級(jí)，有利于投資保護(hù)。企業(yè)一般的組網(wǎng)結(jié)構(gòu)如下圖，大企業(yè)網(wǎng)絡(luò)核心層一般采用冗余節(jié)點(diǎn)和冗余線路的拓?fù)浣Y(jié)構(gòu)，小企業(yè)則單線路的連接方式。通過(guò)對(duì)一般企業(yè)的信息化情況和網(wǎng)絡(luò)規(guī)劃要素進(jìn)行分析，從總體上看，規(guī)劃方案必須具有以下特點(diǎn)：>網(wǎng)絡(luò)管理簡(jiǎn)單，采用基于易用的瀏覽器方式，以直觀的圖形化界面管理網(wǎng)絡(luò)。用戶可以采用多種的廣域網(wǎng)連接方式，從而降低廣域網(wǎng)鏈路費(fèi)用。無(wú)線接入點(diǎn)覆蓋范圍廣、配置靈活，方便移動(dòng)辦公。便捷、簡(jiǎn)單的統(tǒng)一通信系統(tǒng)，輕松實(shí)現(xiàn)交互式工作環(huán)境。帶寬壓縮技術(shù)，高級(jí)QoS的應(yīng)用，有效降低廣域網(wǎng)鏈路流量。隨著公司業(yè)務(wù)的發(fā)展，所有網(wǎng)絡(luò)設(shè)備均可在升級(jí)原有網(wǎng)絡(luò)后繼續(xù)使用，有效實(shí)現(xiàn)投資保護(hù)。系統(tǒng)安全，保密性高，應(yīng)用了適合企業(yè)的低成本網(wǎng)絡(luò)安全解決方案。2.2.1安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案根據(jù)對(duì)XXX集團(tuán)的實(shí)際調(diào)研，獲取了企業(yè)的網(wǎng)絡(luò)需求，以此來(lái)制定企業(yè)基礎(chǔ)網(wǎng)絡(luò)建設(shè)規(guī)劃方案和網(wǎng)絡(luò)設(shè)備選型參考；以下提供基礎(chǔ)版和企業(yè)版兩種規(guī)劃方案1）網(wǎng)絡(luò)需求：企業(yè)規(guī)劃的網(wǎng)絡(luò)節(jié)點(diǎn)為500個(gè)，主要的網(wǎng)絡(luò)需求首先是資源共享，網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶可共享文件服務(wù)器/數(shù)據(jù)庫(kù)、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能；其次是通信服務(wù)，最終用戶通過(guò)廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問(wèn)；還有就是公司門戶網(wǎng)站和網(wǎng)絡(luò)通信系統(tǒng)（企業(yè)郵箱、企業(yè)即時(shí)通信和企業(yè)短信平臺(tái)等）的建立。2）基礎(chǔ)版規(guī)劃方案本方案適用于200?300臺(tái)電腦聯(lián)網(wǎng)，核心采用H3CS5500-28C-SI或S5500-20TP-SI交換機(jī)，以千兆雙絞線/光纖與接入交換機(jī)及服務(wù)器連接；用戶接入口3cS3100-26TP-SI或S3100-52TP-SI交換機(jī)，千兆銅纜/光纖上連核心交換機(jī)。Internet出口采用H3CMSR20-1X多業(yè)務(wù)路由器作為Internet出口路由、SecpathF1000-C或者UTM作為安全網(wǎng)關(guān)和移動(dòng)用戶的VPN接入網(wǎng)關(guān)。網(wǎng)絡(luò)拓?fù)鋱D如下：

Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置數(shù)據(jù)核心交換機(jī)H3CS5500-28C-SI或H3cS5500-20TP-SI全千兆三層核心1核心機(jī)房接入層交換機(jī)H3CS3100-26TP-SI或H3cS3100-52TP-SI接入層支持光電復(fù)用千兆上行，支持混合堆疊26TP：15臺(tái)52TP：8臺(tái)各樓層或機(jī)房路由器H3CMSR20-1x路由器轉(zhuǎn)發(fā)率160Kpps，256M內(nèi)存，支持GE/FE交換模塊，同異步串口模塊，E1/PRI模塊，語(yǔ)音模塊，加密模塊1~2核心機(jī)房安全防火墻H3CSecPathF1000-C或H3CSecPathU200支持應(yīng)用層報(bào)文過(guò)濾1核心機(jī)房VPN支持DVPN互聯(lián)網(wǎng)接入10M光纖接入電信10M光纖接入配靜態(tài)IP地址1~2核心機(jī)房方案特點(diǎn)：高性價(jià)比：能夠讓中小企業(yè)低投資擁有高性能、經(jīng)濟(jì)的網(wǎng)絡(luò)；簡(jiǎn)易性：結(jié)構(gòu)簡(jiǎn)單、安裝快速、簡(jiǎn)單，維護(hù)無(wú)需配置專職人員;

>高性能：最低投資做到千兆骨干、百兆接入；可擴(kuò)展性：靈活的網(wǎng)絡(luò)架構(gòu)，能根據(jù)用戶需要隨時(shí)擴(kuò)展，并保護(hù)已有投資。3）高級(jí)版規(guī)劃方案：本方案適用于500~800臺(tái)電腦聯(lián)網(wǎng)，三層網(wǎng)絡(luò)結(jié)構(gòu)，萬(wàn)兆骨干，百兆接入；網(wǎng)絡(luò)核心層采用H3cS7500交換機(jī)，同時(shí)配置相應(yīng)數(shù)量的千兆端口分別連接應(yīng)用服務(wù)器、接入交換機(jī)及其他設(shè)備；網(wǎng)絡(luò)匯聚層采用H3cS5500-28C-SI，獨(dú)有智能堆疊系統(tǒng)可實(shí)現(xiàn)高密度千兆端口接入，擁有96Gbps的全雙工堆疊帶寬，消除網(wǎng)絡(luò)瓶頸，提供優(yōu)于傳統(tǒng)中繼聚合配置的更好的可用性和彈性；接入層可選擇H3CS3100-26TP-SI或S3100-52TP-SI交換機(jī)，千兆銅纜/光纖上連核心交換機(jī)，或H3CS5100-16/24/48P-SI全千兆交換機(jī)，千兆到桌面。網(wǎng)絡(luò)拓?fù)鋱D如下：設(shè)備選型和部署參考如下:Kingdee 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置數(shù)據(jù)核心交換機(jī)H3CS7500(E)系列核心支持雙引擎雙電源，性價(jià)比最高1核心機(jī)房匯聚層交換機(jī)H3CS5500-28C-SI匯聚支持全千兆高速轉(zhuǎn)發(fā)，消除網(wǎng)絡(luò)瓶頸，同時(shí)支持萬(wàn)兆擴(kuò)展3各樓層或機(jī)房接入層交換機(jī)H3CS3100-26/52TP-SI或H3CS5100-16/24/48P-SI接入層根據(jù)不同業(yè)務(wù)需求提供百兆和千兆接入兩種選擇52TP：10臺(tái)各樓層或機(jī)房路由器H3CMSR50-06路由器H3C新一代安全路由器1~2核心機(jī)房安全防火墻H3CSecPathF1000-C支持應(yīng)用層報(bào)文過(guò)濾11VPN支持DVPN互聯(lián)網(wǎng)接入20M~50M光纖接入電信20M~50M光纖接入配靜態(tài)IP地址1~2核心機(jī)房方案特點(diǎn)：高性能，全分布式交換網(wǎng)絡(luò)；高可靠，無(wú)間斷的通信環(huán)境；靈活彈性的網(wǎng)絡(luò)擴(kuò)展能力；高效率的網(wǎng)絡(luò)帶寬利用率；全面的QOS部署，多業(yè)務(wù)融合；完善的網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)深度安全檢測(cè)，抵御未知風(fēng)險(xiǎn)。2.2.2安全無(wú)線網(wǎng)絡(luò)規(guī)劃方案無(wú)線網(wǎng)絡(luò)的部署，能夠增大員工接入網(wǎng)絡(luò)的范圍，提供更大的上網(wǎng)便利性一無(wú)論是在辦公室、會(huì)議室還是在空間復(fù)雜的車間，員工都能與網(wǎng)絡(luò)保持連接，隨時(shí)隨地訪問(wèn)企業(yè)資源，而且可以簡(jiǎn)化場(chǎng)所的網(wǎng)絡(luò)布線。安全無(wú)線網(wǎng)絡(luò)解決方案不但能提高員工的生產(chǎn)效率和協(xié)作能力，也能為合作伙伴/客戶提供方便的上網(wǎng)服務(wù)。根據(jù)企業(yè)情況，可以采用FATAP方案：1）無(wú)線網(wǎng)絡(luò)需求：9

能夠獲得較高的用戶接入速率，構(gòu)建便利的移動(dòng)辦公環(huán)境，實(shí)現(xiàn)企業(yè)的移動(dòng)網(wǎng)絡(luò)辦公，成本投入不高，適合簡(jiǎn)單、小規(guī)模的無(wú)線部署。2）規(guī)劃方案：采用WA1208E+iMC+CAMS進(jìn)行組網(wǎng)，配合CAMS實(shí)現(xiàn)802.1x的認(rèn)證，可以實(shí)現(xiàn)基于時(shí)長(zhǎng)、流量和包月的計(jì)費(fèi)；整網(wǎng)通過(guò)iMC統(tǒng)一管理。網(wǎng)絡(luò)拓?fù)鋱D如下：設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置無(wú)線無(wú)線接入WA1208E雙802.1里無(wú)線模塊8各樓層無(wú)線安全H3CCAMS滿足用戶管理、身份認(rèn)證、權(quán)限控制和計(jì)費(fèi)的要求1核心機(jī)房無(wú)線管理H3CiMC網(wǎng)管系統(tǒng)支持與HPOpenview、SNMPc等通用網(wǎng)管平臺(tái)的集成1核心機(jī)房10方案特點(diǎn)：全面支持802.11i安全機(jī)制、802.11eQoS機(jī)制、802.11fL2切換機(jī)制;大范圍覆蓋：高接收靈敏度，達(dá)到-97dBm（普通AP-95dBm），保證更遠(yuǎn)覆蓋；多VLAN支持：虛擬AP方式支持多VLAN，最多支持8個(gè)虛擬SSID的VLAN劃分，每個(gè)VLAN用戶可以獨(dú)立認(rèn)證；兼作網(wǎng)橋使用：WDS模式支持PTP、PTMP工作模式；支持連接速率鎖定、傳輸報(bào)文整合，提高傳輸效率；負(fù)載均衡：支持基于用戶數(shù)的負(fù)載均衡、基于流量的負(fù)載均衡；針對(duì)各類室外、特殊室內(nèi)應(yīng)用如倉(cāng)庫(kù)等復(fù)雜環(huán)境，可以提供專門的型號(hào)。.2.3廣域網(wǎng)互聯(lián)VPN規(guī)劃方案伴隨企業(yè)和公司的不斷擴(kuò)張，公司分支機(jī)構(gòu)及客戶群分布日益分散，合作伙伴日益增多，越來(lái)越多的現(xiàn)代企業(yè)迫切需要利用公共Internet資源來(lái)進(jìn)行促銷、銷售、售后服務(wù)、培訓(xùn)、合作及其它咨詢活動(dòng)，這為VPN的應(yīng)用奠定了廣闊市場(chǎng)。在VPN方式下，VPN客戶端和設(shè)置在內(nèi)部網(wǎng)絡(luò)邊界的VPN網(wǎng)關(guān)使用隧道協(xié)議，利用Internet或公用網(wǎng)絡(luò)建立一條“隧道”作為傳輸通道，同時(shí)VPN連接采用身份認(rèn)證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過(guò)程中受到偵聽和篡改，從而保證數(shù)據(jù)的完整性、機(jī)密性和合法性。通過(guò)VPN方式，企業(yè)可以利用現(xiàn)有的網(wǎng)絡(luò)資源實(shí)現(xiàn)遠(yuǎn)程用戶和分支機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)，不但節(jié)省了大量的資金，而且具有很高的安全性。另外，隨著企業(yè)規(guī)模的擴(kuò)大，分散辦公也越來(lái)越普遍，如何實(shí)現(xiàn)小型分支、出差員工、合作伙伴的遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)也被越來(lái)越多的企業(yè)關(guān)注。從成本、易用性、易管理等多方面綜合考慮，SSLVPN無(wú)疑是一種最合適的方案：只需要在總部部署一臺(tái)設(shè)備，成本更低，管理維護(hù)也很容易；無(wú)需安裝客戶端、無(wú)需配置，登陸網(wǎng)頁(yè)就能使用。1）網(wǎng)絡(luò)需求1IPSecVPN和SSLVPN各有所長(zhǎng)，功能互補(bǔ)，對(duì)企業(yè)來(lái)說(shuō)都是需要的：IPSecVPN用于總部和中大型分支互連，SSLVPN用于為小型分支、合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)。但傳統(tǒng)方法下，企業(yè)總部需要采購(gòu)兩臺(tái)設(shè)備來(lái)支持兩種VPN，不僅成本更高，而且可能存在VPN策略沖突，導(dǎo)致性能下降、管理困難。11

Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案2）規(guī)劃方案融合VPN針對(duì)企業(yè)的實(shí)際需要，一臺(tái)設(shè)備融合IPSec/SSL兩種VPN,只需部署在總部，既可以用于為合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)，也可以和分支機(jī)構(gòu)進(jìn)行IPSecVPN互連，幫助企業(yè)降低采購(gòu)、部署、維護(hù)三方面成本。VPN網(wǎng)關(guān)選擇方面，H3c的防火墻、路由器都能夠?qū)崿F(xiàn)融合VPN，提供給企業(yè)更加靈活的選擇。例如，如果企業(yè)非常強(qiáng)調(diào)網(wǎng)絡(luò)安全、VPN性能，就選擇防火墻；如果企業(yè)更注重多業(yè)務(wù)處理能力，如IP語(yǔ)音通信、3G上網(wǎng)、無(wú)線接入等，推薦選擇路由器。在總部局域網(wǎng)Internet邊界防火墻后面配置一臺(tái)或兩臺(tái)雙機(jī)熱備的VPN網(wǎng)關(guān)，在分支機(jī)構(gòu)Internet邊界防火墻后面配置一臺(tái)VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSecVPN隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；另外，通過(guò)總部的VPN網(wǎng)關(guān)提供SSLVPN接入業(yè)務(wù)；在總部局域網(wǎng)數(shù)據(jù)中心部署H3CVPNManager組件，實(shí)現(xiàn)對(duì)VPN網(wǎng)關(guān)的部署管理和監(jiān)控；在總部局域網(wǎng)內(nèi)部或Internet邊界部署H3cBIMS系統(tǒng)，實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)VPN網(wǎng)關(guān)設(shè)備的自動(dòng)配置和策略部署。如下圖：業(yè)離軍瞬電斃ME簾仙再冽4SAJ5由辨4星外主節(jié)后VFNManagerRIMS中里方女茄直中壁牙叁心森環(huán)中辦生小道方受節(jié)疝業(yè)離軍瞬電斃ME簾仙再冽4SAJ5由辨4星外主節(jié)后VFNManagerRIMS中里方女茄直中壁牙叁心森環(huán)中辦生小道方受節(jié)疝干判解地圈是“百拈VPN西美lnt?rnet設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置網(wǎng)絡(luò)互連VPN網(wǎng)關(guān)H3CSecPathF1000VPN網(wǎng)關(guān)總部和大型機(jī)構(gòu)配置F1000型號(hào)總部1臺(tái)分支機(jī)構(gòu)按核心機(jī)房12Kingde企 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案H3CSecPathF100VPN網(wǎng)關(guān)或H3CMSR50路由器H3CMSR20-1X路由器中小型機(jī)構(gòu)配置F100型號(hào)需求配置網(wǎng)絡(luò)管理H3CVPNManagerH3CBIMS幫助用戶部署、管理VPN網(wǎng)絡(luò)1核心機(jī)房如果省內(nèi)分支機(jī)構(gòu)較多、較分散，但對(duì)速率要求不高的連鎖型單位，也可以選用電信或ISP商的VPDN服務(wù)；如果多個(gè)分支機(jī)構(gòu)間有多點(diǎn)對(duì)多點(diǎn)通信需求的企業(yè)、商業(yè)機(jī)構(gòu)，也可以直接選用電信或ISP商的MPLSVPN服務(wù)。.2.4網(wǎng)絡(luò)性能指標(biāo)要求類型帶寬要求線路質(zhì)量要求局域網(wǎng)客戶端到服務(wù)器：10Mb以上，推薦100Mb各服務(wù)器之間：200M以上，推薦1000Mb丟包率小于0.1%延遲小于20ms廣域網(wǎng)分支機(jī)構(gòu)帶寬：每客戶端128Kb總部出口帶寬：（最大并發(fā)數(shù)/3）X128Kb總部服務(wù)器之間：200M以上，推薦1000Mb丟包率小于2%延遲小于50ms.2.5網(wǎng)絡(luò)安全規(guī)劃網(wǎng)絡(luò)安全是整個(gè)系統(tǒng)安全運(yùn)行的基礎(chǔ)，是保證系統(tǒng)安全運(yùn)行的關(guān)鍵。網(wǎng)絡(luò)系統(tǒng)的安全需求包括以下幾個(gè)方面：網(wǎng)絡(luò)邊界安全需求入侵監(jiān)測(cè)與實(shí)時(shí)監(jiān)控需求安全事件的響應(yīng)和處理需求分析這些需求在各個(gè)應(yīng)用系統(tǒng)上的不同組合就要求把網(wǎng)絡(luò)分成不同的安全層次。我們針對(duì)企業(yè)網(wǎng)絡(luò)層的安全策略采用硬件保護(hù)與軟件保護(hù)，靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)相結(jié)合，由外13向內(nèi)多級(jí)防護(hù)的總體策略。根據(jù)安全需求和應(yīng)用系統(tǒng)的目的，整個(gè)網(wǎng)絡(luò)可劃分為六個(gè)不同的安全層次。具體是：＞核心層：核心數(shù)據(jù)庫(kù)；＞安全層：應(yīng)用信息系統(tǒng)中間件服務(wù)器等應(yīng)用；＞基本安全層：內(nèi)部局域網(wǎng)用戶；＞可信任層：公司本部與營(yíng)業(yè)部網(wǎng)絡(luò)訪問(wèn)接口；＞危險(xiǎn)層：Interneto信息系統(tǒng)各安全域中的安全需求和安全級(jí)別不同，網(wǎng)絡(luò)層的安全主要是在各安全區(qū)域間建立有效的安全控制措施，使網(wǎng)間的訪問(wèn)具有可控性。具體的安全策略如下：核心數(shù)據(jù)庫(kù)采用物理隔離策略應(yīng)用系統(tǒng)采用分層架構(gòu)方式，客戶端只需要訪問(wèn)中間件服務(wù)器即可進(jìn)行日常業(yè)務(wù)處理，從物理上不能直接訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，保障了核心層數(shù)據(jù)的高度安全。應(yīng)用系統(tǒng)中間件服務(wù)器采取綜合安全策略：應(yīng)用系統(tǒng)中間件的安全隱患主要來(lái)自局域網(wǎng)內(nèi)部，為了保障應(yīng)用系統(tǒng)中間件服務(wù)的安全，在局域網(wǎng)中可通過(guò)劃分虛擬子網(wǎng)對(duì)各安全區(qū)域、用戶和安全域間實(shí)施安全隔離，提供子網(wǎng)間的訪問(wèn)控制能力。同時(shí)，中間件服務(wù)器本身可以通過(guò)配置相應(yīng)的安全策略，限定經(jīng)過(guò)授權(quán)的工作站、用戶方能訪問(wèn)系統(tǒng)服務(wù)，保障了中間件服務(wù)器的安全性；內(nèi)部局域網(wǎng)采取信息安全策略：公司本部及營(yíng)業(yè)部?jī)?nèi)部局域網(wǎng)處于基本安全層的網(wǎng)絡(luò)，主要是對(duì)于安全防護(hù)能力較弱的終端用戶在使用，因此考慮的重點(diǎn)在于兩個(gè)方面，一個(gè)是客戶端的病毒防護(hù)，另一個(gè)是防止內(nèi)部敏感信息的對(duì)外泄露。因此，通過(guò)選用網(wǎng)絡(luò)殺毒軟件達(dá)到內(nèi)部局域網(wǎng)的病毒防護(hù)，同時(shí)，使用專用網(wǎng)絡(luò)安全設(shè)備（如硬件防火墻）建立起有效的安全防護(hù)，通過(guò)訪問(wèn)控制ACL等安全策略的配置，有效地控制內(nèi)部終端用戶和外部網(wǎng)絡(luò)的信息交換，實(shí)現(xiàn)內(nèi)部局域網(wǎng)的信息安全。公司本部與下屬機(jī)構(gòu)之間網(wǎng)絡(luò)接口采取通訊安全策略：處于可信任層的網(wǎng)絡(luò)，其安全主要考慮各下屬單位上傳的業(yè)務(wù)數(shù)據(jù)的保密安全，因此，可采用數(shù)據(jù)層加密方式，通過(guò)硬件防火墻提供的VPN隧道進(jìn)行加密，實(shí)現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸。Internet采取通訊加密策略：Internet屬于非安全層和危險(xiǎn)層，由于Internet存在著大量的惡意攻擊，因此考慮的重點(diǎn)是要避14免涉密信息在該層次中的流動(dòng)。通過(guò)硬件防火墻提供專業(yè)的網(wǎng)絡(luò)防護(hù)能力，并對(duì)所有訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格控制，對(duì)所有的數(shù)據(jù)通訊進(jìn)行加密后傳輸。同時(shí)，建議設(shè)置嚴(yán)格的機(jī)房管理制度，嚴(yán)禁非授權(quán)的人員進(jìn)入機(jī)房，也能夠進(jìn)一步提升整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。1）廣域網(wǎng)安全規(guī)劃企業(yè)廣域網(wǎng)安全，主要是通過(guò)防火墻和VPN等設(shè)備或技術(shù)來(lái)保障。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，能夠過(guò)濾掉一些攻擊，防火墻還可以關(guān)閉不使用的端口，防火墻具有很好的保護(hù)作用，入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)，所以出于安全考慮，企業(yè)必須購(gòu)置防火墻以保證其服務(wù)器安全，將應(yīng)用系統(tǒng)服務(wù)器放置在防火墻內(nèi)部專門區(qū)域。一般硬件防火墻比軟件防火墻的性能更好，建議選擇企業(yè)級(jí)的硬件防火墻，硬件防火墻市場(chǎng)知名度高的品牌有CISCO、CheckPoint、Juniper、H3C、天融信、華為賽門鐵克、聯(lián)想網(wǎng)御等，用戶應(yīng)根據(jù)應(yīng)用情況選擇合適的防火墻。VPN即虛擬專用網(wǎng)（VirtualPrivateNetworks）提供了一種通過(guò)公共非安全介質(zhì)（如Internet）建立安全專用連接的技術(shù)。使用VPN技術(shù)，甚至機(jī)密信息都可以通過(guò)公共非安全的介質(zhì)進(jìn)行安全傳送。VPN技術(shù)的發(fā)展與成熟，可為企業(yè)的商業(yè)運(yùn)作提供一個(gè)無(wú)處不在的、可靠的、安全的數(shù)據(jù)傳輸網(wǎng)絡(luò)。VPN通過(guò)安全隧道建立一個(gè)安全的連接通道，將分支機(jī)構(gòu)、遠(yuǎn)程用戶、合作伙伴等和企業(yè)網(wǎng)絡(luò)互聯(lián)，形成一個(gè)擴(kuò)展的企業(yè)網(wǎng)絡(luò)。VPN基本特征：使企業(yè)享受到在專用網(wǎng)中可獲得的相同安全性、可靠性和可管理性。網(wǎng)絡(luò)架構(gòu)彈性大一一無(wú)縫地將Intranet延伸到遠(yuǎn)端辦事處、移動(dòng)用戶和遠(yuǎn)程工作者。可以通過(guò)Extranet連接企業(yè)合作伙伴、供應(yīng)商和主要客戶（建立綠色信息通道）以提高客戶滿意度、降低經(jīng)營(yíng)成本。15VPN實(shí)現(xiàn)方式：硬件設(shè)備：帶VPN功能模塊的路由器、防火墻、專用VPN硬件設(shè)備等，如Cisco、H3C、深信服、天融信等。軟件實(shí)現(xiàn)：Windows自帶PPTP或L2TP、第三方軟件（如Checkpoint、深信服等）。服務(wù)提供商（ISP）：中國(guó)電信、聯(lián)通、網(wǎng)通等。目前一些ISP推出了MPLSVPN，線路質(zhì)量更有保證，推薦使用。2）內(nèi)網(wǎng)安全規(guī)劃企業(yè)內(nèi)網(wǎng)安全系統(tǒng)包括防病毒系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)，上網(wǎng)行為管理系統(tǒng)等。防病毒系統(tǒng)可以采用網(wǎng)絡(luò)版防病毒系統(tǒng)或防毒墻等產(chǎn)品（比如金山、瑞星、卡巴斯基等解決方案）。內(nèi)網(wǎng)安全系統(tǒng)和上網(wǎng)行為管理系統(tǒng)可以選擇深信服、任子行、IP-guard等解決方案，企業(yè)可以通過(guò)部署內(nèi)網(wǎng)安全系統(tǒng)實(shí)現(xiàn)研發(fā)網(wǎng)和商業(yè)信息的信息安全防范工作。對(duì)于研發(fā)網(wǎng)的信息安全、數(shù)據(jù)集中存儲(chǔ)和計(jì)算資源的統(tǒng)一協(xié)調(diào)配置，可以通過(guò)部署企業(yè)桌面虛擬化解決方案來(lái)實(shí)現(xiàn)。16企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案2.3計(jì)算機(jī)系統(tǒng)規(guī)劃服務(wù)器硬件選型規(guī)劃方案根據(jù)對(duì)XXX集團(tuán)的實(shí)際調(diào)研，獲取了企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)情況，隨著企業(yè)信息化建設(shè)的推進(jìn)，需要對(duì)各種信息化管理系統(tǒng)和應(yīng)用系統(tǒng)的服務(wù)器選型進(jìn)行選型規(guī)劃，根據(jù)不同的系統(tǒng)對(duì)服務(wù)器硬件的性能指標(biāo)要求不同，比如企業(yè)網(wǎng)站服務(wù)器、郵件服務(wù)器、域控制服務(wù)器、文件和打印服務(wù)器、業(yè)務(wù)系統(tǒng)服務(wù)器等，通過(guò)結(jié)合系統(tǒng)在線用戶數(shù)、業(yè)務(wù)請(qǐng)求數(shù)和業(yè)務(wù)產(chǎn)生的事物數(shù)等參數(shù)來(lái)計(jì)算tpmC值，從而估算出服務(wù)器硬件的性能要求。tpmC定義為TPC-C的吞吐量（TPC-CThroughput），按有效TPC-C配置期間每分鐘處理的平均交易次數(shù)測(cè)量。TPC-C是一種旨在衡量聯(lián)機(jī)事務(wù)處理（OLTP）系統(tǒng)性能與可伸縮性的行業(yè)標(biāo)準(zhǔn)基準(zhǔn)測(cè)試項(xiàng)目。這種基準(zhǔn)測(cè)試項(xiàng)目將對(duì)包括查詢、更新及隊(duì)列式小批量事務(wù)在內(nèi)的廣泛數(shù)據(jù)庫(kù)功能進(jìn)行測(cè)試。許多IT專業(yè)人員將TPC-C視為衡量“真實(shí)”O(jiān)LTP系統(tǒng)性能的有效指示器。1）對(duì)于最大并發(fā)用戶數(shù)（一般認(rèn)為最大并發(fā)用戶數(shù)=預(yù)估用戶規(guī)模*15%）在80以下的系統(tǒng)，推薦使用以下兩種配置的服務(wù)器：IBMX系列的服務(wù)器；HPProliant系列服務(wù)器。2）對(duì)于最大并發(fā)用戶數(shù)在80以上的系統(tǒng)，推薦使用以下兩種配置的服務(wù)器：IBMPower系列的服務(wù)器；IBMBLADE系列刀片服務(wù)器。設(shè)備選型和部署參考如下:類型設(shè)備選型參考配置說(shuō)明數(shù)量部署說(shuō)明域服務(wù)器IBMX3650M3雙4核CPU/8G內(nèi)存/300G硬盤Raid01~2可配置成主備域服務(wù)器郵件服務(wù)器IBMX3650M3雙4核CPU/16G內(nèi)存/2T硬盤Raid51~3可以根據(jù)負(fù)載情況進(jìn)行集中部署或分布式部署打印/文件服務(wù)器IBMX3650M3雙4核CPU/8G內(nèi)存1可連接NAS或SAN17企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案/2T硬盤Raid5存儲(chǔ)網(wǎng)站服務(wù)器IBMX3650M3雙4核CPU/16G內(nèi)存/600G硬盤Raid51~2可以部署為雙機(jī)熱備小型應(yīng)用系統(tǒng)服務(wù)器IBMX3650M3IBMX3850X5IBMX3690X5根據(jù)應(yīng)用情況配置可以部署為雙機(jī)熱備小型應(yīng)用系統(tǒng)服務(wù)器IBMPower系列服務(wù)器根據(jù)應(yīng)用情況配置可以部署為集群模式磁盤存儲(chǔ)系統(tǒng)選型規(guī)劃方案磁盤陣列已經(jīng)成為企業(yè)信息系統(tǒng)不可缺少的基礎(chǔ)組成部分，當(dāng)前的主流廠商有EMC、IBM、HDS、HP等。RAID是英文RedundantArrayofInexpensiveDisks的縮寫，中文譯作廉價(jià)冗余磁盤陣列，簡(jiǎn)稱磁盤陣列。簡(jiǎn)單地說(shuō)，磁盤陣列是一種把多塊獨(dú)立的硬盤（物理硬盤）按不同方式組合起來(lái)形成一個(gè)硬盤組（邏輯硬盤），從而提供比單個(gè)硬盤更高的存儲(chǔ)性能和提供數(shù)據(jù)冗余的技術(shù)。在這一組硬盤中，數(shù)據(jù)按照不同的算法分別存儲(chǔ)于每塊硬盤上從而達(dá)到不同的效果，這樣就形成了不同的RAID級(jí)別（RAIDLEVEL）。按照RAID級(jí)別劃分，常見的有RAID0，RAID1，RAID3，RAID5，RAID10，RAID50等，以及硬件廠商自己定義的RAID?？蛻艨梢愿鶕?jù)實(shí)際情況選擇RAID級(jí)別，RAID10和RAID5比較常見，采用RAID10，可以獲得較好的磁盤IO性能和可靠性。使用磁盤陣列的好處：提高數(shù)據(jù)的安全性；提高數(shù)據(jù)存取的速度，提升EAS性能；提供超大的存儲(chǔ)容量。針對(duì)應(yīng)用系統(tǒng)而言，并發(fā)數(shù)低于100時(shí)可以采用服務(wù)器內(nèi)置RAID卡，連接三塊以上的硬盤，配置成RAID-5模式；并發(fā)數(shù)超過(guò)100個(gè)用戶就應(yīng)該考慮獨(dú)立的硬件磁盤陣列；超過(guò)200個(gè)并發(fā)用戶數(shù)規(guī)模時(shí)，建議采用光纖通道磁盤陣列技術(shù)，如果有多臺(tái)服務(wù)器（如集群配置）時(shí)，建議使用光纖通道存儲(chǔ)局域網(wǎng)（SAN）技術(shù)來(lái)實(shí)現(xiàn)高性能的共享存儲(chǔ)系統(tǒng)。18以下是一般集團(tuán)ERP系統(tǒng)對(duì)磁盤陣列的指標(biāo)要求:應(yīng)用規(guī)模IOPS最大帶寬磁盤配置選型參考并發(fā)數(shù)小于400至少12萬(wàn)至少335MB/s容量至少500GIBMDS5020/DS5100并發(fā)數(shù)大于400至少20萬(wàn)至少1500MB/s容量至少1TIBMDS5300磁盤存儲(chǔ)性能是是選型的重要原則之一，存儲(chǔ)的性能應(yīng)能夠滿足應(yīng)用系統(tǒng)峰值的需求，并有進(jìn)一步擴(kuò)展的空間，包括容量和性能的擴(kuò)展。從計(jì)算機(jī)的發(fā)展歷史來(lái)看，計(jì)算機(jī)的芯片發(fā)展速度按照摩爾定律，已經(jīng)提高了成千上萬(wàn)倍，而計(jì)算機(jī)I/O速度，即磁盤系統(tǒng)接口速度，則從SCSI的每秒5MB到目前業(yè)界最快的FC-2協(xié)議每秒200MB，只提高了四十倍。因此選擇性能最佳的磁盤系統(tǒng)，可以有效地提高計(jì)算機(jī)系統(tǒng)的I/O性能，從而提高計(jì)算機(jī)的整體性能。擴(kuò)展性由于企業(yè)數(shù)據(jù)的增長(zhǎng)已經(jīng)呈幾何級(jí)數(shù)的增長(zhǎng)，企業(yè)每年數(shù)據(jù)成倍地增長(zhǎng)早已經(jīng)不是新聞了。為了保證磁盤系統(tǒng)的增長(zhǎng)滿足企業(yè)今后發(fā)展的需要，對(duì)磁盤系統(tǒng)的擴(kuò)展性應(yīng)從以下幾個(gè)方面進(jìn)行準(zhǔn)備：磁盤系統(tǒng)的容量擴(kuò)展性。磁盤系統(tǒng)本身設(shè)計(jì)會(huì)有一定的局限，其容量最大可擴(kuò)展能力是否滿足企業(yè)今后數(shù)據(jù)發(fā)展的需要，是選擇磁盤系統(tǒng)時(shí)應(yīng)當(dāng)考慮的一個(gè)方面。磁盤系統(tǒng)的擴(kuò)展兼容性。由于磁盤系統(tǒng)的發(fā)展也是日新月異，用戶在存儲(chǔ)擴(kuò)容時(shí)還要考慮新磁盤系統(tǒng)與舊設(shè)備之間的兼容性，即產(chǎn)品系列有連續(xù)性?？煽啃詳?shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)的可靠性很大程度上依靠存儲(chǔ)設(shè)備，主要是磁盤系統(tǒng)的可靠性。因此，作為磁盤系統(tǒng)的選擇，可靠性永遠(yuǎn)是用戶的第一考慮。雖然所有的磁盤廠商都聲稱自己的磁盤系統(tǒng)是可靠的，但是還是可以下幾點(diǎn)來(lái)進(jìn)行考察：冗余電源和風(fēng)扇。由于硬件失效的大部分原因是由于電源問(wèn)題，因此，采用冗余電源設(shè)計(jì)可以有效地防止這一故障的出現(xiàn)；風(fēng)扇（或者冷卻系統(tǒng)）則是在機(jī)房環(huán)境溫度過(guò)高時(shí)保護(hù)磁盤系統(tǒng)的一種手段，采用冗余風(fēng)扇設(shè)計(jì)，必要時(shí)可以加大冷卻效果，保護(hù)磁盤系統(tǒng)的正常工作。寫緩存的數(shù)據(jù)保護(hù)。由于在磁盤系統(tǒng)的設(shè)計(jì)中越來(lái)越多地采用了控制器（卡）緩存的設(shè)計(jì)，而讀寫緩存可以提高讀寫數(shù)據(jù)的速度（由于寫磁盤是機(jī)械動(dòng)作，通常為秒級(jí)；而寫緩存是電子動(dòng)作，通常為納秒級(jí)）。但是，由于有了緩存設(shè)計(jì)，主機(jī)（服務(wù)器）寫數(shù)據(jù)時(shí)，只要將數(shù)據(jù)寫入磁盤系統(tǒng)的寫緩19存內(nèi)，主機(jī)就認(rèn)為寫操作結(jié)束，如果此時(shí)寫緩存發(fā)生故障（掉電、硬件故障、人為故障等），數(shù)據(jù)因?yàn)闆]有寫入物理磁盤而導(dǎo)致數(shù)據(jù)丟失。為防止這種情況的出現(xiàn)，通常應(yīng)當(dāng)在寫緩存采用NVS（非掉電式存儲(chǔ)緩存，即有單獨(dú)電池保護(hù)的緩存，電池通常可以保護(hù)數(shù)據(jù)在緩存中幾天不丟失）以防止電源失效；另外，對(duì)寫緩存還應(yīng)采用諸如鏡像等的保護(hù)措施，以防止寫緩存的故障。RAID數(shù)據(jù)保護(hù)。采用RAID方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)，是提高數(shù)據(jù)可靠性最常用的方法。RAID方式有許多種，其編號(hào)只是代表某一種保護(hù)方式而已，并不是數(shù)字越大或者越小越好。應(yīng)當(dāng)說(shuō)明的是，RAID0不具有數(shù)據(jù)保護(hù)功能，它只是將數(shù)據(jù)打散分布在不同的磁盤。至于采用何種RAID形式，則應(yīng)于客戶的數(shù)據(jù)重要程度、性能的要求，以及經(jīng)費(fèi)情況等總體考慮。只有支持多種RAID形式，并且支持不同RAID組的混合才能夠滿足用戶對(duì)于不同分區(qū)的要求?？偩€（包括內(nèi)部總線和外部總線）。外部總線通常會(huì)配置為冗余配置，一方面可以提高可靠性；另一方面，還可以提高性能。外部總線一般可以根據(jù)用戶的需要進(jìn)行選配。而內(nèi)部總線通常是磁盤陣列已經(jīng)設(shè)計(jì)好，用戶無(wú)法選擇配置。而內(nèi)部總線的單點(diǎn)故障常常會(huì)被許多用戶所忽略，由于SCSI總線是單向單I/O,如果總線發(fā)生故障，則導(dǎo)致數(shù)據(jù)無(wú)法訪問(wèn)。因此，選擇沒有單點(diǎn)故障的內(nèi)部總線設(shè)計(jì)，這是用戶需要注意的一點(diǎn)。功能隨著計(jì)算機(jī)的發(fā)展，服務(wù)器集中、存儲(chǔ)集中的思想越來(lái)越受到關(guān)注。為了實(shí)現(xiàn)存儲(chǔ)集中，存儲(chǔ)區(qū)域網(wǎng)乃至災(zāi)難備份等要求，需要磁盤系統(tǒng)不僅僅是簡(jiǎn)單的磁盤陣列，而是具有一定功能，如：遠(yuǎn)程數(shù)據(jù)自動(dòng)拷貝、快速磁盤鏡像、多重鏡像等功能的存儲(chǔ)服務(wù)器，來(lái)滿足用戶不斷提高的需求。廠商的售后服務(wù)數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)的可靠性很大程度上依靠存儲(chǔ)設(shè)備，主要是磁盤系統(tǒng)的可靠性。存儲(chǔ)設(shè)備安全性至關(guān)重要，廠商的服務(wù)與技術(shù)支持能力十分重要。目前，業(yè)界普遍采用存儲(chǔ)區(qū)域網(wǎng)（SAN）的方案，主服務(wù)器通過(guò)以太網(wǎng)連接到以太網(wǎng)上，每臺(tái)服務(wù)器同時(shí)另外配置兩塊光纖通道卡，每塊光纖通道卡分別連接到兩臺(tái)光纖交換機(jī)上。IBM的光纖交換機(jī)作為SAN的核心部件，也采用雙配置，作為高可靠的冗余配置。磁盤陣列采用雙光纖通道與光纖交換機(jī)分別相連。這樣，任一臺(tái)服務(wù)器、服務(wù)器上的通道卡、交換機(jī)出現(xiàn)故障，都不會(huì)影響對(duì)存儲(chǔ)設(shè)備的訪問(wèn)。20企 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案2.4IT基礎(chǔ)軟件和系統(tǒng)規(guī)劃操作系統(tǒng)選型規(guī)劃方案根據(jù)對(duì)XXX集團(tuán)的實(shí)際調(diào)研，獲取了企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)情況，隨著企業(yè)信息化建設(shè)的推進(jìn)，需要對(duì)各種信息化管理系統(tǒng)和應(yīng)用系統(tǒng)的服務(wù)器選型進(jìn)行選型規(guī)劃，根據(jù)不同的系統(tǒng)對(duì)服務(wù)XXX集團(tuán)信息化應(yīng)用目標(biāo)是：搭建集成、統(tǒng)一平臺(tái)，規(guī)避流程、規(guī)避風(fēng)險(xiǎn)，實(shí)現(xiàn)高效協(xié)作，有效支撐決策、實(shí)現(xiàn)多維度矩陣管控、實(shí)現(xiàn)無(wú)邊界的信息應(yīng)用。操作系統(tǒng)選型參考和說(shuō)明：類型操作系統(tǒng)選型參考選型說(shuō)明域服務(wù)器/郵件服務(wù)器等企業(yè)IT管理系統(tǒng)WindowsServer系列操作系統(tǒng)建議選用最新版WindowsServer2008R2，Windows管理和使用方便，管理功能豐富中小型業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)RedHatLinux系列操作系統(tǒng)建議選用RedHatLinux企業(yè)高級(jí)平臺(tái)版，Linux操作系統(tǒng)可靠性和安全性相對(duì)較高大型業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)IBMUnix系列操作系統(tǒng)IBMUnix可靠性、安全性和性能是目前企業(yè)級(jí)服務(wù)器操作系統(tǒng)最高的。虛擬化規(guī)劃方案目前虛擬化技術(shù)主要包括服務(wù)器虛擬化、桌面虛擬化和應(yīng)用虛擬化等技術(shù)。服務(wù)器虛擬化技術(shù)讓一臺(tái)物理服務(wù)器可以同時(shí)支持多個(gè)運(yùn)行虛擬機(jī)的工作負(fù)載。管理員可利用虛擬機(jī)將工作負(fù)載（包括一個(gè)操作系統(tǒng)、應(yīng)用組和配置）從物理計(jì)算平臺(tái)中分離出去，這樣就可以實(shí)現(xiàn)一些重要功能，如隔離（在一個(gè)計(jì)算平臺(tái)上安全地運(yùn)行多個(gè)工作負(fù)載）和工作負(fù)載可移植性（在不同的物理計(jì)算平臺(tái)之間遷移工作負(fù)載）。采用更先進(jìn)的服務(wù)器虛擬化平臺(tái)，就可跨物理服務(wù)器快21企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案速遷移正在運(yùn)行的工作負(fù)載。這樣一來(lái)，就可在整個(gè)物理計(jì)算資源池中遷移工作負(fù)載，讓IT部門可以最大限度地使用可用的計(jì)算資源，降低成本，并將應(yīng)用有效、可靠地交付給用戶。桌面虛擬化方案提供一種端到端的桌面管理解決方案?？蓜?dòng)態(tài)按需產(chǎn)生虛擬桌面，該桌面所有的運(yùn)行都發(fā)生在遠(yuǎn)程數(shù)據(jù)中心的機(jī)房里,不用再擔(dān)心數(shù)據(jù)駐留在客戶端導(dǎo)致的安全漏洞。用戶每次登錄時(shí)都能獲得一個(gè)干凈的、個(gè)性化的全新桌面—一從而確保性能不會(huì)下降。虛擬桌面是一個(gè)桌面的操作系統(tǒng)，是運(yùn)行在服務(wù)器上的虛擬操作系統(tǒng)。在虛擬桌面模式下，每個(gè)人獨(dú)享自己的操作系統(tǒng)。將桌面操作系統(tǒng)虛擬化帶來(lái)很多好處，包括：信息保存在數(shù)據(jù)中心保證了數(shù)據(jù)的安全性；桌面的性能能夠得到提升，因?yàn)樗蛻?yīng)用后端的服務(wù)器都運(yùn)行在數(shù)據(jù)中心；桌面可以分享最新最強(qiáng)大的服務(wù)器硬件；可以從任何地點(diǎn)遠(yuǎn)程訪問(wèn)桌面；維護(hù)桌面的費(fèi)用大大降低。應(yīng)用虛擬化技術(shù)是一種可將應(yīng)用與底層系統(tǒng)隔離的技術(shù)。采用應(yīng)用虛擬化技術(shù)，應(yīng)用可直接在用戶桌面系統(tǒng)上隔離運(yùn)行或通過(guò)在用戶桌面上顯示應(yīng)用界面而在服務(wù)器上遠(yuǎn)程運(yùn)行，而不管用戶采用的是哪種底層平臺(tái)或操作系統(tǒng)。目前主流的虛擬化解決方案廠商有IBM、VmWare、微軟、Citrix等，選型時(shí)主要考慮產(chǎn)品的可靠性、性能指標(biāo)、功能性和兼容性等。IBM和VmWare在服務(wù)器虛擬化方面比較知名，而Citrix在桌面虛擬化和應(yīng)用虛擬化（遠(yuǎn)程接入）方面的解決方案相對(duì)其他廠商比較成熟。2.4.3數(shù)據(jù)庫(kù)選型規(guī)劃方案數(shù)據(jù)庫(kù)作為企業(yè)IT集成架構(gòu)的重要組成部分，在數(shù)據(jù)庫(kù)的選擇上通過(guò)開放性、可伸縮懷和并行性、安全認(rèn)證、性能、操作簡(jiǎn)易程度以及使用風(fēng)險(xiǎn)來(lái)選擇數(shù)據(jù)庫(kù)。、開放性SQLServer只能在windows上運(yùn)行，沒有絲毫的開放性，操作系統(tǒng)的系統(tǒng)的穩(wěn)定對(duì)數(shù)據(jù)庫(kù)是十分重要的。Windows9X系列產(chǎn)品是偏重于桌面應(yīng)用，NTserver只適合中小型企業(yè)。而且windows平臺(tái)的可靠性，安全性和伸縮性是非常有限的。它不像Unix那樣久經(jīng)考驗(yàn)，尤其是在處理大數(shù)據(jù)庫(kù)。22企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Oracle能在所有主流平臺(tái)上運(yùn)行（包括windows）。完全支持所有的工業(yè)標(biāo)準(zhǔn)。采用完全開放策略?？梢允箍蛻暨x擇最適合的解決方案。對(duì)開發(fā)商全力支持。SybaseASE能在所有主流平臺(tái)上運(yùn)行（包括windows）。但由于早期Sybase與OS集成度不高，因此VERSION11.9.2以下版本需要較多OS和DB級(jí)補(bǔ)丁。在多平臺(tái)的混合環(huán)境中，會(huì)有一定問(wèn)題。DB2能在所有主流平臺(tái)上運(yùn)行（包括windows）。最適于海量數(shù)據(jù)。DB2在企業(yè)級(jí)的應(yīng)用最為廣泛二、可伸縮性，并行性SQLserver并行實(shí)施和共存模型并不成熟，很難處理日益增多的用戶數(shù)和數(shù)據(jù)卷，伸縮性有限。Oracle并行服務(wù)器通過(guò)使一組結(jié)點(diǎn)共享同一簇中的工作來(lái)擴(kuò)展window的能力，提供高可用性和高伸縮性的簇的解決方案。如果windows不能滿足需要，用戶可以把數(shù)據(jù)庫(kù)移植到Unix/Linux中。Oracle的并行服務(wù)器對(duì)各種Unix/Linux平臺(tái)的集群機(jī)制都有著相當(dāng)高的集成度。SybaseASE雖然有DBSWITCH來(lái)支持其并行服務(wù)器，但DBSWITCH在技術(shù)層面還未成熟，且只支持版本12.5以上的ASESERVERoDBSWITCH技術(shù)需要一臺(tái)服務(wù)器充當(dāng)SWITCH，從而在硬件上帶來(lái)一些麻煩。DB2具有很好的并行性。DB2把數(shù)據(jù)庫(kù)管理擴(kuò)充到了并行的、多節(jié)點(diǎn)的環(huán)境。數(shù)據(jù)庫(kù)分區(qū)是數(shù)據(jù)庫(kù)的一部分，包含自己的數(shù)據(jù)、索引、配置文件、和事務(wù)日志。數(shù)據(jù)庫(kù)分區(qū)有時(shí)被稱為節(jié)點(diǎn)安全性。三、安全認(rèn)證SQLserver沒有獲得任何安全證書。OracleServer獲得最高認(rèn)證級(jí)別的ISO標(biāo)準(zhǔn)認(rèn)證。SybaseASE23獲得最高認(rèn)證級(jí)別的ISO標(biāo)準(zhǔn)認(rèn)證。DB2獲得最高認(rèn)證級(jí)別的ISO標(biāo)準(zhǔn)認(rèn)證。四、性能SQLServer多用戶時(shí)性能不佳Oracle性能最高，保持開放平臺(tái)下的TPC-D和TPC-C的世界記錄。SybaseASE性能接近于SQLServer，但在UNIX平臺(tái)下的并發(fā)性要優(yōu)與SQLServer。DB2性能較高適用于數(shù)據(jù)倉(cāng)庫(kù)和在線事物處理。五、客戶端支持及應(yīng)用模式SQLServerC/S結(jié)構(gòu)，只支持windows客戶，可以用ADO、DAO、OLEDB、ODBC連接。Oracle多層次網(wǎng)絡(luò)計(jì)算，支持多種工業(yè)標(biāo)準(zhǔn)，可以用ODBC、JDBC、OCI等網(wǎng)絡(luò)客戶連接。SybaseASEC/S結(jié)構(gòu)，可以用ODBC、Jconnect、Ct-library等網(wǎng)絡(luò)客戶連接。DB2跨平臺(tái)，多層結(jié)構(gòu)，支持ODBC、JDBC等客戶。六、操作簡(jiǎn)便SQLServer操作簡(jiǎn)單，但只有圖形界面。Oracle較復(fù)雜，同時(shí)提供GUI和命令行，在Windows和Unix/Linux下操作相同。SybaseASE24較復(fù)雜，同時(shí)提供GUI和命令行。但GUI較差，常常無(wú)法及時(shí)狀態(tài)，建議使用命令行。DB2操作簡(jiǎn)單，同時(shí)提供GUI和命令行，在windows和unix下操作相同。七、使用風(fēng)險(xiǎn)SQLserver完全重寫的代碼，經(jīng)歷了長(zhǎng)期的測(cè)試，不斷延遲，許多功能需要時(shí)間來(lái)證明。并不十分兼容。Oracle長(zhǎng)時(shí)間的開發(fā)經(jīng)驗(yàn)，完全向下兼容。得到廣泛的應(yīng)用。完全沒有風(fēng)險(xiǎn)。SybaseASE向下兼容，但是ct-library程序不益移植。DB2在巨型企業(yè)得到廣泛的應(yīng)用，向下兼容性好。風(fēng)險(xiǎn)小。綜合以上分析，企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)建議采用最新版Oracle11G數(shù)據(jù)庫(kù)。2.4.4數(shù)據(jù)安全和備份規(guī)劃數(shù)據(jù)安全主要包含兩部分，一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等，二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)防護(hù)，如通過(guò)磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。）數(shù)據(jù)安全認(rèn)證規(guī)劃企業(yè)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)安全認(rèn)證需求主要有以下幾方面：身份認(rèn)證和訪問(wèn)控制：身份認(rèn)證分為兩個(gè)方面，一方面是對(duì)應(yīng)用系統(tǒng)站點(diǎn)的認(rèn)證，確保用戶訪問(wèn)的是真實(shí)的應(yīng)用服務(wù)器；另一方面是對(duì)應(yīng)用系統(tǒng)客戶端的身份證，必須嚴(yán)格控制并識(shí)別應(yīng)用系統(tǒng)用戶的身份，登錄到業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的人必須是相關(guān)業(yè)務(wù)人員，凡非相關(guān)人員，系統(tǒng)拒絕其訪問(wèn)；機(jī)密性：在應(yīng)用系統(tǒng)客戶端與服務(wù)器端交換的信息必須是經(jīng)過(guò)加密后才傳輸?shù)模荒鼙桓`?。粩?shù)據(jù)完整性：在應(yīng)用系統(tǒng)傳輸?shù)臄?shù)據(jù)必須有必要的完整性校驗(yàn)機(jī)制，不能被惡意竄改；比25如不能將原本為10萬(wàn)元的支付數(shù)據(jù)篡改成1萬(wàn)元或100萬(wàn)元再對(duì)外支付；不可抵賴性：必須確保支付或其它在應(yīng)用系統(tǒng)提交的請(qǐng)求是不允許抵賴的，同時(shí)必須有相應(yīng)的技術(shù)保證數(shù)據(jù)的源發(fā)性，出現(xiàn)越軌操作，系統(tǒng)能提供事后追蹤、審核及統(tǒng)計(jì)的手段。針對(duì)以上的數(shù)據(jù)安全認(rèn)證需求，推薦基于智能鑰匙認(rèn)證（PKI技術(shù)）的解決方案，金蝶合作伙伴天威誠(chéng)信的產(chǎn)品和服務(wù)都是基于PKI技術(shù)構(gòu)建，天威誠(chéng)信安全認(rèn)證及數(shù)字簽名綜合解決方案可以解決以下四個(gè)方面的安全問(wèn)題：數(shù)字簽名對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行簽名，保證機(jī)密性、完整性和不可抵賴性；安全訪問(wèn)用于登錄應(yīng)用系統(tǒng)，替換掉原有安全級(jí)別較低的“用戶名/口令”方式，防止非授權(quán)用戶的惡意攻擊，同時(shí)不能破壞應(yīng)用系統(tǒng)原有的權(quán)限管理機(jī)制。安全訪問(wèn)就是讓企業(yè)的員工能方便的在任何地方通過(guò)互聯(lián)網(wǎng)安全地訪問(wèn)企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機(jī)密數(shù)據(jù)；信息加密通過(guò)高強(qiáng)度的加密算法形成安全的SSL加密通道，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒉荒鼙坏谌礁`??；>技術(shù)和法律層面的雙重保障抗抵賴性天威誠(chéng)信數(shù)字證書實(shí)現(xiàn)的數(shù)字簽名技術(shù)可以通過(guò)目前最安全的PKI技術(shù)上實(shí)現(xiàn)抗抵賴的功能。但是，在現(xiàn)時(shí)生活中，真正能夠裁決是否發(fā)生了抵賴行為，只有法院的仲裁才能夠最終定性。在2005年中華人民共和國(guó)《電子簽名法》頒布以后，法律上規(guī)定：只有得到信息產(chǎn)業(yè)部頒發(fā)的《電子認(rèn)證服務(wù)許可證》的數(shù)字認(rèn)證機(jī)構(gòu)，其所頒發(fā)的數(shù)字證書在電子商務(wù)中的數(shù)字簽名才能夠得到法律的認(rèn)可和保護(hù)。天威誠(chéng)信率先從信息產(chǎn)業(yè)部獲得該資質(zhì)，因此，應(yīng)用系統(tǒng)用戶使用天威誠(chéng)信提供的數(shù)字證書實(shí)現(xiàn)的電子簽名是合乎法律要求的抗抵賴證據(jù)，從而使應(yīng)用系統(tǒng)的電子化簽名和手寫簽名一樣得到法律的認(rèn)可，可以作為法律上有效的證據(jù)，結(jié)束了電子化信息系統(tǒng)重要數(shù)據(jù)的“無(wú)據(jù)可依”，“無(wú)法可依”的現(xiàn)狀。因此，通過(guò)此方式，用戶能夠?qū)崿F(xiàn)技術(shù)和法律層面的雙重保障。2）數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)存儲(chǔ)的安全是指數(shù)據(jù)庫(kù)在系統(tǒng)運(yùn)行之外的可讀性，企業(yè)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)安全的需求主要有以下幾方面：26

>諸如、格翰姆―布萊利法和巴塞爾協(xié)議II等法規(guī)要求企業(yè)內(nèi)部要有強(qiáng)健的內(nèi)部控制和職責(zé)分離；針對(duì)當(dāng)今非常關(guān)心的內(nèi)部威脅要求強(qiáng)制執(zhí)行操作安全策略一一規(guī)范何人、何時(shí)、何地能夠處理數(shù)據(jù)；數(shù)據(jù)庫(kù)整合策略要求防止數(shù)據(jù)庫(kù)管理員訪問(wèn)應(yīng)用程序的數(shù)據(jù)。針對(duì)以上的數(shù)據(jù)存儲(chǔ)安全需求，推薦OracleDatabaseVault解決方案，解決方案的要點(diǎn)如下：對(duì)授權(quán)用戶的控制限制數(shù)據(jù)庫(kù)管理員訪問(wèn)應(yīng)用程序的數(shù)據(jù)提供職責(zé)分離的功能保證數(shù)據(jù)庫(kù)和信息整合的安全性執(zhí)行數(shù)據(jù)訪問(wèn)的安全策略控制何人、何時(shí)、何地以及如何訪問(wèn)數(shù)據(jù)可根據(jù)IP地址、時(shí)間或授權(quán)等情況作出訪問(wèn)決定已通過(guò)針對(duì)PeopleSoft的認(rèn)證IjJfiiiSQLTIus的訪問(wèn)IjJfiiiSQLTIus的訪問(wèn)數(shù)據(jù)庫(kù)管理員授權(quán)的應(yīng)用程序 屈用程序用戶■所有者■ FDataVault安全性保護(hù)數(shù)據(jù)庫(kù)和應(yīng)用程序273）數(shù)據(jù)備份規(guī)劃一個(gè)完整的數(shù)據(jù)備份和災(zāi)難恢復(fù)方案，應(yīng)包括備份硬件，備份軟件，備份計(jì)劃和災(zāi)難恢復(fù)計(jì)劃四個(gè)部分。備份硬件目前比較流行的解決方法包括硬盤介質(zhì)存儲(chǔ)，光學(xué)介質(zhì)和磁帶/磁帶機(jī)存儲(chǔ)技術(shù)。硬盤存儲(chǔ)費(fèi)用比較高，光學(xué)介質(zhì)的訪問(wèn)速度慢，且容量較小。通常情況下，大容量網(wǎng)絡(luò)備份用戶主要使用磁帶設(shè)備進(jìn)行備份。磁帶備份具有如下優(yōu)勢(shì)：容量大并可靈活配置，速度適中，介質(zhì)保存周期長(zhǎng)，成本低，數(shù)據(jù)安全性高，可實(shí)現(xiàn)無(wú)人操作的自動(dòng)備份等。備份軟件目前主流的備份軟件有，IBM的Tivoli（TSM），HP的OpenView，Veritas公司的NetBackup，Legato公司的NetWorker，CA的ARCserve等。客戶可以根據(jù)實(shí)際情況選擇合適的備份軟件。備份計(jì)劃/策略從備份策略來(lái)講，現(xiàn)在的備份可分為三種：完全備份、增量備份、差異備份、累加備份策略。下面來(lái)討論以下這幾種備份方式：完全備份就是拷貝指定計(jì)算機(jī)或文件系統(tǒng)上的所有文件，而不管它是否被改變。增量備份就是只備份在上一次備份后增加、改動(dòng)的部分?jǐn)?shù)據(jù)。增量備份可分為多級(jí)，每一次增量都源自上一次備份后的改動(dòng)部分。差異備份就是只備份在上一次完全備份后有變化的部分?jǐn)?shù)據(jù)。如果只存在兩次備份，則增量備份和差異備份內(nèi)容一樣。累加備份采用數(shù)據(jù)庫(kù)的管理方式，記錄累積每個(gè)時(shí)間點(diǎn)的變化，并把變化后的值備份到相應(yīng)的數(shù)組中，這種備份方式可恢復(fù)到指定的時(shí)間點(diǎn)。一般在使用過(guò)程中，這幾種策略常結(jié)合使用，常用的方法有：完全備份、完全備份加增量備份、完全備份加差異備份、完全備份加累加備份。用戶根據(jù)自身業(yè)務(wù)和災(zāi)難恢復(fù)的要求，選擇備份策略。原則上建議至少每周對(duì)關(guān)鍵數(shù)據(jù)做一次完全備份，一周其它時(shí)間每天做增量備份或差異備份，備份每天數(shù)據(jù)。如果數(shù)據(jù)丟失，可以恢復(fù)到前一天的數(shù)據(jù)狀態(tài)，否則有丟失數(shù)據(jù)的危險(xiǎn)。災(zāi)難恢復(fù)災(zāi)難恢復(fù)在整個(gè)備份中占有重要地位。因?yàn)樗P(guān)系到系統(tǒng)、軟件與數(shù)據(jù)在經(jīng)歷災(zāi)難后能否快速、28準(zhǔn)確地恢復(fù)。全盤恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難，導(dǎo)致數(shù)據(jù)全部丟失，也稱為系統(tǒng)恢復(fù)。有些廠商還推出了擁有單鍵恢復(fù)功能的磁帶機(jī)，只需用系統(tǒng)盤引導(dǎo)機(jī)器啟動(dòng)，將磁帶插入磁帶機(jī)，按動(dòng)一個(gè)鍵即可恢復(fù)整個(gè)系統(tǒng)。為了應(yīng)用系統(tǒng)的數(shù)據(jù)安全，建議購(gòu)買專業(yè)的備份軟件和硬件，并要求客戶必須對(duì)每天的應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行備份。2.4.5統(tǒng)一身份安全認(rèn)證規(guī)劃隨著企業(yè)的迅速發(fā)展，各種應(yīng)用系統(tǒng)和用戶數(shù)量的不斷增加，信息安全問(wèn)題愈見突出，原有分散在各應(yīng)用系統(tǒng)中的賬號(hào)、權(quán)限、認(rèn)證、審計(jì)方面的安全措施已不能滿足企業(yè)目前及未來(lái)業(yè)務(wù)系統(tǒng)發(fā)展的要求。如下圖所示，主要問(wèn)題表現(xiàn)在以下方面：最終用戶：需要記憶各系統(tǒng)的訪問(wèn)賬號(hào)和口令;在各系統(tǒng)間切換時(shí)需要再次輸入用戶名和口令。給用戶的工作帶來(lái)不便，影響了工作效率；管理員：各系統(tǒng)的賬號(hào)需要單獨(dú)維護(hù)，工作量大，維護(hù)麻煩，工作效率不高，而且容易出錯(cuò)，導(dǎo)致用戶無(wú)法正常訪問(wèn)或出現(xiàn)后門賬號(hào)導(dǎo)致安全問(wèn)題；不便于統(tǒng)一安全策略的實(shí)施；審計(jì)員：各系統(tǒng)獨(dú)立維護(hù)，不便于做關(guān)聯(lián)分析，不便于及時(shí)發(fā)現(xiàn)安全問(wèn)題；最終用戶 管理員 審計(jì)員根據(jù)現(xiàn)狀分析，一方面增加了各個(gè)應(yīng)用系統(tǒng)的維護(hù)和管理人員的工作負(fù)擔(dān)，工作效率不高；另一方面無(wú)法對(duì)各業(yè)務(wù)系統(tǒng)實(shí)施統(tǒng)一的安全策略，增大了安全漏洞存在的幾率，降低了業(yè)務(wù)系統(tǒng)的安全性。統(tǒng)一身份安全認(rèn)證平臺(tái)通過(guò)對(duì)賬號(hào)、授權(quán)、認(rèn)證和審計(jì)的集中管理，達(dá)到對(duì)安全運(yùn)維過(guò)程進(jìn)29行集中統(tǒng)一的控制，使操作行為和維護(hù)行為可以審計(jì)。如下圖所示，主要達(dá)成了如下目標(biāo):將各應(yīng)用系統(tǒng)中的賬號(hào)進(jìn)行統(tǒng)一管理和控制；提供統(tǒng)一的安全訪問(wèn)入口，實(shí)現(xiàn)系統(tǒng)間單點(diǎn)登陸；實(shí)施統(tǒng)一的安全策略，進(jìn)行集中控制和管理，可對(duì)接第三方認(rèn)證組件；對(duì)關(guān)鍵數(shù)據(jù)和操作行為進(jìn)行統(tǒng)一管理和審計(jì)，及時(shí)發(fā)現(xiàn)安全隱患。最終用戶管理員審計(jì)員最終用戶管理員審計(jì)員針對(duì)企業(yè)對(duì)各信息系統(tǒng)實(shí)現(xiàn)統(tǒng)一身份安全認(rèn)證的需求，推薦采用基于金蝶BOS或金蝶中間件的統(tǒng)一身份安全認(rèn)證解決方案。統(tǒng)一身份安全認(rèn)證解決方案主要實(shí)現(xiàn)以下幾點(diǎn)：1）建設(shè)企業(yè)門戶Portal，主要實(shí)現(xiàn)各信息系統(tǒng)相關(guān)數(shù)據(jù)的整合展示和企業(yè)用戶統(tǒng)一登錄入口。Portal即企業(yè)門戶，是一個(gè)基于web的應(yīng)用程序，它主要提供個(gè)性化、單點(diǎn)登錄、不同來(lái)源的內(nèi)容整合以及存放信息系統(tǒng)的表示層。Portal是組織的信息、應(yīng)用、服務(wù)的統(tǒng)一訪問(wèn)平臺(tái)，它為員工、客戶、合作伙伴提供個(gè)性化、集成化的信息訪問(wèn)服務(wù)。同時(shí)，對(duì)于組織的IT架構(gòu)，Portal是一個(gè)標(biāo)準(zhǔn)的、可擴(kuò)展的Web應(yīng)用基礎(chǔ)框架，它提供面向服務(wù)的界面開發(fā)思想及標(biāo)準(zhǔn)化、可重用的界面開發(fā)方法，是組織應(yīng)用的快速接入平臺(tái)，也是完整SOA支持平臺(tái)不可或缺的重要構(gòu)件。金蝶BOSPortal提供了一個(gè)全面的平臺(tái),用于創(chuàng)建包括組織內(nèi)部門戶、移動(dòng)門戶。BOSPortal建立于業(yè)界領(lǐng)先的金蝶BusinessOperatingSystem（簡(jiǎn)稱BOS）平臺(tái)上，繼承了金蝶BOS優(yōu)秀的跨30

企業(yè)IT企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案平臺(tái)技術(shù)體系，向下支持Apusic、WebLogic和WebSphere等多種應(yīng)用服務(wù)器，Oracle、DB2和SqlServer等多種數(shù)據(jù)庫(kù)。BOSPortal簡(jiǎn)化用戶對(duì)應(yīng)用的訪問(wèn)，提高用戶對(duì)信息的使用效率，改善用戶的使用體驗(yàn)；并為組織提供一個(gè)標(biāo)準(zhǔn)的、可擴(kuò)展的應(yīng)用接入平臺(tái)，幫助組織快速構(gòu)建應(yīng)用，以提升組織的IT應(yīng)變能力，快速適應(yīng)組織業(yè)務(wù)和戰(zhàn)略需求。簡(jiǎn)言之，就是要使信息、應(yīng)用的訪問(wèn)和構(gòu)建都更簡(jiǎn)單、高效、輕松、愉悅。集成服務(wù)展示引擎基礎(chǔ)服務(wù)協(xié)同應(yīng)用短信商業(yè)分析HR應(yīng)用整合里務(wù)色彩方案WEB設(shè)計(jì)工具Portlet管理頁(yè)簽管理管理門戶角色門戶移動(dòng)門戶供應(yīng)商門戶即時(shí)梢息開發(fā)服務(wù)管理服務(wù)內(nèi)容管理門戶管理集成服務(wù)展示引擎基礎(chǔ)服務(wù)協(xié)同應(yīng)用短信商業(yè)分析HR應(yīng)用整合里務(wù)色彩方案WEB設(shè)計(jì)工具Portlet管理頁(yè)簽管理管理門戶角色門戶移動(dòng)門戶供應(yīng)商門戶即時(shí)梢息開發(fā)服務(wù)管理服務(wù)內(nèi)容管理門戶管理EASPortalServer企業(yè)領(lǐng)搜索引擎單點(diǎn)登錄BOSPortal架構(gòu)圖BOSPortal完全遵循/支持JAAS、LDAP等國(guó)際標(biāo)準(zhǔn)和規(guī)范，具有良好的擴(kuò)展性和延續(xù)性，同時(shí)，也讓產(chǎn)品與其他系統(tǒng)的交互更加簡(jiǎn)便，尤其有利于跨組織的業(yè)務(wù)協(xié)同和信息集成。2）實(shí)現(xiàn)企業(yè)各信息系統(tǒng)的單點(diǎn)登錄。SSO即所謂單點(diǎn)登錄，用戶在一處登錄后訪問(wèn)其他相互信任的應(yīng)用系統(tǒng)時(shí)不需要再次輸入用戶名和口令，即可完成身份驗(yàn)證。金蝶BOSPortalSSO是基于CASSSO的擴(kuò)展，繼承YCASSSO的所有特性和優(yōu)點(diǎn)，如N層資源保護(hù)、支持多種資源保護(hù)。31

KmgdeeI/用廠憑證遠(yuǎn)程校曲企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案.4委行第二方 >第三方認(rèn)證莊戶數(shù)據(jù)

同步和映射12重定.：,3.到聾口KBOS認(rèn)記'IKmgdeeI/用廠憑證遠(yuǎn)程校曲企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案.4委行第二方 >第三方認(rèn)證莊戶數(shù)據(jù)

同步和映射12重定.：,3.到聾口KBOS認(rèn)記'I訪向BCSPortaBOSPorta和應(yīng)用八BOSPORTALSSO認(rèn)證體系結(jié)構(gòu)在用戶數(shù)據(jù)存儲(chǔ)上，BOSPortal支持LDAP（輕量級(jí)目錄訪問(wèn)協(xié)議）和關(guān)系型數(shù)據(jù)庫(kù)兩種存儲(chǔ)方式，集中存放、管理和獲取用戶身份基礎(chǔ)數(shù)據(jù)信息。BOSPORTAL缺省提供用戶數(shù)據(jù)導(dǎo)入導(dǎo)出管理工具，可以通過(guò)后臺(tái)事務(wù)自動(dòng)定期從DirectoryServer/DB單行同步到BOSPORTAL，或者通過(guò)界面導(dǎo)入導(dǎo)出手工實(shí)現(xiàn)同步。BOSPORTAL充分考慮到各個(gè)組織對(duì)安全性及認(rèn)證靈活性上的要求提供了多種單點(diǎn)登錄認(rèn)證方案,包括如下認(rèn)證方案：傳統(tǒng)用戶認(rèn)證方案域認(rèn)證方案微軟域認(rèn)證方案LTPA認(rèn)證方案CAS集成方案委托第三方系統(tǒng)認(rèn)證3）實(shí)現(xiàn)企業(yè)各信息系統(tǒng)用戶的安全認(rèn)證。32

Kingdee安全認(rèn)證是指信息系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問(wèn)系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過(guò)程。企業(yè)ITKingdee安全認(rèn)證是指信息系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問(wèn)系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過(guò)程。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案目前，安全認(rèn)證的方法和形式多種多樣，通常在實(shí)際應(yīng)用中常用的安全認(rèn)證的方式主要有口令密碼、動(dòng)態(tài)密碼卡、智能鑰匙、指紋、數(shù)字證書、條碼卡等。而且，很多系統(tǒng)為了提高安全性，其采用的安全認(rèn)證方式是上述多種方法的組合，以下主要推薦動(dòng)態(tài)密碼卡安全認(rèn)證解決方案。日常的工作中越來(lái)越依靠各種軟件系統(tǒng)，內(nèi)部系統(tǒng)的登錄主要依靠靜態(tài)密碼，由于靜態(tài)密碼基本上固定不變，存在著如下的安全隱患：（1）用戶在輸入密碼時(shí)容易被人偷看或者攝像機(jī)記錄；（2）用戶的密碼容易在傳輸?shù)倪^(guò)程中被軟件截??；（3）用戶的密碼一般有一定的規(guī)律性，容易被猜測(cè)；（4）用戶的密碼長(zhǎng)期不變，容易泄漏；（5）病毒，木馬程序的惡意盜取；（6）內(nèi)部的防范意識(shí)不強(qiáng)，內(nèi)部員工的惡意操作；（7）因?yàn)楣ぷ餍枰?，告訴同事密碼，事后忘記修改。雖然在一個(gè)單位內(nèi)部的系統(tǒng)相對(duì)比較安全，但一旦密碼被盜，特別是一些重要的用戶密碼被盜，如單位的領(lǐng)導(dǎo)，財(cái)務(wù)等，那么造成的損失將是巨大的，這樣的情況并不少見。使用動(dòng)態(tài)密碼的投入不大，可以有效的防范因?yàn)殪o態(tài)密碼泄漏造成的風(fēng)險(xiǎn)，保證系統(tǒng)的安全。認(rèn)證流程如下圖所示。3333認(rèn)證流程圖4）實(shí)現(xiàn)移動(dòng)門戶。隨著手機(jī)等移動(dòng)終端設(shè)備的普及應(yīng)用，越來(lái)越多的日常事務(wù)要求直接通過(guò)手機(jī)等移動(dòng)終端完成，在這種應(yīng)用趨勢(shì)下，移動(dòng)門戶誕生。用戶可以通過(guò)移動(dòng)終端設(shè)備登錄Portal，處理待處理審批流程。2.4.6企業(yè)計(jì)算機(jī)和用戶管理方案企業(yè)計(jì)算機(jī)和用戶管理，采用WindowsServer2008的ActiveDirectory活動(dòng)目錄方案是最佳選擇，ActiveDirectory提供了一種方式，用于管理組成組織網(wǎng)絡(luò)的標(biāo)識(shí)和關(guān)系。ActiveDirectory與WindowsServer2008R2的集成，為我們帶來(lái)了開箱即用的功能，通過(guò)這些功能我們可以集中配置和管理系統(tǒng)、用戶和應(yīng)用程序設(shè)置。ActiveDirectory域服務(wù)（ADDS，ActiveDirectoryDomainServices）存儲(chǔ)目錄數(shù)據(jù)，管理用戶和域之間的通信，包括用戶登錄過(guò)程、身份驗(yàn)證，以及目錄搜索。此外還集成其它角色，為我們帶來(lái)了標(biāo)識(shí)和訪問(wèn)控制特性和技術(shù)，這些特性提供了一種集中管理身份信息的方式，以及只允許合法用戶訪問(wèn)設(shè)備、程序和數(shù)據(jù)的技術(shù)?；顒?dòng)目錄是Windows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)?；顒?dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)?？偟膩?lái)說(shuō)，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無(wú)需管理員來(lái)維護(hù)各種不同的專用目錄。活動(dòng)目錄提供了對(duì)基于Windows的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對(duì)非Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用?；顒?dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動(dòng)目錄成為各種應(yīng)用軟34件的中心。WindowsClients—■Mgmrtprofile■Networkinfo■Policy* ■Accountinfo■Priuleges■Profile,Policy啊ndnws"ru日「事iMhdcwBWindowsUsers■Printers■Fileshares■PolicyOtherNOS■Umwrregistry件的中心。WindowsClients—■Mgmrtprofile■Networkinfo■Policy* ■Accountinfo■Priuleges■Profile,Policy啊ndnws"ru日「事iMhdcwBWindowsUsers■Printers■Fileshares■PolicyOtherNOS■Umwrregistry■Security■PolityE-MailServers■Mailboxinfo■Addressbook制ActiveDirectoryAFocalPointror:■Manageability■Securit/.InteroperabilitvFi「cwYISEruiccw■VPNpolicy■Configuration■SecurityPolicy■■..InternetNetworkDeul收w-Configurartion-QnSpolicy■SecuritypelityRpclicartimm■Serverconfig■SingleSign-On■App-specificdirectoryinfo■PolicyOther□ircctoriE3■Whitepages■E-Corimerce通過(guò)上圖，可見Windows2008Server的核心是一組基于ActiveDirectory（目錄服務(wù)，簡(jiǎn)稱企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案“AD”）的基礎(chǔ)結(jié)構(gòu)服務(wù)。Windows2008AD簡(jiǎn)化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用Windows2008AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處:> 系統(tǒng)平臺(tái)基礎(chǔ)架構(gòu)基于Windows2008AD規(guī)劃網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，使企業(yè)獲得一個(gè)穩(wěn)定、可擴(kuò)充的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。不單單是滿足當(dāng)前的網(wǎng)絡(luò)需要，更關(guān)鍵的是預(yù)計(jì)了今后3-5年內(nèi)可能的發(fā)展需要，使得將來(lái)的網(wǎng)絡(luò)規(guī)劃建設(shè)無(wú)需再次重復(fù)投資。>單一登錄可以統(tǒng)一用戶帳戶設(shè)置和用戶身份驗(yàn)證，實(shí)現(xiàn)用戶單一登錄，用戶訪問(wèn)網(wǎng)絡(luò)中的資源不再需要反復(fù)輸入用戶名稱和口令。同時(shí)，它還是企業(yè)應(yīng)用集成的基礎(chǔ)?；贏D的單一登錄功能，便于實(shí)現(xiàn)在不同程序之間的協(xié)作和集成應(yīng)用。>網(wǎng)絡(luò)安全可以基于AD，集中設(shè)置和統(tǒng)一管理用戶、組、資源的操作權(quán)限，方便維護(hù)管理。35＞ 集中管理和委派授權(quán)基于Windows2008活動(dòng)目錄OU實(shí)施委派授權(quán)管理，未來(lái)向下屬企業(yè)推廣時(shí)，分級(jí)維護(hù)，集團(tuán)各部門、下屬公司可以對(duì)所轄范圍內(nèi)的部分參數(shù)進(jìn)行維護(hù)，如增加用戶、設(shè)置權(quán)限、增加欄目、自定義流程等。＞用戶桌面管理通過(guò)規(guī)劃部署Windows2008OU和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實(shí)現(xiàn)對(duì)客戶計(jì)算機(jī)的集中控制管理，加強(qiáng)信息管理的安全可靠性。＞軟件自動(dòng)分發(fā)通過(guò)規(guī)劃部署Windows2008OU和組策略，還可以實(shí)現(xiàn)應(yīng)用程序的自動(dòng)分發(fā)、升級(jí)和刪除，不但可以實(shí)現(xiàn)客戶機(jī)軟件的統(tǒng)一安裝管理，而且大大減輕了軟件安裝配置的工作量。根據(jù)一般集團(tuán)公司的管理結(jié)構(gòu)。本方案采用Windows系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團(tuán)按公司單位劃分不同的模塊，集團(tuán)總部作為域林的根，每個(gè)子公司為一個(gè)獨(dú)立的域或者域樹，形成一個(gè)完整的樹狀結(jié)構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少?gòu)?fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢時(shí)間。具體的實(shí)現(xiàn)如下圖：36企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案根域:a子公司1:團(tuán)總部分公司:同一個(gè)站個(gè)司:森林子公司3:子公司4:在此構(gòu)架設(shè)計(jì)中，集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹，子公司作為總部的子域，分公司可以考慮作為一單獨(dú)的域樹，由于所有的資源都位于局域網(wǎng)內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個(gè)站點(diǎn)內(nèi)。即使域中的一臺(tái)域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運(yùn)行。并且提高了用戶身份驗(yàn)證的速度。操作主機(jī)分配：操作主機(jī)域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2008的域中，一共有五種操作主機(jī)，分別是構(gòu)架主機(jī)，域名主機(jī)，RID主機(jī)，PDC仿真器，結(jié)構(gòu)主機(jī)。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用YWindows系統(tǒng)默認(rèn)的設(shè)置，根域中第兩臺(tái)DC承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的第一臺(tái)DC承擔(dān)了域范圍內(nèi)的三種操作主機(jī)角色。系統(tǒng)管理設(shè)計(jì)：在系統(tǒng)設(shè)計(jì)時(shí)包括三個(gè)部分，分別是OU，用戶及組的設(shè)計(jì)，為了更好的滿足集團(tuán)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。OU的設(shè)計(jì)：集團(tuán)的OU設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。在本方案中按部門劃分OU的方法，將每個(gè)公司中以部門為單37位創(chuàng)建OU,并在部門OU中保存該部門的用戶帳戶，計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門。用戶管理：為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門的OU中創(chuàng)建。組的管理：為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用AGDLP策略及AGUDLP策略。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以企業(yè)郵件系統(tǒng)選型規(guī)劃方案目前企業(yè)郵箱的建設(shè)一般有兩種途徑可以選擇：1）企業(yè)內(nèi)部自建郵件服務(wù)器，然后通過(guò)互聯(lián)網(wǎng)域名進(jìn)行發(fā)布。選型參考：MicrosoftExchange系統(tǒng)，MicrosoftExchange是微軟出品的電子郵件和協(xié)作系統(tǒng)，它通過(guò)電子郵件來(lái)交換信息，實(shí)現(xiàn)工作組成員間的相互協(xié)作。MicrosoftExchange支持SMTP、POP3、IMAP4等多種協(xié)議，是被眾多國(guó)內(nèi)企業(yè)采用的一種流行的電子郵件系統(tǒng)。能夠與WindowsAD域完美的結(jié)合，并支持Http訪問(wèn)、簡(jiǎn)單的圖形化管理工具。部署方案參考：如下圖38

企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案用廣電小的時(shí)恢■臺(tái)服務(wù)器求擔(dān)所:行榭件版勢(shì)角色堂FtEicliunge迎舊服務(wù)器擔(dān)什客戶端訪問(wèn)、中央代輸、嘏箱存悌三個(gè)用色為EMhllLlR”企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案用廣電小的時(shí)恢■臺(tái)服務(wù)器求擔(dān)所:行榭件版勢(shì)角色堂FtEicliunge迎舊服務(wù)器擔(dān)什客戶端訪問(wèn)、中央代輸、嘏箱存悌三個(gè)用色為EMhllLlR”提供身的:公川觀黑如大后T把咨戶崩訪問(wèn)和中止ft輸眼勢(shì)黯分離出來(lái),共同負(fù)氯大量用戶kxchun^c2M711,見傳輸服務(wù)器F.tcMn甥知布摭:公川觀黑如大后T把咨戶崩訪問(wèn)和中止ft輸眼勢(shì)黯分離出來(lái),共同負(fù)氯大量用戶kxchun^c2M711,見傳輸服務(wù)器F.tcMn甥知布摭Kxch^ii^e2LH17戶端訪問(wèn)服務(wù)器、'2）通過(guò)購(gòu)買電信運(yùn)營(yíng)商或ISP商的企業(yè)郵箱服務(wù)，不需要企業(yè)自建和維護(hù)郵箱系統(tǒng)服務(wù)器。選型參考：中國(guó)萬(wàn)網(wǎng)企業(yè)郵箱服務(wù)。企業(yè)內(nèi)部通信系統(tǒng)選型規(guī)劃方案企業(yè)通信系統(tǒng)包括企業(yè)即時(shí)通信工具（如騰訊RTX）、短信平臺(tái)（如企業(yè)自建短信平臺(tái)、金蝶39企 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案友商網(wǎng)短信平臺(tái)或電信運(yùn)營(yíng)商提供的短信平臺(tái)服務(wù)）、視頻會(huì)議系統(tǒng)（比如深圳視高科技、Radvision、H3C企業(yè)視頻解決方案）等，可以根據(jù)企業(yè)的實(shí)際情況進(jìn)行規(guī)劃和選型。2.5企業(yè)IT機(jī)房和系統(tǒng)集成環(huán)境規(guī)劃企業(yè)IT機(jī)房工程不僅集建筑、電氣、安裝、網(wǎng)絡(luò)等多個(gè)專業(yè)技術(shù)于一體，更需要豐富的工程實(shí)施和管理經(jīng)驗(yàn)。計(jì)算機(jī)房設(shè)計(jì)與施工的優(yōu)劣直接關(guān)系到機(jī)房?jī)?nèi)計(jì)算機(jī)系統(tǒng)是否能穩(wěn)定可靠地運(yùn)行，是否能保證各類信息通訊暢通無(wú)阻。機(jī)房主體部分的規(guī)劃是在樓宇弱電工程和強(qiáng)電工程規(guī)劃方案中進(jìn)行的，本節(jié)僅對(duì)涉及IT硬件系統(tǒng)集成實(shí)施環(huán)境的部分進(jìn)行規(guī)劃和要求。機(jī)房規(guī)劃要求機(jī)房既要保障機(jī)房設(shè)備安全可靠的正常運(yùn)行，延長(zhǎng)計(jì)算機(jī)系統(tǒng)使用壽命，又能為系統(tǒng)管理員創(chuàng)造一個(gè)舒適的工作環(huán)境，能夠滿足系統(tǒng)管理人員對(duì)溫度、濕度、潔凈度、電磁場(chǎng)強(qiáng)度、噪音干擾、安全保安、防漏、電源質(zhì)量、振動(dòng)、防雷和接地等的要求。所以，一個(gè)合格的現(xiàn)代化IT機(jī)房，應(yīng)該是一個(gè)安全可靠、舒適實(shí)用、節(jié)能高效和具有可擴(kuò)充性的機(jī)房。1）機(jī)房場(chǎng)地要求應(yīng)避免設(shè)在建筑物的高層或地下室以及用水設(shè)備的下層。建筑物應(yīng)有暢通的雨水排水系統(tǒng)。應(yīng)避開強(qiáng)電磁場(chǎng)干擾。遠(yuǎn)離產(chǎn)生粉塵、油煙、有害氣體以及存放具有腐蝕性、易燃、易爆物品的地方。應(yīng)建在電力、水源充足，通訊、交通方便，自然環(huán)境清潔的地方。樓地面荷載三500kg/m?。建筑梁下高度一般應(yīng)大于或等于3.1米。為了保證主機(jī)系統(tǒng)的物理安全，建議機(jī)房安裝保安監(jiān)控系統(tǒng)和門禁系統(tǒng)。2）機(jī)房環(huán)境要求機(jī)房溫、濕度應(yīng)符合下表規(guī)定項(xiàng)目級(jí)別A級(jí)B級(jí)40企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案溫度 23℃±2℃18℃?28℃濕度 40%?70% 20%?80%溫度變化率W5℃/h,不結(jié)露W10℃/h,不結(jié)露本次工程機(jī)房溫、濕度達(dá)到B級(jí)即可。主機(jī)房?jī)?nèi)的空氣含塵濃度，在空調(diào)系統(tǒng)正常運(yùn)行，室內(nèi)沒有生產(chǎn)人員的情況下測(cè)