學(xué)校機(jī)房建設(shè)解決方案分析與設(shè)計

1、解決方案分析與設(shè)計方案適用范圍學(xué)校多媒體電教室、圖書館電子閱覽室、政府機(jī)關(guān)培訓(xùn)教室。1. 需求分析由于病毒、硬盤損耗等原因，導(dǎo)致軍事學(xué)院IT系統(tǒng)的保障和維護(hù)面臨主要風(fēng)險如下：IT系統(tǒng)應(yīng)用需求u 終端用戶操作系統(tǒng)和應(yīng)用系統(tǒng)不能正常使用；u 涉密數(shù)據(jù)的損壞、丟失和泄密；u 信息化投入及維護(hù)成本劇增；造成這些問題的原因大致為四類：² 硬盤故障：系統(tǒng)的硬盤或其他部件損壞；² 惡意行為：病毒，惡意軟件和木馬的破壞及泄密；² 用戶的誤操作及無意泄密；² 電腦或硬盤的丟失；² 硬件產(chǎn)品生命周期大大縮短及維護(hù)成本大幅增加。內(nèi)網(wǎng)安全需求u 移動存儲設(shè)備濫用的需求

2、。對接入的移動存儲設(shè)備既要做到認(rèn)證使用，又要做到移動存儲設(shè)備合法使用的細(xì)粒度控制。u 終端計算機(jī)端口缺乏統(tǒng)一的控制。u 對于網(wǎng)絡(luò)內(nèi)部需要管理的重要主機(jī)信息和操作行為進(jìn)行實時的審計，并且根據(jù)相應(yīng)的審計信息定制科學(xué)的安全策略。² 服務(wù)器端擁有負(fù)載均衡功能；² 服務(wù)器端能夠?qū)崿F(xiàn)數(shù)據(jù)時時備份和HA高冗余功能；² 客戶機(jī)操作系統(tǒng)可以集中管理和維護(hù)；² 客戶機(jī)操作系統(tǒng)重啟后可以自動還原；² 軟件和更新包的安裝和部署更加簡捷；內(nèi)網(wǎng)安全管理目標(biāo)在軍隊院校的網(wǎng)絡(luò)中，一套安全管理系統(tǒng)解決方案要求達(dá)到如下的效果：（1） 終端身份認(rèn)證管理身份認(rèn)證系統(tǒng)以用戶信息、系統(tǒng)權(quán)

3、限為核心，集成各業(yè)務(wù)系統(tǒng)的認(rèn)證信息，或者Windows自身域控的管理方式, 為客戶提供一個高度集成且統(tǒng)一的認(rèn)證平臺。（2） 數(shù)據(jù)集中管理數(shù)據(jù)統(tǒng)一集中管理，設(shè)立數(shù)據(jù)訪問權(quán)限，記錄數(shù)據(jù)訪問信息記錄，防止數(shù)據(jù)人為破壞。（3） 集中系統(tǒng)和數(shù)據(jù)維護(hù)平臺提供無盤工作站的應(yīng)用模式，每個終端沒有硬盤，系統(tǒng)和涉密數(shù)據(jù)全部存儲在遠(yuǎn)端服務(wù)器硬盤鏡像空間中，保證終端無法感染病毒、木馬，通過對鏡像服務(wù)器的安全防護(hù)（防毒、防攻擊和負(fù)載均衡,HA等災(zāi)備系統(tǒng)）保證終端系統(tǒng)、應(yīng)用和數(shù)據(jù)的可用性和穩(wěn)定性。（4） 軟件可控性好網(wǎng)眾無盤系統(tǒng)的部分管理和監(jiān)控功能結(jié)合使用，可以控制學(xué)院使用的軟件，避免學(xué)員擅自安裝游戲以及不允許的軟件。更

4、新維護(hù)也十分方便（5） 主機(jī)外設(shè)端口管理平臺對于一切可能通過外設(shè)形成接入的行為進(jìn)行控制，有效地防止了核心數(shù)據(jù)被第三方通過各種設(shè)備將機(jī)密數(shù)據(jù)盜竊，保障了核心區(qū)的數(shù)據(jù)安全；（6） 存儲設(shè)備管理平臺能夠提供存儲設(shè)備管理手段，保證了數(shù)據(jù)的存儲介質(zhì)磁盤的科學(xué)使用，可以規(guī)定每臺主機(jī)上磁盤的存儲方式（正常讀寫、只讀、保密讀寫）及其磁盤的數(shù)據(jù)有效范圍（單機(jī)有效、域有效、第三方有效），從而可以保證了重要數(shù)據(jù)在未授權(quán)的前提下，不可能被帶出網(wǎng)絡(luò)，解決了用戶身份和數(shù)據(jù)身份的訪問控制問題；根據(jù)以上實際情況，為了達(dá)到貴院網(wǎng)絡(luò)信息系統(tǒng)安全管理規(guī)劃的安全目標(biāo)，我們認(rèn)為規(guī)劃、設(shè)計、實施網(wǎng)絡(luò)信息系統(tǒng)的安全系統(tǒng)的目標(biāo)是：通過安全系

5、統(tǒng)工程的實施，建立完整的網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)體系，在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過制定個性化的安全策略，采用合適的安全技術(shù)和制度化的安全管理，從安全策略、安全域、安全系統(tǒng)、安全管理多個層次，多個角度，構(gòu)建網(wǎng)絡(luò)內(nèi)部信息安全保障技術(shù)框架，實現(xiàn)：u 系統(tǒng)部署維護(hù)方便，管理輕松u 有效管理移動存儲設(shè)備，防止非法（未注冊）的移動存儲設(shè)備的接入。u 網(wǎng)絡(luò)內(nèi)部信息與網(wǎng)絡(luò)資源受控合法地使用。u 對所需保護(hù)的主機(jī)進(jìn)行詳細(xì)的管理和監(jiān)控。2. 應(yīng)用環(huán)境現(xiàn)實狀況多媒體培訓(xùn)中心環(huán)境中，PC機(jī)應(yīng)用難以管理和約束，學(xué)生無法受到有效監(jiān)控，將嚴(yán)重影響正常的培訓(xùn)教學(xué)。老師做為整個網(wǎng)絡(luò)的管理者，在保障系統(tǒng)正常安全的同時

6、，更重要的是如何有效監(jiān)控管理學(xué)生的操作行為，保障正常教學(xué)培訓(xùn)的進(jìn)行。（1）老師對PC系統(tǒng)恢復(fù)工作量繁重PC機(jī)操作系統(tǒng)經(jīng)常被學(xué)生有意或者無意刪除、破壞，導(dǎo)致電教室老師對PC系統(tǒng)恢復(fù)工作量繁重。（2）使用硬盤保護(hù)卡操作繁瑣效率不高硬盤保護(hù)卡的大數(shù)據(jù)量讀寫操作容易導(dǎo)致物理硬盤的損壞，且保護(hù)卡關(guān)閉時任何軟件或配置更新所導(dǎo)致的系統(tǒng)損壞，將不能恢復(fù)。（3）軟件安裝和系統(tǒng)更新重復(fù)耗時經(jīng)常老師需要逐臺PC進(jìn)行軟件安裝和系統(tǒng)設(shè)置更改，消耗大量時間又影響正常教學(xué)進(jìn)度。（4）學(xué)生可以離線操作PC，老師難以監(jiān)控教學(xué)學(xué)生可以通過拔除網(wǎng)線來躲避老師監(jiān)控，上課時間自娛自樂。（5）外設(shè)端口難以限制，學(xué)堂變成游戲廳光驅(qū)、USB

7、端口不能限制使用，學(xué)生經(jīng)?？截愑螒虺绦虻綄W(xué)生機(jī)上，將課堂變成游戲機(jī)房。（6）學(xué)生的個人數(shù)據(jù)拷貝麻煩學(xué)生經(jīng)常需要定點(diǎn)、定機(jī)去拷貝自己的數(shù)據(jù)，這樣也導(dǎo)致學(xué)生上課座位安排和選擇不靈活。3. 方案選擇在多媒體培訓(xùn)中心項目中，針對不同數(shù)量的教室和學(xué)生機(jī)，我們分別推薦：單教室單服務(wù)器NXD解決方案、多教室多服務(wù)器NXD+E-Class解決方案。4. 單教室單服務(wù)器NXD解決方案（學(xué)生機(jī)60臺以下）在中小學(xué)、銀行機(jī)構(gòu)、政府機(jī)關(guān)的多媒體培訓(xùn)教學(xué)中，一般只有一個多媒體電教室，學(xué)生機(jī)數(shù)量也比較少（60臺以下），我們推薦使用單教室單服務(wù)器NXD解決方案。.1方案應(yīng)用優(yōu)勢（1）提供對NXD工作站系統(tǒng)鏡像的只讀保護(hù)防止

8、病毒、黑客攻擊、學(xué)生誤操作對于操作系統(tǒng)的影響，任何在NXD工作站上的更改，重啟后自動恢復(fù)到管理員初始系統(tǒng)配置狀態(tài)。（2）支持NXD工作站應(yīng)用系統(tǒng)環(huán)境批量更新使用一臺特殊權(quán)限的NXD工作站（NXD超級工作站）對NXD操作系統(tǒng)鏡像進(jìn)行更新，就實現(xiàn)對網(wǎng)絡(luò)教室中所有NXD工作站使用環(huán)境的更新。（3）給NXD工作站提供獨(dú)立數(shù)據(jù)存儲空間附加網(wǎng)絡(luò)硬盤老師可以給不同的學(xué)生機(jī)分配一個NXD工作站附加網(wǎng)絡(luò)硬盤（16MB5GB），其形態(tài)是在每個NXD工作站上出現(xiàn)一個獨(dú)立分區(qū)的硬盤，如同本地物理硬盤一般使用。（4）禁止學(xué)生機(jī)離線工作學(xué)生機(jī)拔除網(wǎng)線后NXD工作站就無法使用（因為每個NXD工作站需要實時跟服務(wù)器聯(lián)系獲得所

9、需資源，沒有網(wǎng)絡(luò)就無法繼續(xù)工作-詳細(xì)介紹參見RamDisk技術(shù)），保證老師可以使用網(wǎng)絡(luò)監(jiān)控軟件對學(xué)生機(jī)進(jìn)行監(jiān)管控制。.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)單教室網(wǎng)絡(luò)結(jié)構(gòu).3 系統(tǒng)功能根據(jù)具體學(xué)生機(jī)的數(shù)量，此方案我們推薦兩款服務(wù)器作為NXD服務(wù)器：簡單的服務(wù)器配置支持30臺左右的學(xué)生機(jī)訪問負(fù)荷。中端的服務(wù)器配置既可支持60臺左右的學(xué)生機(jī)訪問負(fù)荷。（1）服務(wù)器：安裝NXD管理服務(wù)軟件和NXD-I/O服務(wù)軟件為NXD工作站提供網(wǎng)絡(luò)服務(wù)自動給每臺NXD工作站分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)地址，也支持手動添加NXD工作站的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS地址等網(wǎng)絡(luò)地址。為NXD工作站提供操作系統(tǒng)鏡像I/O服務(wù)為N

10、XD工作站提供附加網(wǎng)絡(luò)硬盤服務(wù)老師可以為每臺NXD工作站劃分一塊D盤來存儲每臺學(xué)生機(jī)上的個人數(shù)據(jù)。5. 多教室多服務(wù)器NXD+E-Class解決方案（學(xué)生機(jī)60臺以上）在學(xué)校多媒體電教室、圖書館電子閱覽室、移動電信培訓(xùn)中心的多媒體培訓(xùn)教學(xué)中，一般都有多個多媒體電教室，學(xué)生機(jī)的總量也比較多或者單個教室中學(xué)生機(jī)的數(shù)量超過60臺，都需要配置兩臺以上的服務(wù)器，我們推薦使用多教室多服務(wù)器NXD+E-Class解決方案。.1方案應(yīng)用優(yōu)勢繼承單教室單服務(wù)器NXD解決方案（60名學(xué)生以內(nèi)）優(yōu)勢的同時，多教室多服務(wù)器NXD+E-Class解決方案（60名學(xué)生以上）在管理應(yīng)用上提供更多的優(yōu)勢。（1）支持NXD管理

11、服務(wù)和I/O服務(wù)的分離在NXD系統(tǒng)集成中可以部署由單個NXD管理服務(wù)器和多個NXD-I/O服務(wù)器組成的應(yīng)用結(jié)構(gòu)，便于統(tǒng)一協(xié)調(diào)NXD-I/O服務(wù)器負(fù)載，并可以集中管理所有NXD工作站的IP地址，個性化策略，數(shù)據(jù)存儲配置。（2）支持NXD多I/O負(fù)載均衡可以使用多臺服務(wù)器來均衡分擔(dān)NXD鏡像的I/O服務(wù)壓力，同時又提供冗余機(jī)制，當(dāng)多臺I/O服務(wù)器中某臺出現(xiàn)故障時，并不會影響到整體的I/O服務(wù)。（3）支持NXD個人網(wǎng)絡(luò)硬盤學(xué)生通過帳號和密碼可以從網(wǎng)絡(luò)中的任意一臺學(xué)生機(jī)上登陸到自己的個人數(shù)據(jù)盤。既保證個人數(shù)據(jù)的安全可靠，又解決在多臺學(xué)生機(jī)之間拷貝個人數(shù)據(jù)的麻煩。（4）支持NXD工作站應(yīng)用網(wǎng)絡(luò)硬盤老師可

12、以將工具軟件、學(xué)習(xí)資料、教學(xué)課件等存放在NXD超級工作站的應(yīng)用網(wǎng)絡(luò)硬盤中，自動更新到所有學(xué)生機(jī)的NXD工作站應(yīng)用網(wǎng)絡(luò)硬盤中，學(xué)生只能讀取并不能修改或刪除應(yīng)用網(wǎng)絡(luò)硬盤的數(shù)據(jù)。（5）支持控制和限制PC機(jī)的個人操作行為老師可以對學(xué)生機(jī)進(jìn)行屏幕監(jiān)控、應(yīng)用程序使用控制、外設(shè)控制、網(wǎng)站訪問控制、組策略管理、網(wǎng)絡(luò)端口控制等.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)多個多媒體教室網(wǎng)絡(luò)結(jié)構(gòu).3系統(tǒng)功能針對服務(wù)器在NXD系統(tǒng)應(yīng)用中所扮演的不同角色，我們推薦下述服務(wù)器分配方案：服務(wù)器1、服務(wù)器2、服務(wù)器3。（1）服務(wù)器1（中心機(jī)房） 安裝NXD管理服務(wù)軟件、NXD-I/O服務(wù)軟件和E-Class電子教室管理軟件。為NXD工作站提供網(wǎng)絡(luò)地址服

13、務(wù)自動給每臺NXD工作站分配IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)地址，也支持手動添加NXD工作站的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS地址等網(wǎng)絡(luò)地址。為NXD工作站提供操作系統(tǒng)鏡像I/O管理和服務(wù)負(fù)責(zé)監(jiān)控和均衡NXD-I/O服務(wù) 監(jiān)控整個網(wǎng)絡(luò)中的NXD-I/O服務(wù)的負(fù)載情況，調(diào)度NXD工作站連接到負(fù)載較輕的NXD-I/O服務(wù)器。提供NXD工作站附加網(wǎng)絡(luò)硬盤管理和服務(wù) 老師可以為每臺NXD工作站劃分一塊D盤來存儲每臺學(xué)生機(jī)上的個人數(shù)據(jù)。提供NXD工作站應(yīng)用網(wǎng)絡(luò)硬盤管理和服務(wù) 老師可以將工具軟件、學(xué)習(xí)資料、教學(xué)課件等存放在NXD超級工作站的應(yīng)用網(wǎng)絡(luò)硬盤中，自動更新到所有學(xué)生機(jī)的NXD工作站應(yīng)用網(wǎng)絡(luò)硬

14、盤中，學(xué)生只能讀取并不能修改或刪除應(yīng)用網(wǎng)絡(luò)硬盤的數(shù)據(jù)。提供NXD個人網(wǎng)絡(luò)硬盤管理和服務(wù)統(tǒng)一管理每個學(xué)生的NXD個人網(wǎng)絡(luò)硬盤的帳號信息，調(diào)配每個學(xué)生的NXD個人網(wǎng)絡(luò)硬盤的容量，并存儲每個學(xué)生的NXD個人網(wǎng)絡(luò)硬盤數(shù)據(jù)信息。提供E-Class軟件運(yùn)行平臺，統(tǒng)一管理網(wǎng)絡(luò)設(shè)備統(tǒng)一管理網(wǎng)絡(luò)中所有服務(wù)器、NXD工作站的端口使用策略、網(wǎng)絡(luò)訪問策略、遠(yuǎn)程控制和維護(hù)管理實施等，管理功能強(qiáng)大，操作界面掌握容易。（2）服務(wù)器2（中心機(jī)房） 安裝NXD-I/O服務(wù)軟件。為NXD工作站提供操作系統(tǒng)鏡像I/O服務(wù)通過多臺服務(wù)器2的組合，負(fù)載NXD鏡像I/O服務(wù)，可以支持更多的NXD工作站使用。（3）服務(wù)器3（多媒體教室4）

15、 安裝NXD-I/O服務(wù)軟件。為NXD工作站提供操作系統(tǒng)鏡像I/O服務(wù)前置NXD-I/O服務(wù)器，降低學(xué)校主干網(wǎng)數(shù)據(jù)傳輸壓力直接在多媒體教室中安放服務(wù)器3來提供NXD鏡像I/O服務(wù)，NXD的網(wǎng)絡(luò)傳輸壓力直接由教室網(wǎng)絡(luò)負(fù)擔(dān)，大大降低學(xué)校主干網(wǎng)絡(luò)數(shù)據(jù)傳輸壓力。附錄一：服務(wù)器推薦配置：服務(wù)器主要用于虛擬鏡象管理系統(tǒng)工作站管理,并且服務(wù)器網(wǎng)卡和硬盤速度還會影響到整個網(wǎng)絡(luò)的速度，為了保證系統(tǒng)的穩(wěn)定性和速度，選擇高性能服務(wù)器。品牌推薦DELL,HP.推薦配置如下：CPUINTEL XEON 四核處理器主板INTEL 5500p或以上芯片組內(nèi)存32G以上硬盤1*500G SATA盤 此為服務(wù)端Linux操作系統(tǒng)盤1*240G SSD盤 此為客戶機(jī)所使用的鏡像磁盤2