學(xué)校機(jī)房建設(shè)解決方案分析與設(shè)計(jì)

1、解決方案分析與設(shè)計(jì)方案適用范圍學(xué)校多媒體電教室、圖書館電子閱覽室、政府機(jī)關(guān)培訓(xùn)教室。1. 需求分析由于病毒、硬盤損耗等原因，導(dǎo)致軍事學(xué)院IT系統(tǒng)的保障和維護(hù)面臨主要風(fēng)險(xiǎn)如下：IT系統(tǒng)應(yīng)用需求u 終端用戶操作系統(tǒng)和應(yīng)用系統(tǒng)不能正常使用；u 涉密數(shù)據(jù)的損壞、丟失和泄密；u 信息化投入及維護(hù)成本劇增；造成這些問題的原因大致為四類：² 硬盤故障：系統(tǒng)的硬盤或其他部件損壞；² 惡意行為：病毒，惡意軟件和木馬的破壞及泄密；² 用戶的誤操作及無意泄密；² 電腦或硬盤的丟失；² 硬件產(chǎn)品生命周期大大縮短及維護(hù)成本大幅增加。內(nèi)網(wǎng)安全需求u 移動(dòng)存儲(chǔ)設(shè)備濫用的需求

2、。對(duì)接入的移動(dòng)存儲(chǔ)設(shè)備既要做到認(rèn)證使用，又要做到移動(dòng)存儲(chǔ)設(shè)備合法使用的細(xì)粒度控制。u 終端計(jì)算機(jī)端口缺乏統(tǒng)一的控制。u 對(duì)于網(wǎng)絡(luò)內(nèi)部需要管理的重要主機(jī)信息和操作行為進(jìn)行實(shí)時(shí)的審計(jì)，并且根據(jù)相應(yīng)的審計(jì)信息定制科學(xué)的安全策略。² 服務(wù)器端擁有負(fù)載均衡功能；² 服務(wù)器端能夠?qū)崿F(xiàn)數(shù)據(jù)時(shí)時(shí)備份和HA高冗余功能；² 客戶機(jī)操作系統(tǒng)可以集中管理和維護(hù)；² 客戶機(jī)操作系統(tǒng)重啟后可以自動(dòng)還原；² 軟件和更新包的安裝和部署更加簡(jiǎn)捷；內(nèi)網(wǎng)安全管理目標(biāo)在軍隊(duì)院校的網(wǎng)絡(luò)中，一套安全管理系統(tǒng)解決方案要求達(dá)到如下的效果：（1） 終端身份認(rèn)證管理身份認(rèn)證系統(tǒng)以用戶信息、系統(tǒng)權(quán)

3、限為核心，集成各業(yè)務(wù)系統(tǒng)的認(rèn)證信息，或者Windows自身域控的管理方式, 為客戶提供一個(gè)高度集成且統(tǒng)一的認(rèn)證平臺(tái)。（2） 數(shù)據(jù)集中管理數(shù)據(jù)統(tǒng)一集中管理，設(shè)立數(shù)據(jù)訪問權(quán)限，記錄數(shù)據(jù)訪問信息記錄，防止數(shù)據(jù)人為破壞。（3） 集中系統(tǒng)和數(shù)據(jù)維護(hù)平臺(tái)提供無盤工作站的應(yīng)用模式，每個(gè)終端沒有硬盤，系統(tǒng)和涉密數(shù)據(jù)全部存儲(chǔ)在遠(yuǎn)端服務(wù)器硬盤鏡像空間中，保證終端無法感染病毒、木馬，通過對(duì)鏡像服務(wù)器的安全防護(hù)（防毒、防攻擊和負(fù)載均衡,HA等災(zāi)備系統(tǒng)）保證終端系統(tǒng)、應(yīng)用和數(shù)據(jù)的可用性和穩(wěn)定性。（4） 軟件可控性好網(wǎng)眾無盤系統(tǒng)的部分管理和監(jiān)控功能結(jié)合使用，可以控制學(xué)院使用的軟件，避免學(xué)員擅自安裝游戲以及不允許的軟件。更

4、新維護(hù)也十分方便（5） 主機(jī)外設(shè)端口管理平臺(tái)對(duì)于一切可能通過外設(shè)形成接入的行為進(jìn)行控制，有效地防止了核心數(shù)據(jù)被第三方通過各種設(shè)備將機(jī)密數(shù)據(jù)盜竊，保障了核心區(qū)的數(shù)據(jù)安全；（6） 存儲(chǔ)設(shè)備管理平臺(tái)能夠提供存儲(chǔ)設(shè)備管理手段，保證了數(shù)據(jù)的存儲(chǔ)介質(zhì)磁盤的科學(xué)使用，可以規(guī)定每臺(tái)主機(jī)上磁盤的存儲(chǔ)方式（正常讀寫、只讀、保密讀寫）及其磁盤的數(shù)據(jù)有效范圍（單機(jī)有效、域有效、第三方有效），從而可以保證了重要數(shù)據(jù)在未授權(quán)的前提下，不可能被帶出網(wǎng)絡(luò)，解決了用戶身份和數(shù)據(jù)身份的訪問控制問題；根據(jù)以上實(shí)際情況，為了達(dá)到貴院網(wǎng)絡(luò)信息系統(tǒng)安全管理規(guī)劃的安全目標(biāo)，我們認(rèn)為規(guī)劃、設(shè)計(jì)、實(shí)施網(wǎng)絡(luò)信息系統(tǒng)的安全系統(tǒng)的目標(biāo)是：通過安全系

5、統(tǒng)工程的實(shí)施，建立完整的網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)體系，在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過制定個(gè)性化的安全策略，采用合適的安全技術(shù)和制度化的安全管理，從安全策略、安全域、安全系統(tǒng)、安全管理多個(gè)層次，多個(gè)角度，構(gòu)建網(wǎng)絡(luò)內(nèi)部信息安全保障技術(shù)框架，實(shí)現(xiàn)：u 系統(tǒng)部署維護(hù)方便，管理輕松u 有效管理移動(dòng)存儲(chǔ)設(shè)備，防止非法（未注冊(cè)）的移動(dòng)存儲(chǔ)設(shè)備的接入。u 網(wǎng)絡(luò)內(nèi)部信息與網(wǎng)絡(luò)資源受控合法地使用。u 對(duì)所需保護(hù)的主機(jī)進(jìn)行詳細(xì)的管理和監(jiān)控。2. 應(yīng)用環(huán)境現(xiàn)實(shí)狀況多媒體培訓(xùn)中心環(huán)境中，PC機(jī)應(yīng)用難以管理和約束，學(xué)生無法受到有效監(jiān)控，將嚴(yán)重影響正常的培訓(xùn)教學(xué)。老師做為整個(gè)網(wǎng)絡(luò)的管理者，在保障系統(tǒng)正常安全的同時(shí)

6、，更重要的是如何有效監(jiān)控管理學(xué)生的操作行為，保障正常教學(xué)培訓(xùn)的進(jìn)行。（1）老師對(duì)PC系統(tǒng)恢復(fù)工作量繁重PC機(jī)操作系統(tǒng)經(jīng)常被學(xué)生有意或者無意刪除、破壞，導(dǎo)致電教室老師對(duì)PC系統(tǒng)恢復(fù)工作量繁重。（2）使用硬盤保護(hù)卡操作繁瑣效率不高硬盤保護(hù)卡的大數(shù)據(jù)量讀寫操作容易導(dǎo)致物理硬盤的損壞，且保護(hù)卡關(guān)閉時(shí)任何軟件或配置更新所導(dǎo)致的系統(tǒng)損壞，將不能恢復(fù)。（3）軟件安裝和系統(tǒng)更新重復(fù)耗時(shí)經(jīng)常老師需要逐臺(tái)PC進(jìn)行軟件安裝和系統(tǒng)設(shè)置更改，消耗大量時(shí)間又影響正常教學(xué)進(jìn)度。（4）學(xué)生可以離線操作PC，老師難以監(jiān)控教學(xué)學(xué)生可以通過拔除網(wǎng)線來躲避老師監(jiān)控，上課時(shí)間自娛自樂。（5）外設(shè)端口難以限制，學(xué)堂變成游戲廳光驅(qū)、USB

7、端口不能限制使用，學(xué)生經(jīng)常拷貝游戲程序到學(xué)生機(jī)上，將課堂變成游戲機(jī)房。（6）學(xué)生的個(gè)人數(shù)據(jù)拷貝麻煩學(xué)生經(jīng)常需要定點(diǎn)、定機(jī)去拷貝自己的數(shù)據(jù)，這樣也導(dǎo)致學(xué)生上課座位安排和選擇不靈活。3. 方案選擇在多媒體培訓(xùn)中心項(xiàng)目中，針對(duì)不同數(shù)量的教室和學(xué)生機(jī)，我們分別推薦：?jiǎn)谓淌覇畏?wù)器NXD解決方案、多教室多服務(wù)器NXD+E-Class解決方案。4. 單教室單服務(wù)器NXD解決方案（學(xué)生機(jī)60臺(tái)以下）在中小學(xué)、銀行機(jī)構(gòu)、政府機(jī)關(guān)的多媒體培訓(xùn)教學(xué)中，一般只有一個(gè)多媒體電教室，學(xué)生機(jī)數(shù)量也比較少（60臺(tái)以下），我們推薦使用單教室單服務(wù)器NXD解決方案。.1方案應(yīng)用優(yōu)勢(shì)（1）提供對(duì)NXD工作站系統(tǒng)鏡像的只讀保護(hù)防止

8、病毒、黑客攻擊、學(xué)生誤操作對(duì)于操作系統(tǒng)的影響，任何在NXD工作站上的更改，重啟后自動(dòng)恢復(fù)到管理員初始系統(tǒng)配置狀態(tài)。（2）支持NXD工作站應(yīng)用系統(tǒng)環(huán)境批量更新使用一臺(tái)特殊權(quán)限的NXD工作站（NXD超級(jí)工作站）對(duì)NXD操作系統(tǒng)鏡像進(jìn)行更新，就實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)教室中所有NXD工作站使用環(huán)境的更新。（3）給NXD工作站提供獨(dú)立數(shù)據(jù)存儲(chǔ)空間附加網(wǎng)絡(luò)硬盤老師可以給不同的學(xué)生機(jī)分配一個(gè)NXD工作站附加網(wǎng)絡(luò)硬盤（16MB5GB），其形態(tài)是在每個(gè)NXD工作站上出現(xiàn)一個(gè)獨(dú)立分區(qū)的硬盤，如同本地物理硬盤一般使用。（4）禁止學(xué)生機(jī)離線工作學(xué)生機(jī)拔除網(wǎng)線后NXD工作站就無法使用（因?yàn)槊總€(gè)NXD工作站需要實(shí)時(shí)跟服務(wù)器聯(lián)系獲得所

9、需資源，沒有網(wǎng)絡(luò)就無法繼續(xù)工作-詳細(xì)介紹參見RamDisk技術(shù)），保證老師可以使用網(wǎng)絡(luò)監(jiān)控軟件對(duì)學(xué)生機(jī)進(jìn)行監(jiān)管控制。.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)單教室網(wǎng)絡(luò)結(jié)構(gòu).3 系統(tǒng)功能根據(jù)具體學(xué)生機(jī)的數(shù)量，此方案我們推薦兩款服務(wù)器作為NXD服務(wù)器：簡(jiǎn)單的服務(wù)器配置支持30臺(tái)左右的學(xué)生機(jī)訪問負(fù)荷。中端的服務(wù)器配置既可支持60臺(tái)左右的學(xué)生機(jī)訪問負(fù)荷。（1）服務(wù)器：安裝NXD管理服務(wù)軟件和NXD-I/O服務(wù)軟件為NXD工作站提供網(wǎng)絡(luò)服務(wù)自動(dòng)給每臺(tái)NXD工作站分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)地址，也支持手動(dòng)添加NXD工作站的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS地址等網(wǎng)絡(luò)地址。為NXD工作站提供操作系統(tǒng)鏡像I/O服務(wù)為N

10、XD工作站提供附加網(wǎng)絡(luò)硬盤服務(wù)老師可以為每臺(tái)NXD工作站劃分一塊D盤來存儲(chǔ)每臺(tái)學(xué)生機(jī)上的個(gè)人數(shù)據(jù)。5. 多教室多服務(wù)器NXD+E-Class解決方案（學(xué)生機(jī)60臺(tái)以上）在學(xué)校多媒體電教室、圖書館電子閱覽室、移動(dòng)電信培訓(xùn)中心的多媒體培訓(xùn)教學(xué)中，一般都有多個(gè)多媒體電教室，學(xué)生機(jī)的總量也比較多或者單個(gè)教室中學(xué)生機(jī)的數(shù)量超過60臺(tái)，都需要配置兩臺(tái)以上的服務(wù)器，我們推薦使用多教室多服務(wù)器NXD+E-Class解決方案。.1方案應(yīng)用優(yōu)勢(shì)繼承單教室單服務(wù)器NXD解決方案（60名學(xué)生以內(nèi)）優(yōu)勢(shì)的同時(shí)，多教室多服務(wù)器NXD+E-Class解決方案（60名學(xué)生以上）在管理應(yīng)用上提供更多的優(yōu)勢(shì)。（1）支持NXD管理

11、服務(wù)和I/O服務(wù)的分離在NXD系統(tǒng)集成中可以部署由單個(gè)NXD管理服務(wù)器和多個(gè)NXD-I/O服務(wù)器組成的應(yīng)用結(jié)構(gòu)，便于統(tǒng)一協(xié)調(diào)NXD-I/O服務(wù)器負(fù)載，并可以集中管理所有NXD工作站的IP地址，個(gè)性化策略，數(shù)據(jù)存儲(chǔ)配置。（2）支持NXD多I/O負(fù)載均衡可以使用多臺(tái)服務(wù)器來均衡分擔(dān)NXD鏡像的I/O服務(wù)壓力，同時(shí)又提供冗余機(jī)制，當(dāng)多臺(tái)I/O服務(wù)器中某臺(tái)出現(xiàn)故障時(shí)，并不會(huì)影響到整體的I/O服務(wù)。（3）支持NXD個(gè)人網(wǎng)絡(luò)硬盤學(xué)生通過帳號(hào)和密碼可以從網(wǎng)絡(luò)中的任意一臺(tái)學(xué)生機(jī)上登陸到自己的個(gè)人數(shù)據(jù)盤。既保證個(gè)人數(shù)據(jù)的安全可靠，又解決在多臺(tái)學(xué)生機(jī)之間拷貝個(gè)人數(shù)據(jù)的麻煩。（4）支持NXD工作站應(yīng)用網(wǎng)絡(luò)硬盤老師可

12、以將工具軟件、學(xué)習(xí)資料、教學(xué)課件等存放在NXD超級(jí)工作站的應(yīng)用網(wǎng)絡(luò)硬盤中，自動(dòng)更新到所有學(xué)生機(jī)的NXD工作站應(yīng)用網(wǎng)絡(luò)硬盤中，學(xué)生只能讀取并不能修改或刪除應(yīng)用網(wǎng)絡(luò)硬盤的數(shù)據(jù)。（5）支持控制和限制PC機(jī)的個(gè)人操作行為老師可以對(duì)學(xué)生機(jī)進(jìn)行屏幕監(jiān)控、應(yīng)用程序使用控制、外設(shè)控制、網(wǎng)站訪問控制、組策略管理、網(wǎng)絡(luò)端口控制等.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)多個(gè)多媒體教室網(wǎng)絡(luò)結(jié)構(gòu).3系統(tǒng)功能針對(duì)服務(wù)器在NXD系統(tǒng)應(yīng)用中所扮演的不同角色，我們推薦下述服務(wù)器分配方案：服務(wù)器1、服務(wù)器2、服務(wù)器3。（1）服務(wù)器1（中心機(jī)房） 安裝NXD管理服務(wù)軟件、NXD-I/O服務(wù)軟件和E-Class電子教室管理軟件。為NXD工作站提供網(wǎng)絡(luò)地址服

13、務(wù)自動(dòng)給每臺(tái)NXD工作站分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)地址，也支持手動(dòng)添加NXD工作站的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS地址等網(wǎng)絡(luò)地址。為NXD工作站提供操作系統(tǒng)鏡像I/O管理和服務(wù)負(fù)責(zé)監(jiān)控和均衡NXD-I/O服務(wù) 監(jiān)控整個(gè)網(wǎng)絡(luò)中的NXD-I/O服務(wù)的負(fù)載情況，調(diào)度NXD工作站連接到負(fù)載較輕的NXD-I/O服務(wù)器。提供NXD工作站附加網(wǎng)絡(luò)硬盤管理和服務(wù) 老師可以為每臺(tái)NXD工作站劃分一塊D盤來存儲(chǔ)每臺(tái)學(xué)生機(jī)上的個(gè)人數(shù)據(jù)。提供NXD工作站應(yīng)用網(wǎng)絡(luò)硬盤管理和服務(wù) 老師可以將工具軟件、學(xué)習(xí)資料、教學(xué)課件等存放在NXD超級(jí)工作站的應(yīng)用網(wǎng)絡(luò)硬盤中，自動(dòng)更新到所有學(xué)生機(jī)的NXD工作站應(yīng)用網(wǎng)絡(luò)硬

14、盤中，學(xué)生只能讀取并不能修改或刪除應(yīng)用網(wǎng)絡(luò)硬盤的數(shù)據(jù)。提供NXD個(gè)人網(wǎng)絡(luò)硬盤管理和服務(wù)統(tǒng)一管理每個(gè)學(xué)生的NXD個(gè)人網(wǎng)絡(luò)硬盤的帳號(hào)信息，調(diào)配每個(gè)學(xué)生的NXD個(gè)人網(wǎng)絡(luò)硬盤的容量，并存儲(chǔ)每個(gè)學(xué)生的NXD個(gè)人網(wǎng)絡(luò)硬盤數(shù)據(jù)信息。提供E-Class軟件運(yùn)行平臺(tái)，統(tǒng)一管理網(wǎng)絡(luò)設(shè)備統(tǒng)一管理網(wǎng)絡(luò)中所有服務(wù)器、NXD工作站的端口使用策略、網(wǎng)絡(luò)訪問策略、遠(yuǎn)程控制和維護(hù)管理實(shí)施等，管理功能強(qiáng)大，操作界面掌握容易。（2）服務(wù)器2（中心機(jī)房） 安裝NXD-I/O服務(wù)軟件。為NXD工作站提供操作系統(tǒng)鏡像I/O服務(wù)通過多臺(tái)服務(wù)器2的組合，負(fù)載NXD鏡像I/O服務(wù)，可以支持更多的NXD工作站使用。（3）服務(wù)器3（多媒體教室4）

15、 安裝NXD-I/O服務(wù)軟件。為NXD工作站提供操作系統(tǒng)鏡像I/O服務(wù)前置NXD-I/O服務(wù)器，降低學(xué)校主干網(wǎng)數(shù)據(jù)傳輸壓力直接在多媒體教室中安放服務(wù)器3來提供NXD鏡像I/O服務(wù)，NXD的網(wǎng)絡(luò)傳輸壓力直接由教室網(wǎng)絡(luò)負(fù)擔(dān)，大大降低學(xué)校主干網(wǎng)絡(luò)數(shù)據(jù)傳輸壓力。附錄一：服務(wù)器推薦配置：服務(wù)器主要用于虛擬鏡象管理系統(tǒng)工作站管理,并且服務(wù)器網(wǎng)卡和硬盤速度還會(huì)影響到整個(gè)網(wǎng)絡(luò)的速度，為了保證系統(tǒng)的穩(wěn)定性和速度，選擇高性能服務(wù)器。品牌推薦DELL,HP.推薦配置如下：CPUINTEL XEON 四核處理器主板INTEL 5500p或以上芯片組內(nèi)存32G以上硬盤1*500G SATA盤 此為服務(wù)端Linux操作系統(tǒng)盤1*240G SSD盤 此為客戶機(jī)所使用的鏡像磁盤2