中小企业信息技术集成解决方案设计

内 容 摘 要什么是信息化，是否安装了一些软件就可以称之为达到了信息化。现代企业在信息化时代，都会面对哪些直接的威胁，如何最大化利用信息化的契机带来的效率和便捷，是本文探讨的中心。以问卷调查的方式，统计结果、得出不同类型的企业信息化过程中存在的主要问题，企业的这种需求是否与成立的年限有关？并着重分析了当前解决这些问题的各方面技术，将同类软件之间进行比较。本文以温州豪杰鞋业有限公司为背景，具体问题具体分析、提出一个整体的中小企业信息技术集成解决方案，针对当前企业信息化过程中面对各类威胁和挑战，让企业坐上信息化的快捷车。借助B/S架构办公自动化软件为企业办公带来显著效率上的提升，同时消弭各类未受足够重视的威胁，避免不必要的损失。关键词： 信息化 办公自动化 网络安全 B/S架构 ABSTRACTWhat is called the informatization , whether or not to install some software can be called on to the informatization. Modern enterprises in the information age, what will be the face of direct threats, This paper address issues maximizing the use of information and an opportunity to bring the efficiency and convenience, is the center of this article. To the survey, statistics, to have different types of information enterprises in the process of the main problems, the enterprises set up this demand with the age-related And focus on analysis of the current address these issues in all aspects of technology, similar software for comparison. In this paper, Wenzhou Haojie Co , Ltd. as the background, concrete analysis of concrete problems, proposed a comprehensive SME IT integrated solutions for the enterprise information in the process of facing various threats and challenges, so that enterprises get the information Fast cars. With B / S structure of office automation software for corporate office bring about significant efficiency improvement, while not enough to eliminate all types of threats, to avoid unnecessary loss.KEYWORDS：Informatization Office Automation Network Securitiy Brower/Server Structure 目录第一章 引言1第一节 背景1第二节 中小企业信息化问题调查1第二章 问题分析4第一节 中小企业信息化存在的主要问题4一、网络安全及相关4二、数据文档信息安全7三、办公自动化11四、局域网络资源共享11第三章 案例分析14第一节、公司概况14第二节、方案实施15一、网络安全方案15二、办公自动化软件20三、 VPN设置24四、DG文档卫士安装与设置29五、锐起虚拟磁盘软件V1.5安装与调试40第四章 总结47第一章 引言第一节 背景伴随着信息技术的日益发展，信息化给企业带来的机遇及其重要性不言而喻。我国在工业化时代比西方晚发展百余年，信息化时代几乎是同一起点。信息化无疑是现今人类社会的主旋律。如今中小企业均广泛使用信息技术尤其是网络技术，用以不断提高企业的综合竞争力。企业的信息设施在提高企业效益的同时，也给企业带来了风险隐患。如何实施企业信息化？很多中小企业对信息化的认识存在误区：认为拥有电脑、实现一套财务、进销存软件，就算实现信息化了。而且很多中小企业只注重硬件上的投资，甚至认为买软件花钱很冤枉。我在从事相关工作上发现，中小企业信息化不仅包括办公自动化软件的实施，其实存在着很多风险，而且已经到了不得不重视的地步。第二节 中小企业信息化问题调查为了研究中小企业信息化过程中出现的问题，针对性组织了一次问卷调查。问卷以杭州市中小企业为调研对象，调查中小企业信息化过程中存在的普遍问题。调查表采用两种方式：通过信函寄给被调查单位，待其回答后回邮或是以电话的方式调查，还有到单位现场调研，当场回收问卷。本次问卷调查，共回收问卷数据46份，获得有效回答37份，有效率81%。对调查结果采取统计后，得出知识密集型企业，更重视图纸文档泄漏的问题；服务型单位与贸易类企业通常把网络安全放在首位；服务型企事业单位最为重视办公自动化的应用。像学校、医院、网吧等服务性单位非常重视病毒和非法攻击等网络安全威胁，对办公自动化应用也有一定需求。图1-1 服务性企业需求比如研究所、平面设计、广告公司等对图纸文档的信息安全呼声很高图1-2 知识密集型企业需求外贸、制造企业等非常重视病毒防护和办公自动化应用。图1-3 加工贸易类企业需求通过此次调查发现一个有趣的现象是，随着企业生存时间的增长，中小企业对信息化过程中不同方面问题的重视程度也出现了变化。图1-4 企业需求随时间变化经过问卷调查，发现中小企业普遍重视的问题，包括网络安全、图纸文档信息安全、办公自动化应用，内部网络资源共享。如何去解决这些问题，应该使用哪些技术是必须要去探讨的。第二章 问题分析第一节 中小企业信息化存在的主要问题一、网络安全及相关中小企业往往对于网络安全的威胁最为重视。因为网络如果受到病毒、黑客的攻击，轻则速度变慢，影响正常运行，重则网络口令被盗取，系统被摧毁、数据库中的数据被盗或丢失；如果不加以重视，后果往往会很严重。计算机病毒、黑客攻击与非法访问等都是威胁网络安全的因素。计算机病毒和黑客攻击都是人为因素造成的，只能尽最大努力进行防范。(一)病毒感染病毒是最常见，也是危害面最广的安全隐患，不仅在个人计算机中应用存在，在企业网络中病毒的威胁更是无处不在。病毒几乎是随着计算机主流应用出现而出现的，早在MS-DOS时代就曾被发现，至今已经有20多年的时间了。在病毒防范策略的选择上，根据企业自身的应用需求和经济实力，选择采用单机版杀毒软件，还是采用安全性更高的网络版杀病毒系统；如果采用网络版杀病毒系统，又打算在企业网络中如何部署整个病毒防御系统；采用哪个品牌的杀病毒软件或系统等。另外，计划对所有需要应用计算机的员工进行安全意识培训，从根本上提高企业网络的安全性。危害举例： 赵岩华.中小企业信息化建设的问题及对策.J.长春理工大学图书馆.商场现代化2008年3月 第532期.第10页2006年底，“熊猫烧香”病毒在我国互联网上大规模爆发，由于该病毒传播手段极为全面，且变种频出，让用户和杀毒厂商防不胜防，截至案发为止，已有数以百万的用户、网吧及企业遭到攻击，甚至一些著名的IT网站也自身难保，成了病毒传播的途径之一。电脑感染该病毒后，所有可执行文件（.exe）的图标都变成了熊猫烧香的形象：双手合十举着三根香，两眼微闭，一脸虔诚。承载在这些文件中的程序都不再能运行。(二)黑客入侵和攻击黑客攻击是随着早些年网络的进一步普及开始出现和发展的。相对病毒来说，黑客攻击的危害性更大，而且入侵途径和攻击方式更加多样化，更是难以防御；黑客攻击与病毒入侵的目标选择对象不一样，企业用户往往是黑客攻击的主要目标。目前防御黑客攻击的措施主要是通过部署防火墙系统、网络隔离技术等。危害举例：2007年4月，一股黑客攻击狂潮席卷国内联众、完美时空等国内多家大型网络游戏公司。攻击造成经济损失达上千万元。黑客们采用DDOS攻击手段，在短时间内，发送大量数据造成网络拥堵。黑客们采用DDOS攻击手段，在短时间内，发送大量数据造成网络拥堵。(三)非法访问 刘晓辉.网络安全管理实践M.电子工业出版社.2007年3月.第58页有些用户虽然不能被称为“黑客”,但他们的访问行为往往是不合法的，同样可能给企事业网络带来巨大的安全威胁。这些非法用户在访问网络可能携带、放置病毒或其它恶意程序；也可能删除服务器系统文件和数据；还可能窃取公司机密信息，如人事工资分配、财务收支等。非法访问的防御措施除了前面提到的防火墙系统、网络隔离技术外，更加需要注意的是网络管理工作要细致，在网络管理中要全面引入安全机制。如必要时对一些关键部门利用划分子网或VLAN网段的方式单独隔离保护；及时注销或删除一些长期不用和已离开公司的员工帐户；对一些重要的数据和文件进行加密。对于需要进行远程访问的用户，其权限配置应特别小心，需要相应的监测措施。(四)杀毒软件技术原理对付病毒和木马，杀毒软件无疑是很有效的手段。它的任务是实时监控和扫描磁盘。部分杀毒软件通过在系统添加驱动程序的方式，进驻系统，并且随操作系统启动。杀毒软件的实时监控方式因软件而异。有的杀毒软件，是通过在内存里划分一部分空间，将电脑里流过内存的数据与杀毒软件自身所带的病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面，虚拟执行系统或用户提交的程序根据其行为或结果做出判断。而扫描磁盘的方式，则和上面提到的实时监控的第一种工作方式一样，只是在这里，杀毒软件将会将磁盘上所有的文件（或者用户自定义的扫描范围内的文件）做一次检查。(五)防火墙技术 上海市教育委员会信息中心.高校信息化建设与管理M.同济大学出版社.2006年7月.第17页防火墙是目前广泛应用于接入Internet的计算机中的一种防止外来攻击的应用程序，可以过滤绝大部分得外来攻击。它是一种网络阻隔技术，是位于计算机和其所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙，而那些在网络规则中被认为是恶意攻击的信息被过滤掉。图2-1 防火墙位置示意图防火墙有效地保护用户的计算机免受攻击，主要功能体现在：保护端口信息，保护并应藏用户计算机在Internet上的端口信息，黑客不能扫描到用户计算机的端口信息，便不能进入用户计算机系统，攻击也就无从谈起过滤后门程序，可以把“特洛伊木马”和其他后门程序过滤掉保护个人资料，可以保护计算机中的个人资料不被泄漏，当有其他不明程序在改动或复制计算机资料时，防火墙会及时提醒用户，并阻止这些不明程序的运行。提供安全状况报告，可以提供计算机的安全状况报告，及时对安全防范所示进行调整。防火墙的分类1.包过滤防火墙设置在网络层，可以在路由器上实现包过滤。当一个数据包满足过滤表中的规则时，允许数据包通过，否则禁止通过。包过滤技术不足在于不能识别有危险的信息包，无法实施对应用级协议的处理，也无法出UDP、RPC或动态的协议。2.代理防火墙又称应用层网关级防火墙，由代理服务器和过滤路由器组成，是目前比较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联，并对数据进行严格筛选，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，它主要控制哪些用户能访问哪些服务类型。3.双穴主机防火墙，是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择的把它发送到另一个网络上。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问(六)DHCP服务 郭军.局域网组建与维护使用教程. M.清华大学出版社.2007年1月.第54页DHCP(Dynamic Host Configuration Protocol)既动态主机配置协议，是TCP/IP协议簇中的一种，主要用来为网络客户机分配动态的IP地址。这些被分配的IP地址都是DHCP服务器上配置的IP地址池(多个连续或非连续的IP地址)中当前未使用的IP地址。二、数据文档信息安全（一）概述与采用手工工作方式的时代相比，计算机的深入应用，对企业保护自身核心数据安全提出了更高的要求，面临内部人员泄密已经成为企业泄密重要原因，内网信息安全已经成为关注的焦点。透明加密技术虽实施简单，却可以有效保护诸如设计图纸、机密文档在内的信息安全。随着企业信息化水平的提高，信息化应用的用户覆盖面已经扩展到整个企业，加上Internet的普及，对外沟通的异常方便，相应的泄密途径也随之增加。以图纸为例，原来手工绘制的图纸均存放在专门的档案中，借阅需要办理手续，而采用CAD软件以后，图纸的复制非常简单，可移动存储设备(如U盘与移动光驱)与网络都能成为泄密的途径。如有甚者，离职员工把掌握的图纸与各种商业资料存储在硬盘中，把硬盘带走。在管理不严格的单位，这种泄密在当时很难被察觉，等到察觉时往往已经对企业造成重大损失。此类知识产权信息的丢失，在我国知识产权保护立法十分不完善，如果要打官司，往往拖沓很久。而市场竞争形式瞬息万变，到时就是欲哭无泪。危害举例：在1975年Telex公司从IBM公司雇员获得IBM大量的技术信息以及对产品市场的预测资料。上述商业秘密的泄露，使得IBM在竞争中对于Telex的比较优势，从六年缩短为一年半； 2005年2月15日，日本最大的移动运营商NTT DoCoMo日前表示有近25000名用户的私人信息被泄漏，泄密与内部人士有关。信息化应用越深，IT管理要求越高。随着企业信息化应用的深入，部分企业的安全意识和防护能力并没有得到加强。一些企业仍然对员工计算机管理采取放任自流的态度，将计算机作为一种普通的工具来对待。对于IT制度建设和日常管理的重要性认识不足。 (二)透明加密产品原理由于传统保密技术难以应对挑战。各类信息化信息化应用的普及，企业内部网络成为有知识产权的载体，传统的保密手段已无法适应新环境的要求。各类针对外网威胁的安全方案如防火墙、入侵检测等也无计可施。而企业级的透明加密产品属于被动式加密类产品，其主要思路是：在局域网中，只要部署了该产品，在涉密范围内的文档，在用户使用时会强制自动加密。其基本过程是：当应用向计算机磁盘写文件的时候，对写的结果进行加密；而应用在读取文件的时候，对文件进行解密。以保证涉密文档在离开了企业环境或者用户不具备授权时无法查看；也有的厂家将所有涉密文档转换成为专有格式，并存放到服务器上，用户需要察看涉密文件，如同在档案室借阅文档一样。国内市场上的企业级文档加密软件客户端仅支持微软的windows操作系统，应用范围以局域网应用为主。微软Windows采用事件驱动的机制，通过消息的传递来实现对应用的管理。其中监控windows打开（读）、保存（写）可以在windows操作文件的多个层面上进行。例如：32位CPU定义了4种（03）特权级别，或称环（ring），如图1所示。其中0级为特权级，3级是最低级（用户级）。运行在0级的代码又称内核模式，3级的为用户模式。常用的应用程序都是运行在用户模式下，用户级程序无权直接访问内核级的对象，需要通过API函数来访问内核级的代码，从而达到最终操作存储在各种介质上文件的目的。为了实现透明加密的目的，透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时先转换成为明文，以便应用程序能够识别；在保存时又要将明文转换成密文，以达到保密的效果。图2-2 透明加密原理示意图Window允许编程人员在内核级和用户级对文件的读写进行管理，内核级采用虚拟驱动的方式，用户级采用Hook API（俗称钩子技术）的方式。因此，透明加密产品根据其采用的核心技术包括API Hook和VDM（Windows Driver Model）内核设备驱动挂载方式（俗称驱动技术）。透明加密软件通过监视涉密应用的磁盘读写，对文档进行动态的加密和解密，由于这些操作都在后台自动完成，除了速度可能降低外，用户在使用方式上与平时没有差异。(三)透明加密产品应用要求1.应用更名：由于透明加密软件和系统结合紧密，一般要求事先设定涉密应用，以便对应用生成的文档进行加密，将主要应用程序更换一个名字，如：AUTOCAD的主要执行文件一般Acad.exe，更换了应用程序的名称后，透明加密软件是否仍然可以加密生成的文档来判断加密软件的适应能力。文件更名、更换类型目前的应用程序往往能够同时支持生成多种类型的结果，以常用的Microsoft Word2003为例，该软件一共将文档存为15种格式，这就意味着要想实现对该软件的控制，必须对该应用生成的所有15种格式的文档都要进行加密。2.应用数据交换透明加密产品主要控制对象是存储在磁盘上的文件，在Windows操作系统中，应用之间可以通过多种方式交换数据，包括：剪切、复制和粘贴、对象的链接与嵌入(OLE)、鼠标的拖动等这些在平时让用户有效提高工作手段的技巧，都成为可能的泄密途径。加密软件既要保证信息在涉密应用之间的信息交换，又要能让非涉密应用中的信息能够顺利传递到涉密应用中，最关键的是：当用户试图通过复制、粘贴等系统常用功能，将涉密信息传递到非涉密应用时，传输的结果应当为密文，这样可以防止泄密。3.屏幕拷贝控制在操作系统中设置了PringScreen（拷屏）键，此外还有相当多的专业拷贝屏幕的软件，以便用户截取屏幕图片，对于涉密数据而言，这也是一条可能的泄密途径。从透明加密软件的定义来看，虽然这并不属于其控制的范围，但根据用户要求，很多透明加密软件对此也做了限制。4.USB端口锁U盘、移动硬盘等移动存储设备由于便携性好、价廉物美，大大方便了日常数据交换，但对于企业应用而言，其方便性反而称为泄密的重要途径，本来文档加密软件只要确保存储的文档是密文，并不需要控制出口，但作为一个解决方案，不少开发商考虑到企业的需求，将关闭USB端口的功能集成到了加密软件中。5.打印控制打印输出是加密软件需要控制的重点，由于目前市场上存在大量虚拟打印软件，能够将各类文档打印成PDF等多种通用数据交换格式，加密的文档如果用虚拟打印机打印成为PDF等中间格式仍然可以保持，从而成为另一条泄密的途径，因此对打印的控制也成为考核加密软件功能的因素。6.用户管理根据企业信息化的情况不同，不同部门对应用加密解密的要求不同，例如：技术部门对于图纸控制要求高，销售部门则可能对于EXCEL报价文件、WORD商务合同文档的保密要求高，这就要求加密软件针对企业不同部门、不同岗位设定不同的加解密策略。7.加密解密效率在企业信息化应用中，在诸如三维CAD、CAE、图形图像制作等应用中，有些文件非常大，透明加密产品如果不能较好支持动态加解密，可能会极大地影响到用户的操作效率，表现为打开一个大文件后，每次存盘的时间过长。安装、维护、管理的方便性(四)透明加密市场情况简介目前市场上的透明加密产品开发商分为四类：第一类公司自行研发和推广透明加密产品，我称之为透明加密原创产品；此类公司一般起步较早，拥有相当的平台开发和市场推广能力，所以能够一步一步来完善并推出商品化产品；第二类公司在商品化的透明加密核心组件基础上开发自己的透明加密产品，我们称之为透明加密二次开发产品；此类公司在起步阶段开发能力有所不足，因此选择了借用他人的力量；第三类公司直接找前面两种公司定制产品，通过调整界面、修改说明以后，作为自己的产品销售，借用流行的说法，我们称之为透明加密贴牌产品。此类公司多是为了把握市场机会，迅速形成产品。第四类公司我们称之为透明加密核心开发商，此类公司专注于透明加密引擎开发（借用杀毒软件中的杀毒引擎的称呼，这里将透明加密的核心称为透明加密引擎），透明加密引擎是一个由加密内核、应用开发库以及接口定义等部分构成的平台，二次开发商可基于该平台开发出面对最终用户的透明加密软件系统，该引擎是决定一款加密软件技术是否成熟可靠的关键。透明加密软件因为概念清晰、效果明显，吸引了大量重视知识产权保护企业的目光。但与此同时，有人说它是老板部署的有益的病毒，也有人认为它只是小儿科的玩具，还有人说它只是掩耳盗铃的摆设，不过2005年市场上此类产品不到十家， 而2006年市场上的企业级透明加密产品突然大量涌现。就是由于第二类和第三类公司的大量出现，形成了市场上透明加密产品百花齐放的局面。三、办公自动化办公自动化应用在中小企业信息化的过程中十分被重视。办公自动化（Office Automation,简称OA）是将现代化办公和计算机网络功能 结合起来的一种新型的办公方式。当前办公自动化要求在企业内部信息流的基础上来辅助管理决策。比如进销存软件、财务软件等。C/S架构类只能部署企业局域网内，而B/S架构类只要能上网的地方就可以部署，对硬件的投资也很少，非常适合中小企业。(一)B/S架构办公自动化软件B/S架构(Brower/Server)既浏览器/服务器架构，它随着Internet技术的发展，对C/S架构的一种变化或改进的结构。在这种结构下用户工作界面是通过WWW浏览器来实现，极少数部分逻辑事务在前端(Browser)实现，但主要事务逻辑在服务器端(Server)实现。大大简化了客户端电脑载荷，减轻了系统为何与升级的成本和工作量，降低了用户的总体成本。以目前的技术来看，局域网建立B/S结构的网络应用，并通过Internet/Intranet模式下数据库应用，相对易于把握、也是成本较低的。它是一次性到位的开发，能实现不同的人员，从不同的地点，以不同的接入方式访问和操作共同的数据库；它能有效地保护数据平台和管理访问权限，服务器数据库也很安全。四、局域网络资源共享企业局域网络资源共享的需求不断增长，比如不同部门之间要共享大量数据。而虚拟磁盘软件技术非常实用，价格不贵、实施方便。(一)虚拟磁盘软件原理虚拟磁盘驱动程序在“硬盘驱动程序”同一级加入了“虚拟硬盘驱动程序”，模拟出与真实硬盘相似的虚拟硬盘。由于其所处的层级与硬盘驱动程序相同，其操作对于其上层的文件系统及应用程序是透明的，因此具有与硬盘相同的软件兼容性，除一些直接操作硬盘控制器的应用程序外（如磁盘整理），所有的应用程序均可正常运行。因其读写是通过网络来完成，因此其读写速度受限于网络的速度。与共享方式的网络共享磁盘的区别，共享方式的网络磁盘是位于“网络文件系统驱动”之上，由于所处层次较高，会受到“安全性”、“网络文件系统”等诸多因素的限制，导致很多应用不能正常运行。在使用了硬盘缓存后，第一次读盘比不加硬盘缓存多了“检查硬盘缓存”和“把读出的内容写入硬盘缓存”这两步，“检查硬盘缓存”的过程是完全在内存中完成的，因此速度很快，可以忽略不计，而“把读出的内容写入硬盘缓存”这一步会消耗掉一部分时间，这也就是为什么加了硬盘缓存后第一次运行应用程序速度会比较慢的原因。而在第二次读同样的数据时，由于数据已经保存在硬盘缓存中，就不再需要从网络上去读，而是经过判断以后直接从硬盘中去读，这样速度就比第一次快的多。如果每次读出新数据都要写入硬盘缓存，消耗掉的时间有可能太多，而造成用户感觉很慢，因此我们加入了“缓存强度”的调节，缓存强度最大为10，即缓存全部的新数据；最小为0，即不使用硬盘缓存。中间的值如5则表示每读出10个扇区的新数据，会把其中5个扇区的数据放入硬盘缓存。 除了要考虑读取速度以外，硬盘缓存强度对网络/服务器的压力也是有很大影响的，缓存强度越大，客户机在反复读数据的时候对网络/服务器的压力越小，反之则越大。如果用户希望一台服务器带比较多的客户机，加大硬盘缓存强度可以有效的降低服务器的压力；如果客户机数量不多如100台，则可以把缓存强度设小一些，甚至设为零。缓存容量是硬盘缓存的另一个参数，其意义是指用于硬盘缓存的硬盘空间最大值，由于应用程序运行时会不断的读取数据写入硬盘缓存，如果不设上限的话，客户机的硬盘空间很快会被占满，而设了上限后，当写入硬盘缓存的数据超过上限时，更新的数据会替换掉已保存在硬盘缓存里的数据，这样就限制了硬盘缓存对硬盘空间的占用。但由于旧的数据被清除出去了，再进行读取的时候又要通过网络来完成，对速度会有一定程序的降低。一般来说硬盘缓存容量越大，占用客户机的空间越大，而应用程序运行效果会越好，默认为512M，如果客户机空间足够大，可以适应设大一些，但最大不建议超过2G。注意这个容量是指对每一个网络硬盘而言，如果设定512M的硬盘缓存容量，而定义了四个网络硬盘，则实际占用的硬盘缓存将可能达到2G。(二)各种虚拟磁盘软件优劣势网众 ，对网络要求一般,主干推荐千兆,性能也不错,功能很多,不过安全性有待加强,低配置客户机可以使用. 读取虚拟磁盘游戏速度快，支持本地硬盘回写。兼容性很好。锐起 ,对网络要求较低,50台机器以下可以使用百兆,对服务器与客户机要求也较低,速度也很不错,低配置客户机可以使用. 因为采用镜像加载的模式。所以对病毒有一定的防范作用。如果锐起卡机。下面客户机也会卡。峰值速度不高。最大6M/S左右。starwind ,对网络要求比较高,主干推荐千兆,对服务器与客户机要求也较低,速度很不错,低配置客户机可以使用。锐起和starwind 测试报告:服务器 P4 2.4G,内存1G,百兆网络；客户机 P4 1.7G,内存256M,百兆网络。客户机50台满座情况之下,运行starwind服务器，网卡流量在50-90%徘徊,有时会出现游戏卡；客户机50台满座情况之下,运行锐起服务器，网卡流量在20-50%徘徊,游戏无卡的情况.。第三章 案例分析第一节、公司概况一、简介温州豪杰鞋业有限公司，位于温州市永嘉县乌牛镇，是从事鞋类、皮具制造的企业。在职员工500余人，电脑近100台。 企业当前在信息化过程中存在的问题：1、企业员工缺乏安全意识，对网络安全威胁认识不够。网络安全管理策略松散，一旦受到外来攻击，企业内部网络有瘫痪的危险。2、对内部信息泄漏不加以防范控制。像财务数据、产品设计信息、业务流程信息等可能被内部员工通过网络或U盘拷贝的方式对外泄漏。3、企业局域网资源闲置，未能实现资源共享，应安装虚拟磁盘软件，以使不同部门共享大量数据十分便捷。4、办公自动化应用需求较大，但无很好的相应软件。5、该企业近年发展迅速、扩张较快，在全国各地开设了很多办事处、直销店。为了能使这些办事处、直销点访问企业内部网络，应开设VPN服务。经过调查摸底，该企业信息化水平较低，对网络安全威胁防范不高，曾经上马的办公自动化软件由于功能简单、没有使企业信息化为企业经营与管理助上一臂之力。为了解决这些问题，温州豪杰鞋业有限公司下决心投入人力物力，故我给出了一个中小企业信息技术集成解决方案。 郑少京.局域网组建与维护实用教程.清华大学出版社.2007年1月.第6页网络拓扑结构是用传输媒体互联各种设备的物理布局。企业现行网络的拓朴结构图图3-1 网络拓扑图第二节、方案实施一、网络安全方案由于企业员工在使用单机版杀毒软件时往往不注意病毒库更新，且往往配置不当，容易造成安全隐患。故为所有个人电脑安装诺顿网络版杀毒软件和天网防火墙。（一）天网防火墙软件针对网络上的木马、恶意程序带来的安全威胁，为所有员工电脑安装天网个人防火墙软件。天网防火墙是由中国人自行设计的防攻击软件，通过直观、易用的界面来实现强大的系统管理功能。该软件内置了一些不同安全级别和IP规则。该软件还可以对所有来自外部计算机的访问进行过滤，发现未授权的用户请求后立即拒绝，随时保护用户系统的信息安全。另外，对熟悉网络协议的用户，可以根据自己的实际情况，添加、删除、修改安全规则，保护本机安全；即使用户对网络不太熟悉，使用天网提供的默认设置，也可以同样保护用户系统的安全。访问记录可以详细地记录是否有入侵者访问用户系统。当出现异常情况时，报警系统随时可以提醒用户。（二） 诺顿网络版杀毒软件Internet邮件病毒、Web病毒等各类病毒猖獗，稍有不慎很容易感染。因此部署诺顿网络版杀毒软件。Symantec旗下的诺顿反病毒软件，作为桌面与服务器病毒防护的知名软件，可以为计算机提供全面的病毒防护，自动对计算机磁盘中的文件及Internet电子邮件进行监测、扫描，及时查杀病毒，以保证计算机的安全。Symantec Antivirus企业版的功能数字免疫系统保证企业级防护。可对病毒进行快速分析并部署经过质量测试的对策，并可快速提交病毒定义码，确保网络附属数据存储提交的安全可靠。集中策略管理使系统时刻受到防护。管理员通过Symantec系统中心控制台，可集中控制和配置计算机。易于安装和部署。采用集中分发、集中管理等功能，可同时部署多台计算机。自动更新。NAVEX(诺顿防病毒扩展)技术在更新病毒库时，可快速、跨平台部署和自动更新扫描/修复引擎。“LiveUpdate”可保证网络中病毒定义及时更新。智能查杀+安全隔离。Symantec启发式的Bloodhound技术通过检查类似病毒的行为来识别未知病毒，可实时防御90%以上的新宏病毒和80%以上的新型病毒。Central Quarantine(中心隔离区)则可把所有不可修复的病毒感染文件上传到中心服务器的一个“安全”区进一步检查，实现集中病毒管理，并防止在企业内部传播。（三）网络DHCP设置配置DHCP和固定IP，可以实现对IP地址的有效管理，防范ARP欺骗与攻击。 蔡宝荣.面向管理创新的中小企业信息化研究.D，大连立冬大学.20031.使用Windows Server 2003自带安装DHCP服务器。由于Windows Server 2003（简称Windows 2003）系统默认是没有安装DHCP服务的，首先要进行DHCP服务的安装。在Windows 2003服务器中，依次点击“开始设置控制面板”，运行“添加或删除程序”，在弹出的窗口中切换到“添加/删除Windows组件”页。接着在“Windows组件向导”对话框中选中“网络服务”选项，点击下方的“详细信息”按钮。在弹出的“网络服务”对话框中选择“动态主机配置协议（DHCP）”选项后（图1），点击“确定”按钮。然后在“Windows组件向导”对话框中点击“下一步”按钮，开始配置、安装DHCP服务，最后点击“完成”按钮即可。图3-2 Windows组件向导2.设置DHCP服务器与实现IP绑定在Windows 2003服务器上安装了DHCP服务后，要想给某个网段内的客户机分配IP地址，首先就得新建一个作用域。在“DHCP管理器”窗口中，右键点击DHCP服务器选项，在弹出的快捷菜单中选择“新建作用域”选项。图3-3新建作用域在弹出的“新建作用域向导”对话框中，点击“下一步”按钮，在“作用域名”对话框中指定该作用域的名称“CPCW”和描述信息后，点击“下一步”按钮。为该作用域设定IP地址范围，如把IP地址范围限制在“088”的地址段内。在“起始IP地址”栏中输入“0”，在“结束IP地址”栏中输入“88”，接着定义子网掩码，将“长度”栏的数值设置为“24”，点击“下一步”按钮。在“添加排除”对话框中指定在作用域中你想排除的IP地址范围，如果没有，可直接点击“下一步”按钮。接着配置“租约期限”，在这里无法将期限值设置为“无限制”，因此暂时使用默认值“8天”（图3）。在“配置DHCP选项”对话框中一定要选择“是，我想现在配置这些选项”，点击“下一步”按钮后，配置默认网关和DNS服务器，最后点击“完成”按钮即可。虽然在DHCP服务器中已经新建了一个名为“CPCW”的作用域，负责为客户机动态分配“088”的IP地址，但IP地址租约期限使用的仍然是默认值，只有8天时间，因此每隔8天，客户机的IP地址就有可能发生变化。现在只要将IP地址的租约期限改成“无限制”就可以了。虽然客户机第一次申请IP地址时是动态分配，但IP地址以后就会固定下来，保持不变了。在DHCP服务器控制台窗口中，右键点击名为“CPCW”的作用域，在弹出的菜单中选择“属性”，切换到“常规”标签页，在“DHCP客户端的租约期限”框中选择“无限制”单选项，最后点击“确定”按钮。这样，“CPCW”作用域内的客户机申请的动态IP地址就会保持不变。图3-4图3-5 租约期限3.测试服务器经过上述设置，DHCP服务已经正式启动，我们需要在客户机上进行测试。只需把客户机的IP地址选项设为“自动获取IP地址”，随后重新启动客户机。在客户机的“运行”对话框中键入“Ipconfig/all”，即可看到客户机分配到的动态IP地址。二、办公自动化软件 由于原来的某办公软件由于开发软件的企业已倒闭，售后服务已经终止，加上该办公软件功能单一，完全无法满足需求。故决定部署新一套B/S架构的办公自动化软件。（一）企管家通用商务版进销存软件企管家是适用于成长型企业的B/S结构的网络化管理软件系列，底层构建在自主研发的企管家DCWEB管理软件平台上，网络安全可靠，权限灵活严密，支持在线开发和服务，能满足企业对总部、仓库、分店、分支等分散部门实时的、统一的管理要求。 图3-6 企管家软件DCWeb平台是独立的WEB和SOAP服务提供程序（不需要IIS或Apache支持），硬件配置要求低，可运行于现有Windows所有版本操作系统中。网络上可以直接应用于企业局域网，也可以通过ADSL等宽带环境应用于所有异地的分支或部门。由于系统运行和数据保存都在企业总部，并且所有操作都有严格的权限隔离保护，这种可控性受到了用户的一致推崇。更重要的是平台提供了强大的在线开发能力，业务应用构建于平台之上，基本可以满足成长型企业管理信息化诸多方面的定制要求。业务上可以涵盖财务、采购、库存、营销、生产、人事以及办公管理诸方面，行业上适用于化工、五金、服装、食品、医药、房地产、物流以及信息咨询等企业。企管家通用商务版，是一套WEB版的企业进销存管理软件，该软件从最贴合用户要求的角度出发，对进销存业务进行了深入、到位的专业功能处理，同时，软件流程设置十分灵活，可以很好地解决进销存管理过程中的各种问题。1安装方便，界面直观易用。可单机、局域网、广域网应用，软件只需装在公司服务器上，各门店、仓库可直接登录使用。软件通过“角色、权限”双层交错控制；真正可以实现“定岗定权、权责分明”。2、管理者可随时了解采购、销售、库存情况，可随时了解应收账款、应付账款、总欠款等资金信息；可随时统计“销售、采购、收发货”信息。3实现对单据的轻松管理，便于企业做好账。可批量、自动打印“出、入库单”、“收、发货单”等。打印各种单据格式，如“标准格式、自定义格式”等皆支持；总部、门店、仓库不在一处也可同时输出单据；可轻松实现票据异地传输并打印。4、可实现企业对仓库、门店等异地管理。仓库、门店分散各处，但各种信息统一存贮；仓库收发货、门店销售等信息，总部可马上查到并汇总检查。5、可自动生成“业务员销售开单汇总、业务员销售收款汇总”/可自动统计公司营业利润。操作界面图3-7左侧工作区图3-8 操作窗口单击业务管理选项，在右侧框架内显示七大类；基础设置，保存一些基本信息，如企业业务往来单位、货品信息；采购业务，覆盖采购流程，制定采购单、收货单、退货单等，所有单据在采购统计中实现单据管理；销售业务，制定销售订单、发货单、退货单，在销售统计中实现了对这些单据的集中管理；库存管理，实现异地仓库的轻松管理；应付款项，可统计供应商往来金额；应收款项可自动统计预售与应收款项，相关帐目一目了然；业务分析，实行进销存业务流程分析。图3-9 采购业务图3-10 采购单一览图3-11 货品售价一览图3-12 库存情况一览三、 VPN设置该企业在全国各省有一定数量的办事处和直销分店，如果让其通过公网直接访问企业内网，这种明文的数据传输十分不安全。为此提出一个通过公网安全连接访问企业局域网的方式，VPN服务。由于中小企业的要求并不是很高，无须购买专业VPN代理服务器，通过Windows Server 2003系统的安装向导方式在企业现有服务器上安装即可。(一)创建VPN服务器创建VPN服务器的方法并不复杂，在Windows Server 2003系统中，通过“路由和远程访问服务器安装向导”可以快速创建。图3-13 “路由和远程访问服务器安装”向导在弹出的“路由和远程访问服务器安装向导”中点下一步，出现如下对话框。图3-14 配置页面由于我们要实现NAT共享上网和VPN拨入服务器的功能，所以我们选择“自定义配置”选项，点下一步;图3-15 自定义配置选项在这里我们选择“VPN访问”和“NAT和基本防火墙”选项，点下一步，在弹出的对话框中点“完成”，系统会提示是否启动服务，点“是”，系统会按刚才的配置启动路由和远程访问服务，最后如下图所示。图3-16 配置成功启动成功后，会得到如下图所示的情形，鼠标右击 要管理的电脑(这里的KTVSERVER(本地),然后在弹出式菜单中选中属性，如图3-17所示 图3-17在弹出的控制面板中选中IP - 静态地址池 - 添加 然后输入个起始IP 结束IP 54,这个IP段，是给拔入你的VPN服务器的客户端分配的虚拟IP图3-18 分配虚拟IP图3-19 分配虚拟IP(1) VPN客户端配置在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。具体步骤不再详述。配置完VPN服务器后，即可在VPN客户机使用有效账户连接服务器。目前在客户机中，最常使用的操作系统为Windows XP系统，使用Windows XP系统客户机连接服务器。 图3-20 客户机连接服务器 四、DG文档卫士安装与设置曾有员工刘某离职后把一个新产品的设计图纸通过网络和U盘拷贝方式带走，后来该企业的竞争对手很快拿出了完全类似的产品投入市场，使企业蒙受了巨大的损失。为了不使以后类似的事故再发生，企业相关负责人痛定思痛、下定决心，要求信息管理人员拿出解决图纸文档信息安全的方法。为此，在这个方案中提出了安装DG图文档卫士，构建企业内部加密环境。该方案实施后，将彻底解决图纸被盗这类的风险。在企业内部加密环境中，所有加密电子文件只能通过管理机实现其文件的解密，而管理机是绑定在一台计算机上运行的，因此所有企业内部的加密电子文件只有此惟一解密出口。管理机作为所有企业内部的加密电子文件的惟一解密出口，加解密操作都有日志记录。 图3-21 DG文档卫士管理日志 (一)服务器端设置用户管理界面，可以新建、删除用户等级；设置每个等级的打开权限；新建与删除用户，调整该用户权限，如是否允许客户端打印文件、允许截屏、允许OLED插入等。图3-22 用户管理图3-23 新建等级文件打开策略，如符合等级设置，对该文件解密图3-24 打开文件等级设置调整文件等级设置策略，如符合选勾的等级设置，允许对该文件调整策略。图3-25 调整等级设置服务器端添加用户，必须指定登陆名与密码，同时指定用户所属等级与角色。 图3-26 服务器添加用户图3-27 离网策略设置图3-28 立线绑定如图示3-29，以超级管理员身份登录。点击安装定制选项卡，可选择加密策略配置的程序类型。其他设置保持默认即可。图3-29 安装定制选项在用户管理选项卡中，单击不同用户，在右侧可以调整用户权限设置，如打印文件，控制U盘接口等。图3-30 用户管理选项实时监控，可以监控任何一个连接服务器用户的工作工作状态与网络信息。图3-31 实时监控选项图3-32 加解密选项(二)客户端配置客户端配置程序，在服务器端已将用户加入用户列表后，填写登陆信息。图3-33 客户端登陆客户端修改密码图3-34 客户端修改密码出现提示，选择是。图3-35 同步服务器列表在局域网内发送图纸或数据文档给已在服务器用户列表内的其他用户图3-36发送文件图3-37图3-38 要发送的文件，选择处理图3-39 口令设置图3-40解密审批图3-41 申