国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

系統(tǒng)的建設(shè)情況，隨著企業(yè)信息化建設(shè)的推進(jìn)，需要對(duì)各種信息化管理系統(tǒng)和應(yīng)用系統(tǒng)的服務(wù)器選型進(jìn)行選型規(guī)劃，根據(jù)不同的系統(tǒng)對(duì)服務(wù)

某集團(tuán)信息化應(yīng)用目標(biāo)是：搭建集成、統(tǒng)一平臺(tái)，規(guī)避流程、規(guī)避風(fēng)險(xiǎn)，實(shí)現(xiàn)高效協(xié)作，有效支撐決策、實(shí)現(xiàn)多維度矩陣管控、實(shí)現(xiàn)無(wú)邊界的信息應(yīng)用。

操作系統(tǒng)選型參考和說(shuō)明：

類型	操作系統(tǒng)選型參考	選型說(shuō)明
域服務(wù)器/郵件服務(wù)器等企業(yè)IT管理系統(tǒng)	Windows Server系列操作系統(tǒng)	建議選用最新版Windows Server 2008 R2，Windows管理和使用方便，管理功能豐富
中小型業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)	RedHat Linux 系列操作系統(tǒng)	建議選用RedHat Linux企業(yè)高級(jí)平臺(tái)版，Linux操作系統(tǒng)可靠性和安全性相對(duì)較高
大型業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)	IBM Unix系列操作系統(tǒng)	IBM Unix可靠性、安全性和性能是目前企業(yè)級(jí)服務(wù)器操作系統(tǒng)最高的。

虛擬化規(guī)劃方案

目前虛擬化技術(shù)主要包括服務(wù)器虛擬化、桌面虛擬化和應(yīng)用虛擬化等技術(shù)。

服務(wù)器虛擬化技術(shù)讓一臺(tái)物理服務(wù)器可以同時(shí)支持多個(gè)運(yùn)行虛擬機(jī)的工作負(fù)載。管理員可利用虛擬機(jī)將工作負(fù)載（包括一個(gè)操作系統(tǒng)、應(yīng)用組和配置）從物理計(jì)算平臺(tái)中分離出去，這樣就可以實(shí)現(xiàn)一些重要功能，如隔離（在一個(gè)計(jì)算平臺(tái)上安全地運(yùn)行多個(gè)工作負(fù)載）和工作負(fù)載可移植性（在不同的物理計(jì)算平臺(tái)之間遷移工作負(fù)載）。采用更先進(jìn)的服務(wù)器虛擬化平臺(tái)，就可跨物理服務(wù)器快速遷移正在運(yùn)行的工作負(fù)載。這樣一來(lái)，就可在整個(gè)物理計(jì)算資源池中遷移工作負(fù)載，讓IT部門(mén)可以最大限度地使用可用的計(jì)算資源，降低成本，并將應(yīng)用有效、可靠地交付給用戶。

桌面虛擬化方案提供一種端到端的桌面管理解決方案。可動(dòng)態(tài)按需產(chǎn)生虛擬桌面，該桌面所有的運(yùn)行都發(fā)生在遠(yuǎn)程數(shù)據(jù)中心的機(jī)房里,不用再擔(dān)心數(shù)據(jù)駐留在客戶端導(dǎo)致的安全漏洞。用戶每次登錄時(shí)都能獲得一個(gè)干凈的、個(gè)性化的全新桌面——從而確保性能不會(huì)下降。虛擬桌面是一個(gè)桌面的操作系統(tǒng)，是運(yùn)行在服務(wù)器上的虛擬操作系統(tǒng)。在虛擬桌面模式下，每個(gè)人獨(dú)享自己的操作系統(tǒng)。將桌面操作系統(tǒng)虛擬化帶來(lái)很多好處，包括：

l 信息保存在數(shù)據(jù)中心保證了數(shù)據(jù)的安全性；

l 桌面的性能能夠得到提升，因?yàn)樗蛻?yīng)用后端的服務(wù)器都運(yùn)行在數(shù)據(jù)中心；

l 桌面可以分享最新最強(qiáng)大的服務(wù)器硬件；

l 可以從任何地點(diǎn)遠(yuǎn)程訪問(wèn)桌面；

l 維護(hù)桌面的費(fèi)用大大降低。

應(yīng)用虛擬化技術(shù)是一種可將應(yīng)用與底層系統(tǒng)隔離的技術(shù)。采用應(yīng)用虛擬化技術(shù)，應(yīng)用可直接在用戶桌面系統(tǒng)上隔離運(yùn)行或通過(guò)在用戶桌面上顯示應(yīng)用界面而在服務(wù)器上遠(yuǎn)程運(yùn)行，而不管用戶采用的是哪種底層平臺(tái)或操作系統(tǒng)。

目前主流的虛擬化解決方案廠商有IBM 、VmWare、微軟、Citrix等，選型時(shí)主要考慮產(chǎn)品的可靠性、性能指標(biāo)、功能性和兼容性等。IBM和VmWare在服務(wù)器虛擬化方面比較知名，而Citrix在桌面虛擬化和應(yīng)用虛擬化（遠(yuǎn)程接入）方面的解決方案相對(duì)其他廠商比較成熟。

數(shù)據(jù)庫(kù)選型規(guī)劃方案

數(shù)據(jù)庫(kù)作為企業(yè)IT集成架構(gòu)的重要組成部分，在數(shù)據(jù)庫(kù)的選擇上通過(guò)開(kāi)放性、可伸縮懷和并行性、安全認(rèn)證、性能、操作簡(jiǎn)易程度以及使用風(fēng)險(xiǎn)來(lái)選擇數(shù)據(jù)庫(kù)。

一、開(kāi)放性

1. SQL Server

只能在windows上運(yùn)行，沒(méi)有絲毫的開(kāi)放性，操作系統(tǒng)的系統(tǒng)的穩(wěn)定對(duì)數(shù)據(jù)庫(kù)是十分重要的。Windows9X系列產(chǎn)品是偏重于桌面應(yīng)用，NT server只適合中小型企業(yè)。而且windows平臺(tái)的可靠性，安全性和伸縮性是非常有限的。它不像Unix那樣久經(jīng)考驗(yàn)，尤其是在處理大數(shù)據(jù)庫(kù)。

2. Oracle

能在所有主流平臺(tái)上運(yùn)行（包括 windows）。完全支持所有的工業(yè)標(biāo)準(zhǔn)。采用完全開(kāi)放策略?？梢允箍蛻暨x擇最適合的解決方案。對(duì)開(kāi)發(fā)商全力支持。

3. Sybase ASE

能在所有主流平臺(tái)上運(yùn)行（包括 windows）。但由于早期Sybase與OS集成度不高，因此VERSION11.9.2以下版本需要較多OS和DB級(jí)補(bǔ)丁。在多平臺(tái)的混合環(huán)境中，會(huì)有一定問(wèn)題。

4. DB2

能在所有主流平臺(tái)上運(yùn)行（包括windows）。最適于海量數(shù)據(jù)。DB2在企業(yè)級(jí)的應(yīng)用最為廣泛

二、可伸縮性，并行性

1. SQL server

并行實(shí)施和共存模型并不成熟，很難處理日益增多的用戶數(shù)和數(shù)據(jù)卷，伸縮性有限。

2. Oracle

并行服務(wù)器通過(guò)使一組結(jié)點(diǎn)共享同一簇中的工作來(lái)擴(kuò)展window的能力，提供高可用性和高伸縮性的簇的解決方案。如果windows不能滿足需要，用戶可以把數(shù)據(jù)庫(kù)移植到Unix/Linux中。Oracle的并行服務(wù)器對(duì)各種Unix/Linux平臺(tái)的集群機(jī)制都有著相當(dāng)高的集成度。

3. Sybase ASE

雖然有DB SWITCH來(lái)支持其并行服務(wù)器，但DB SWITCH在技術(shù)層面還未成熟，且只支持版本12.5以上的ASE SERVER。DB SWITCH技術(shù)需要一臺(tái)服務(wù)器充當(dāng)SWITCH，從而在硬件上帶來(lái)一些麻煩。

4. DB2

具有很好的并行性。DB2把數(shù)據(jù)庫(kù)管理擴(kuò)充到了并行的、多節(jié)點(diǎn)的環(huán)境。數(shù)據(jù)庫(kù)分區(qū)是數(shù)據(jù)庫(kù)的一部分，包含自己的數(shù)據(jù)、索引、配置文件、和事務(wù)日志。數(shù)據(jù)庫(kù)分區(qū)有時(shí)被稱為節(jié)點(diǎn)安全性。

三、安全認(rèn)證

1. SQL server

沒(méi)有獲得任何安全證書(shū)。

2. Oracle Server

獲得最高認(rèn)證級(jí)別的ISO標(biāo)準(zhǔn)認(rèn)證。

3. Sybase ASE

獲得最高認(rèn)證級(jí)別的ISO標(biāo)準(zhǔn)認(rèn)證。

4. DB2

獲得最高認(rèn)證級(jí)別的ISO標(biāo)準(zhǔn)認(rèn)證。

四、性能

1. SQL Server

多用戶時(shí)性能不佳

2. Oracle

性能最高， 保持開(kāi)放平臺(tái)下的TPC-D和TPC-C的世界記錄。

3. Sybase ASE

性能接近于SQL Server，但在UNIX平臺(tái)下的并發(fā)性要優(yōu)與 SQL Server。

4. DB2

性能較高適用于數(shù)據(jù)倉(cāng)庫(kù)和在線事物處理。

五、客戶端支持及應(yīng)用模式

1. SQL Server

C/S結(jié)構(gòu)，只支持windows客戶，可以用ADO、DAO、OLEDB、ODBC連接。

2. Oracle

多層次網(wǎng)絡(luò)計(jì)算，支持多種工業(yè)標(biāo)準(zhǔn)，可以用ODBC、JDBC、OCI等網(wǎng)絡(luò)客戶連接。

3. Sybase ASE

C/S結(jié)構(gòu)，可以用ODBC、Jconnect、Ct-library等網(wǎng)絡(luò)客戶連接。

4. DB2

跨平臺(tái)，多層結(jié)構(gòu)，支持ODBC、JDBC等客戶。

六、操作簡(jiǎn)便

1. SQL Server

操作簡(jiǎn)單，但只有圖形界面。

2. Oracle

較復(fù)雜，同時(shí)提供GUI和命令行，在Windows和Unix/Linux下操作相同。

3. Sybase ASE

較復(fù)雜，同時(shí)提供GUI和命令行。但GUI較差，常常無(wú)法及時(shí)狀態(tài)，建議使用命令行。

4. DB2

操作簡(jiǎn)單，同時(shí)提供GUI和命令行，在windows和unix下操作相同。

七、使用風(fēng)險(xiǎn)

1. SQL server

完全重寫(xiě)的代碼，經(jīng)歷了長(zhǎng)期的測(cè)試，不斷延遲，許多功能需要時(shí)間來(lái)證明。并不十分兼容。

2. Oracle

長(zhǎng)時(shí)間的開(kāi)發(fā)經(jīng)驗(yàn)，完全向下兼容。得到廣泛的應(yīng)用。完全沒(méi)有風(fēng)險(xiǎn)。

3. Sybase ASE

向下兼容, 但是ct-library 程序不益移植。

4. DB2

在巨型企業(yè)得到廣泛的應(yīng)用，向下兼容性好。風(fēng)險(xiǎn)小。

綜合以上分析，企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)建議采用最新版Oracle 11G數(shù)據(jù)庫(kù)。

數(shù)據(jù)安全和備份規(guī)劃

數(shù)據(jù)安全主要包含兩部分，一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等，二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)防護(hù)，如通過(guò)磁盤(pán)陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。

1） 數(shù)據(jù)安全認(rèn)證規(guī)劃

企業(yè)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)安全認(rèn)證需求主要有以下幾方面：

? 身份認(rèn)證和訪問(wèn)控制：身份認(rèn)證分為兩個(gè)方面，一方面是對(duì)應(yīng)用系統(tǒng)站點(diǎn)的認(rèn)證，確保用戶訪問(wèn)的是真實(shí)的應(yīng)用服務(wù)器；另一方面是對(duì)應(yīng)用系統(tǒng)客戶端的身份證，必須嚴(yán)格控制并識(shí)別應(yīng)用系統(tǒng)用戶的身份，登錄到業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的人必須是相關(guān)業(yè)務(wù)人員，凡非相關(guān)人員，系統(tǒng)拒絕其訪問(wèn)；

? 機(jī)密性：在應(yīng)用系統(tǒng)客戶端與服務(wù)器端交換的信息必須是經(jīng)過(guò)加密后才傳輸?shù)?，不能被竊?。?/p>

? 數(shù)據(jù)完整性：在應(yīng)用系統(tǒng)傳輸?shù)臄?shù)據(jù)必須有必要的完整性校驗(yàn)機(jī)制，不能被惡意竄改；比如不能將原本為10 萬(wàn)元的支付數(shù)據(jù)篡改成1 萬(wàn)元或100 萬(wàn)元再對(duì)外支付；

? 不可抵賴性：必須確保支付或其它在應(yīng)用系統(tǒng)提交的請(qǐng)求是不允許抵賴的，同時(shí)必須有相應(yīng)的技術(shù)保證數(shù)據(jù)的源發(fā)性，出現(xiàn)越軌操作，系統(tǒng)能提供事后追蹤、審核及統(tǒng)計(jì)的手段。

針對(duì)以上的數(shù)據(jù)安全認(rèn)證需求，推薦基于智能鑰匙認(rèn)證（PKI技術(shù)）的解決方案，天威誠(chéng)信的產(chǎn)品和服務(wù)都是基于PKI技術(shù)構(gòu)建，天威誠(chéng)信安全認(rèn)證及數(shù)字簽名綜合解決方案可以解決以下四個(gè)方面的安全問(wèn)題：

? 數(shù)字簽名

對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行簽名，保證機(jī)密性、完整性和不可抵賴性；

? 安全訪問(wèn)

用于登錄應(yīng)用系統(tǒng)，替換掉原有安全級(jí)別較低的“用戶名/口令”方式，防止非授權(quán)用戶的惡意攻擊，同時(shí)不能破壞應(yīng)用系統(tǒng)原有的權(quán)限管理機(jī)制。安全訪問(wèn)就是讓企業(yè)的員工能方便的在任何地方通過(guò)互聯(lián)網(wǎng)安全地訪問(wèn)企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機(jī)密數(shù)據(jù)；

? 信息加密

通過(guò)高強(qiáng)度的加密算法形成安全的SSL 加密通道，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒉荒鼙坏谌礁`??；

? 技術(shù)和法律層面的雙重保障抗抵賴性

天威誠(chéng)信數(shù)字證書(shū)實(shí)現(xiàn)的數(shù)字簽名技術(shù)可以通過(guò)目前最安全的PKI 技術(shù)上實(shí)現(xiàn)抗抵賴的功能。但是，在現(xiàn)時(shí)生活中，真正能夠裁決是否發(fā)生了抵賴行為，只有法院的仲裁才能夠最終定性。在2005年中華人民共和國(guó)《電子簽名法》頒布以后，法律上規(guī)定：只有得到信息產(chǎn)業(yè)部頒發(fā)的《電子認(rèn)證服務(wù)許可證》的數(shù)字認(rèn)證機(jī)構(gòu)，其所頒發(fā)的數(shù)字證書(shū)在電子商務(wù)中的數(shù)字簽名才能夠得到法律的認(rèn)可和保護(hù)。天威誠(chéng)信率先從信息產(chǎn)業(yè)部獲得該資質(zhì)，因此，應(yīng)用系統(tǒng)用戶使用天威誠(chéng)信提供的數(shù)字證書(shū)實(shí)現(xiàn)的電子簽名是合乎法律要求的抗抵賴證據(jù)，從而使應(yīng)用系統(tǒng)的電子化簽名和手寫(xiě)簽名一樣得到法律的認(rèn)可，可以作為法律上有效的證據(jù)，結(jié)束了電子化信息系統(tǒng)重要數(shù)據(jù)的“無(wú)據(jù)可依”，“無(wú)法可依”的現(xiàn)狀。因此，通過(guò)此方式，用戶能夠?qū)崿F(xiàn)技術(shù)和法律層面的雙重保障。

2） 數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)的安全是指數(shù)據(jù)庫(kù)在系統(tǒng)運(yùn)行之外的可讀性，企業(yè)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)存儲(chǔ)安全的需求主要有以下幾方面：

? 諸如、格翰姆—布萊利法和巴塞爾協(xié)議II 等法規(guī)要求企業(yè)內(nèi)部要有強(qiáng)健的內(nèi)部控制和職責(zé)分離；

? 針對(duì)當(dāng)今非常關(guān)心的內(nèi)部威脅要求強(qiáng)制執(zhí)行操作安全策略——規(guī)范何人、何時(shí)、何地能夠處理數(shù)據(jù)；

? 數(shù)據(jù)庫(kù)整合策略要求防止數(shù)據(jù)庫(kù)管理員訪問(wèn)應(yīng)用程序的數(shù)據(jù)。

針對(duì)以上的數(shù)據(jù)存儲(chǔ)安全需求，推薦Oracle Database Vault解決方案，解決方案的要點(diǎn)如下：

? 對(duì)授權(quán)用戶的控制

· 限制數(shù)據(jù)庫(kù)管理員訪問(wèn)應(yīng)用程序的數(shù)據(jù)

· 提供職責(zé)分離的功能

· 保證數(shù)據(jù)庫(kù)和信息整合的安全性

? 執(zhí)行數(shù)據(jù)訪問(wèn)的安全策略

· 控制何人、何時(shí)、何地以及如何訪問(wèn)數(shù)據(jù)

· 可根據(jù)IP地址、時(shí)間或授權(quán)等情況作出訪問(wèn)決定

? 已通過(guò)針對(duì)PeopleSoft的認(rèn)證

3） 數(shù)據(jù)備份規(guī)劃

一個(gè)完整的數(shù)據(jù)備份和災(zāi)難恢復(fù)方案，應(yīng)包括備份硬件，備份軟件，備份計(jì)劃和災(zāi)難恢復(fù)計(jì)劃四個(gè)部分。

? 備份硬件

目前比較流行的解決方法包括硬盤(pán)介質(zhì)存儲(chǔ)，光學(xué)介質(zhì)和磁帶/磁帶機(jī)存儲(chǔ)技術(shù)。

硬盤(pán)存儲(chǔ)費(fèi)用比較高，光學(xué)介質(zhì)的訪問(wèn)速度慢，且容量較小。通常情況下，大容量網(wǎng)絡(luò)備份用戶主要使用磁帶設(shè)備進(jìn)行備份。磁帶備份具有如下優(yōu)勢(shì)：容量大并可靈活配置，速度適中，介質(zhì)保存周期長(zhǎng)，成本低，數(shù)據(jù)安全性高，可實(shí)現(xiàn)無(wú)人操作的自動(dòng)備份等。

? 備份軟件

目前主流的備份軟件有，IBM的Tivoli（TSM），HP的OpenView，Veritas公司的NetBackup，Legato公司的NetWorker，CA的ARCserve等。客戶可以根據(jù)實(shí)際情況選擇合適的備份軟件。

? 備份計(jì)劃/策略

從備份策略來(lái)講，現(xiàn)在的備份可分為三種：完全備份、增量備份、差異備份、累加備份策略。下面來(lái)討論以下這幾種備份方式：

完全備份就是拷貝指定計(jì)算機(jī)或文件系統(tǒng)上的所有文件，而不管它是否被改變。

增量備份就是只備份在上一次備份后增加、改動(dòng)的部分?jǐn)?shù)據(jù)。增量備份可分為多級(jí)，每一次增量都源自上一次備份后的改動(dòng)部分。

差異備份就是只備份在上一次完全備份后有變化的部分?jǐn)?shù)據(jù)。如果只存在兩次備份，則增量備份和差異備份內(nèi)容一樣。

累加備份采用數(shù)據(jù)庫(kù)的管理方式，記錄累積每個(gè)時(shí)間點(diǎn)的變化，并把變化后的值備份到相應(yīng)的數(shù)組中，這種備份方式可恢復(fù)到指定的時(shí)間點(diǎn)。

一般在使用過(guò)程中，這幾種策略常結(jié)合使用，常用的方法有：完全備份、完全備份加增量備份、完全備份加差異備份、完全備份加累加備份。用戶根據(jù)自身業(yè)務(wù)和災(zāi)難恢復(fù)的要求，選擇備份策略。

原則上建議至少每周對(duì)關(guān)鍵數(shù)據(jù)做一次完全備份，一周其它時(shí)間每天做增量備份或差異備份，備份每天數(shù)據(jù)。如果數(shù)據(jù)丟失，可以恢復(fù)到前一天的數(shù)據(jù)狀態(tài)，否則有丟失數(shù)據(jù)的危險(xiǎn)。

? 災(zāi)難恢復(fù)

災(zāi)難恢復(fù)在整個(gè)備份中占有重要地位。因?yàn)樗P(guān)系到系統(tǒng)、軟件與數(shù)據(jù)在經(jīng)歷災(zāi)難后能否快速、準(zhǔn)確地恢復(fù)。全盤(pán)恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難，導(dǎo)致數(shù)據(jù)全部丟失，也稱為系統(tǒng)恢復(fù)。有些廠商還推出了擁有單鍵恢復(fù)功能的磁帶機(jī)，只需用系統(tǒng)盤(pán)引導(dǎo)機(jī)器啟動(dòng)，將磁帶插入磁帶機(jī)，按動(dòng)一個(gè)鍵即可恢復(fù)整個(gè)系統(tǒng)。

為了應(yīng)用系統(tǒng)的數(shù)據(jù)安全，建議購(gòu)買專業(yè)的備份軟件和硬件，并要求客戶必須對(duì)每天的應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行備份。

統(tǒng)一身份安全認(rèn)證規(guī)劃

隨著企業(yè)的迅速發(fā)展，各種應(yīng)用系統(tǒng)和用戶數(shù)量的不斷增加，信息安全問(wèn)題愈見(jiàn)突出，原有分散在各應(yīng)用系統(tǒng)中的賬號(hào)、權(quán)限、認(rèn)證、審計(jì)方面的安全措施已不能滿足企業(yè)目前及未來(lái)業(yè)務(wù)系統(tǒng)發(fā)展的要求。如下圖所示，主要問(wèn)題表現(xiàn)在以下方面：

最終用戶：需要記憶各系統(tǒng)的訪問(wèn)賬號(hào)和口令；在各系統(tǒng)間切換時(shí)需要再次輸入用戶名和口令。給用戶的工作帶來(lái)不便，影響了工作效率；

管理員：各系統(tǒng)的賬號(hào)需要單獨(dú)維護(hù)，工作量大，維護(hù)麻煩，工作效率不高，而且容易出錯(cuò)，導(dǎo)致用戶無(wú)法正常訪問(wèn)或出現(xiàn)后門(mén)賬號(hào)導(dǎo)致安全問(wèn)題；不便于統(tǒng)一安全策略的實(shí)施；

審計(jì)員：各系統(tǒng)獨(dú)立維護(hù)，不便于做關(guān)聯(lián)分析，不便于及時(shí)發(fā)現(xiàn)安全問(wèn)題；

最終用戶 管理員 審計(jì)員

根據(jù)現(xiàn)狀分析，一方面增加了各個(gè)應(yīng)用系統(tǒng)的維護(hù)和管理人員的工作負(fù)擔(dān)，工作效率不高；另一方面無(wú)法對(duì)各業(yè)務(wù)系統(tǒng)實(shí)施統(tǒng)一的安全策略，增大了安全漏洞存在的幾率，降低了業(yè)務(wù)系統(tǒng)的安全性。統(tǒng)一身份安全認(rèn)證平臺(tái)通過(guò)對(duì)賬號(hào)、授權(quán)、認(rèn)證和審計(jì)的集中管理，達(dá)到對(duì)安全運(yùn)維過(guò)程進(jìn)行集中統(tǒng)一的控制，使操作行為和維護(hù)行為可以審計(jì)。如下圖所示，主要達(dá)成了如下目標(biāo)：

（1） 將各應(yīng)用系統(tǒng)中的賬號(hào)進(jìn)行統(tǒng)一管理和控制；

（2） 提供統(tǒng)一的安全訪問(wèn)入口，實(shí)現(xiàn)系統(tǒng)間單點(diǎn)登陸；

（3） 實(shí)施統(tǒng)一的安全策略，進(jìn)行集中控制和管理，可對(duì)接第三方認(rèn)證組件；

（4） 對(duì)關(guān)鍵數(shù)據(jù)和操作行為進(jìn)行統(tǒng)一管理和審計(jì)，及時(shí)發(fā)現(xiàn)安全隱患。

最終用戶 管理員 審計(jì)員

針對(duì)企業(yè)對(duì)各信息系統(tǒng)實(shí)現(xiàn)統(tǒng)一身份安全認(rèn)證的需求，統(tǒng)一身份安全認(rèn)證解決方案。

1） 實(shí)現(xiàn)企業(yè)各信息系統(tǒng)用戶的安全認(rèn)證。

安全認(rèn)證是指信息系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問(wèn)系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過(guò)程。

目前，安全認(rèn)證的方法和形式多種多樣，通常在實(shí)際應(yīng)用中常用的安全認(rèn)證的方式主要有口令密碼、動(dòng)態(tài)密碼卡、智能鑰匙、指紋、數(shù)字證書(shū)、條碼卡等。而且，很多系統(tǒng)為了提高安全性，其采用的安全認(rèn)證方式是上述多種方法的組合，以下主要推薦動(dòng)態(tài)密碼卡安全認(rèn)證解決方案。

日常的工作中越來(lái)越依靠各種軟件系統(tǒng)，內(nèi)部系統(tǒng)的登錄主要依靠靜態(tài)密碼，由于靜態(tài)密碼基本上固定不變，存在著如下的安全隱患：

（1）用戶在輸入密碼時(shí)容易被人偷看或者攝像機(jī)記錄；

（2）用戶的密碼容易在傳輸?shù)倪^(guò)程中被軟件截取；

（3）用戶的密碼一般有一定的規(guī)律性，容易被猜測(cè)；

（4）用戶的密碼長(zhǎng)期不變，容易泄漏；

（5）病毒，木馬程序的惡意盜取；

（6）內(nèi)部的防范意識(shí)不強(qiáng)，內(nèi)部員工的惡意操作；

（7）因?yàn)楣ぷ餍枰?，告訴同事密碼，事后忘記修改。

雖然在一個(gè)單位內(nèi)部的系統(tǒng)相對(duì)比較安全，但一旦密碼被盜，特別是一些重要的用戶密碼被盜，如單位的領(lǐng)導(dǎo)，財(cái)務(wù)等，那么造成的損失將是巨大的，這樣的情況并不少見(jiàn)。使用動(dòng)態(tài)密碼的投入不大，可以有效的防范因?yàn)殪o態(tài)密碼泄漏造成的風(fēng)險(xiǎn)，保證系統(tǒng)的安全。認(rèn)證流程如下圖所示。

認(rèn)證流程圖

2） 實(shí)現(xiàn)移動(dòng)門(mén)戶。

隨著手機(jī)等移動(dòng)終端設(shè)備的普及應(yīng)用，越來(lái)越多的日常事務(wù)要求直接通過(guò)手機(jī)等移動(dòng)終端完成，在這種應(yīng)用趨勢(shì)下，移動(dòng)門(mén)戶誕生。用戶可以通過(guò)移動(dòng)終端設(shè)備登錄Portal，處理待處理審批流程。

企業(yè)計(jì)算機(jī)和用戶管理方案

企業(yè)計(jì)算機(jī)和用戶管理，采用Windows Server 2008的Active Directory活動(dòng)目錄方案是最佳選擇，Active Directory提供了一種方式，用于管理組成組織網(wǎng)絡(luò)的標(biāo)識(shí)和關(guān)系。Active Directory與Windows Server 2008 R2的集成，為我們帶來(lái)了開(kāi)箱即用的功能，通過(guò)這些功能我們可以集中配置和管理系統(tǒng)、用戶和應(yīng)用程序設(shè)置。Active Directory域服務(wù)（AD DS，Active Directory Domain Services）存儲(chǔ)目錄數(shù)據(jù)，管理用戶和域之間的通信，包括用戶登錄過(guò)程、身份驗(yàn)證，以及目錄搜索。此外還集成其它角色，為我們帶來(lái)了標(biāo)識(shí)和訪問(wèn)控制特性和技術(shù)，這些特性提供了一種集中管理身份信息的方式，以及只允許合法用戶訪問(wèn)設(shè)備、程序和數(shù)據(jù)的技術(shù)。

活動(dòng)目錄是Windows 網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分，它為網(wǎng)絡(luò)的用戶、管理員和應(yīng)用程序提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)?；顒?dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)。

總的來(lái)說(shuō)，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無(wú)需管理員來(lái)維護(hù)各種不同的專用目錄。

活動(dòng)目錄提供了對(duì)基于Windows的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對(duì)非Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。

活動(dòng)目錄是微軟各種應(yīng)用軟件運(yùn)行的必要和基礎(chǔ)的條件。下圖表示出活動(dòng)目錄成為各種應(yīng)用軟件的中心。

通過(guò)上圖，可見(jiàn)Windows 2008 Server的核心是一組基于Active Directory（目錄服務(wù)，簡(jiǎn)稱“AD”）的基礎(chǔ)結(jié)構(gòu)服務(wù)。Windows 2008 AD簡(jiǎn)化了管理，加強(qiáng)了安全性，擴(kuò)展了互操作性。它為用戶、組、安全服務(wù)及網(wǎng)絡(luò)資源的管理提供了一種集中化的方法。

應(yīng)用Windows 2008 AD之后，企業(yè)信息化建設(shè)者和網(wǎng)絡(luò)管理員可以從中獲得如下好處：

? 系統(tǒng)平臺(tái)基礎(chǔ)架構(gòu)

基于Windows 2008 AD規(guī)劃網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，使企業(yè)獲得一個(gè)穩(wěn)定、可擴(kuò)充的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。不單單是滿足當(dāng)前的網(wǎng)絡(luò)需要，更關(guān)鍵的是預(yù)計(jì)了今后3-5年內(nèi)可能的發(fā)展需要，使得將來(lái)的網(wǎng)絡(luò)規(guī)劃建設(shè)無(wú)需再次重復(fù)投資。

? 單一登錄

可以統(tǒng)一用戶帳戶設(shè)置和用戶身份驗(yàn)證，實(shí)現(xiàn)用戶單一登錄，用戶訪問(wèn)網(wǎng)絡(luò)中的資源不再需要反復(fù)輸入用戶名稱和口令。同時(shí)，它還是企業(yè)應(yīng)用集成的基礎(chǔ)?；贏D的單一登錄功能，便于實(shí)現(xiàn)在不同程序之間的協(xié)作和集成應(yīng)用。

? 網(wǎng)絡(luò)安全

可以基于AD，集中設(shè)置和統(tǒng)一管理用戶、組、資源的操作權(quán)限，方便維護(hù)管理。

? 集中管理和委派授權(quán)

基于Windows 2008活動(dòng)目錄OU實(shí)施委派授權(quán)管理，未來(lái)向下屬企業(yè)推廣時(shí)，分級(jí)維護(hù)，集團(tuán)各部門(mén)、下屬公司可以對(duì)所轄范圍內(nèi)的部分參數(shù)進(jìn)行維護(hù)，如增加用戶、設(shè)置權(quán)限、增加欄目、自定義流程等。

? 用戶桌面管理

通過(guò)規(guī)劃部署Windows 2008 OU和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實(shí)現(xiàn)對(duì)客戶計(jì)算機(jī)的集中控制管理，加強(qiáng)信息管理的安全可靠性。

? 軟件自動(dòng)分發(fā)

通過(guò)規(guī)劃部署Windows 2008 OU和組策略，還可以實(shí)現(xiàn)應(yīng)用程序的自動(dòng)分發(fā)、升級(jí)和刪除，不但可以實(shí)現(xiàn)客戶機(jī)軟件的統(tǒng)一安裝管理，而且大大減輕了軟件安裝配置的工作量。

根據(jù)一般集團(tuán)公司的管理結(jié)構(gòu)。本方案采用Windows系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲(chǔ)網(wǎng)絡(luò)對(duì)象，并且管理簡(jiǎn)單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團(tuán)按公司單位劃分不同的模塊，集團(tuán)總部作為域林的根，每個(gè)子公司為一個(gè)獨(dú)立的域或者域樹(shù)，形成一個(gè)完整的樹(shù)狀結(jié)構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個(gè)域的域控制器中存儲(chǔ)，減少了每臺(tái)域控制器的信息存儲(chǔ)，從而減少?gòu)?fù)制流量和網(wǎng)絡(luò)對(duì)象的查詢時(shí)間。具體的實(shí)現(xiàn)如下圖：

在此構(gòu)架設(shè)計(jì)中，集團(tuán)需要自己的獨(dú)立的域名，所以在設(shè)計(jì)林中樹(shù)，子公司作為總部的子域，分公司可以考慮作為一單獨(dú)的域樹(shù)，由于所有的資源都位于局域網(wǎng)內(nèi)，具有高速的網(wǎng)絡(luò)連接，因此所有的域均在一個(gè)站點(diǎn)內(nèi)。即使域中的一臺(tái)域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運(yùn)行。并且提高了用戶身份驗(yàn)證的速度。

操作主機(jī)分配：操作主機(jī)域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2008的域中，一共有五種操作主機(jī)，分別是構(gòu)架主機(jī)，域名主機(jī)，RID主機(jī)，PDC仿真器，結(jié)構(gòu)主機(jī)。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機(jī)更好的工作，保障正常的工作并且不產(chǎn)生大的復(fù)制流量，方案采用了Windows系統(tǒng)默認(rèn)的設(shè)置，根域中第兩臺(tái)DC承擔(dān)了五種操作主機(jī)的角色，每個(gè)子域中的第一臺(tái)DC承擔(dān)了域范圍內(nèi)的三種操作主機(jī)角色。

系統(tǒng)管理設(shè)計(jì)：在系統(tǒng)設(shè)計(jì)時(shí)包括三個(gè)部分，分別是OU，用戶及組的設(shè)計(jì)，為了更好的滿足集團(tuán)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。

OU的設(shè)計(jì)：集團(tuán)的OU設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。在本方案中按部門(mén)劃分OU的方法，將每個(gè)公司中以部門(mén)為單位創(chuàng)建OU，并在部門(mén)OU中保存該部門(mén)的用戶帳戶，計(jì)算機(jī)帳戶及組采用這種設(shè)計(jì)的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個(gè)部門(mén)內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設(shè)計(jì)方法，也可以方便的將安全策略應(yīng)用到某個(gè)部門(mén)。

用戶管理：為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)一的命名規(guī)范，每個(gè)用戶在網(wǎng)絡(luò)中擁有唯一的登陸名。用戶帳戶在所屬的部門(mén)的OU中創(chuàng)建。

組的管理：為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡(jiǎn)化，方案中采用AGDLP策略及AGUDLP策略。在每個(gè)域中創(chuàng)建全局組，用與組織本域的帳戶，在沒(méi)個(gè)域中創(chuàng)建域本地組，用于完成權(quán)限的指派。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡(jiǎn)單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。如圖所示：

企業(yè)郵件系統(tǒng)選型規(guī)劃方案

目前企業(yè)郵箱的建設(shè)一般有兩種途徑可以選擇：

1） 企業(yè)內(nèi)部自建郵件服務(wù)器，然后通過(guò)互聯(lián)網(wǎng)域名進(jìn)行發(fā)布。

選型參考：Microsoft Exchange系統(tǒng)，Microsoft Exchange是微軟出品的電子郵件和協(xié)作系統(tǒng)，它通過(guò)電子郵件來(lái)交換信息，實(shí)現(xiàn)工作組成員間的相互協(xié)作。Microsoft Exchange支持SMTP、POP3、IMAP4等多種協(xié)議，是被眾多國(guó)內(nèi)企業(yè)采用的一種流行的電子郵件系統(tǒng)。能夠與Windows AD域完美的結(jié)合，并支持Http訪問(wèn)、簡(jiǎn)單的圖形化管理工具。

部署方案參考：如下圖