XXX集團IT基礎(chǔ)架構(gòu)規(guī)劃方案

幫助顧客成功企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案XXX集IT基礎(chǔ)架構(gòu)規(guī)劃方案（簡）金蝶軟件（華南區(qū)）系統(tǒng)集成部2011年03月金蝶ERP個性化管理軟件領(lǐng)導(dǎo)者0

錄目錄目項目背景方案整體介紹TOC\o"1-5"\h\z\o"CurrentDocument"企業(yè)IT架構(gòu) 4\o"CurrentDocument"網(wǎng)絡(luò)系統(tǒng)規(guī)劃 4\o"CurrentDocument"安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案 6\o"CurrentDocument"安全無線網(wǎng)絡(luò)規(guī)劃方案 9\o"CurrentDocument"廣域網(wǎng)互聯(lián)VPN規(guī)劃方案 11\o"CurrentDocument"網(wǎng)絡(luò)性能指標(biāo)要求 13\o"CurrentDocument"網(wǎng)絡(luò)安全規(guī)劃 13\o"CurrentDocument"計算機系統(tǒng)規(guī)劃 17\o"CurrentDocument"服務(wù)器硬件選型規(guī)劃方案 17\o"CurrentDocument"磁盤存儲系統(tǒng)選型規(guī)劃方案 18\o"CurrentDocument"IT基礎(chǔ)軟件和系統(tǒng)規(guī)劃 21\o"CurrentDocument"操作系統(tǒng)選型規(guī)劃方案 21\o"CurrentDocument"虛擬化規(guī)劃方案 21\o"CurrentDocument"數(shù)據(jù)庫選型規(guī)劃方案 22\o"CurrentDocument"數(shù)據(jù)安全和備份規(guī)劃 25\o"CurrentDocument"統(tǒng)一身份安全認證規(guī)劃 29\o"CurrentDocument"企業(yè)計算機和用戶管理方案 34

\o"CurrentDocument"企業(yè)郵件系統(tǒng)選型規(guī)劃方案 38\o"CurrentDocument"企業(yè)內(nèi)部通信系統(tǒng)選型規(guī)劃方案 39\o"CurrentDocument"企業(yè)IT機房和系統(tǒng)集成環(huán)境規(guī)劃 40\o"CurrentDocument"機房規(guī)劃要求 40\o"CurrentDocument"供電系統(tǒng)規(guī)劃要求 41\o"CurrentDocument"機柜規(guī)劃要求 42\o"CurrentDocument"硬件設(shè)備安裝要求 45三、 實際案例設(shè)計 47\o"CurrentDocument"總體網(wǎng)絡(luò)拓撲設(shè)計 47\o"CurrentDocument"店面遠程接入設(shè)計 51店面管理系統(tǒng)設(shè)計 5356投資預(yù)五、 ^蝶系56\o"CurrentDocument"金蝶技術(shù)支持與服務(wù)體系介紹 56\o"CurrentDocument"售后技術(shù)支持與服務(wù)的方式 57XXX集團經(jīng)過多年的經(jīng)營，公司業(yè)務(wù)和規(guī)模在不斷發(fā)展，公司管理層和IT部門也認識到通過信息化手段可以更好地支撐公司業(yè)務(wù)運營、提高企業(yè)生產(chǎn)和管理效率。同時隨著新建辦公大樓、研發(fā)大樓和廠房的落成，IT部門也需要對整個集團的信息化和企業(yè)IT基礎(chǔ)架構(gòu)進行規(guī)劃和建設(shè)。目前主要分為以下兩部分：樓宇智能化規(guī)劃和建設(shè)方案:主要包括視頻監(jiān)控、門禁系統(tǒng)、語音和數(shù)據(jù)節(jié)點規(guī)劃和布線、CATV、大屏幕電子顯示屏、機房建設(shè)等。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃和解決方案：主要包括企業(yè)局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)拓撲規(guī)劃和網(wǎng)絡(luò)設(shè)備選型、互聯(lián)網(wǎng)接入和VPN接入、IT硬件部署和選型、企業(yè)IT信息化基礎(chǔ)軟件系統(tǒng)規(guī)劃和選型等。本方案主要是針對XXX集團企業(yè)IT基礎(chǔ)架構(gòu)進行規(guī)劃，并提出解決方案和進行投資預(yù)算。而關(guān)于樓宇智能化規(guī)劃和建設(shè)的方案參見其它相關(guān)方案。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案企業(yè)門架構(gòu)下圖是一般企業(yè)的IT架構(gòu)情況，本方案主要針對IT基礎(chǔ)架構(gòu)部分進行規(guī)劃，并提供選型和部署參考，關(guān)于企業(yè)IT業(yè)務(wù)應(yīng)用系統(tǒng)部分的規(guī)劃和建設(shè)請參考其它方案。： 企業(yè)IT架構(gòu)應(yīng)用系統(tǒng)（ERP系統(tǒng)/企業(yè)門戶/商業(yè)智能）基礎(chǔ)軟件系統(tǒng)（/數(shù)據(jù)庫/數(shù)據(jù)倉庫/中間件）TT基礎(chǔ)架構(gòu)操作系統(tǒng)（操作系統(tǒng)/虛擬化軟件）計算機系統(tǒng)（服務(wù)器/磁盤存儲系統(tǒng)/桌面PC）應(yīng)用系統(tǒng)（ERP系統(tǒng)/企業(yè)門戶/商業(yè)智能）基礎(chǔ)軟件系統(tǒng)（/數(shù)據(jù)庫/數(shù)據(jù)倉庫/中間件）TT基礎(chǔ)架構(gòu)操作系統(tǒng)（操作系統(tǒng)/虛擬化軟件）計算機系統(tǒng)（服務(wù)器/磁盤存儲系統(tǒng)/桌面PC）網(wǎng)絡(luò)系統(tǒng)（局域網(wǎng)/廣域網(wǎng)/互聯(lián)網(wǎng)/無線網(wǎng)）設(shè)備管理網(wǎng)絡(luò)系統(tǒng)規(guī)劃當(dāng)前，企業(yè)一般能給信息化方面投入有限。除了人力有限，還缺少專業(yè)人才，應(yīng)用能力、維護能力、開發(fā)能力、實施能力等都普遍較弱，這就要求網(wǎng)絡(luò)架構(gòu)成熟、穩(wěn)定安全、高可靠、高可用，盡可能少投入人力和金錢進行維護。其次，由于企業(yè)首要解決的是生存問題，根本沒辦法做到“先信息化，再做業(yè)務(wù)”，因此網(wǎng)絡(luò)建設(shè)實施要求必須容易，實施時間必須極短。企業(yè)的組網(wǎng)方案主要要素包括：局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡(luò)管理和安全性。具體來說企業(yè)組網(wǎng)

需求:需求:建立安全的網(wǎng)絡(luò)架構(gòu)，總部與分支機構(gòu)的網(wǎng)絡(luò)連接;安全網(wǎng)絡(luò)部署，確保企業(yè)正常運行；為出差的人員提供IPSec或者SSL的VPN方式；提供智能管理特性，支持瀏覽器圖形管理；網(wǎng)絡(luò)設(shè)計便于升級，有利于投資保護。企業(yè)一般的組網(wǎng)結(jié)構(gòu)如下圖，大企業(yè)網(wǎng)絡(luò)核心層一般采用冗余節(jié)點和冗余線路的拓撲結(jié)構(gòu)，小企業(yè)則單線路的連接方式。通過對一般企業(yè)的信息化情況和網(wǎng)絡(luò)規(guī)劃要素進行分析，從總體上看，規(guī)劃方案必須具有以下特點：>網(wǎng)絡(luò)管理簡單，采用基于易用的瀏覽器方式，以直觀的圖形化界面管理網(wǎng)絡(luò)。用戶可以采用多種的廣域網(wǎng)連接方式，從而降低廣域網(wǎng)鏈路費用。無線接入點覆蓋范圍廣、配置靈活，方便移動辦公。便捷、簡單的統(tǒng)一通信系統(tǒng)，輕松實現(xiàn)交互式工作環(huán)境。帶寬壓縮技術(shù)，高級QoS的應(yīng)用，有效降低廣域網(wǎng)鏈路流量。隨著公司業(yè)務(wù)的發(fā)展，所有網(wǎng)絡(luò)設(shè)備均可在升級原有網(wǎng)絡(luò)后繼續(xù)使用，有效實現(xiàn)投資保護。系統(tǒng)安全，保密性高，應(yīng)用了適合企業(yè)的低成本網(wǎng)絡(luò)安全解決方案。2.2.1安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案根據(jù)對XXX集團的實際調(diào)研，獲取了企業(yè)的網(wǎng)絡(luò)需求，以此來制定企業(yè)基礎(chǔ)網(wǎng)絡(luò)建設(shè)規(guī)劃方案和網(wǎng)絡(luò)設(shè)備選型參考；以下提供基礎(chǔ)版和企業(yè)版兩種規(guī)劃方案1）網(wǎng)絡(luò)需求：企業(yè)規(guī)劃的網(wǎng)絡(luò)節(jié)點為500個，主要的網(wǎng)絡(luò)需求首先是資源共享，網(wǎng)絡(luò)內(nèi)的各個桌面用戶可共享文件服務(wù)器/數(shù)據(jù)庫、共享打印機，實現(xiàn)辦公自動化系統(tǒng)中的各項功能；其次是通信服務(wù)，最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進行安全的廣域網(wǎng)訪問；還有就是公司門戶網(wǎng)站和網(wǎng)絡(luò)通信系統(tǒng)（企業(yè)郵箱、企業(yè)即時通信和企業(yè)短信平臺等）的建立。2）基礎(chǔ)版規(guī)劃方案本方案適用于200?300臺電腦聯(lián)網(wǎng)，核心采用H3CS5500-28C-SI或S5500-20TP-SI交換機，以千兆雙絞線/光纖與接入交換機及服務(wù)器連接；用戶接入口3cS3100-26TP-SI或S3100-52TP-SI交換機，千兆銅纜/光纖上連核心交換機。Internet出口采用H3CMSR20-1X多業(yè)務(wù)路由器作為Internet出口路由、SecpathF1000-C或者UTM作為安全網(wǎng)關(guān)和移動用戶的VPN接入網(wǎng)關(guān)。網(wǎng)絡(luò)拓撲圖如下：

Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量部署位置數(shù)據(jù)核心交換機H3CS5500-28C-SI或H3cS5500-20TP-SI全千兆三層核心1核心機房接入層交換機H3CS3100-26TP-SI或H3cS3100-52TP-SI接入層支持光電復(fù)用千兆上行，支持混合堆疊26TP：15臺52TP：8臺各樓層或機房路由器H3CMSR20-1x路由器轉(zhuǎn)發(fā)率160Kpps，256M內(nèi)存，支持GE/FE交換模塊，同異步串口模塊，E1/PRI模塊，語音模塊，加密模塊1~2核心機房安全防火墻H3CSecPathF1000-C或H3CSecPathU200支持應(yīng)用層報文過濾1核心機房VPN支持DVPN互聯(lián)網(wǎng)接入10M光纖接入電信10M光纖接入配靜態(tài)IP地址1~2核心機房方案特點：高性價比：能夠讓中小企業(yè)低投資擁有高性能、經(jīng)濟的網(wǎng)絡(luò)；簡易性：結(jié)構(gòu)簡單、安裝快速、簡單，維護無需配置專職人員;

>高性能：最低投資做到千兆骨干、百兆接入；可擴展性：靈活的網(wǎng)絡(luò)架構(gòu)，能根據(jù)用戶需要隨時擴展，并保護已有投資。3）高級版規(guī)劃方案：本方案適用于500~800臺電腦聯(lián)網(wǎng)，三層網(wǎng)絡(luò)結(jié)構(gòu)，萬兆骨干，百兆接入；網(wǎng)絡(luò)核心層采用H3cS7500交換機，同時配置相應(yīng)數(shù)量的千兆端口分別連接應(yīng)用服務(wù)器、接入交換機及其他設(shè)備；網(wǎng)絡(luò)匯聚層采用H3cS5500-28C-SI，獨有智能堆疊系統(tǒng)可實現(xiàn)高密度千兆端口接入，擁有96Gbps的全雙工堆疊帶寬，消除網(wǎng)絡(luò)瓶頸，提供優(yōu)于傳統(tǒng)中繼聚合配置的更好的可用性和彈性；接入層可選擇H3CS3100-26TP-SI或S3100-52TP-SI交換機，千兆銅纜/光纖上連核心交換機，或H3CS5100-16/24/48P-SI全千兆交換機，千兆到桌面。網(wǎng)絡(luò)拓撲圖如下：設(shè)備選型和部署參考如下:Kingdee 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量部署位置數(shù)據(jù)核心交換機H3CS7500(E)系列核心支持雙引擎雙電源，性價比最高1核心機房匯聚層交換機H3CS5500-28C-SI匯聚支持全千兆高速轉(zhuǎn)發(fā)，消除網(wǎng)絡(luò)瓶頸，同時支持萬兆擴展3各樓層或機房接入層交換機H3CS3100-26/52TP-SI或H3CS5100-16/24/48P-SI接入層根據(jù)不同業(yè)務(wù)需求提供百兆和千兆接入兩種選擇52TP：10臺各樓層或機房路由器H3CMSR50-06路由器H3C新一代安全路由器1~2核心機房安全防火墻H3CSecPathF1000-C支持應(yīng)用層報文過濾11VPN支持DVPN互聯(lián)網(wǎng)接入20M~50M光纖接入電信20M~50M光纖接入配靜態(tài)IP地址1~2核心機房方案特點：高性能，全分布式交換網(wǎng)絡(luò)；高可靠，無間斷的通信環(huán)境；靈活彈性的網(wǎng)絡(luò)擴展能力；高效率的網(wǎng)絡(luò)帶寬利用率；全面的QOS部署，多業(yè)務(wù)融合；完善的網(wǎng)絡(luò)安全策略，實現(xiàn)深度安全檢測，抵御未知風(fēng)險。2.2.2安全無線網(wǎng)絡(luò)規(guī)劃方案無線網(wǎng)絡(luò)的部署，能夠增大員工接入網(wǎng)絡(luò)的范圍，提供更大的上網(wǎng)便利性一無論是在辦公室、會議室還是在空間復(fù)雜的車間，員工都能與網(wǎng)絡(luò)保持連接，隨時隨地訪問企業(yè)資源，而且可以簡化場所的網(wǎng)絡(luò)布線。安全無線網(wǎng)絡(luò)解決方案不但能提高員工的生產(chǎn)效率和協(xié)作能力，也能為合作伙伴/客戶提供方便的上網(wǎng)服務(wù)。根據(jù)企業(yè)情況，可以采用FATAP方案：1）無線網(wǎng)絡(luò)需求：9

能夠獲得較高的用戶接入速率，構(gòu)建便利的移動辦公環(huán)境，實現(xiàn)企業(yè)的移動網(wǎng)絡(luò)辦公，成本投入不高，適合簡單、小規(guī)模的無線部署。2）規(guī)劃方案：采用WA1208E+iMC+CAMS進行組網(wǎng)，配合CAMS實現(xiàn)802.1x的認證，可以實現(xiàn)基于時長、流量和包月的計費；整網(wǎng)通過iMC統(tǒng)一管理。網(wǎng)絡(luò)拓撲圖如下：設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量部署位置無線無線接入WA1208E雙802.1里無線模塊8各樓層無線安全H3CCAMS滿足用戶管理、身份認證、權(quán)限控制和計費的要求1核心機房無線管理H3CiMC網(wǎng)管系統(tǒng)支持與HPOpenview、SNMPc等通用網(wǎng)管平臺的集成1核心機房10方案特點：全面支持802.11i安全機制、802.11eQoS機制、802.11fL2切換機制;大范圍覆蓋：高接收靈敏度，達到-97dBm（普通AP-95dBm），保證更遠覆蓋；多VLAN支持：虛擬AP方式支持多VLAN，最多支持8個虛擬SSID的VLAN劃分，每個VLAN用戶可以獨立認證；兼作網(wǎng)橋使用：WDS模式支持PTP、PTMP工作模式；支持連接速率鎖定、傳輸報文整合，提高傳輸效率；負載均衡：支持基于用戶數(shù)的負載均衡、基于流量的負載均衡；針對各類室外、特殊室內(nèi)應(yīng)用如倉庫等復(fù)雜環(huán)境，可以提供專門的型號。.2.3廣域網(wǎng)互聯(lián)VPN規(guī)劃方案伴隨企業(yè)和公司的不斷擴張，公司分支機構(gòu)及客戶群分布日益分散，合作伙伴日益增多，越來越多的現(xiàn)代企業(yè)迫切需要利用公共Internet資源來進行促銷、銷售、售后服務(wù)、培訓(xùn)、合作及其它咨詢活動，這為VPN的應(yīng)用奠定了廣闊市場。在VPN方式下，VPN客戶端和設(shè)置在內(nèi)部網(wǎng)絡(luò)邊界的VPN網(wǎng)關(guān)使用隧道協(xié)議，利用Internet或公用網(wǎng)絡(luò)建立一條“隧道”作為傳輸通道，同時VPN連接采用身份認證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過程中受到偵聽和篡改，從而保證數(shù)據(jù)的完整性、機密性和合法性。通過VPN方式，企業(yè)可以利用現(xiàn)有的網(wǎng)絡(luò)資源實現(xiàn)遠程用戶和分支機構(gòu)對內(nèi)部網(wǎng)絡(luò)資源的訪問，不但節(jié)省了大量的資金，而且具有很高的安全性。另外，隨著企業(yè)規(guī)模的擴大，分散辦公也越來越普遍，如何實現(xiàn)小型分支、出差員工、合作伙伴的遠程網(wǎng)絡(luò)訪問也被越來越多的企業(yè)關(guān)注。從成本、易用性、易管理等多方面綜合考慮，SSLVPN無疑是一種最合適的方案：只需要在總部部署一臺設(shè)備，成本更低，管理維護也很容易；無需安裝客戶端、無需配置，登陸網(wǎng)頁就能使用。1）網(wǎng)絡(luò)需求1IPSecVPN和SSLVPN各有所長，功能互補，對企業(yè)來說都是需要的：IPSecVPN用于總部和中大型分支互連，SSLVPN用于為小型分支、合作伙伴、出差人員提供遠程網(wǎng)絡(luò)訪問。但傳統(tǒng)方法下，企業(yè)總部需要采購兩臺設(shè)備來支持兩種VPN，不僅成本更高，而且可能存在VPN策略沖突，導(dǎo)致性能下降、管理困難。11

Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案2）規(guī)劃方案融合VPN針對企業(yè)的實際需要，一臺設(shè)備融合IPSec/SSL兩種VPN,只需部署在總部，既可以用于為合作伙伴、出差人員提供遠程網(wǎng)絡(luò)訪問，也可以和分支機構(gòu)進行IPSecVPN互連，幫助企業(yè)降低采購、部署、維護三方面成本。VPN網(wǎng)關(guān)選擇方面，H3c的防火墻、路由器都能夠?qū)崿F(xiàn)融合VPN，提供給企業(yè)更加靈活的選擇。例如，如果企業(yè)非常強調(diào)網(wǎng)絡(luò)安全、VPN性能，就選擇防火墻；如果企業(yè)更注重多業(yè)務(wù)處理能力，如IP語音通信、3G上網(wǎng)、無線接入等，推薦選擇路由器。在總部局域網(wǎng)Internet邊界防火墻后面配置一臺或兩臺雙機熱備的VPN網(wǎng)關(guān)，在分支機構(gòu)Internet邊界防火墻后面配置一臺VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSecVPN隧道，進行數(shù)據(jù)封裝、加密和傳輸；另外，通過總部的VPN網(wǎng)關(guān)提供SSLVPN接入業(yè)務(wù)；在總部局域網(wǎng)數(shù)據(jù)中心部署H3CVPNManager組件，實現(xiàn)對VPN網(wǎng)關(guān)的部署管理和監(jiān)控；在總部局域網(wǎng)內(nèi)部或Internet邊界部署H3cBIMS系統(tǒng)，實現(xiàn)對分支機構(gòu)VPN網(wǎng)關(guān)設(shè)備的自動配置和策略部署。如下圖：業(yè)離軍瞬電斃ME簾仙再冽4SAJ5由辨4星外主節(jié)后VFNManagerRIMS中里方女茄直中壁牙叁心森環(huán)中辦生小道方受節(jié)疝業(yè)離軍瞬電斃ME簾仙再冽4SAJ5由辨4星外主節(jié)后VFNManagerRIMS中里方女茄直中壁牙叁心森環(huán)中辦生小道方受節(jié)疝干判解地圈是“百拈VPN西美lnt?rnet設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量部署位置網(wǎng)絡(luò)互連VPN網(wǎng)關(guān)H3CSecPathF1000VPN網(wǎng)關(guān)總部和大型機構(gòu)配置F1000型號總部1臺分支機構(gòu)按核心機房12Kingde企 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案H3CSecPathF100VPN網(wǎng)關(guān)或H3CMSR50路由器H3CMSR20-1X路由器中小型機構(gòu)配置F100型號需求配置網(wǎng)絡(luò)管理H3CVPNManagerH3CBIMS幫助用戶部署、管理VPN網(wǎng)絡(luò)1核心機房如果省內(nèi)分支機構(gòu)較多、較分散，但對速率要求不高的連鎖型單位，也可以選用電信或ISP商的VPDN服務(wù)；如果多個分支機構(gòu)間有多點對多點通信需求的企業(yè)、商業(yè)機構(gòu)，也可以直接選用電信或ISP商的MPLSVPN服務(wù)。.2.4網(wǎng)絡(luò)性能指標(biāo)要求類型帶寬要求線路質(zhì)量要求局域網(wǎng)客戶端到服務(wù)器：10Mb以上，推薦100Mb各服務(wù)器之間：200M以上，推薦1000Mb丟包率小于0.1%延遲小于20ms廣域網(wǎng)分支機構(gòu)帶寬：每客戶端128Kb總部出口帶寬：（最大并發(fā)數(shù)/3）X128Kb總部服務(wù)器之間：200M以上，推薦1000Mb丟包率小于2%延遲小于50ms.2.5網(wǎng)絡(luò)安全規(guī)劃網(wǎng)絡(luò)安全是整個系統(tǒng)安全運行的基礎(chǔ)，是保證系統(tǒng)安全運行的關(guān)鍵。網(wǎng)絡(luò)系統(tǒng)的安全需求包括以下幾個方面：網(wǎng)絡(luò)邊界安全需求入侵監(jiān)測與實時監(jiān)控需求安全事件的響應(yīng)和處理需求分析這些需求在各個應(yīng)用系統(tǒng)上的不同組合就要求把網(wǎng)絡(luò)分成不同的安全層次。我們針對企業(yè)網(wǎng)絡(luò)層的安全策略采用硬件保護與軟件保護，靜態(tài)防護與動態(tài)防護相結(jié)合，由外13向內(nèi)多級防護的總體策略。根據(jù)安全需求和應(yīng)用系統(tǒng)的目的，整個網(wǎng)絡(luò)可劃分為六個不同的安全層次。具體是：＞核心層：核心數(shù)據(jù)庫；＞安全層：應(yīng)用信息系統(tǒng)中間件服務(wù)器等應(yīng)用；＞基本安全層：內(nèi)部局域網(wǎng)用戶；＞可信任層：公司本部與營業(yè)部網(wǎng)絡(luò)訪問接口；＞危險層：Interneto信息系統(tǒng)各安全域中的安全需求和安全級別不同，網(wǎng)絡(luò)層的安全主要是在各安全區(qū)域間建立有效的安全控制措施，使網(wǎng)間的訪問具有可控性。具體的安全策略如下：核心數(shù)據(jù)庫采用物理隔離策略應(yīng)用系統(tǒng)采用分層架構(gòu)方式，客戶端只需要訪問中間件服務(wù)器即可進行日常業(yè)務(wù)處理，從物理上不能直接訪問數(shù)據(jù)庫服務(wù)器，保障了核心層數(shù)據(jù)的高度安全。應(yīng)用系統(tǒng)中間件服務(wù)器采取綜合安全策略：應(yīng)用系統(tǒng)中間件的安全隱患主要來自局域網(wǎng)內(nèi)部，為了保障應(yīng)用系統(tǒng)中間件服務(wù)的安全，在局域網(wǎng)中可通過劃分虛擬子網(wǎng)對各安全區(qū)域、用戶和安全域間實施安全隔離，提供子網(wǎng)間的訪問控制能力。同時，中間件服務(wù)器本身可以通過配置相應(yīng)的安全策略，限定經(jīng)過授權(quán)的工作站、用戶方能訪問系統(tǒng)服務(wù)，保障了中間件服務(wù)器的安全性；內(nèi)部局域網(wǎng)采取信息安全策略：公司本部及營業(yè)部內(nèi)部局域網(wǎng)處于基本安全層的網(wǎng)絡(luò)，主要是對于安全防護能力較弱的終端用戶在使用，因此考慮的重點在于兩個方面，一個是客戶端的病毒防護，另一個是防止內(nèi)部敏感信息的對外泄露。因此，通過選用網(wǎng)絡(luò)殺毒軟件達到內(nèi)部局域網(wǎng)的病毒防護，同時，使用專用網(wǎng)絡(luò)安全設(shè)備（如硬件防火墻）建立起有效的安全防護，通過訪問控制ACL等安全策略的配置，有效地控制內(nèi)部終端用戶和外部網(wǎng)絡(luò)的信息交換，實現(xiàn)內(nèi)部局域網(wǎng)的信息安全。公司本部與下屬機構(gòu)之間網(wǎng)絡(luò)接口采取通訊安全策略：處于可信任層的網(wǎng)絡(luò)，其安全主要考慮各下屬單位上傳的業(yè)務(wù)數(shù)據(jù)的保密安全，因此，可采用數(shù)據(jù)層加密方式，通過硬件防火墻提供的VPN隧道進行加密，實現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸。Internet采取通訊加密策略：Internet屬于非安全層和危險層，由于Internet存在著大量的惡意攻擊，因此考慮的重點是要避14免涉密信息在該層次中的流動。通過硬件防火墻提供專業(yè)的網(wǎng)絡(luò)防護能力，并對所有訪問請求進行嚴(yán)格控制，對所有的數(shù)據(jù)通訊進行加密后傳輸。同時，建議設(shè)置嚴(yán)格的機房管理制度，嚴(yán)禁非授權(quán)的人員進入機房，也能夠進一步提升整個網(wǎng)絡(luò)系統(tǒng)的安全。1）廣域網(wǎng)安全規(guī)劃企業(yè)廣域網(wǎng)安全，主要是通過防火墻和VPN等設(shè)備或技術(shù)來保障。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，能夠過濾掉一些攻擊，防火墻還可以關(guān)閉不使用的端口，防火墻具有很好的保護作用，入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機，所以出于安全考慮，企業(yè)必須購置防火墻以保證其服務(wù)器安全，將應(yīng)用系統(tǒng)服務(wù)器放置在防火墻內(nèi)部專門區(qū)域。一般硬件防火墻比軟件防火墻的性能更好，建議選擇企業(yè)級的硬件防火墻，硬件防火墻市場知名度高的品牌有CISCO、CheckPoint、Juniper、H3C、天融信、華為賽門鐵克、聯(lián)想網(wǎng)御等，用戶應(yīng)根據(jù)應(yīng)用情況選擇合適的防火墻。VPN即虛擬專用網(wǎng)（VirtualPrivateNetworks）提供了一種通過公共非安全介質(zhì)（如Internet）建立安全專用連接的技術(shù)。使用VPN技術(shù)，甚至機密信息都可以通過公共非安全的介質(zhì)進行安全傳送。VPN技術(shù)的發(fā)展與成熟，可為企業(yè)的商業(yè)運作提供一個無處不在的、可靠的、安全的數(shù)據(jù)傳輸網(wǎng)絡(luò)。VPN通過安全隧道建立一個安全的連接通道，將分支機構(gòu)、遠程用戶、合作伙伴等和企業(yè)網(wǎng)絡(luò)互聯(lián)，形成一個擴展的企業(yè)網(wǎng)絡(luò)。VPN基本特征：使企業(yè)享受到在專用網(wǎng)中可獲得的相同安全性、可靠性和可管理性。網(wǎng)絡(luò)架構(gòu)彈性大一一無縫地將Intranet延伸到遠端辦事處、移動用戶和遠程工作者?？梢酝ㄟ^Extranet連接企業(yè)合作伙伴、供應(yīng)商和主要客戶（建立綠色信息通道）以提高客戶滿意度、降低經(jīng)營成本。15VPN實現(xiàn)方式：硬件設(shè)備：帶VPN功能模塊的路由器、防火墻、專用VPN硬件設(shè)備等，如Cisco、H3C、深信服、天融信等。軟件實現(xiàn)：Windows自帶PPTP或L2TP、第三方軟件（如Checkpoint、深信服等）。服務(wù)提供商（ISP）：中國電信、聯(lián)通、網(wǎng)通等。目前一些ISP推出了MPLSVPN，線路質(zhì)量更有保證，推薦使用。2）內(nèi)網(wǎng)安全規(guī)劃企業(yè)內(nèi)網(wǎng)安全系統(tǒng)包括防病毒系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)，上網(wǎng)行為管理系統(tǒng)等。防病毒系統(tǒng)可以采用網(wǎng)絡(luò)版防病毒系統(tǒng)或防毒墻等產(chǎn)品（比如金山、瑞星、卡巴斯基等解決方案）。內(nèi)網(wǎng)安全系統(tǒng)和上網(wǎng)行為管理系統(tǒng)可以選擇深信服、任子行、IP-guard等解決方案，企業(yè)可以通過部署內(nèi)網(wǎng)安全系統(tǒng)實現(xiàn)研發(fā)網(wǎng)和商業(yè)信息的信息安全防范工作。對于研發(fā)網(wǎng)的信息安全、數(shù)據(jù)集中存儲和計算資源的統(tǒng)一協(xié)調(diào)配置，可以通過部署企業(yè)桌面虛擬化解決方案來實現(xiàn)。16企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案2.3計算機系統(tǒng)規(guī)劃服務(wù)器硬件選型規(guī)劃方案根據(jù)對XXX集團的實際調(diào)研，獲取了企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)情況，隨著企業(yè)信息化建設(shè)的推進，需要對各種信息化管理系統(tǒng)和應(yīng)用系統(tǒng)的服務(wù)器選型進行選型規(guī)劃，根據(jù)不同的系統(tǒng)對服務(wù)器硬件的性能指標(biāo)要求不同，比如企業(yè)網(wǎng)站服務(wù)器、郵件服務(wù)器、域控制服務(wù)器、文件和打印服務(wù)器、業(yè)務(wù)系統(tǒng)服務(wù)器等，通過結(jié)合系統(tǒng)在線用戶數(shù)、業(yè)務(wù)請求數(shù)和業(yè)務(wù)產(chǎn)生的事物數(shù)等參數(shù)來計算tpmC值，從而估算出服務(wù)器硬件的性能要求。tpmC定義為TPC-C的吞吐量（TPC-CThroughput），按有效TPC-C配置期間每分鐘處理的平均交易次數(shù)測量。TPC-C是一種旨在衡量聯(lián)機事務(wù)處理（OLTP）系統(tǒng)性能與可伸縮性的行業(yè)標(biāo)準(zhǔn)基準(zhǔn)測試項目。這種基準(zhǔn)測試項目將對包括查詢、更新及隊列式小批量事務(wù)在內(nèi)的廣泛數(shù)據(jù)庫功能進行測試。許多IT專業(yè)人員將TPC-C視為衡量“真實”O(jiān)LTP系統(tǒng)性能的有效指示器。1）對于最大并發(fā)用戶數(shù)（一般認為最大并發(fā)用戶數(shù)=預(yù)估用戶規(guī)模*15%）在80以下的系統(tǒng)，推薦使用以下兩種配置的服務(wù)器：IBMX系列的服務(wù)器；HPProliant系列服務(wù)器。2）對于最大并發(fā)用戶數(shù)在80以上的系統(tǒng)，推薦使用以下兩種配置的服務(wù)器：IBMPower系列的服務(wù)器；IBMBLADE系列刀片服務(wù)器。設(shè)備選型和部署參考如下:類型設(shè)備選型參考配置說明數(shù)量部署說明域服務(wù)器IBMX3650M3雙4核CPU/8G內(nèi)存/300G硬盤Raid01~2可配置成主備域服務(wù)器郵件服務(wù)器IBMX3650M3雙4核CPU/16G內(nèi)存/2T硬盤Raid51~3可以根據(jù)負載情況進行集中部署或分布式部署打印/文件服務(wù)器IBMX3650M3雙4核CPU/8G內(nèi)存1可連接NAS或SAN17企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案/2T硬盤Raid5存儲網(wǎng)站服務(wù)器IBMX3650M3雙4核CPU/16G內(nèi)存/600G硬盤Raid51~2可以部署為雙機熱備小型應(yīng)用系統(tǒng)服務(wù)器IBMX3650M3IBMX3850X5IBMX3690X5根據(jù)應(yīng)用情況配置可以部署為雙機熱備小型應(yīng)用系統(tǒng)服務(wù)器IBMPower系列服務(wù)器根據(jù)應(yīng)用情況配置可以部署為集群模式磁盤存儲系統(tǒng)選型規(guī)劃方案磁盤陣列已經(jīng)成為企業(yè)信息系統(tǒng)不可缺少的基礎(chǔ)組成部分，當(dāng)前的主流廠商有EMC、IBM、HDS、HP等。RAID是英文RedundantArrayofInexpensiveDisks的縮寫，中文譯作廉價冗余磁盤陣列，簡稱磁盤陣列。簡單地說，磁盤陣列是一種把多塊獨立的硬盤（物理硬盤）按不同方式組合起來形成一個硬盤組（邏輯硬盤），從而提供比單個硬盤更高的存儲性能和提供數(shù)據(jù)冗余的技術(shù)。在這一組硬盤中，數(shù)據(jù)按照不同的算法分別存儲于每塊硬盤上從而達到不同的效果，這樣就形成了不同的RAID級別（RAIDLEVEL）。按照RAID級別劃分，常見的有RAID0，RAID1，RAID3，RAID5，RAID10，RAID50等，以及硬件廠商自己定義的RAID。客戶可以根據(jù)實際情況選擇RAID級別，RAID10和RAID5比較常見，采用RAID10，可以獲得較好的磁盤IO性能和可靠性。使用磁盤陣列的好處：提高數(shù)據(jù)的安全性；提高數(shù)據(jù)存取的速度，提升EAS性能；提供超大的存儲容量。針對應(yīng)用系統(tǒng)而言，并發(fā)數(shù)低于100時可以采用服務(wù)器內(nèi)置RAID卡，連接三塊以上的硬盤，配置成RAID-5模式；并發(fā)數(shù)超過100個用戶就應(yīng)該考慮獨立的硬件磁盤陣列；超過200個并發(fā)用戶數(shù)規(guī)模時，建議采用光纖通道磁盤陣列技術(shù)，如果有多臺服務(wù)器（如集群配置）時，建議使用光纖通道存儲局域網(wǎng)（SAN）技術(shù)來實現(xiàn)高性能的共享存儲系統(tǒng)。18以下是一般集團ERP系統(tǒng)對磁盤陣列的指標(biāo)要求:應(yīng)用規(guī)模IOPS最大帶寬磁盤配置選型參考并發(fā)數(shù)小于400至少12萬至少335MB/s容量至少500GIBMDS5020/DS5100并發(fā)數(shù)大于400至少20萬至少1500MB/s容量至少1TIBMDS5300磁盤存儲性能是是選型的重要原則之一，存儲的性能應(yīng)能夠滿足應(yīng)用系統(tǒng)峰值的需求，并有進一步擴展的空間，包括容量和性能的擴展。從計算機的發(fā)展歷史來看，計算機的芯片發(fā)展速度按照摩爾定律，已經(jīng)提高了成千上萬倍，而計算機I/O速度，即磁盤系統(tǒng)接口速度，則從SCSI的每秒5MB到目前業(yè)界最快的FC-2協(xié)議每秒200MB，只提高了四十倍。因此選擇性能最佳的磁盤系統(tǒng)，可以有效地提高計算機系統(tǒng)的I/O性能，從而提高計算機的整體性能。擴展性由于企業(yè)數(shù)據(jù)的增長已經(jīng)呈幾何級數(shù)的增長，企業(yè)每年數(shù)據(jù)成倍地增長早已經(jīng)不是新聞了。為了保證磁盤系統(tǒng)的增長滿足企業(yè)今后發(fā)展的需要，對磁盤系統(tǒng)的擴展性應(yīng)從以下幾個方面進行準(zhǔn)備：磁盤系統(tǒng)的容量擴展性。磁盤系統(tǒng)本身設(shè)計會有一定的局限，其容量最大可擴展能力是否滿足企業(yè)今后數(shù)據(jù)發(fā)展的需要，是選擇磁盤系統(tǒng)時應(yīng)當(dāng)考慮的一個方面。磁盤系統(tǒng)的擴展兼容性。由于磁盤系統(tǒng)的發(fā)展也是日新月異，用戶在存儲擴容時還要考慮新磁盤系統(tǒng)與舊設(shè)備之間的兼容性，即產(chǎn)品系列有連續(xù)性?？煽啃詳?shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)的可靠性很大程度上依靠存儲設(shè)備，主要是磁盤系統(tǒng)的可靠性。因此，作為磁盤系統(tǒng)的選擇，可靠性永遠是用戶的第一考慮。雖然所有的磁盤廠商都聲稱自己的磁盤系統(tǒng)是可靠的，但是還是可以下幾點來進行考察：冗余電源和風(fēng)扇。由于硬件失效的大部分原因是由于電源問題，因此，采用冗余電源設(shè)計可以有效地防止這一故障的出現(xiàn)；風(fēng)扇（或者冷卻系統(tǒng)）則是在機房環(huán)境溫度過高時保護磁盤系統(tǒng)的一種手段，采用冗余風(fēng)扇設(shè)計，必要時可以加大冷卻效果，保護磁盤系統(tǒng)的正常工作。寫緩存的數(shù)據(jù)保護。由于在磁盤系統(tǒng)的設(shè)計中越來越多地采用了控制器（卡）緩存的設(shè)計，而讀寫緩存可以提高讀寫數(shù)據(jù)的速度（由于寫磁盤是機械動作，通常為秒級；而寫緩存是電子動作，通常為納秒級）。但是，由于有了緩存設(shè)計，主機（服務(wù)器）寫數(shù)據(jù)時，只要將數(shù)據(jù)寫入磁盤系統(tǒng)的寫緩19存內(nèi)，主機就認為寫操作結(jié)束，如果此時寫緩存發(fā)生故障（掉電、硬件故障、人為故障等），數(shù)據(jù)因為沒有寫入物理磁盤而導(dǎo)致數(shù)據(jù)丟失。為防止這種情況的出現(xiàn)，通常應(yīng)當(dāng)在寫緩存采用NVS（非掉電式存儲緩存，即有單獨電池保護的緩存，電池通?？梢员Ｗo數(shù)據(jù)在緩存中幾天不丟失）以防止電源失效；另外，對寫緩存還應(yīng)采用諸如鏡像等的保護措施，以防止寫緩存的故障。RAID數(shù)據(jù)保護。采用RAID方式對數(shù)據(jù)進行保護，是提高數(shù)據(jù)可靠性最常用的方法。RAID方式有許多種，其編號只是代表某一種保護方式而已，并不是數(shù)字越大或者越小越好。應(yīng)當(dāng)說明的是，RAID0不具有數(shù)據(jù)保護功能，它只是將數(shù)據(jù)打散分布在不同的磁盤。至于采用何種RAID形式，則應(yīng)于客戶的數(shù)據(jù)重要程度、性能的要求，以及經(jīng)費情況等總體考慮。只有支持多種RAID形式，并且支持不同RAID組的混合才能夠滿足用戶對于不同分區(qū)的要求?？偩€（包括內(nèi)部總線和外部總線）。外部總線通常會配置為冗余配置，一方面可以提高可靠性；另一方面，還可以提高性能。外部總線一般可以根據(jù)用戶的需要進行選配。而內(nèi)部總線通常是磁盤陣列已經(jīng)設(shè)計好，用戶無法選擇配置。而內(nèi)部總線的單點故障常常會被許多用戶所忽略，由于SCSI總線是單向單I/O,如果總線發(fā)生故障，則導(dǎo)致數(shù)據(jù)無法訪問。因此，選擇沒有單點故障的內(nèi)部總線設(shè)計，這是用戶需要注意的一點。功能隨著計算機的發(fā)展，服務(wù)器集中、存儲集中的思想越來越受到關(guān)注。為了實現(xiàn)存儲集中，存儲區(qū)域網(wǎng)乃至災(zāi)難備份等要求，需要磁盤系統(tǒng)不僅僅是簡單的磁盤陣列，而是具有一定功能，如：遠程數(shù)據(jù)自動拷貝、快速磁盤鏡像、多重鏡像等功能的存儲服務(wù)器，來滿足用戶不斷提高的需求。廠商的售后服務(wù)數(shù)據(jù)是企業(yè)最重要的資產(chǎn)，數(shù)據(jù)的可靠性很大程度上依靠存儲設(shè)備，主要是磁盤系統(tǒng)的可靠性。存儲設(shè)備安全性至關(guān)重要，廠商的服務(wù)與技術(shù)支持能力十分重要。目前，業(yè)界普遍采用存儲區(qū)域網(wǎng)（SAN）的方案，主服務(wù)器通過以太網(wǎng)連接到以太網(wǎng)上，每臺服務(wù)器同時另外配置兩塊光纖通道卡，每塊光纖通道卡分別連接到兩臺光纖交換機上。IBM的光纖交換機作為SAN的核心部件，也采用雙配置，作為高可靠的冗余配置。磁盤陣列采用雙光纖通道與光纖交換機分別相連。這樣，任一臺服務(wù)器、服務(wù)器上的通道卡、交換機出現(xiàn)故障，都不會影響對存儲設(shè)備的訪問。20企 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案2.4IT基礎(chǔ)軟件和系統(tǒng)規(guī)劃操作系統(tǒng)選型規(guī)劃方案根據(jù)對XXX集團的實際調(diào)研，獲取了企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)情況，隨著企業(yè)信息化建設(shè)的推進，需要對各種信息化管理系統(tǒng)和應(yīng)用系統(tǒng)的服務(wù)器選型進行選型規(guī)劃，根據(jù)不同的系統(tǒng)對服務(wù)XXX集團信息化應(yīng)用目標(biāo)是：搭建集成、統(tǒng)一平臺，規(guī)避流程、規(guī)避風(fēng)險，實現(xiàn)高效協(xié)作，有效支撐決策、實現(xiàn)多維度矩陣管控、實現(xiàn)無邊界的信息應(yīng)用。操作系統(tǒng)選型參考和說明：類型操作系統(tǒng)選型參考選型說明域服務(wù)器/郵件服務(wù)器等企業(yè)IT管理系統(tǒng)WindowsServer系列操作系統(tǒng)建議選用最新版WindowsServer2008R2，Windows管理和使用方便，管理功能豐富中小型業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)RedHatLinux系列操作系統(tǒng)建議選用RedHatLinux企業(yè)高級平臺版，Linux操作系統(tǒng)可靠性和安全性相對較高大型業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)IBMUnix系列操作系統(tǒng)IBMUnix可靠性、安全性和性能是目前企業(yè)級服務(wù)器操作系統(tǒng)最高的。虛擬化規(guī)劃方案目前虛擬化技術(shù)主要包括服務(wù)器虛擬化、桌面虛擬化和應(yīng)用虛擬化等技術(shù)。服務(wù)器虛擬化技術(shù)讓一臺物理服務(wù)器可以同時支持多個運行虛擬機的工作負載。管理員可利用虛擬機將工作負載（包括一個操作系統(tǒng)、應(yīng)用組和配置）從物理計算平臺中分離出去，這樣就可以實現(xiàn)一些重要功能，如隔離（在一個計算平臺上安全地運行多個工作負載）和工作負載可移植性（在不同的物理計算平臺之間遷移工作負載）。采用更先進的服務(wù)器虛擬化平臺，就可跨物理服務(wù)器快21企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案速遷移正在運行的工作負載。這樣一來，就可在整個物理計算資源池中遷移工作負載，讓IT部門可以最大限度地使用可用的計算資源，降低成本，并將應(yīng)用有效、可靠地交付給用戶。桌面虛擬化方案提供一種端到端的桌面管理解決方案?？蓜討B(tài)按需產(chǎn)生虛擬桌面，該桌面所有的運行都發(fā)生在遠程數(shù)據(jù)中心的機房里,不用再擔(dān)心數(shù)據(jù)駐留在客戶端導(dǎo)致的安全漏洞。用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面—一從而確保性能不會下降。虛擬桌面是一個桌面的操作系統(tǒng)，是運行在服務(wù)器上的虛擬操作系統(tǒng)。在虛擬桌面模式下，每個人獨享自己的操作系統(tǒng)。將桌面操作系統(tǒng)虛擬化帶來很多好處，包括：信息保存在數(shù)據(jù)中心保證了數(shù)據(jù)的安全性；桌面的性能能夠得到提升，因為它和應(yīng)用后端的服務(wù)器都運行在數(shù)據(jù)中心；桌面可以分享最新最強大的服務(wù)器硬件；可以從任何地點遠程訪問桌面；維護桌面的費用大大降低。應(yīng)用虛擬化技術(shù)是一種可將應(yīng)用與底層系統(tǒng)隔離的技術(shù)。采用應(yīng)用虛擬化技術(shù)，應(yīng)用可直接在用戶桌面系統(tǒng)上隔離運行或通過在用戶桌面上顯示應(yīng)用界面而在服務(wù)器上遠程運行，而不管用戶采用的是哪種底層平臺或操作系統(tǒng)。目前主流的虛擬化解決方案廠商有IBM、VmWare、微軟、Citrix等，選型時主要考慮產(chǎn)品的可靠性、性能指標(biāo)、功能性和兼容性等。IBM和VmWare在服務(wù)器虛擬化方面比較知名，而Citrix在桌面虛擬化和應(yīng)用虛擬化（遠程接入）方面的解決方案相對其他廠商比較成熟。2.4.3數(shù)據(jù)庫選型規(guī)劃方案數(shù)據(jù)庫作為企業(yè)IT集成架構(gòu)的重要組成部分，在數(shù)據(jù)庫的選擇上通過開放性、可伸縮懷和并行性、安全認證、性能、操作簡易程度以及使用風(fēng)險來選擇數(shù)據(jù)庫。、開放性SQLServer只能在windows上運行，沒有絲毫的開放性，操作系統(tǒng)的系統(tǒng)的穩(wěn)定對數(shù)據(jù)庫是十分重要的。Windows9X系列產(chǎn)品是偏重于桌面應(yīng)用，NTserver只適合中小型企業(yè)。而且windows平臺的可靠性，安全性和伸縮性是非常有限的。它不像Unix那樣久經(jīng)考驗，尤其是在處理大數(shù)據(jù)庫。22企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Oracle能在所有主流平臺上運行（包括windows）。完全支持所有的工業(yè)標(biāo)準(zhǔn)。采用完全開放策略?？梢允箍蛻暨x擇最適合的解決方案。對開發(fā)商全力支持。SybaseASE能在所有主流平臺上運行（包括windows）。但由于早期Sybase與OS集成度不高，因此VERSION11.9.2以下版本需要較多OS和DB級補丁。在多平臺的混合環(huán)境中，會有一定問題。DB2能在所有主流平臺上運行（包括windows）。最適于海量數(shù)據(jù)。DB2在企業(yè)級的應(yīng)用最為廣泛二、可伸縮性，并行性SQLserver并行實施和共存模型并不成熟，很難處理日益增多的用戶數(shù)和數(shù)據(jù)卷，伸縮性有限。Oracle并行服務(wù)器通過使一組結(jié)點共享同一簇中的工作來擴展window的能力，提供高可用性和高伸縮性的簇的解決方案。如果windows不能滿足需要，用戶可以把數(shù)據(jù)庫移植到Unix/Linux中。Oracle的并行服務(wù)器對各種Unix/Linux平臺的集群機制都有著相當(dāng)高的集成度。SybaseASE雖然有DBSWITCH來支持其并行服務(wù)器，但DBSWITCH在技術(shù)層面還未成熟，且只支持版本12.5以上的ASESERVERoDBSWITCH技術(shù)需要一臺服務(wù)器充當(dāng)SWITCH，從而在硬件上帶來一些麻煩。DB2具有很好的并行性。DB2把數(shù)據(jù)庫管理擴充到了并行的、多節(jié)點的環(huán)境。數(shù)據(jù)庫分區(qū)是數(shù)據(jù)庫的一部分，包含自己的數(shù)據(jù)、索引、配置文件、和事務(wù)日志。數(shù)據(jù)庫分區(qū)有時被稱為節(jié)點安全性。三、安全認證SQLserver沒有獲得任何安全證書。OracleServer獲得最高認證級別的ISO標(biāo)準(zhǔn)認證。SybaseASE23獲得最高認證級別的ISO標(biāo)準(zhǔn)認證。DB2獲得最高認證級別的ISO標(biāo)準(zhǔn)認證。四、性能SQLServer多用戶時性能不佳Oracle性能最高，保持開放平臺下的TPC-D和TPC-C的世界記錄。SybaseASE性能接近于SQLServer，但在UNIX平臺下的并發(fā)性要優(yōu)與SQLServer。DB2性能較高適用于數(shù)據(jù)倉庫和在線事物處理。五、客戶端支持及應(yīng)用模式SQLServerC/S結(jié)構(gòu)，只支持windows客戶，可以用ADO、DAO、OLEDB、ODBC連接。Oracle多層次網(wǎng)絡(luò)計算，支持多種工業(yè)標(biāo)準(zhǔn)，可以用ODBC、JDBC、OCI等網(wǎng)絡(luò)客戶連接。SybaseASEC/S結(jié)構(gòu)，可以用ODBC、Jconnect、Ct-library等網(wǎng)絡(luò)客戶連接。DB2跨平臺，多層結(jié)構(gòu)，支持ODBC、JDBC等客戶。六、操作簡便SQLServer操作簡單，但只有圖形界面。Oracle較復(fù)雜，同時提供GUI和命令行，在Windows和Unix/Linux下操作相同。SybaseASE24較復(fù)雜，同時提供GUI和命令行。但GUI較差，常常無法及時狀態(tài)，建議使用命令行。DB2操作簡單，同時提供GUI和命令行，在windows和unix下操作相同。七、使用風(fēng)險SQLserver完全重寫的代碼，經(jīng)歷了長期的測試，不斷延遲，許多功能需要時間來證明。并不十分兼容。Oracle長時間的開發(fā)經(jīng)驗，完全向下兼容。得到廣泛的應(yīng)用。完全沒有風(fēng)險。SybaseASE向下兼容，但是ct-library程序不益移植。DB2在巨型企業(yè)得到廣泛的應(yīng)用，向下兼容性好。風(fēng)險小。綜合以上分析，企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫建議采用最新版Oracle11G數(shù)據(jù)庫。2.4.4數(shù)據(jù)安全和備份規(guī)劃數(shù)據(jù)安全主要包含兩部分，一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認證等，二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。）數(shù)據(jù)安全認證規(guī)劃企業(yè)對應(yīng)用系統(tǒng)數(shù)據(jù)安全認證需求主要有以下幾方面：身份認證和訪問控制：身份認證分為兩個方面，一方面是對應(yīng)用系統(tǒng)站點的認證，確保用戶訪問的是真實的應(yīng)用服務(wù)器；另一方面是對應(yīng)用系統(tǒng)客戶端的身份證，必須嚴(yán)格控制并識別應(yīng)用系統(tǒng)用戶的身份，登錄到業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的人必須是相關(guān)業(yè)務(wù)人員，凡非相關(guān)人員，系統(tǒng)拒絕其訪問；機密性：在應(yīng)用系統(tǒng)客戶端與服務(wù)器端交換的信息必須是經(jīng)過加密后才傳輸?shù)?，不能被竊取；數(shù)據(jù)完整性：在應(yīng)用系統(tǒng)傳輸?shù)臄?shù)據(jù)必須有必要的完整性校驗機制，不能被惡意竄改；比25如不能將原本為10萬元的支付數(shù)據(jù)篡改成1萬元或100萬元再對外支付；不可抵賴性：必須確保支付或其它在應(yīng)用系統(tǒng)提交的請求是不允許抵賴的，同時必須有相應(yīng)的技術(shù)保證數(shù)據(jù)的源發(fā)性，出現(xiàn)越軌操作，系統(tǒng)能提供事后追蹤、審核及統(tǒng)計的手段。針對以上的數(shù)據(jù)安全認證需求，推薦基于智能鑰匙認證（PKI技術(shù)）的解決方案，金蝶合作伙伴天威誠信的產(chǎn)品和服務(wù)都是基于PKI技術(shù)構(gòu)建，天威誠信安全認證及數(shù)字簽名綜合解決方案可以解決以下四個方面的安全問題：數(shù)字簽名對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進行簽名，保證機密性、完整性和不可抵賴性；安全訪問用于登錄應(yīng)用系統(tǒng)，替換掉原有安全級別較低的“用戶名/口令”方式，防止非授權(quán)用戶的惡意攻擊，同時不能破壞應(yīng)用系統(tǒng)原有的權(quán)限管理機制。安全訪問就是讓企業(yè)的員工能方便的在任何地方通過互聯(lián)網(wǎng)安全地訪問企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機密數(shù)據(jù)；信息加密通過高強度的加密算法形成安全的SSL加密通道，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒉荒鼙坏谌礁`?。?gt;技術(shù)和法律層面的雙重保障抗抵賴性天威誠信數(shù)字證書實現(xiàn)的數(shù)字簽名技術(shù)可以通過目前最安全的PKI技術(shù)上實現(xiàn)抗抵賴的功能。但是，在現(xiàn)時生活中，真正能夠裁決是否發(fā)生了抵賴行為，只有法院的仲裁才能夠最終定性。在2005年中華人民共和國《電子簽名法》頒布以后，法律上規(guī)定：只有得到信息產(chǎn)業(yè)部頒發(fā)的《電子認證服務(wù)許可證》的數(shù)字認證機構(gòu)，其所頒發(fā)的數(shù)字證書在電子商務(wù)中的數(shù)字簽名才能夠得到法律的認可和保護。天威誠信率先從信息產(chǎn)業(yè)部獲得該資質(zhì)，因此，應(yīng)用系統(tǒng)用戶使用天威誠信提供的數(shù)字證書實現(xiàn)的電子簽名是合乎法律要求的抗抵賴證據(jù)，從而使應(yīng)用系統(tǒng)的電子化簽名和手寫簽名一樣得到法律的認可，可以作為法律上有效的證據(jù)，結(jié)束了電子化信息系統(tǒng)重要數(shù)據(jù)的“無據(jù)可依”，“無法可依”的現(xiàn)狀。因此，通過此方式，用戶能夠?qū)崿F(xiàn)技術(shù)和法律層面的雙重保障。2）數(shù)據(jù)存儲安全數(shù)據(jù)存儲的安全是指數(shù)據(jù)庫在系統(tǒng)運行之外的可讀性，企業(yè)對應(yīng)用系統(tǒng)數(shù)據(jù)存儲安全的需求主要有以下幾方面：26

>諸如、格翰姆―布萊利法和巴塞爾協(xié)議II等法規(guī)要求企業(yè)內(nèi)部要有強健的內(nèi)部控制和職責(zé)分離；針對當(dāng)今非常關(guān)心的內(nèi)部威脅要求強制執(zhí)行操作安全策略一一規(guī)范何人、何時、何地能夠處理數(shù)據(jù)；數(shù)據(jù)庫整合策略要求防止數(shù)據(jù)庫管理員訪問應(yīng)用程序的數(shù)據(jù)。針對以上的數(shù)據(jù)存儲安全需求，推薦OracleDatabaseVault解決方案，解決方案的要點如下：對授權(quán)用戶的控制限制數(shù)據(jù)庫管理員訪問應(yīng)用程序的數(shù)據(jù)提供職責(zé)分離的功能保證數(shù)據(jù)庫和信息整合的安全性執(zhí)行數(shù)據(jù)訪問的安全策略控制何人、何時、何地以及如何訪問數(shù)據(jù)可根據(jù)IP地址、時間或授權(quán)等情況作出訪問決定已通過針對PeopleSoft的認證IjJfiiiSQLTIus的訪問IjJfiiiSQLTIus的訪問數(shù)據(jù)庫管理員授權(quán)的應(yīng)用程序 屈用程序用戶■所有者■ FDataVault安全性保護數(shù)據(jù)庫和應(yīng)用程序273）數(shù)據(jù)備份規(guī)劃一個完整的數(shù)據(jù)備份和災(zāi)難恢復(fù)方案，應(yīng)包括備份硬件，備份軟件，備份計劃和災(zāi)難恢復(fù)計劃四個部分。備份硬件目前比較流行的解決方法包括硬盤介質(zhì)存儲，光學(xué)介質(zhì)和磁帶/磁帶機存儲技術(shù)。硬盤存儲費用比較高，光學(xué)介質(zhì)的訪問速度慢，且容量較小。通常情況下，大容量網(wǎng)絡(luò)備份用戶主要使用磁帶設(shè)備進行備份。磁帶備份具有如下優(yōu)勢：容量大并可靈活配置，速度適中，介質(zhì)保存周期長，成本低，數(shù)據(jù)安全性高，可實現(xiàn)無人操作的自動備份等。備份軟件目前主流的備份軟件有，IBM的Tivoli（TSM），HP的OpenView，Veritas公司的NetBackup，Legato公司的NetWorker，CA的ARCserve等。客戶可以根據(jù)實際情況選擇合適的備份軟件。備份計劃/策略從備份策略來講，現(xiàn)在的備份可分為三種：完全備份、增量備份、差異備份、累加備份策略。下面來討論以下這幾種備份方式：完全備份就是拷貝指定計算機或文件系統(tǒng)上的所有文件，而不管它是否被改變。增量備份就是只備份在上一次備份后增加、改動的部分?jǐn)?shù)據(jù)。增量備份可分為多級，每一次增量都源自上一次備份后的改動部分。差異備份就是只備份在上一次完全備份后有變化的部分?jǐn)?shù)據(jù)。如果只存在兩次備份，則增量備份和差異備份內(nèi)容一樣。累加備份采用數(shù)據(jù)庫的管理方式，記錄累積每個時間點的變化，并把變化后的值備份到相應(yīng)的數(shù)組中，這種備份方式可恢復(fù)到指定的時間點。一般在使用過程中，這幾種策略常結(jié)合使用，常用的方法有：完全備份、完全備份加增量備份、完全備份加差異備份、完全備份加累加備份。用戶根據(jù)自身業(yè)務(wù)和災(zāi)難恢復(fù)的要求，選擇備份策略。原則上建議至少每周對關(guān)鍵數(shù)據(jù)做一次完全備份，一周其它時間每天做增量備份或差異備份，備份每天數(shù)據(jù)。如果數(shù)據(jù)丟失，可以恢復(fù)到前一天的數(shù)據(jù)狀態(tài)，否則有丟失數(shù)據(jù)的危險。災(zāi)難恢復(fù)災(zāi)難恢復(fù)在整個備份中占有重要地位。因為它關(guān)系到系統(tǒng)、軟件與數(shù)據(jù)在經(jīng)歷災(zāi)難后能否快速、28準(zhǔn)確地恢復(fù)。全盤恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難，導(dǎo)致數(shù)據(jù)全部丟失，也稱為系統(tǒng)恢復(fù)。有些廠商還推出了擁有單鍵恢復(fù)功能的磁帶機，只需用系統(tǒng)盤引導(dǎo)機器啟動，將磁帶插入磁帶機，按動一個鍵即可恢復(fù)整個系統(tǒng)。為了應(yīng)用系統(tǒng)的數(shù)據(jù)安全，建議購買專業(yè)的備份軟件和硬件，并要求客戶必須對每天的應(yīng)用系統(tǒng)數(shù)據(jù)進行備份。2.4.5統(tǒng)一身份安全認證規(guī)劃隨著企業(yè)的迅速發(fā)展，各種應(yīng)用系統(tǒng)和用戶數(shù)量的不斷增加，信息安全問題愈見突出，原有分散在各應(yīng)用系統(tǒng)中的賬號、權(quán)限、認證、審計方面的安全措施已不能滿足企業(yè)目前及未來業(yè)務(wù)系統(tǒng)發(fā)展的要求。如下圖所示，主要問題表現(xiàn)在以下方面：最終用戶：需要記憶各系統(tǒng)的訪問賬號和口令;在各系統(tǒng)間切換時需要再次輸入用戶名和口令。給用戶的工作帶來不便，影響了工作效率；管理員：各系統(tǒng)的賬號需要單獨維護，工作量大，維護麻煩，工作效率不高，而且容易出錯，導(dǎo)致用戶無法正常訪問或出現(xiàn)后門賬號導(dǎo)致安全問題；不便于統(tǒng)一安全策略的實施；審計員：各系統(tǒng)獨立維護，不便于做關(guān)聯(lián)分析，不便于及時發(fā)現(xiàn)安全問題；最終用戶 管理員 審計員根據(jù)現(xiàn)狀分析，一方面增加了各個應(yīng)用系統(tǒng)的維護和管理人員的工作負擔(dān)，工作效率不高；另一方面無法對各業(yè)務(wù)系統(tǒng)實施統(tǒng)一的安全策略，增大了安全漏洞存在的幾率，降低了業(yè)務(wù)系統(tǒng)的安全性。統(tǒng)一身份安全認證平臺通過對賬號、授權(quán)、認證和審計的集中管理，達到對安全運維過程進29行集中統(tǒng)一的控制，使操作行為和維護行為可以審計。如下圖所示，主要達成了如下目標(biāo):將各應(yīng)用系統(tǒng)中的賬號進行統(tǒng)一管理和控制；提供統(tǒng)一的安全訪問入口，實現(xiàn)系統(tǒng)間單點登陸；實施統(tǒng)一的安全策略，進行集中控制和管理，可對接第三方認證組件；對關(guān)鍵數(shù)據(jù)和操作行為進行統(tǒng)一管理和審計，及時發(fā)現(xiàn)安全隱患。最終用戶管理員審計員最終用戶管理員審計員針對企業(yè)對各信息系統(tǒng)實現(xiàn)統(tǒng)一身份安全認證的需求，推薦采用基于金蝶BOS或金蝶中間件的統(tǒng)一身份安全認證解決方案。統(tǒng)一身份安全認證解決方案主要實現(xiàn)以下幾點：1）建設(shè)企業(yè)門戶Portal，主要實現(xiàn)各信息系統(tǒng)相關(guān)數(shù)據(jù)的整合展示和企業(yè)用戶統(tǒng)一登錄入口。Portal即企業(yè)門戶，是一個基于web的應(yīng)用程序，它主要提供個性化、單點登錄、不同來源的內(nèi)容整合以及存放信息系統(tǒng)的表示層。Portal是組織的信息、應(yīng)用、服務(wù)的統(tǒng)一訪問平臺，它為員工、客戶、合作伙伴提供個性化、集成化的信息訪問服務(wù)。同時，對于組織的IT架構(gòu)，Portal是一個標(biāo)準(zhǔn)的、可擴展的Web應(yīng)用基礎(chǔ)框架，它提供面向服務(wù)的界面開發(fā)思想及標(biāo)準(zhǔn)化、可重用的界面開發(fā)方法，是組織應(yīng)用的快速接入平臺，也是完整SOA支持平臺不可或缺的重要構(gòu)件。金蝶BOSPortal提供了一個全面的平臺,用于創(chuàng)建包括組織內(nèi)部門戶、移動門戶。BOSPortal建立于業(yè)界領(lǐng)先的金蝶BusinessOperatingSystem（簡稱BOS）平臺上，繼承了金蝶BOS優(yōu)秀的跨30

企業(yè)IT企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案平臺技術(shù)體系，向下支持Apusic、WebLogic和WebSphere等多種應(yīng)用服務(wù)器，Oracle、DB2和SqlServer等多種數(shù)據(jù)庫。BOSPortal簡化用戶對應(yīng)用的訪問，提高用戶對信息的使用效率，改善用戶的使用體驗；并為組織提供一個標(biāo)準(zhǔn)的、可擴展的應(yīng)用接入平臺，幫助組織快速構(gòu)建應(yīng)用，以提升組織的IT應(yīng)變能力，快速適應(yīng)組織業(yè)務(wù)和戰(zhàn)略需求。簡言之，就是要使信息、應(yīng)用的訪問和構(gòu)建都更簡單、高效、輕松、愉悅。集成服務(wù)展示引擎基礎(chǔ)服務(wù)協(xié)同應(yīng)用短信商業(yè)分析HR應(yīng)用整合里務(wù)色彩方案WEB設(shè)計工具Portlet管理頁簽管理管理門戶角色門戶移動門戶供應(yīng)商門戶即時梢息開發(fā)服務(wù)管理服務(wù)內(nèi)容管理門戶管理集成服務(wù)展示引擎基礎(chǔ)服務(wù)協(xié)同應(yīng)用短信商業(yè)分析HR應(yīng)用整合里務(wù)色彩方案WEB設(shè)計工具Portlet管理頁簽管理管理門戶角色門戶移動門戶供應(yīng)商門戶即時梢息開發(fā)服務(wù)管理服務(wù)內(nèi)容管理門戶管理EASPortalServer企業(yè)領(lǐng)搜索引擎單點登錄BOSPortal架構(gòu)圖BOSPortal完全遵循/支持JAAS、LDAP等國際標(biāo)準(zhǔn)和規(guī)范，具有良好的擴展性和延續(xù)性，同時，也讓產(chǎn)品與其他系統(tǒng)的交互更加簡便，尤其有利于跨組織的業(yè)務(wù)協(xié)同和信息集成。2）實現(xiàn)企業(yè)各信息系統(tǒng)的單點登錄。SSO即所謂單點登錄，用戶在一處登錄后訪問其他相互信任的應(yīng)用系統(tǒng)時不需要再次輸入用戶名和口令，即可完成身份驗證。金蝶BOSPortalSSO是基于CASSSO的擴展，繼承YCASSSO的所有特性和優(yōu)點，如N層資源保護、支持多種資源保護。31

KmgdeeI/用廠憑證遠程校曲企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案.4委行第二方 >第三方認證莊戶數(shù)據(jù)

同步和映射12重定.：,3.到聾口KBOS認記'IKmgdeeI/用廠憑證遠程校曲企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案.4委行第二方 >第三方認證莊戶數(shù)據(jù)

同步和映射12重定.：,3.到聾口KBOS認記'I訪向BCSPortaBOSPorta和應(yīng)用八BOSPORTALSSO認證體系結(jié)構(gòu)在用戶數(shù)據(jù)存儲上，BOSPortal支持LDAP（輕量級目錄訪問協(xié)議）和關(guān)系型數(shù)據(jù)庫兩種存儲方式，集中存放、管理和獲取用戶身份基礎(chǔ)數(shù)據(jù)信息。BOSPORTAL缺省提供用戶數(shù)據(jù)導(dǎo)入導(dǎo)出管理工具，可以通過后臺事務(wù)自動定期從DirectoryServer/DB單行同步到BOSPORTAL，或者通過界面導(dǎo)入導(dǎo)出手工實現(xiàn)同步。BOSPORTAL充分考慮到各個組織對安全性及認證靈活性上的要求提供了多種單點登錄認證方案,包括如下認證方案：傳統(tǒng)用戶認證方案域認證方案微軟域認證方案LTPA認證方案CAS集成方案委托第三方系統(tǒng)認證3）實現(xiàn)企業(yè)各信息系統(tǒng)用戶的安全認證。32

Kingdee安全認證是指信息系統(tǒng)的用戶在進入系統(tǒng)或訪問系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。企業(yè)ITKingdee安全認證是指信息系統(tǒng)的用戶在進入系統(tǒng)或訪問系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案目前，安全認證的方法和形式多種多樣，通常在實際應(yīng)用中常用的安全認證的方式主要有口令密碼、動態(tài)密碼卡、智能鑰匙、指紋、數(shù)字證書、條碼卡等。而且，很多系統(tǒng)為了提高安全性，其采用的安全認證方式是上述多種方法的組合，以下主要推薦動態(tài)密碼卡安全認證解決方案。日常的工作中越來越依靠各種軟件系統(tǒng)，內(nèi)部系統(tǒng)的登錄主要依靠靜態(tài)密碼，由于靜態(tài)密碼基本上固定不變，存在著如下的安全隱患：（1）用戶在輸入密碼時容易被人偷看或者攝像機記錄；（2）用戶的密碼容易在傳輸?shù)倪^程中被軟件截??；（3）用戶的密碼一般有一定的規(guī)律性，容易被猜測；（4）用戶的密碼長期不變，容易泄漏；（5）病毒，木馬程序的惡意盜?。唬?）內(nèi)部的防范意識不強，內(nèi)部員工的惡意操作；（7）因為工作需要，告訴同事密碼，事后忘記修改。雖然在一個單位內(nèi)部的系統(tǒng)相對比較安全，但一旦密碼被盜，特別是一些重要的用戶密碼被盜，如單位的領(lǐng)導(dǎo)，財務(wù)等，那么造成的損失將是巨大的，這樣的情況并不少見。使用動態(tài)密碼的投入不大，可以有效的防范因為靜態(tài)密碼泄漏造成的風(fēng)險，保證系統(tǒng)的安全。認證流程如下圖所示。3333認證流程圖4）實現(xiàn)移動門戶。隨著手機等移動終端設(shè)備的普及應(yīng)用，越來越多的日常事務(wù)要求直接通過手機等移動終端完成，在這種應(yīng)用趨勢下，移動門戶誕生。用戶可以通過移動終端設(shè)備登錄Portal，處理待處理審批流程。2.4.6企業(yè)計算機和用戶管理方案企業(yè)計算機和用戶管理，采用WindowsServer2008的ActiveDirectory活動目錄方案是最佳選擇，ActiveDirectory提供了一種方式，用于管理組成組織網(wǎng)絡(luò)的標(biāo)識和關(guān)系。ActiveDirectory與WindowsServer2008R2的集成，為我們帶來了開箱即用的功能，通過這些功能我們可以集中配置和管理系統(tǒng)、用戶和應(yīng)用程序設(shè)置。ActiveDirectory域服務(wù)（ADDS，ActiveDirectoryDomainServices）存儲目錄數(shù)據(jù)，管理用戶和域之間的通信，包括用戶登錄過程、身份驗證，以及目錄搜索。此外還集成其它角色，為我們帶來了標(biāo)識和訪問控制特性和技術(shù)，這些特性提供了一種集中管理身份信息的方式，以及只允許合法用戶訪問設(shè)備、程序和數(shù)據(jù)的技術(shù)?；顒幽夸浭荳indows網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)。活動目錄使得組織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。同等重要的是，活動目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點。總的來說，活動目錄的這些功能使組織機構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時，無需管理員來維護各種不同的專用目錄。活動目錄提供了對基于Windows的用戶賬號、客戶、服務(wù)器和應(yīng)用程序進行管理的唯一點。同時，它也幫助組織機構(gòu)通過使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對非Windows系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務(wù)并簡化對整個網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴展到Internet上?；顒幽夸浺虼耸宫F(xiàn)有網(wǎng)絡(luò)投資升值，同時，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費用。活動目錄是微軟各種應(yīng)用軟件運行的必要和基礎(chǔ)的條件。下圖表示出活動目錄成為各種應(yīng)用軟34件的中心。WindowsClients—■Mgmrtprofile■Networkinfo■Policy* ■Accountinfo■Priuleges■Profile,Policy啊ndnws"ru日「事iMhdcwBWindowsUsers■Printers■Fileshares■PolicyOtherNOS■Umwrregistry件的中心。WindowsClients—■Mgmrtprofile■Networkinfo■Policy* ■Accountinfo■Priuleges■Profile,Policy啊ndnws"ru日「事iMhdcwBWindowsUsers■Printers■Fileshares■PolicyOtherNOS■Umwrregistry■Security■PolityE-MailServers■Mailboxinfo■Addressbook制ActiveDirectoryAFocalPointror:■Manageability■Securit/.InteroperabilitvFi「cwYISEruiccw■VPNpolicy■Configuration■SecurityPolicy■■..InternetNetworkDeul收w-Configurartion-QnSpolicy■SecuritypelityRpclicartimm■Serverconfig■SingleSign-On■App-specificdirectoryinfo■PolicyOther□ircctoriE3■Whitepages■E-Corimerce通過上圖，可見Windows2008Server的核心是一組基于ActiveDirectory（目錄服務(wù)，簡稱企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案“AD”）的基礎(chǔ)結(jié)構(gòu)服務(wù)。Windows2008AD簡化了管理，加強了安全性，擴展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。應(yīng)用Windows2008AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處:> 系統(tǒng)平臺基礎(chǔ)架構(gòu)基于Windows2008AD規(guī)劃網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，使企業(yè)獲得一個穩(wěn)定、可擴充的網(wǎng)絡(luò)基礎(chǔ)平臺。不單單是滿足當(dāng)前的網(wǎng)絡(luò)需要，更關(guān)鍵的是預(yù)計了今后3-5年內(nèi)可能的發(fā)展需要，使得將來的網(wǎng)絡(luò)規(guī)劃建設(shè)無需再次重復(fù)投資。>單一登錄可以統(tǒng)一用戶帳戶設(shè)置和用戶身份驗證，實現(xiàn)用戶單一登錄，用戶訪問網(wǎng)絡(luò)中的資源不再需要反復(fù)輸入用戶名稱和口令。同時，它還是企業(yè)應(yīng)用集成的基礎(chǔ)。基于AD的單一登錄功能，便于實現(xiàn)在不同程序之間的協(xié)作和集成應(yīng)用。>網(wǎng)絡(luò)安全可以基于AD，集中設(shè)置和統(tǒng)一管理用戶、組、資源的操作權(quán)限，方便維護管理。35＞ 集中管理和委派授權(quán)基于Windows2008活動目錄OU實施委派授權(quán)管理，未來向下屬企業(yè)推廣時，分級維護，集團各部門、下屬公司可以對所轄范圍內(nèi)的部分參數(shù)進行維護，如增加用戶、設(shè)置權(quán)限、增加欄目、自定義流程等。＞用戶桌面管理通過規(guī)劃部署Windows2008OU和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實現(xiàn)對客戶計算機的集中控制管理，加強信息管理的安全可靠性。＞軟件自動分發(fā)通過規(guī)劃部署Windows2008OU和組策略，還可以實現(xiàn)應(yīng)用程序的自動分發(fā)、升級和刪除，不但可以實現(xiàn)客戶機軟件的統(tǒng)一安裝管理，而且大大減輕了軟件安裝配置的工作量。根據(jù)一般集團公司的管理結(jié)構(gòu)。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡(luò)對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團按公司單位劃分不同的模塊，集團總部作為域林的根，每個子公司為一個獨立的域或者域樹，形成一個完整的樹狀結(jié)構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復(fù)制流量和網(wǎng)絡(luò)對象的查詢時間。具體的實現(xiàn)如下圖：36企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案根域:a子公司1:團總部分公司:同一個站個司:森林子公司3:子公司4:在此構(gòu)架設(shè)計中，集團需要自己的獨立的域名，所以在設(shè)計林中樹，子公司作為總部的子域，分公司可以考慮作為一單獨的域樹，由于所有的資源都位于局域網(wǎng)內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個站點內(nèi)。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運行。并且提高了用戶身份驗證的速度。操作主機分配：操作主機域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2008的域中，一共有五種操作主機，分別是構(gòu)架主機，域名主機，RID主機，PDC仿真器，結(jié)構(gòu)主機。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用YWindows系統(tǒng)默認的設(shè)置，根域中第兩臺DC承擔(dān)了五種操作主機的角色，每個子域中的第一臺DC承擔(dān)了域范圍內(nèi)的三種操作主機角色。系統(tǒng)管理設(shè)計：在系統(tǒng)設(shè)計時包括三個部分，分別是OU，用戶及組的設(shè)計，為了更好的滿足集團的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計。OU的設(shè)計：集團的OU設(shè)計目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團的商業(yè)模型相匹配。在本方案中按部門劃分OU的方法，將每個公司中以部門為單37位創(chuàng)建OU,并在部門OU中保存該部門的用戶帳戶，計算機帳戶及組采用這種設(shè)計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計方法，也可以方便的將安全策略應(yīng)用到某個部門。用戶管理：為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門的OU中創(chuàng)建。組的管理：為了滿足集團用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。在每個域中創(chuàng)建全局組，用與組織本域的帳戶，在沒個域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以企業(yè)郵件系統(tǒng)選型規(guī)劃方案目前企業(yè)郵箱的建設(shè)一般有兩種途徑可以選擇：1）企業(yè)內(nèi)部自建郵件服務(wù)器，然后通過互聯(lián)網(wǎng)域名進行發(fā)布。選型參考：MicrosoftExchange系統(tǒng)，MicrosoftExchange是微軟出品的電子郵件和協(xié)作系統(tǒng)，它通過電子郵件來交換信息，實現(xiàn)工作組成員間的相互協(xié)作。MicrosoftExchange支持SMTP、POP3、IMAP4等多種協(xié)議，是被眾多國內(nèi)企業(yè)采用的一種流行的電子郵件系統(tǒng)。能夠與WindowsAD域完美的結(jié)合，并支持Http訪問、簡單的圖形化管理工具。部署方案參考：如下圖38

企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案用廣電小的時恢■臺服務(wù)器求擔(dān)所:行榭件版勢角色堂FtEicliunge迎舊服務(wù)器擔(dān)什客戶端訪問、中央代輸、嘏箱存悌三個用色為EMhllLlR”企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案用廣電小的時恢■臺服務(wù)器求擔(dān)所:行榭件版勢角色堂FtEicliunge迎舊服務(wù)器擔(dān)什客戶端訪問、中央代輸、嘏箱存悌三個用色為EMhllLlR”提供身的:公川觀黑如大后T把咨戶崩訪問和中止ft輸眼勢黯分離出來,共同負氯大量用戶kxchun^c2M711,見傳輸服務(wù)器F.tcMn甥知布摭:公川觀黑如大后T把咨戶崩訪問和中止ft輸眼勢黯分離出來,共同負氯大量用戶kxchun^c2M711,見傳輸服務(wù)器F.tcMn甥知布摭Kxch^ii^e2LH17戶端訪問服務(wù)器、'2）通過購買電信運營商或ISP商的企業(yè)郵箱服務(wù)，不需要企業(yè)自建和維護郵箱系統(tǒng)服務(wù)器。選型參考：中國萬網(wǎng)企業(yè)郵箱服務(wù)。企業(yè)內(nèi)部通信系統(tǒng)選型規(guī)劃方案企業(yè)通信系統(tǒng)包括企業(yè)即時通信工具（如騰訊RTX）、短信平臺（如企業(yè)自建短信平臺、金蝶39企 企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案友商網(wǎng)短信平臺或電信運營商提供的短信平臺服務(wù)）、視頻會議系統(tǒng)（比如深圳視高科技、Radvision、H3C企業(yè)視頻解決方案）等，可以根據(jù)企業(yè)的實際情況進行規(guī)劃和選型。2.5企業(yè)IT機房和系統(tǒng)集成環(huán)境規(guī)劃企業(yè)IT機房工程不僅集建筑、電氣、安裝、網(wǎng)絡(luò)等多個專業(yè)技術(shù)于一體，更需要豐富的工程實施和管理經(jīng)驗。計算機房設(shè)計與施工的優(yōu)劣直接關(guān)系到機房內(nèi)計算機系統(tǒng)是否能穩(wěn)定可靠地運行，是否能保證各類信息通訊暢通無阻。機房主體部分的規(guī)劃是在樓宇弱電工程和強電工程規(guī)劃方案中進行的，本節(jié)僅對涉及IT硬件系統(tǒng)集成實施環(huán)境的部分進行規(guī)劃和要求。機房規(guī)劃要求機房既要保障機房設(shè)備安全可靠的正常運行，延長計算機系統(tǒng)使用壽命，又能為系統(tǒng)管理員創(chuàng)造一個舒適的工作環(huán)境，能夠滿足系統(tǒng)管理人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、防漏、電源質(zhì)量、振動、防雷和接地等的要求。所以，一個合格的現(xiàn)代化IT機房，應(yīng)該是一個安全可靠、舒適實用、節(jié)能高效和具有可擴充性的機房。1）機房場地要求應(yīng)避免設(shè)在建筑物的高層或地下室以及用水設(shè)備的下層。建筑物應(yīng)有暢通的雨水排水系統(tǒng)。應(yīng)避開強電磁場干擾。遠離產(chǎn)生粉塵、油煙、有害氣體以及存放具有腐蝕性、易燃、易爆物品的地方。應(yīng)建在電力、水源充足，通訊、交通方便，自然環(huán)境清潔的地方。樓地面荷載三500kg/m?。建筑梁下高度一般應(yīng)大于或等于3.1米。為了保證主機系統(tǒng)的物理安全，建議機房安裝保安監(jiān)控系統(tǒng)和門禁系統(tǒng)。2）機房環(huán)境要求機房溫、濕度應(yīng)符合下表規(guī)定項目級別A級B級40企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案Kingdee企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃方案溫度 23℃±2℃18℃?28℃濕度 40%?70% 20%?80%溫度變化率W5℃/h,不結(jié)露W10℃/h,不結(jié)露本次工程機房溫、濕度達到B級即可。主機房內(nèi)的空氣含塵濃度，在空調(diào)系統(tǒng)正常運行，室內(nèi)沒有生產(chǎn)人員的情況下測