1、27選會策劃方*解決方案分析與設計方案適用范圍學校多媒體電教室、圖書館電子閱覽室、政府機關培訓教室。兒需求分析山于病毒、硬盤損耗等原因，導致軍事學院丁系統的保障和維護面臨主要 風險如下：M系統應用需求終端用戶操作系統和應用系統不能正常使用: 涉密數據的損壞、丟失和泄密: 信息化投入及維護成本劇增:造成這些問題的原因大致為四類:硬盤故障：系統的硬盤或其他部件損壞: 惡意行為：病毒，惡意軟件和木馬的破壞及泄密;用戶的誤操作及無意泄密: 電腦或®盤的丟失: 硬件產品生命周期大大縮短及維護成本大幅增加。內網安全需求移動存儲設備濫用的需求。對接入的移動存儲設備既要做到認證使用，乂要做到移動存儲

2、設備合法使用的細粒度控制。終端計算機端口缺乏統一的控制。對于網絡內部需要管理的重要主機借息和操作行為進行實時的審計，并且根據相應的審計信息定制科學的安全策略。服務器端擁有負載均衡功能: 服務器端能夠實現數據時時備份和刃久高冗余功能;客戶機操作系統可以集中管理和維護: 客戶機操作系統重啟后可以自動還原;軟件和更新包的安裝和部署更加簡捷:內網安全管理目標在軍隊院校的網絡中，一套安全管理系統解決方案要求達到如下的效果:（1）終端身份認證管理身份認證系統以用戶信息、系統權限為核心，集成各業務系統的認證信息, 或者yindvws自身域控的管理方式，為客戶提供一個高度集成且統一的認證 平臺。（2）數據集中

3、管理數據統一集中管理，設立數據訪問權限，記錄數據訪問信息記錄，防止數據 人為破壞。（3）集中系統和數據維護平臺提供無盤工作站的應用模式，每個終端沒有碩盤，系統和涉密數據全部存儲 在遠端服務器硬盤鏡像空間中，保證終端無法感染病毒、木馬，通過對鏡像服務 器的安全防護（防毒、防攻擊和負載均衡,g等災備系統）保證終端系統、應 用和數據的可用性和穩定性。（4）軟件可控性好網眾無盤系統的部分管理和監控功能結合使用，可以控制學院使用的軟件, 避免學員擅自安裝游戲以及不允許的軟件。更新維護也十分方便（5）主機外設端口管理平臺對于一切可能通過外設形成接入的行為進行控制，有效地防止了核心數據被 第三方通過各種設備

4、將機密數據盜竊，保障了核心區的數據安全:（6）存儲設備管理平臺、#27 選會策劃方*能夠提供存儲設備管理手段，保證了數據的存儲介質一-磁盤的科學使用, 可以規定每臺主機上磁盤的存儲方式（正常讀寫、只讀、保密讀寫）及其磁盤的 數據有效范W （單機有效、域有效、第三方有效），從而可以保證了巫要數據在 未授權的前提下，不可能被帶出網絡，解決了用戶身份和數據身份的訪問控制問 題;根據以上實際1W況，為了達到貴院網絡信息系統安全管理規劃的安全U標, 我們認為規劃.設計、實施網絡信息系統的安全系統的U標是：通過安全系統工 程的實施，建立完整的網絡信息系統的安全防護體系，在安全法律、法規、政策 的支持與指導

5、下，通過制定個性化的安全策略，釆用合適的安全技術和制度化的 安全管理，從安全策略、安全域、安全系統、安全管理多個層次，多個角度，構 建網絡內部信息安全保障技術框架，實現:系統部署維護方便，管理輕松 有效管理移動存儲設備，防止非法（未注冊）的移動存儲設備的接入。網絡內部信息與網絡資源受控合法地使用。對所需保護的主機進行詳細的管理和監控。2應用環境現實狀況多媒體培訓中心環境中，夕C機應用難以管理和約束，學生無法受到有效監 控，將嚴重影響正常的培訓教學。老師做為整個網絡的管理者，在保障系統正常 安全的同時，更重要的是如何有效監控管理學生的操作行為，保障正常教學培訓 的進行。（1）老師對PC系統恢復丄

6、作量繁重TC機操作系統經常被學生有意或者無意刪除、破壞，導致電教室老師對 夕C系統恢復工作量繁重。（2）使用碩盤保護卡操作繁瑣效率不高硬盤保護卡的大數據量讀寫操作容易導致物理硬盤的損壞，且保護卡關閉時 任何軟件或配置更新所導致的系統損壞，將不能恢復。（3）軟件安裝和系統更新重復耗時經常老師需要逐臺夕C進行軟件安裝和系統設置更改，消耗大量時間乂影響 正常教學進度。（4）學生可以離線操作PC,老師難以監控教學學生可以通過拔除網線來躲避老師監控，上課時間自娛自樂。（5）外設端口難以限制，學堂變成游戲廳光驅、端口不能限制使用，學生經常拷貝游戲程序到學生機上，將課 堂變成游戲機房。（6）學生的個人數據拷

7、貝麻煩學生經常需要定點、定機去拷貝自己的數據，這樣也導致學生上課座位安排 和選擇不靈活。3方案選擇在多媒體培訓中心項U中，針對不同數量的教室和學生機，我們分別推薦: 單教室單服務器久XQ解決方案、多教室多服務器 T）+T-C（ass解決方案。4單教室單服務器JVX2?解決方案（學生機60臺以下）在中小學、銀行機構、政府機關的多媒體培訓教學中，一般只有一個多媒體 電教室，學生機數量也比較少（&0臺以下），我們推薦使用單教室單服務器久XQ 解決方案。4J方案應用優勢（I）提供對久XQ工作站系統鏡像的只讀保護防止病毒、黑客攻擊、學生誤操作對于操作系統的影響，任何在久XQ工 作站上的更改，巫啟

8、后自動恢復到管理員初始系統配置狀態。（2）支持aXQ工作站應用系統環境批量更新使用一臺特殊權限的久XQ匸作站（久XQ超級工作站）對久XQ操作系 統鏡像進行更新，就實現對網絡教室中所有久XQ匸作站使用環境的更新。（3）給久XQ工作站提供獨立數據存儲空間一-附加網絡硬盤老師可以給不同的學生機分配一個:NXT） 1：作站附加網絡碾盤（166/256：），其形態是在每個久XQ工作站上出現一個獨立分區的硬盤,如同本地物理硬盤一般使用。（4）禁止學生機離線工作學生機拔除網線后久XQ工作站就無法使用（因為每個久XQ 1：作站需要實時跟服務器聯系獲得所需資源，沒有網絡就無法繼續工作詳細介紹參見 amDis技術

9、），保證老師可以使用網絡監控軟件對學生機進行監管控制。4.2網絡拓撲結構單教室網絡結構527 選會策劃方*NXD服務器lOOOM網絡700M網絡學生機學生機學生機0boot服務W®務4 .3系統功能根據具體學生機的數量，此方案我們推薦兩款服務器作為久XQ服務器: 簡單的服務器配置支持30臺左右的學生機訪問負荷。中端的服務器配置既可支 持60臺左右的學生機訪問負荷。(1) 服務器:安裝 WCD管理服務軟件和久XQJ/0服務軟件 為2CD匸作站提供網絡服務自動給每臺ZNXQ 1：作站分配FP地址、子網掩碼、網關、等網絡地址，也支持手動添加久XQ工作站的夕地址、子網掩碼、網關、地址等 網絡

10、地址。 為久XQ匸作站提供操作系統鏡像0服務 為2CD匸作站提供附加網絡硬盤服務老師可以為每臺aXQ工作站劃分一塊Q盤來存儲每臺學生機上的個人數5多教室多服務器:NXQ+ECg 解決方案（學生機60臺以上）在學校多媒體電教室、圖書館電子閱覽室、移動電信培訓中心的多媒體培訓 教學中，一般都有多個多媒體電教室，學生機的總量也比較多或者單個教室中學 生機的數量超過60臺，都需要配置兩臺以上的服務器，我們推薦使用多教室多 服務器:NXD+ECCdSS解決方案。5.1方案應用優勢繼承單教室單服務器久XQ解決方案（60名學生以內）優勢的同時，多教 室多服務器:NXD+ECQiss解決方案（60名學生以上）

11、在管理應用上提供更 多的優勢。（I）支持久XQ管理服務和J/0服務的分離在久XQ系統集成中可以部署山單個JS/XQ管理服務器和多個aXQJ/O 服務器組成的應用結構，便于統一協調久XQJ/O服務器負載，并可以集中管 理所有久XQ L作站的FP地址，個性化策略，數據存儲配置。（2）支持6/XQ多0負載均衡可以使用多臺服務器來均衡分擔久XQ鏡像的"0服務壓力，同時乂提供 冗余機制，當多臺J/0服務器中某臺出現故障時，并不會影響到整體的"0服 務。（3）支持久XQ個人網絡硬盤727選會策劃方*學生通過帳號和密碼可以從網絡中的任意一臺學生機上登陸到自己的個人 數據盤。既保證個人數據

12、的安全可靠，乂解決在多臺學生機之間拷貝個人數據的 麻煩。（4）支持6/XQ匸作站應用網絡硬盤老師可以將工具軟件、學習資料、教學課件等存放在久XQ超級工作站的 應用網絡硬盤中，自動更新到所有學生機的 久XQ工作站應用網絡硬盤中，學 生只能讀取并不能修改或刪除應用網絡硬盤的數據。（5）支持控制和限制夕C機的個人操作行為老師可以對學生機進行屏幕監控、應用程序使用控制、外設控制、網站訪問 控制、組策略管理、網絡端口控制等.5 .2網絡拓撲結構多個多媒體教室網絡結構5 .3系統功能針對服務器在久XQ系統應用中所扮演的不同角色，我們推薦下述服務器 分配方案：服務器】、服務器2、服務器3。(1)服務器！(中

13、心機房)安裝aXQ管理服務軟件、JOCD-I/0服務軟件和T-C(ass電子教室管理軟件。 為L作站提供網絡地址服務自動給每臺久XQ 1：作站分配FP地址、子網掩碼、網關、等網絡地址，也支持手動添加久XQ工作站的夕地址、子網掩碼、網關、地址等 網絡地址。 為:A/XQ L作站提供操作系統鏡像I/O管理和服務 負責監控和均衡久XQJ/O服務監控整個網絡中的久XQJ/O服務的負載情況，調度久XQ工作站連接到負載較輕的ZCDJ/O服務器。 提供久XQ工作站附加網絡®盤管理和服務老師可以為每臺2CD匸作站劃分一塊Q盤來存儲每臺學生機上的個人數據。 提供久XQ 1：作站應用網絡偵盤管理和服務老

14、師可以將工具軟件、學習資料、教學課件等存放在NVQ超級工作站的應用網絡硬盤中，自動更新到所有學生機的久XQ工作站應用網絡硬盤中, 學生只能讀取并不能修改或刪除應用網絡硬盤的數據。 提供久XQ個人網絡碾盤管理和服務統一管理每個學生的aXQ個人網絡硬盤的帳號信息，調配每個學生的9久XQ個人網絡硬盤的容量，并存儲每個學生的久XQ個人網絡硬盤數據信息。 提供T-C（dss軟件運行平臺，統一管理網絡設備統一管理網絡中所有服務器、aXQ工作站的端口使用策略、網絡訪問策略、 遠程控制和維護管理實施等，管理功能強大，操作界面掌握容易。（2）服務器2 （中心機房）安裝久XQJ/O服務軟件。為久XQ匸作站提供操作

15、系統鏡像"0服務通過多臺服務器2的組合，負載 久XQ鏡像I/O服務，可以支持更多的 :NXD匸作站使用。（3）服務器3 （多媒體教室4）安裝久XQJ/0服務軟件。為NXQ匸作站提供操作系統鏡像J/0服務前置2CDJ/0服務器，降低學校主干網數據傳輸壓力直接在多媒體教室中安放服務器3來提供久XQ鏡像0服務，久XQ的 網絡傳輸壓力直接山教室網絡負擔，大大降低學校主干網絡數據傳輸圧力。附錄一：服務器推薦配置:服務器主要用于虛擬鏡象管理系統工作站管理，并且服務器網卡和硬盤速度還會影響到整個網絡的速度，為了保證系統的穩定性和速度，選擇高性能服務器。品牌推薦厶處只推薦配置如下:.1O27 選會策劃方*CPlEH X£ON四核處理器主板RVHEZ 550op或以上芯片組內存廣5006 SJ4/rX 盤此為服務端£inux操作系統盤硬盤廣2400 SSD 盤此為客戶機所使用的鏡像磁盤2*2