九洲制药厂终端架构方案1

浙江九州制药厂解决方案台州新远见电脑网络公司TEL88836932一、方案设计原则1、先进性与成熟性采用当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看，系统的总体设计的先进性原则主要体现在使用THINCLIENT/SERVER计算机体系是先进的、开放的体系结构，当系统应用量发生变化时具备良好的可伸缩性，避免瓶颈的出现。2、实用性与经济性实用性就是能够最大限度地满足实际工作的要求，是每个系统平台在搭建过程中必须考虑的一种系统性能，它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立，应避免过度追求超前技术而浪费投资。3、扩展性与兼容性系统设计除了可以适应目前的应用需要以外，应充分考虑日后的应用发展需要，随着数据量的扩大，用户数的增加以及应用范围的拓展，只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理，监控，降低管理成本。4、标准化与开放性系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。计算机软硬件和网络技术有国际和国内的标准，但技术标准不可能详细得面面俱到，在一些技术细节上各个生产厂商按照自己的喜好设计开发，结果造成一些产品只能在较低的层面上互通，在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品，而且尽量选用市场占有率高、且发展前景好的产品，以提高系统互通性和开放性。5、安全性与可维护性随着应用的发展，系统需要处理的数据量将有较大的增长，并且将涉及到各类的关键性应用，系统的稳定性和安全性要求都相对较高，任意时刻系统故障都可能给用户带来不可估量的损失，建议采用负载均衡的服务器群组来提高系统整体的高可用。6、整合型好当前采用企业级的域控制管理模式，方便对所有公司内所有终端用户的管理，同时又可以将公司里计算机的纳入管理范围，极大地降低了网络维护量，并能整体提高当前网络安全管理二、用户需求分析浙江九州制药公司现有使用OA服务器HP370和杀毒服务器HP3000和ERP软件服务器HP370等3台服务器，网康NS250防火墙，ADVSJW74AVPNHP网关，DLINK3326核心交换机，现在由于业务拓展需要，客户需要新增加3个部门，增加的部门使用终具体为外贸销售部门大概30个终端用户。需求上网、邮件、MSN、销售系统、ERP。FTD应用、研究所部门50个终端用户需求上网、邮件、MSN、资料加密、级别设定。质量部仓库20个终端用户需求上ERP财务20台终端用户。需求2台上网因此，我们根据客户的需求采用以下方案，帮助客户完成业务拓展求，并保证客户有必要的拓展性三、具体方案介绍1、终端服务器建立根据公司的实际需求，方案主要从数据安全，维护和管理等方面要求，先用先进的THINCLIENT/SERVER架构，业务前台和办公桌面采用WYSETHINCLIENT，根据用户的数量以及分布位置部署2台服务器做为终端服务器，并使两台终端服务器实现LOADBALANCE（解释参阅备注）。另外架设一台文件服务器，为公司里用户存储文件使用，文件服务器可以采用NAS或盘阵，用户个人的PROFILE及数据，均存放在文件服务器。使用LOADBALANCE的好处是服务器的其中一台服务器一旦出现故障，网络负载均衡功能让另外一台服务器可以继续提供完全相同的服务给客户端，而漫游用户的所有资料都存放在FILESERVER或NAS上面，所以对用户的体验来讲完全没有区别，可以保证正常的工作。2、终端使用和管理公司用户采用目前最先进的域控制管理体系，管理员只需在DC上面建立一个新的访问终端服务使用的OU，把需要访问的帐号复制到新的OU中，利用组策略来实现一部分的权限管理控制，使管理员很容易地管理终端用户登录、用户权限等。并可以将公司所有服务器和PC纳入管理体系，方便的管理所有公司内的机器。如（1）、用户的登录跟域用户紧密相连，由DC来验证用户。（2）、登录终端服务器的用户可以受到OU策略的限制，如，服务器的磁盘限制，一些重要的设定限制（打印机、桌面、开始菜单等一些功能）（3）、使用者设置成漫游用户，可以实现用户使用任意设备，登录到任意一台终端服务器，其个人的PROFILE及文档设置完全一致。（4）、管理员可以应用活动目录、组策略、智能镜像管理用户，同时可很好的同PC用户协同工作，统一管理，统一维护。3、对于未来的客户端对于未来的公司的新员工或者车间，可以直接采用瘦客户机，不但能够节省购买与建置成本，更能大幅降低未来人员维护与管理的成本，实现集中管理。4、对于未来的扩展今后，当浙江九州制药公司有新的应用程序需要给用户使用，管理员在终端服务器上安装即可。而当同时并发使用人数增加时，只需在DC上开设一个帐号就可以快速扩充系统的服务量，整个系统拥有良好的可扩展性四、系统网络拓扑图五、方案特点高可靠性THINCLIENT/SERVER本身不提供任何对外的数据接口，即可避免外来的病毒入侵，又可以防止内部人员直接从客户端泄露公司重要资料，从而提高了系统和公司资料的安全简单易用THINCLIENT/SERVER操作简单，界面直观，无需培训。THINCLIENT/SERVER采用嵌入式操作系统，更让您放心使用，不必担心自己的误操作会导致系统瘫痪，特别适合于企业单位信息化建设的需要。维护方便由于采用集中式管理，使系统具备良好的可维护性，可大大减轻网管人员工作量。易于升级由于本系统采用THINCLIENT/SERVER模式，应用软件的升级或发布只需在服务器端进行即可。可快速部署应用程序，提高工作效率。经济实用该方案在满足企业信息化建设需求的同时，有效控制了系统总体拥有成本。应用灵活可以灵活管理终端用户的接入，可以和现有的PC用户应用无缝融合，快速升级。六、方案优势降低总拥有成本（TCO）。包括购置成本、人工成本（升级维护）、管理成本和操作者使用成本。减少维护量、增强可管理性。本地无需升级和维护，管理和维护集中在服务器端进行，并且可以进行远程监控。集中管理WYSETHINCLIENT/SERVER的运算、存储及防病毒管理等都在服务器上完成，通过服务器对不同用户进行授权和应用管理，降低管理成本，提高了管理效率，有效避免了员工上班时间利用网络计算机做与工作无关之事。实现真正意义上的集中式管理，网络计算机本身无需维护，网管人员只对服务器和网络环境进行维护即可。增强稳定性。采用分层模块化设计的嵌入式系统，不易崩溃。提高网络带宽利用率。终端与终端服务器之间数据流量小，瞬间只占用30K网络带宽，占用网络带宽少，传输迅速，提高了工作效率。增强系统、网络的安全性。系统采用模块化设计，本地没有存储设备，可有效防止病毒感染和传播；用户使用唯一的ID身份认证，可以有效地对用户进行监管；传输数据经过加密处理。七、终端服务器选型在整个系统结构中，终端服务器的选择至关重要，它必须支持高速的网络连接、具有快速的I/O通道以支持多媒体数据库的存取，并且要具有很高的可靠性。服务器的选择主要考虑以下几个因素I/O吞吐能力系统总线速度中央处理器及内存的扩充能力可靠性与稳定性先进性与安全性可扩充性和性价比多机协同工作能力备注LOADBALANCE通过使用由两台或多台计算机一起组成的集群，网络负载均衡使得终端服务器的可用性提高，可扩展性改善。客户端使用单一IP地址访问集群。网络负载均衡集群与运行单一服务器程序的单一主机有明显区别，集群中某主机发生故障时，集群系统保证提供不间断的服务。集群还可以比单一主机更迅速地响应客户请求（对于负载均衡的端口）。每当有新的会话请求，LOADBALANCEDSERVER会依据已经计算（根据服务器的CPU、MEMORY、HARDDISK等）得到的每台SERVER的LOAD值，分配请求会话给一个负载最轻的终端服务器。解决方案结构及设计未经整合的IT架构经过整合后的IT架构从上图中可以很清晰分辨出企业IT架构整合前和整合后的差别，而对于使用IBM刀片服务器方案的用户，只需要申请服务器硬件，存储和LINUX的预算。最开始他们可以使用开源软件，随着业务发展可以使用IBM提供的社区软件，这些社区软件可以随着客户业务的发展升级到IBM企业级软件产品。IBM提供的运行社区软件包括IBMDB2社区版，IBMWEBSPHERE应用服务器社区版，IBMHTTP服务器。开发社区软件包括应用开发工具，方案集合工具以及实施向导帮助用户的应用开发和实施。对于所有用户，方案可以总结为以下六种业务整合，商业智能，内容管理，电子商务，架构和门户。IBM社区软件正是可以作为一个平台，支持软件商进行个性化应用的开发。八、客户端桌面安全管理功能概述技术功能系统支持管理网络终端软硬件资产采集客户端的硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），注册后存储到数据库中可自动发现客户端安装的软件，将所有相关数据入库管理；支持在管理中心对注册客户端进行联机卸载。系统支持报警设备资产信息变化，报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。支持网络终端IP分组功能，按照不同的区域、部门进行划分管理组。自动检测网络中IP资源使用情况，列表注册客户端、未注册客户端及机器在线情况，以取代原始的数据资料记载的手段，增强设备管理信息的实时性、准确性。支持对网络中客户端流量进行监控报警对客户端设备流量进行采样并实时排序，监视网络的异常流量和异常连接，客户端输入或输出流量超越管理员设定阀值时报警，对可疑发包、可疑并发连接进行阻断，防止非法入侵、滥用网络资源。支持对重要主机进行运维监控，支持对客户端硬盘、CPU、内存等系统资源应用状况的监控，在超过管理员设定阀值时自动报警。支持对客户端MAC和IP地址的绑定管理，任意其中一个发生改变，系统将自动报警，报警后自动恢复原有IP配置。支持对重要服务器、路由器、交换机等网络设备的保护，有效保障网络的稳定运行。支持对网络中计算机的接入、带出行为进行报警，并能够自动阻断违规行为。支持监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、网卡等设备非法外联互联网行为，并远程告警或阻断。支持进行移动设备接入监控，对本单位移动设备进行特征标志，禁止外单位的移动设备接入本单位计算机。支持进行文件操作监控，支持对文件拷入、拷出行为的监控，基于文件名、文件内容等关键字匹配规则对网络客户端进行过滤搜索。支持审计IE访问记录，检查客户端访问某一特定网络的历史信息，如访问WWWSINACOM后的IE缓存、COOKIE信息、收藏夹等。支持进行软件黑白名单审计管理，网管制定各种黑白名单策略后，报警处置客户端中安装运行的非法软件或者进程，如QQ、MSN、炒股等，搜索病毒、木马等可疑程序。支持客户端防火墙功能，对客户端进行端口访问控制，由管理员制定策略统一在客户端桌面执行。支持对客户端进行涉密安全审计，包括注册表审计审计注册表键或者键值是否符合某一条件；用户密码审计审计系统用户、网络共享、屏幕保护等密码是否符合规范；用户权限审计监控系统用户及用户组的变化。系统支持自带客户端安全策略中心库，由管理员在控制台制定，安全策略统一分发至客户端后执行。要求终端信息远程管理功能，诸如运行进程查看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等信息。支持硬件接口控制，控制外设的使用，管理员启用或禁用软驱，光驱，U盘，打印机，MODEL，串口，并口。支持进行脚本分发控制客户端操作，向客户端分发用户脚本，控制客户端的进程启停，以及软件的下载、安装等；向客户端分发注册表脚本，对客户端的注册表进行新建、修改、删除操作。支持桌面消息通知，向客户端发送消息通知，请求重新注册信息、要求升级等消息。支持进行客户端防毒审计，监控主流防病毒软件在客户端的安装情况，并以图表的形式直观表示，报警未安装杀毒软件客户端。支持对互联网补丁进行增量分离下载，经过病毒检测后将补丁导入内网，建立内网补丁库。支持按照不同类别对补丁进行归类系统补丁、IE补丁、应用程序补丁等，并详细列表补丁信息。支持补丁闭环自动测试功能，对下载的补丁进行自动测试（建立测试网络组），试通过完成后存入补丁库。支持客户端补丁自检测，在内网中建立补丁检测网站，客户端用户访问网站后，WEB网页自动检测显示客户端补丁安装信息，用户可进行补丁下载安装；管理员可以在管理控制台上远程检测客户端补丁安装状况。支持补丁分发策略制订，支持用户自定义补丁策略并自由配置分发，基于客户端网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至客户端后统一按策略执行应用。支持补丁自动分发安装，在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。支持补丁分发流量和连接数控制，以免占用太大带宽，影响网络正常工作。对于长期不打补丁的客户端，支持通过补丁管理系统阻止其接入内网的行为；补丁分发支持分发普通文件到客户端。达到投标产品为具有成功实施案例的成熟产品，基于C/S、B/S混合管理模式构架，对网络中WINDOWS系统客户端进行管理。达到基于WEB方式对系统控制台进行操作管理。系统管理员登录支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。系统支持对数据的整理，对长期不开机以及IP重复的机器进行整理。系统支持分权限管理，按照管理区域、安全策略、权限项列表等对不同的管理员帐户进行分配。设备统计查询支持柱状图方式直观显示网络中注册设备和安装杀毒软件情况，并可以对设备系统信息（如操作系统和IE类型）和设备硬件信息（如CUP、内存、硬盘等）进行图形化统计。支持管理员对控制台的操作日志记录，包括登陆日志、系统操作日志、策略制订日志等。系统支持对各种日志的导出查询，支持EXCEL、TXT、WORD、HTML格式的文件导出。系统安装部署支持网页自动注册，在注册WEB主页上设置注册代码，未注册客户端访问WEB页面时能够自动弹出注册提示窗口。支持对网络中的远程注册客户端进行阻断，支持跨网段、跨VLAN阻断，支持对未注册客户端的告警和自动阻断。支持防火墙联动扩展，同防火墙通讯，将本系统报警信息反馈给防火墙，由防火墙采取处置措施，或者做记录。支持对文件打印可以进行有选择性的禁止或对所有文件打印进行审计，并上传到服务器进行存储。支持对网络共享进行管理，能够发现网络中的共享行为，并可以对网络共享进行管理，对网络共享中拷贝的文件进行审计。支持终端对发送的文件进行处理，禁止或允许终端进行文件输出管理，并审计或在服务器上记录发送的邮件。支持对系统目录、软件目录、共享目录的文件进行保护，禁止对其进行访问、修改、删除等操作，并对结果进行记录。支持对HTTP访问进行审计，能够单独或成批进行访问审计，并将审计结果进行记录。九、方案预计费用（按20USER计算）软件费用按20个客户机USER序号产品单价数量总价1WINDOWS2003ADVANCEDSERVER232001232002WINDOWS2003CAL2602052003WINDOWS2003TERMINALSERVERLICENSE79220158404世纪互联桌面控制软件47020094000小计138240作为一个基于微软软件的方案包包括以下基本的组成部分编号描述数量单价总价销售部服务器79812FCHS20167GHZ双内核ULP超低电压2MBL2,FSB667,512M2DDR2,OPEN25“SAS1180001800026K5776IBM36GB10KSASNHSHDDHS207981125002500主域服务器79812FCHS20167GHZ双内核ULP超低电压2MBL2,FSB667,512M2DDR2,OPEN25“SAS1180001800039M58092GB2X1GBKITPC232