1、解決方案分析與設計方案適用范圍學校多媒體電教室、圖書館電子閱覽室、政府機關培訓教室。1. 需求分析由于病毒、硬盤損耗等原因，導致軍事學院IT系統的保障和維護面臨主要風險如下：IT系統應用需求u 終端用戶操作系統和應用系統不能正常使用；u 涉密數據的損壞、丟失和泄密；u 信息化投入及維護成本劇增；造成這些問題的原因大致為四類：² 硬盤故障：系統的硬盤或其他部件損壞；² 惡意行為：病毒，惡意軟件和木馬的破壞及泄密；² 用戶的誤操作及無意泄密；² 電腦或硬盤的丟失；² 硬件產品生命周期大大縮短及維護成本大幅增加。內網安全需求u 移動存儲設備濫用的需求

2、。對接入的移動存儲設備既要做到認證使用，又要做到移動存儲設備合法使用的細粒度控制。u 終端計算機端口缺乏統一的控制。u 對于網絡內部需要管理的重要主機信息和操作行為進行實時的審計，并且根據相應的審計信息定制科學的安全策略。² 服務器端擁有負載均衡功能；² 服務器端能夠實現數據時時備份和HA高冗余功能；² 客戶機操作系統可以集中管理和維護；² 客戶機操作系統重啟后可以自動還原；² 軟件和更新包的安裝和部署更加簡捷；內網安全管理目標在軍隊院校的網絡中，一套安全管理系統解決方案要求達到如下的效果：（1） 終端身份認證管理身份認證系統以用戶信息、系統權

3、限為核心，集成各業務系統的認證信息，或者Windows自身域控的管理方式, 為客戶提供一個高度集成且統一的認證平臺。（2） 數據集中管理數據統一集中管理，設立數據訪問權限，記錄數據訪問信息記錄，防止數據人為破壞。（3） 集中系統和數據維護平臺提供無盤工作站的應用模式，每個終端沒有硬盤，系統和涉密數據全部存儲在遠端服務器硬盤鏡像空間中，保證終端無法感染病毒、木馬，通過對鏡像服務器的安全防護（防毒、防攻擊和負載均衡,HA等災備系統）保證終端系統、應用和數據的可用性和穩定性。（4） 軟件可控性好網眾無盤系統的部分管理和監控功能結合使用，可以控制學院使用的軟件，避免學員擅自安裝游戲以及不允許的軟件。更

4、新維護也十分方便（5） 主機外設端口管理平臺對于一切可能通過外設形成接入的行為進行控制，有效地防止了核心數據被第三方通過各種設備將機密數據盜竊，保障了核心區的數據安全；（6） 存儲設備管理平臺能夠提供存儲設備管理手段，保證了數據的存儲介質磁盤的科學使用，可以規定每臺主機上磁盤的存儲方式（正常讀寫、只讀、保密讀寫）及其磁盤的數據有效范圍（單機有效、域有效、第三方有效），從而可以保證了重要數據在未授權的前提下，不可能被帶出網絡，解決了用戶身份和數據身份的訪問控制問題；根據以上實際情況，為了達到貴院網絡信息系統安全管理規劃的安全目標，我們認為規劃、設計、實施網絡信息系統的安全系統的目標是：通過安全系

5、統工程的實施，建立完整的網絡信息系統的安全防護體系，在安全法律、法規、政策的支持與指導下，通過制定個性化的安全策略，采用合適的安全技術和制度化的安全管理，從安全策略、安全域、安全系統、安全管理多個層次，多個角度，構建網絡內部信息安全保障技術框架，實現：u 系統部署維護方便，管理輕松u 有效管理移動存儲設備，防止非法（未注冊）的移動存儲設備的接入。u 網絡內部信息與網絡資源受控合法地使用。u 對所需保護的主機進行詳細的管理和監控。2. 應用環境現實狀況多媒體培訓中心環境中，PC機應用難以管理和約束，學生無法受到有效監控，將嚴重影響正常的培訓教學。老師做為整個網絡的管理者，在保障系統正常安全的同時

6、，更重要的是如何有效監控管理學生的操作行為，保障正常教學培訓的進行。（1）老師對PC系統恢復工作量繁重PC機操作系統經常被學生有意或者無意刪除、破壞，導致電教室老師對PC系統恢復工作量繁重。（2）使用硬盤保護卡操作繁瑣效率不高硬盤保護卡的大數據量讀寫操作容易導致物理硬盤的損壞，且保護卡關閉時任何軟件或配置更新所導致的系統損壞，將不能恢復。（3）軟件安裝和系統更新重復耗時經常老師需要逐臺PC進行軟件安裝和系統設置更改，消耗大量時間又影響正常教學進度。（4）學生可以離線操作PC，老師難以監控教學學生可以通過拔除網線來躲避老師監控，上課時間自娛自樂。（5）外設端口難以限制，學堂變成游戲廳光驅、USB

7、端口不能限制使用，學生經常拷貝游戲程序到學生機上，將課堂變成游戲機房。（6）學生的個人數據拷貝麻煩學生經常需要定點、定機去拷貝自己的數據，這樣也導致學生上課座位安排和選擇不靈活。3. 方案選擇在多媒體培訓中心項目中，針對不同數量的教室和學生機，我們分別推薦：單教室單服務器NXD解決方案、多教室多服務器NXD+E-Class解決方案。4. 單教室單服務器NXD解決方案（學生機60臺以下）在中小學、銀行機構、政府機關的多媒體培訓教學中，一般只有一個多媒體電教室，學生機數量也比較少（60臺以下），我們推薦使用單教室單服務器NXD解決方案。.1方案應用優勢（1）提供對NXD工作站系統鏡像的只讀保護防止

8、病毒、黑客攻擊、學生誤操作對于操作系統的影響，任何在NXD工作站上的更改，重啟后自動恢復到管理員初始系統配置狀態。（2）支持NXD工作站應用系統環境批量更新使用一臺特殊權限的NXD工作站（NXD超級工作站）對NXD操作系統鏡像進行更新，就實現對網絡教室中所有NXD工作站使用環境的更新。（3）給NXD工作站提供獨立數據存儲空間附加網絡硬盤老師可以給不同的學生機分配一個NXD工作站附加網絡硬盤（16MB5GB），其形態是在每個NXD工作站上出現一個獨立分區的硬盤，如同本地物理硬盤一般使用。（4）禁止學生機離線工作學生機拔除網線后NXD工作站就無法使用（因為每個NXD工作站需要實時跟服務器聯系獲得所

9、需資源，沒有網絡就無法繼續工作-詳細介紹參見RamDisk技術），保證老師可以使用網絡監控軟件對學生機進行監管控制。.2網絡拓撲結構單教室網絡結構.3 系統功能根據具體學生機的數量，此方案我們推薦兩款服務器作為NXD服務器：簡單的服務器配置支持30臺左右的學生機訪問負荷。中端的服務器配置既可支持60臺左右的學生機訪問負荷。（1）服務器：安裝NXD管理服務軟件和NXD-I/O服務軟件為NXD工作站提供網絡服務自動給每臺NXD工作站分配IP地址、子網掩碼、網關、DNS等網絡地址，也支持手動添加NXD工作站的IP地址、子網掩碼、網關、DNS地址等網絡地址。為NXD工作站提供操作系統鏡像I/O服務為N

10、XD工作站提供附加網絡硬盤服務老師可以為每臺NXD工作站劃分一塊D盤來存儲每臺學生機上的個人數據。5. 多教室多服務器NXD+E-Class解決方案（學生機60臺以上）在學校多媒體電教室、圖書館電子閱覽室、移動電信培訓中心的多媒體培訓教學中，一般都有多個多媒體電教室，學生機的總量也比較多或者單個教室中學生機的數量超過60臺，都需要配置兩臺以上的服務器，我們推薦使用多教室多服務器NXD+E-Class解決方案。.1方案應用優勢繼承單教室單服務器NXD解決方案（60名學生以內）優勢的同時，多教室多服務器NXD+E-Class解決方案（60名學生以上）在管理應用上提供更多的優勢。（1）支持NXD管理

11、服務和I/O服務的分離在NXD系統集成中可以部署由單個NXD管理服務器和多個NXD-I/O服務器組成的應用結構，便于統一協調NXD-I/O服務器負載，并可以集中管理所有NXD工作站的IP地址，個性化策略，數據存儲配置。（2）支持NXD多I/O負載均衡可以使用多臺服務器來均衡分擔NXD鏡像的I/O服務壓力，同時又提供冗余機制，當多臺I/O服務器中某臺出現故障時，并不會影響到整體的I/O服務。（3）支持NXD個人網絡硬盤學生通過帳號和密碼可以從網絡中的任意一臺學生機上登陸到自己的個人數據盤。既保證個人數據的安全可靠，又解決在多臺學生機之間拷貝個人數據的麻煩。（4）支持NXD工作站應用網絡硬盤老師可

12、以將工具軟件、學習資料、教學課件等存放在NXD超級工作站的應用網絡硬盤中，自動更新到所有學生機的NXD工作站應用網絡硬盤中，學生只能讀取并不能修改或刪除應用網絡硬盤的數據。（5）支持控制和限制PC機的個人操作行為老師可以對學生機進行屏幕監控、應用程序使用控制、外設控制、網站訪問控制、組策略管理、網絡端口控制等.2網絡拓撲結構多個多媒體教室網絡結構.3系統功能針對服務器在NXD系統應用中所扮演的不同角色，我們推薦下述服務器分配方案：服務器1、服務器2、服務器3。（1）服務器1（中心機房） 安裝NXD管理服務軟件、NXD-I/O服務軟件和E-Class電子教室管理軟件。為NXD工作站提供網絡地址服

13、務自動給每臺NXD工作站分配IP地址、子網掩碼、網關、DNS等網絡地址，也支持手動添加NXD工作站的IP地址、子網掩碼、網關、DNS地址等網絡地址。為NXD工作站提供操作系統鏡像I/O管理和服務負責監控和均衡NXD-I/O服務 監控整個網絡中的NXD-I/O服務的負載情況，調度NXD工作站連接到負載較輕的NXD-I/O服務器。提供NXD工作站附加網絡硬盤管理和服務 老師可以為每臺NXD工作站劃分一塊D盤來存儲每臺學生機上的個人數據。提供NXD工作站應用網絡硬盤管理和服務 老師可以將工具軟件、學習資料、教學課件等存放在NXD超級工作站的應用網絡硬盤中，自動更新到所有學生機的NXD工作站應用網絡硬

14、盤中，學生只能讀取并不能修改或刪除應用網絡硬盤的數據。提供NXD個人網絡硬盤管理和服務統一管理每個學生的NXD個人網絡硬盤的帳號信息，調配每個學生的NXD個人網絡硬盤的容量，并存儲每個學生的NXD個人網絡硬盤數據信息。提供E-Class軟件運行平臺，統一管理網絡設備統一管理網絡中所有服務器、NXD工作站的端口使用策略、網絡訪問策略、遠程控制和維護管理實施等，管理功能強大，操作界面掌握容易。（2）服務器2（中心機房） 安裝NXD-I/O服務軟件。為NXD工作站提供操作系統鏡像I/O服務通過多臺服務器2的組合，負載NXD鏡像I/O服務，可以支持更多的NXD工作站使用。（3）服務器3（多媒體教室4）

15、 安裝NXD-I/O服務軟件。為NXD工作站提供操作系統鏡像I/O服務前置NXD-I/O服務器，降低學校主干網數據傳輸壓力直接在多媒體教室中安放服務器3來提供NXD鏡像I/O服務，NXD的網絡傳輸壓力直接由教室網絡負擔，大大降低學校主干網絡數據傳輸壓力。附錄一：服務器推薦配置：服務器主要用于虛擬鏡象管理系統工作站管理,并且服務器網卡和硬盤速度還會影響到整個網絡的速度，為了保證系統的穩定性和速度，選擇高性能服務器。品牌推薦DELL,HP.推薦配置如下：CPUINTEL XEON 四核處理器主板INTEL 5500p或以上芯片組內存32G以上硬盤1*500G SATA盤 此為服務端Linux操作系統盤1*240G SSD盤 此為客戶機所使用的鏡像磁盤2