浙江九州制藥廠解決方案臺州新遠見電腦網絡公司TEL88836932一、方案設計原則1、先進性與成熟性采用當今國內、國際上先進和成熟的計算機應用技術，使搭建的硬件平臺能夠最大限度的適應今后的辦公自動化技術和系統維護的需要。從現階段的發展來看，系統的總體設計的先進性原則主要體現在使用THINCLIENT/SERVER計算機體系是先進的、開放的體系結構，當系統應用量發生變化時具備良好的可伸縮性，避免瓶頸的出現。2、實用性與經濟性實用性就是能夠最大限度地滿足實際工作的要求，是每個系統平臺在搭建過程中必須考慮的一種系統性能，它是對用戶最基本的承諾。辦公自動化硬件平臺是為實際使用而建立，應避免過度追求超前技術而浪費投資。3、擴展性與兼容性系統設計除了可以適應目前的應用需要以外，應充分考慮日后的應用發展需要，隨著數據量的擴大，用戶數的增加以及應用范圍的拓展，只要相應的調整硬件設備即可滿足需求。通過采用先進的存儲平臺，保證對海量數據的存取、查詢以及統計等的高性能和高效率。同時考慮整個平臺的統一管理，監控，降低管理成本。4、標準化與開放性系統設計應采用開放技術、開放結構、開放系統組件和開放用戶接口，以利于網絡的維護、擴展升級及外界信息的溝通。計算機軟硬件和網絡技術有國際和國內的標準，但技術標準不可能詳細得面面俱到，在一些技術細節上各個生產廠商按照自己的喜好設計開發，結果造成一些產品只能在較低的層面上互通，在較高層面或某些具體方面不能互通。我們不但選用符合標準的產品，而且盡量選用市場占有率高、且發展前景好的產品，以提高系統互通性和開放性。5、安全性與可維護性隨著應用的發展，系統需要處理的數據量將有較大的增長，并且將涉及到各類的關鍵性應用，系統的穩定性和安全性要求都相對較高，任意時刻系統故障都可能給用戶帶來不可估量的損失，建議采用負載均衡的服務器群組來提高系統整體的高可用。6、整合型好當前采用企業級的域控制管理模式，方便對所有公司內所有終端用戶的管理，同時又可以將公司里計算機的納入管理范圍，極大地降低了網絡維護量，并能整體提高當前網絡安全管理二、用戶需求分析浙江九州制藥公司現有使用OA服務器HP370和殺毒服務器HP3000和ERP軟件服務器HP370等3臺服務器，網康NS250防火墻，ADVSJW74AVPNHP網關，DLINK3326核心交換機，現在由于業務拓展需要，客戶需要新增加3個部門，增加的部門使用終具體為外貿銷售部門大概30個終端用戶。需求上網、郵件、MSN、銷售系統、ERP。FTD應用、研究所部門50個終端用戶需求上網、郵件、MSN、資料加密、級別設定。質量部倉庫20個終端用戶需求上ERP財務20臺終端用戶。需求2臺上網因此，我們根據客戶的需求采用以下方案，幫助客戶完成業務拓展求，并保證客戶有必要的拓展性三、具體方案介紹1、終端服務器建立根據公司的實際需求，方案主要從數據安全，維護和管理等方面要求，先用先進的THINCLIENT/SERVER架構，業務前臺和辦公桌面采用WYSETHINCLIENT，根據用戶的數量以及分布位置部署2臺服務器做為終端服務器，并使兩臺終端服務器實現LOADBALANCE（解釋參閱備注）。另外架設一臺文件服務器，為公司里用戶存儲文件使用，文件服務器可以采用NAS或盤陣，用戶個人的PROFILE及數據，均存放在文件服務器。使用LOADBALANCE的好處是服務器的其中一臺服務器一旦出現故障，網絡負載均衡功能讓另外一臺服務器可以繼續提供完全相同的服務給客戶端，而漫游用戶的所有資料都存放在FILESERVER或NAS上面，所以對用戶的體驗來講完全沒有區別，可以保證正常的工作。2、終端使用和管理公司用戶采用目前最先進的域控制管理體系，管理員只需在DC上面建立一個新的訪問終端服務使用的OU，把需要訪問的帳號復制到新的OU中，利用組策略來實現一部分的權限管理控制，使管理員很容易地管理終端用戶登錄、用戶權限等。并可以將公司所有服務器和PC納入管理體系，方便的管理所有公司內的機器。如（1）、用戶的登錄跟域用戶緊密相連，由DC來驗證用戶。（2）、登錄終端服務器的用戶可以受到OU策略的限制，如，服務器的磁盤限制，一些重要的設定限制（打印機、桌面、開始菜單等一些功能）（3）、使用者設置成漫游用戶，可以實現用戶使用任意設備，登錄到任意一臺終端服務器，其個人的PROFILE及文檔設置完全一致。（4）、管理員可以應用活動目錄、組策略、智能鏡像管理用戶，同時可很好的同PC用戶協同工作，統一管理，統一維護。3、對于未來的客戶端對于未來的公司的新員工或者車間，可以直接采用瘦客戶機，不但能夠節省購買與建置成本，更能大幅降低未來人員維護與管理的成本，實現集中管理。4、對于未來的擴展今后，當浙江九州制藥公司有新的應用程序需要給用戶使用，管理員在終端服務器上安裝即可。而當同時并發使用人數增加時，只需在DC上開設一個帳號就可以快速擴充系統的服務量，整個系統擁有良好的可擴展性四、系統網絡拓撲圖五、方案特點高可靠性THINCLIENT/SERVER本身不提供任何對外的數據接口，即可避免外來的病毒入侵，又可以防止內部人員直接從客戶端泄露公司重要資料，從而提高了系統和公司資料的安全簡單易用THINCLIENT/SERVER操作簡單，界面直觀，無需培訓。THINCLIENT/SERVER采用嵌入式操作系統，更讓您放心使用，不必擔心自己的誤操作會導致系統癱瘓，特別適合于企業單位信息化建設的需要。維護方便由于采用集中式管理，使系統具備良好的可維護性，可大大減輕網管人員工作量。易于升級由于本系統采用THINCLIENT/SERVER模式，應用軟件的升級或發布只需在服務器端進行即可。可快速部署應用程序，提高工作效率。經濟實用該方案在滿足企業信息化建設需求的同時，有效控制了系統總體擁有成本。應用靈活可以靈活管理終端用戶的接入，可以和現有的PC用戶應用無縫融合，快速升級。六、方案優勢降低總擁有成本（TCO）。包括購置成本、人工成本（升級維護）、管理成本和操作者使用成本。減少維護量、增強可管理性。本地無需升級和維護，管理和維護集中在服務器端進行，并且可以進行遠程監控。集中管理WYSETHINCLIENT/SERVER的運算、存儲及防病毒管理等都在服務器上完成，通過服務器對不同用戶進行授權和應用管理，降低管理成本，提高了管理效率，有效避免了員工上班時間利用網絡計算機做與工作無關之事。實現真正意義上的集中式管理，網絡計算機本身無需維護，網管人員只對服務器和網絡環境進行維護即可。增強穩定性。采用分層模塊化設計的嵌入式系統，不易崩潰。提高網絡帶寬利用率。終端與終端服務器之間數據流量小，瞬間只占用30K網絡帶寬，占用網絡帶寬少，傳輸迅速，提高了工作效率。增強系統、網絡的安全性。系統采用模塊化設計，本地沒有存儲設備，可有效防止病毒感染和傳播；用戶使用唯一的ID身份認證，可以有效地對用戶進行監管；傳輸數據經過加密處理。七、終端服務器選型在整個系統結構中，終端服務器的選擇至關重要，它必須支持高速的網絡連接、具有快速的I/O通道以支持多媒體數據庫的存取，并且要具有很高的可靠性。服務器的選擇主要考慮以下幾個因素I/O吞吐能力系統總線速度中央處理器及內存的擴充能力可靠性與穩定性先進性與安全性可擴充性和性價比多機協同工作能力備注LOADBALANCE通過使用由兩臺或多臺計算機一起組成的集群，網絡負載均衡使得終端服務器的可用性提高，可擴展性改善。客戶端使用單一IP地址訪問集群。網絡負載均衡集群與運行單一服務器程序的單一主機有明顯區別，集群中某主機發生故障時，集群系統保證提供不間斷的服務。集群還可以比單一主機更迅速地響應客戶請求（對于負載均衡的端口）。每當有新的會話請求，LOADBALANCEDSERVER會依據已經計算（根據服務器的CPU、MEMORY、HARDDISK等）得到的每臺SERVER的LOAD值，分配請求會話給一個負載最輕的終端服務器。解決方案結構及設計未經整合的IT架構經過整合后的IT架構從上圖中可以很清晰分辨出企業IT架構整合前和整合后的差別，而對于使用IBM刀片服務器方案的用戶，只需要申請服務器硬件，存儲和LINUX的預算。最開始他們可以使用開源軟件，隨著業務發展可以使用IBM提供的社區軟件，這些社區軟件可以隨著客戶業務的發展升級到IBM企業級軟件產品。IBM提供的運行社區軟件包括IBMDB2社區版，IBMWEBSPHERE應用服務器社區版，IBMHTTP服務器。開發社區軟件包括應用開發工具，方案集合工具以及實施向導幫助用戶的應用開發和實施。對于所有用戶，方案可以總結為以下六種業務整合，商業智能，內容管理，電子商務，架構和門戶。IBM社區軟件正是可以作為一個平臺，支持軟件商進行個性化應用的開發。八、客戶端桌面安全管理功能概述技術功能系統支持管理網絡終端軟硬件資產采集客戶端的硬件設備信息（諸如硬盤、CPU、內存等）、位置信息（設備名稱、使用人、聯系電話、房間號等），注冊后存儲到數據庫中可自動發現客戶端安裝的軟件，將所有相關數據入庫管理；支持在管理中心對注冊客戶端進行聯機卸載。系統支持報警設備資產信息變化，報警未注冊設備、注冊程序卸載行為，實時檢測硬件設備變化情況（如設備硬件變化、網絡地址更改、USB設備接入等）。支持網絡終端IP分組功能，按照不同的區域、部門進行劃分管理組。自動檢測網絡中IP資源使用情況，列表注冊客戶端、未注冊客戶端及機器在線情況，以取代原始的數據資料記載的手段，增強設備管理信息的實時性、準確性。支持對網絡中客戶端流量進行監控報警對客戶端設備流量進行采樣并實時排序，監視網絡的異常流量和異常連接，客戶端輸入或輸出流量超越管理員設定閥值時報警，對可疑發包、可疑并發連接進行阻斷，防止非法入侵、濫用網絡資源。支持對重要主機進行運維監控，支持對客戶端硬盤、CPU、內存等系統資源應用狀況的監控，在超過管理員設定閥值時自動報警。支持對客戶端MAC和IP地址的綁定管理，任意其中一個發生改變，系統將自動報警，報警后自動恢復原有IP配置。支持對重要服務器、路由器、交換機等網絡設備的保護，有效保障網絡的穩定運行。支持對網絡中計算機的接入、帶出行為進行報警，并能夠自動阻斷違規行為。支持監控網絡中客戶端的非法外聯行為，實時檢測內部網絡（包括物理隔離和邏輯隔離網絡）用戶通過調制解調器、網卡等設備非法外聯互聯網行為，并遠程告警或阻斷。支持進行移動設備接入監控，對本單位移動設備進行特征標志，禁止外單位的移動設備接入本單位計算機。支持進行文件操作監控，支持對文件拷入、拷出行為的監控，基于文件名、文件內容等關鍵字匹配規則對網絡客戶端進行過濾搜索。支持審計IE訪問記錄，檢查客戶端訪問某一特定網絡的歷史信息，如訪問WWWSINACOM后的IE緩存、COOKIE信息、收藏夾等。支持進行軟件黑白名單審計管理，網管制定各種黑白名單策略后，報警處置客戶端中安裝運行的非法軟件或者進程，如QQ、MSN、炒股等，搜索病毒、木馬等可疑程序。支持客戶端防火墻功能，對客戶端進行端口訪問控制，由管理員制定策略統一在客戶端桌面執行。支持對客戶端進行涉密安全審計，包括注冊表審計審計注冊表鍵或者鍵值是否符合某一條件；用戶密碼審計審計系統用戶、網絡共享、屏幕保護等密碼是否符合規范；用戶權限審計監控系統用戶及用戶組的變化。系統支持自帶客戶端安全策略中心庫，由管理員在控制臺制定，安全策略統一分發至客戶端后執行。要求終端信息遠程管理功能，諸如運行進程查看、安裝軟件審核、漏打補丁查看、終端安全審計、客戶端網絡配置修改等信息。支持硬件接口控制，控制外設的使用，管理員啟用或禁用軟驅，光驅，U盤，打印機，MODEL，串口，并口。支持進行腳本分發控制客戶端操作，向客戶端分發用戶腳本，控制客戶端的進程啟停，以及軟件的下載、安裝等；向客戶端分發注冊表腳本，對客戶端的注冊表進行新建、修改、刪除操作。支持桌面消息通知，向客戶端發送消息通知，請求重新注冊信息、要求升級等消息。支持進行客戶端防毒審計，監控主流防病毒軟件在客戶端的安裝情況，并以圖表的形式直觀表示，報警未安裝殺毒軟件客戶端。支持對互聯網補丁進行增量分離下載，經過病毒檢測后將補丁導入內網，建立內網補丁庫。支持按照不同類別對補丁進行歸類系統補丁、IE補丁、應用程序補丁等，并詳細列表補丁信息。支持補丁閉環自動測試功能，對下載的補丁進行自動測試（建立測試網絡組），試通過完成后存入補丁庫。支持客戶端補丁自檢測，在內網中建立補丁檢測網站，客戶端用戶訪問網站后，WEB網頁自動檢測顯示客戶端補丁安裝信息，用戶可進行補丁下載安裝；管理員可以在管理控制臺上遠程檢測客戶端補丁安裝狀況。支持補丁分發策略制訂，支持用戶自定義補丁策略并自由配置分發，基于客戶端網絡IP范圍、操作系統種類、補丁類別（系統補丁、IE補丁、應用程序補丁以及網管自定義補丁類等）等制訂策略，發送至客戶端后統一按策略執行應用。支持補丁自動分發安裝，在指定時間、指定網絡范圍內以不同方式（如推、拉）分發補丁，或者根據腳本策略統一控制客戶端下載補丁。當系統監測到有客戶端未打補丁時，可對漏打補丁客戶端進行推送補丁。支持補丁分發流量和連接數控制，以免占用太大帶寬，影響網絡正常工作。對于長期不打補丁的客戶端，支持通過補丁管理系統阻止其接入內網的行為；補丁分發支持分發普通文件到客戶端。達到投標產品為具有成功實施案例的成熟產品，基于C/S、B/S混合管理模式構架，對網絡中WINDOWS系統客戶端進行管理。達到基于WEB方式對系統控制臺進行操作管理。系統管理員登錄支持IP地址訪問限定，只有獲得授權的計算機才能進入系統控制臺。系統支持對數據的整理，對長期不開機以及IP重復的機器進行整理。系統支持分權限管理，按照管理區域、安全策略、權限項列表等對不同的管理員帳戶進行分配。設備統計查詢支持柱狀圖方式直觀顯示網絡中注冊設備和安裝殺毒軟件情況，并可以對設備系統信息（如操作系統和IE類型）和設備硬件信息（如CUP、內存、硬盤等）進行圖形化統計。支持管理員對控制臺的操作日志記錄，包括登陸日志、系統操作日志、策略制訂日志等。系統支持對各種日志的導出查詢，支持EXCEL、TXT、WORD、HTML格式的文件導出。系統安裝部署支持網頁自動注冊，在注冊WEB主頁上設置注冊代碼，未注冊客戶端訪問WEB頁面時能夠自動彈出注冊提示窗口。支持對網絡中的遠程注冊客戶端進行阻斷，支持跨網段、跨VLAN阻斷，支持對未注冊客戶端的告警和自動阻斷。支持防火墻聯動擴展，同防火墻通訊，將本系統報警信息反饋給防火墻，由防火墻采取處置措施，或者做記錄。支持對文件打印可以進行有選擇性的禁止或對所有文件打印進行審計，并上傳到服務器進行存儲。支持對網絡共享進行管理，能夠發現網絡中的共享行為，并可以對網絡共享進行管理，對網絡共享中拷貝的文件進行審計。支持終端對發送的文件進行處理，禁止或允許終端進行文件輸出管理，并審計或在服務器上記錄發送的郵件。支持對系統目錄、軟件目錄、共享目錄的文件進行保護，禁止對其進行訪問、修改、刪除等操作，并對結果進行記錄。支持對HTTP訪問進行審計，能夠單獨或成批進行訪問審計，并將審計結果進行記錄。九、方案預計費用（按20USER計算）軟件費用按20個客戶機USER序號產品單價數量總價1WINDOWS2003ADVANCEDSERVER232001232002WINDOWS2003CAL2602052003WINDOWS2003TERMINALSERVERLICENSE79220158404世紀互聯桌面控制軟件47020094000小計138240作為一個基于微軟軟件的方案包包括以下基本的組成部分編號描述數量單價總價銷售部服務器79812FCHS20167GHZ雙內核ULP超低電壓2MBL2,FSB667,512M2DDR2,OPEN25“SAS1180001800026K5776IBM36GB10KSASNHSHDDHS207981125002500主域服務器79812FCHS20167GHZ雙內核ULP超低電壓2MBL2,FSB667,512M2DDR2,OPEN25“SAS1180001800039M58092GB2X1GBKITPC232