锐起BSD桌面虚拟化企业解决方案.doc

锐起BSD桌面虚拟化企业解决方案前言介绍随着信息化建设不断推进，人们对网络的普及化；集团企业信息化建设也快速发展，信息网络不断完善，公司内部管理也实现网络化办公。在企业网络的建设过程中，几乎都采用PC机的模式。越来越多的企业、机构针对PC机在网络搭建过程中出现的诸如后期维护工作量大，软件硬件升级成本高、数据安全性差、管理不集中等等一系列问题，提出了新的需求。相信大多数企业、机构的信息化部门的工作者都会同样的感受，体现在系统及数据维护管理困难大量重要或机密数据分布各PC 中，不利于数据统一集中管理维护；因为内部人员上网不当或外接存储设备携带危害性病毒等，造成系统不稳定，甚至不能启动，影响公司正常的工作秩序或重要项目进程；因为内部人员有软件安装等高级别权限，随意使用不利于网络运维管理的网络工具，如BT 等，致使公司内外网带宽大量消耗，甚至影响公司核心业务系统正常运行为便于内网管理的系统的客户端等程序，经常被内部使用非法卸载，随意格式化系统分区，按照各自的喜好重建桌面环境，不利公司信息系统的IT 综合治理；l         现有保密措施和技术的不足；l         信息共享范围控制不够细致，信息分级管理措施不足；l         防外为主，防内不足，不符合新形势的需要；l         事后审计为主，事前有效防范和事中控制力度不够；l         新技术带来的安全漏洞凸现，没有完善的整体信息保密解决方案；l         数字信息共享未能有效控制范围，从内网获取涉密信息非常容易；l         网络窃听软件（Sniffer 等）；l         系统漏洞（远程桌面、网络共享等）其它木马软件；l         人为无意的传递导致泄密；l         内网边界非常容易突破，造成数据泄密；l         非法外联（Modem 拨号、ADSL 代理等）；l         非法接入（交换机接入、有线/无线对等网接入）；l         其它连接方式（红外、蓝牙、串口等）；l         数据输出方式多样化，缺乏控制措施；l         移动存储设备多样化、小型化，难以管理；l         输出接口多样化，蓝牙、红外、1394 等新设备日益增多；l         数据存储设备小型化，管理困难；l         无意丢失笔记本或者移动存储设备；l         蓄意窃取笔记本或者移动存储设备；l         缺乏信息保密系统整体规划，安全漏洞多；l         计算机、设备、资源和服务器等使用授权不严格，缺乏统一认证措施；l         信息系统和数据缺乏细粒度的控制技术，难以将安全风险降到最低；l         安全控制措施之间缺乏联动，难以及时发现和阻止泄密行为的发生；如何在网络飓风的信息时代，更好的去保证我们内部数据的安全和稳定。针对以上所提到的诸多矛盾。锐起提出“下一代办公网”“锐起BSD虚拟桌面管理”来解决现在面临的问题。IT系统应用困扰 各类应用系统（如办公应用、教学管理、娱乐等）因病毒、硬盘易损耗等，致使目前系统应用维护管理面临难题：1、终端用户操作系统不能正常工作：病毒或者硬件故障造成系统不稳定或不能启动；2、应用程序不能正常使用：关键的应用程序不能运行或运行不正常；3、数据丢失、泄密：保存在计算机上的文档已无法打开；人为泄密等造成重大损失；造成这些问题的原因大致为五类:1、硬件故障：系统的硬盘或其他部件损坏；2、恶意行为：病毒，恶意软件或人为的破坏；3、用户的无心之过；4、技术更新速度加快，硬件产品更新生命周期大大缩短，信息化投入成本剧增；5、网络的随意传输机密数据、电脑或硬盘的丢失等方式，都将给单位带来重大的损失。3、磁盘管理模块：采用Windows Scsi Miniport驱动程序模型为核心，通过网络将服务器上的磁盘映像文件仿真为与本地硬盘一模一样的“网络硬盘”，确保锐起无盘XP系统稳定可靠、软件兼容性极佳。并且服务端可建立无限多个磁盘映像文件，不同工作站可选择不同的磁盘映像启动。并且从1.5版起，更增加多磁盘启动功能，即工作站在使用一个磁盘映象启动的同时，还可挂载其它多个磁盘映象。假设某单位在近几年的信息化历程中，投入巨资建设了完整的计算机网络架构。但因人员数量及终端使用水平的差异，还有近年来网络病毒不断变种肆虐，同时生产及经营管理类的应用系统的增加，致使某某公司IT部门疲于应付各种桌面系统的维护管理问题。人员流动变化还带来数据安全隐患，因而数据的统一集中管理及安全防护也是某某公司IT部门在今后网络运维管理中的关注方向，针对公司网络内部信息防泄漏也是某某公司必须重点关注的工作内容。系统需求分析 针对上述问题，某某公司提出实现需求为前提的八项指导原则：   1、统一桌面管理，实现系统零维护，同时兼顾应用系统个性化（如SID）；2、兼顾公司原有的网络架构、应用架构，保证原有的应用速度，如结合域控及Vlan划分管理；3、在不消耗内网带宽资源的前提下，实现全网客户机应用系统及服务器数据同步更新；4、须提供远程桌面管理工具，实现对远距离终端用户的实时指导，节约人力及时间，提高IT部门服务的响应速度；5、在保障服务器安全的前提下，方案服务供应商能提供最快速便捷的服务响应；6、数据统一集中管理，设立数据访问权限，记录数据访问信息记录，防止数据人为破坏；7、针对全网客户机能实现资产管理及外设端口权限管理，并防范非法设备内接及内部计算机设备未经授权非法外联；能对重要数据进行加密，能从各种途径防止内部数据非法泄漏；8、能够适应全国各地机构的数据统一管理需求上海锐起信息技术有限公司依据某某公司以实现需求为前提的八项指导原则进行内外网运维方案的设计：1、平台应该统一规划，分步实施，实施各个阶段应该保持良好的衔接；2、平台与应用相关性应该尽可能低，支持应用系统的升级和新应用的扩展；3、平台的选型必须是基于现有的成熟产品和系统，具有可靠的稳定性；4、平台应具有良好的可管理性和可维护性，有统一的管理中心； 5、平台必须具有良好的易用性和兼容性，不会改变业务系统的主要结构，也不会对业务系统的操作人员带来过多的习惯改变。通过对以上需求的分析，本方案推荐采用锐起无盘XP系统平台作为技术支撑：锐起无盘XP系统平台可满足用户如下需求：终端用户均拥有独立的个性化网络磁盘，可以存储自己的文件到自己的网络磁盘，而且完全保障文件不会被网络内其他人员访问或调用；同时帮助用户真正实现网络及桌面系统的零维护。1、采用锐起无盘XP系统架构，并结合原有的Windows AD域的管理，实现内网客户机统一桌面管理，并可根据部门管理需要实现应用程序个性化。2、锐起无盘XP系统客户端简化为计算终端，具有独立的计算能力，服务器仅承担百分之十的计算压力，百分之九十的计算及运行均由本地计算机来完成；锐起无盘XP系统是简化的无盘工作站的模式，系统引导从无盘服务器实现；性能远超过NC类别的显示终端，具有真正的独立计算能力，其计算能力与普通计算机类似；锐起无盘XP系统服务器只需要负责boot服务和终端管理功能。各类应用系统及硬件设备均能百分之百兼容于锐起无盘XP系统。因而并不改变原有网络及应用架构，运行速度等同于原有盘计。3、锐起无盘XP系统拥有服务器同步功能。实现功效：比如全网1000台客户机，有10台锐起无盘XP系统服务器，IT管理人员仅需在一台客户机上配置好新的应用程序或文件数据，对应服务器接收了本次更新，并通过服务器同步功能，把本次更新的数据同步给其他9台服务器，全网客户机都能应用上新的程序或数据。此过程仅仅是服务器之间的数据同步，不占用网络带宽，不影响任何客户机的当前应用，可在正常工作状态中顺利进行数据同步更新。而于第三方的软件分发或补丁管理类程序，要达到数据的同步更新管理，需要占用网络大量的带宽而且耗用时间长，同时还要有用户端的开放响应。4、锐起无盘XP系统客户端内置远程桌面管理模块，可以帮助IT部门远程指导终端用户使用计算机系统，节约人力及时间，提高IT部门服务的响应速度。5、锐起无盘XP系统服务器内置系统维护模块。如果用户有相关的技术问题寻求供应商的技术支持，用户可在锐起无盘XP系统服务端发起维护请求连接，供应商或厂商的技术人员可以几分钟内开始技术服务响应。所以锐起客服响应效率非常高。6、可以配合IP存储设备，将各终端用户的数据统一置放于存储设备中，避免了数据的分散。或在锐起无盘XP系统服务器上扩大存储空间，启用锐起个性化磁盘功能，给每一用户配额磁盘空间，即可实现数据的统一集中，还可以保障用户个性化磁盘上数据的安全（其他人员不能访问该用户数据，管理员除外）。7、配合内网信息防泄密系统，可实现终端计算机设备的资产管理、外设端口权限控制，防止非法设备内接及内部计算机未经授权非法外联，并针对数据设立访问权限及加密，防止数据遭受破坏及机密数据外泄。8、对应各地分支机构网络架设相应锐起无盘服务器，结合锐起远程运维模块管理分支机构的PC及网络，不改变原有的数据安全通讯架构。 解决工作站外设的管理       避免设计部门的数据流失分为两大威胁本地移动设备盗用流失、网络流失等       锐起BSD使公司重要部门数据统一放在服务器上，集中管理；可避免设计部门重要数据遭破坏。但是如果没有很好的管理也是徒劳，例如数据被盗取、带出公司等等 。       因此采用对客户端的外部接口（如U口）进行管理可以有效的避免此类事件的发生，首先物理屏蔽接口、设置bios密码、卸载接口设备线、BSD域策略控制设置进行有效管理。此外由于企业内部业务数据的重要性，因此当我们把所有客户端的数据，从分散式的模式改为集中存放于存储服务器上。大大放便了我们对数据的集中分类、管理，如何管理对于通过u盘、移动硬盘、光盘、软盘等外部介质将数据带走可能因素。可以通过第三方管理工具对客户端进行管理，例如核盾数据卫士3.0、威盾、GFI.EndPointSecurity都可以对客户端内的所有设备进行有效的、灵活的管理。通过以上软件的cs架购，将软件的客户端安装到每个锐起BSD客户机上，软件服务端安装到一台网内的机器（服务器）上。如此及可通过对服务端的设置进行管理客户端的外部端口设备。2.3、解决工作站存储数据的集中管理设计部门数据安全不言而喻，重要数据就像是生命中的“血液”一样重要，是企业生存的基础。如果这些数据一旦遭到泄漏，将给公司的信誉和资产造成重大损失。设计部门采用锐起BSD作业后，员工电脑本地没有存储设备，所有的数据集中放在存储服务器内。存储将为每个员工划分一定空间存放自己的工作数据。锐起BSD客户端用户开机后映射一个与自己相对应的文件夹，做为自己的存储空间。如图：   并且锐起BSD服务器通过操作系统权限设置以及域控的权限设置，针对每一个员工的空间可以设置不同的的安全选项。User1可以访问user2的文件夹；User3可以读、写user4的文件夹；super user用户可以读写所有员工的文件夹。如图所示：当super user开机后，他同样映射一个与自己相对应的文件夹。打开这个文件夹他可以看到所有锐起BSD用户的存储数据。我们可以针对所有用户的文件夹设置相应的权限。当superuser用户想去访问这些文件夹的时候，文件夹的权限会去审核他是否有权限去访问此文件夹。以及对此文件夹有何种操作权限。2.4、确保服务器、存储的MTBF以及无间断服务确保服务器、存储等伺服器的正常稳定的提供服务器。最好使用双机冗余备份机制。而锐起BSD与负载均衡以及热备等无缝结合。2.5、操作系统及应用软件统一布署管理操作系统和数据都集中存储于服务器，整个网络教室的管理只需要维护一台服务器即可；整个网络中的软件的安装和升级工作，只需在一台计算机上直接操作就可实现，大大降低了总拥有成本，解决了电脑维护人员不足，机房维护量大的问题，实现系统零维护。2.6、硬件资产管理，客户端远程管理功能2.7、锐起BSD软件应用服务器Windows server 2003 /2008/ redhat enterprise linux 5.2 x86客户端Windows XP/win7/server2003 /2008/ linux 应用软件Adobe illustrator cs /Adobe flash cs3 /AE  /Auto cad 2004 /combustion /coolledit coreldraw 12 /C语言调试工具/Hero setup/JAVA /Macromedia/SQL SERVER DEVLOPER/PDF /Photoship CS /VB /Quick time /Ptremiere pro/Swift 3DVisual Badic 6.0/Maya7.0/ solidworks /dotnetfx/西门子软件等系统环境建议A、服务器及客户机配置建议服务器（1-2台）：CPU：Intel Xeon 5110，1块主板：Intel 5000V芯片组主板（建议是Intel原装主板），1块阵列卡：PCI-X- ZCR RAID卡（建议是Adaptec SCSI RAID 2020ZCR），1块内存：Kingston DDR 533 512M（2G，建议为4G），4条显卡：板载，1块硬盘：希捷SCSI 73G×6 双阵列，6块；IDE 80G，1块网卡：千兆网卡(内建Broadcom BCM5721 PCI-E网卡)，2块键鼠套装：1套机箱电源：服务器机箱450W电源，1套客户机（100台）：CPU：P4 3.0（单核） 主板：945G 内存：512M 显卡：Intel Extreme Graphics 2图形加速卡(内建) 网卡：100M 显示器：AOC 17 寸液晶 键鼠套装：光电套装，1套机箱电源：无盘专用机箱300W，1套其他：千兆交换机B、锐起无盘XP系统客户机配置分析Windows XP Professional 官方最低配置要求： CPU：Intel MMX 233MHz 内存：128MB 显卡：4MB显存以上的PCI、AGP显卡 声卡：最新的PCI声卡CD-ROM：8x以上CD-ROM 点评：从这个配置上可以看出，Windows XP对内存的要求是多么的迫切。因此，在当前内存价格较低的时候，准备更多的内存是更好运行Windows XP的明智之举。Windows XP Professional实际使用最低配置要求：CPU：Intel PIII 500MHz 内存：256MB 显卡：4MB以上的PCI或AGP显卡 声卡：最新的PCI声卡 CD-ROM：8x以上CD-ROM点评：当处理器的速度和硬盘空间达到一定量的时候，对系统本身性能的发挥已经没有多大的帮助。但运行大型的软件和游戏时，有256MB内存的配置，将非常有助于系统跑得更为欢畅。Windows XP Professional理想配置要求： CPU ：Intel P 1GHz 或者 P4 内存：256MB以上 点评：通过加强处理器的运算性能，将非常有助于系统更快的解决问题，而内存达到256MB之后，发挥操作系统本身的性能已经没有多大的问题，但是需要注意的是：如果要系统运行更多的任务和更大型的软件，那么建议512MB以上的内存。C、网络环境建议锐起无盘XP服务器到主干交换机的连接为千兆线路；桌面交换机到主干交换机为千兆线路连接。VLAN的划分管理可按照锐起无盘XP系统服务器数量来确定，一台服务器对应一个vlan的管理。因为在锐起无盘XP系统中，病毒、间谍软件、木马类别的恶意软件不能存于本地系统，所以系统病毒防御性强，无需担心病毒对无盘网络的影响；还有系统中个性化磁盘数据仅为本机用户所用（用户使用时还需要输入ID、PASSWORD），其他用户没有权限，数据非常安全。