(完整版)三维设计信息化系统设计、实施建议书

PDMS及三维设计信息化系统设计、测试实施建议书PDMS及三维设计信息安全系统测试报告2014年6月第1页PDMS及三维设计信息化系统设计、测试实施建议书目录1、引言...............................................................................................................................31.1编写目的.......................................................................................................................31.2项目背景.......................................................................................................................31.3系统简介.......................................................................................................................32、概述...............................................................................................................................42.1系统概述.......................................................................................................................42.2现状分析及需求...........................................................................................................43、各种应用场景描述.......................................................................................................53.1CPE大厦内部员工应用场景............................................................................................53.1.1应用场景描述................................................................................53.1.2方案实施准备条件..........................................................................63.1.3三维设计信息化系统方案优势性......................................................83.2CPE航兴楼外协员工应用场景......................................................................................133.2.1应用场景描述..............................................................................133.2.2方案实施准备条件........................................................................143.3异地外协单位应用场景...................................................................................................143.3.1应用场景描述..............................................................................143.3.2方案实施准备条件........................................................................163.4CPE分子机构应用场景..................................................................................................163.4.1应用场景描述..............................................................................163.4.2方案实施准备条件........................................................................173.5笔记本外携应用场景.......................................................................................................173.5.1应用场景描述..............................................................................173.5.2方案实施准备条件........................................................................184、附录...........................................................................................................................184.1测试方案记录..................................................................................................................18第2页PDMS及三维设计信息化系统设计、测试实施建议书1、引言1.1编写目的本测试报告为分公司三维设计信息安全系统 项目的测试报告，目的在于总结测试阶段工作，分析系统功能是否满足用户需求。预期参考人员包括用户、测试人员、开发人员、项目管理者、其他质量管理人员和需要阅读本报告的其他人员。1.2项目背景随着计算机、通信、网络技术的发展，全球信息化的步伐越来越快，网络信息系统已经成为一个国家、一个行业、一个集团、一个企业寻求发展的基础设施。人类在感受到网络信息系统对社会文明的巨大贡献的同时， 也认识到网络信息安全问题已成为企业长远利益而亟待解决的重大关键问题。近年来通过分公司各部门的积极努力，极大地加快了信息化建设的进程，然而随着企业的应用软件增多，从而造成信息网络中支撑层压力越来越大，虽然我们已经建立起完善的硬件架构和一定的安全体系，但对管理层和应用层的安全和稳定性支持还有提高的空间，在这方面分公司三维设计领域尤为突出。分公司三维设计软件种类呈多样化发展，三维设计人员的用工方式有分公司合同化员工、人力资源派遣员工以及外单位协作员工，这对保护分公司三维设计成果提出了更高的要求1.3系统简介企业终端PC标准化管控平台的建立，必将为制造行业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。 通过先进技术建立起的终端PC标准化管控系统，配合企业的管理制度和安全控制软件，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁， 以最优秀的网络整体解决方案为基础形成一个更加完善的企业标准化业务系统和办公自动化系统。 利用高性能的终端数据安全环境，提供整体防病毒、防数据泄露、减少IT部门运维压力、提高应用环境部署时间等于一身的整理解决方案，有效地配合企业增强秘密、机密文件的安全传输，严格地制止涉密情报丢失、泄密现象发生，维护数据安全。第3页PDMS及三维设计信息化系统设计、测试实施建议书2、概述2.1系统概述本系统利用 Phantosys幻影软件平台，在不改变企业原有网络架构和终端使用习惯的基础上，打造分公司三维设计标准化管控的平台， 配合分公司管理制度和安全产品，保护三维设计过程中的元件库、 三维模型等数据的安全，防止数据不经授权就拷贝出本系统平台，并能够对终端桌面数据进行集中的管理和利用。2.2现状分析及需求根据发展规划的需要，CPE西南分公司需要将CPE大厦、航兴楼、CPE各分子机构、异地外协办公单位的三维设计由CPE西南分公司进行集中管理，需要完善现有的IT管理安全体系架构，在能满足CPE内部员工、外协人员和移动办公的安全应用流程要求的条件下，从管理中求效益，从管理中获安全。下图为CPE西南分公司网络架构调整规划：下述为用户规划技术需求：①应用环境要求：要求：同时给客户端提供两种应用环境，分别为内网（三维设计平台）、外网（处理需要互联网不事务，如：上网查阅一些资料）。②终端安全控制（硬盘，外设端口，移动介质）：要求：有效控制终端外设端口，核心数据只能在内部进行沟通交流，如需与外部联系沟通方式可控。第4页PDMS及三维设计信息化系统设计、测试实施建议书③建立一套有效应用服务器准入机制：要求：建立一套方便有效的应用服务器准入机制， 有效控制非虚拟化客户端访问应用服务器。④运维管理：标准化的工作环境（操作系统、管理策略和业务软件）可控，业务数据可控。3、各种应用场景描述CPE西南分公司目前应用场景以下几类：CPE大厦内部员工、CPE航兴楼外协人员、异地外协人员、CPE分子机构、笔记本外携等应用场景。具体应用场景描述如下：3.1CPE大厦内部员工应用场景 应用场景描述CPE大厦内部员工应用场景主要是指在CPE大厦办公内部员工进行三维设计，分别给CPE大厦内部员工客户端分配二种应用环境分别为内网应用环境、外网应用环境，采用双屏方式显示给用终端用户，其中一显示器呈现内网环境、另一显示器呈现外网环境。CPE大厦的B网划分出一个网段，内网应用环境由幻影提供，外网应用环境由在幻影平台上部署思杰桌面虚拟化提供，其中内网应用环境主要是进行三维设计应用、外网环境主要是进行处理有关互联网事务（如上网查阅一些资料），通过这种内外网环境分离的方式实现分工处理事务，到达数据和信息安全管理。其系统构架如下：备注：有关CPE大厦内部员工在内外网应用环境沟通方式第5页PDMS及三维设计信息化系统设计、测试实施建议书1、CPE内部员工在内部进行及时沟通使用 LYNC来代替QQ通讯工具。2、CPE内部员工在内部资料交接LYNC(只针对一些非正式的资料交接)、CPESW内部邮箱（只针对中间成果交接）、SharePoint（只针对正式资料交接），这些沟通方式都是可控，可进行事后审计。3、CPE内部员工与外部业主、厂商及时沟通主要是通过 LYNC沟通。4、CPE内部员工与对外部资料交接可以采用SharePoint（采取与300Y项目和澳洲项目相同方式，在SharePoint上设置对外文件“缓冲区”，进行资料传递）。 方案实施准备条件 服务器硬件准备：1、幻影服务器的配置要求：CPU：服务器CPU超线程2.14G内存：内存4G或者以上网卡：千兆网卡硬盘：500Gx2（sata）2、域控服务器配置要求可以与幻影服务器一致。备注：我们推荐一台服务器带200台左右的客户端，所以请用户根据客户端点数准备相应服务器数量，另外如果需要使用热备服务，请准备和主服务器相同数量的热备服务器。如无实体机可以用虚拟服务器代替。3、幻影服务器软件准备：操作系统：服务器操作系统Win2003或者以上，以及服务器的驱动程序安装介质4、幻影服务器规划准备：服务器IP：确定好幻影服务器、AD域控服务器的IP地址所带部门：请规划好幻影各台幻影服务器所带部门备注：请将相关信息统计到我们提供的想对应的统计表格里 存储规划：由于贵单位要求所有用户端的数据都进行集中存储、所以在实施三维设计信息化系统之前需要用户进行数据迁移。在进行数据迁移工作之前，需要对存储空间进行规划，需要了解各个部门用户个人所需要要的存放空间大小，然后再针对统计的需求来对存储进行规划，并把规划好的空间利用域分配给对应的用户，并让用户把个人数据迁移到个人存放空间内。考虑到用户存储空间问题，幻影给用户分配数据盘D盘，用于临时存放个人数据，但要求必须用户备份数据，有关PDMS数据必须存放到PDMS服务器。 客户端准备：因为客户的终端的配置可能会不统一， 所以需要在实施前统计好所有的硬件第6页PDMS及三维设计信息化系统设计、测试实施建议书信息（品牌及其详细的型号，以便在施工的时候可以把配置相近的PC做成一个环境节点，这样的好处在于客户在以后的管理中能够更方便一些，另外还包括所有用户的IP地址、MAC地址、计算机名等信息，因为这些设置在上了虚拟化之后，都是由幻影服务器来进行制定的，所以需要进行提前的统计，以上这些信息一般都会在客户的台帐里体现出来（我们有一个推荐台帐的模板，如果客户方便可以按照模板的内容来进行统计），另外在实施时需要各借一台客户端不同机型的样机，所借用的时间可能需要一个礼拜左右，（因为在搭建用户端应用环境时，需要针对不同机型进行驱动安装）这样可以节省搭建环境所需要的要时间。备注：请将相关信息统计到我们提供的想对应的统计表格里 软件准备：统计所有用户端的对操作系统、应用软件以及各类插件，并准备好相应的安装介质。部署幻影之后用户端所有的应用环境都需由幻影服务器来进行提供，因此需要在搭建用户端环境之前进行统计完成，这样提供给用户的应用环境直接就可以进行使用，从而可以减少因软件版本不对或者软件缺失影响用户端的使用。备注：请将相关信息统计到我们提供的想对应的统计表格里 网络状况调试：部署客户端所在B网划分出一个网段，分配B网思杰的外网应用环境（思杰帐号、密码等）。一般情况下B网下幻影服务器和所带客户端都不在同一个VLAN里，所以需要了解幻影服务器到客户端之间的详细网络架构，最好是能提供详细的网络拓扑图，如若方便，可以提前针对网络进行调试，以下的案例是幻影服务器和客户端之间跨VLAN的设置，可以进行参考：第7页PDMS及三维设计信息化系统设计、测试实施建议书请将客户端所接端口的Portfast端口快速转发比如设定以太网端口gigabitEthernet0/2为Portfast端口快速转发Switch(config)#interfacegigabitEthernet0/2Switch(config-if)#Spanning-treePortfastSwitch(config-if)#noshutdownSwitch(config-if)#end#进入需要设置的vlan11进行配置转发的目标 Phantosys服务器地址Switch(config)#interfacevlan11Switch(config-if)#end#保存设置Switch#copyrunstart如配置访问控制列表，另行配置。三维设计信息化系统方案优势性随着企业信息化的深入，IT基础架构中的PC桌面已经成为用户业务操作的平台，是IT运维的重要对象。在能满足不影响PC性能、不影响外设兼容、不改变现有IT架构、不改变现有管理模式的条件下，企业对PC桌面的核心目标是要“可控”。具体如下：操作系统可控：保障企业PC桌面的运行安全和可靠，企业需要对 PC桌面第8页PDMS及三维设计信息化系统设计、测试实施建议书的操作系统、应用程序进行统一安装、管理，还要防止用户自行安装、修改软件或是通过U盘、光盘等移动介质启动非本机操作系统，绕过 IT安全策略限制直接修改硬盘数据。应用软件可控：不同的岗位有不同的应用需求， 因此需要设定适合不同岗位的应用列表，应用软件可控是企业对 PC桌面管控能力加强的重要特征。操作系统和应用软件可控既能简化和稳定企业的 IT环境，又能对正版软件授权进行有效管理和灵活分配、降低软件采购成本。完成了这个部分的工作后，可实现对企业IT基础资源的基本控制。知识资产可控：对于企业而言，大多数计算机用户属于知识工作者，工作成果也多数以电子形式存在，因此企业需要对员工工作的数据加以控制，防止企业工作数据的外泄。运维成本可控：PC桌面数量多，针对不同的工作岗位和要求，需要配置不同的PC桌面，作为企业信息化建设的基石，这个基础架构耗费了 IT部门绝大多数的精力，同时大幅增加了 IT管理、运行、维护的费用。灾备高效可控：PC桌面是每个人的工作平台，其数量远超服务器，人员复杂、用户计算机水平参差不齐，且分布的物理位置范围广，管理难度高，这就要求PC以及其上的信息化应用要易部署和易维护，发生故障可以迅速高效的实现恢复。三维设计信息化系统平台帮助企业的 IT团队应对IT基础架构困境带来的挑战，帮助企业不断加强自己的竞争地位。1、内网应用环境主要是进行三维设计应用、外网环境主要是进行处理有关互联网事务（如上网查阅一些资料），通过这种内外网环境分离的方式实现分工处理事务，到达数据和信息安全管理。2、三维设计信息化平台根据管理需要灵活的从全局控制 PC各种外设的使用权限；端口控制开启后，PC使用时外设进入屏蔽开启状态（以USB接口为例，USB接口的键盘，鼠标可正常使用，其它USB设备均被屏蔽无法正常使用），目前可以控制的外设如下图所示：3、三维设计信息化平台架构中，PC关机离线后硬盘不再具有任何可以被直接使用的文件，内网应用环境每次开机都必须由服务器通过网络传送扇区分配表第9页PDMS及三维设计信息化系统设计、测试实施建议书到PC的内存中，才能将硬盘上的扇区标识组合还原为可被PC使用的文件数据；本地硬盘扇区缓存（localcache）技术可以让客户端的硬盘不再安装任何分区格式和文件系统，本地硬盘在系统架构里成为一个缓存设备、并且这种缓存机制是位于BIOS之上、操作系统之下的，通过三维设计信息化平台独特的本地硬盘扇区缓存（LocalCache）技术客户端本地硬盘的数据存取都需借助三维设计信息化平台服务器的指针，数据硬盘一旦离开了网络、缺少指针，即变成空白，无法读取数据，符合保密要求。4、PC的数据端口采用底层控制技术，一旦非法用户试图尝试破解或绕开限制，三维设计信息化平台即会停止PC的操作系统运行，彻底切断用户的非法行为；PC硬盘中的扇区分配表由三维设计信息化平台服务器提供和控管，即使PC硬盘因为报废、故障损坏、遗失等原因流落出去，脱离了中心的管理，谁都没有办法把这些硬盘上的扇区重新组合还原回有价值的数据；5、三维设计信息化平台可以与内部已经部署的域控服务器结合，所有用户登陆计算机必须经由域控进行账户身份认证，并经由域控对每个用户账户进行数据存储路径的配置（可将存储路径映射成一个或多个盘符到每个用户的桌面），由域控对用户进行存储权限、数据访问权限的统一管理，每个用户在自己的专有数据存储路径中进行权限范围内的数据交互；用户工作数据集中存放NAS存储服务器中，由域控服务器进行统一的权限和文件管理。PC本地硬盘全部进行LOCALCACHE安全管理控制，服务器提供PC使用的系统分区，数据分区可强制映射到集中存储，个人数据以LOCALCACHE加密形式存储于本地硬盘中，重要数据配合管理制度即时强制备份至集中存储。第10页PDMS及三维设计信息化系统设计、测试实施建议书6、在完全发挥PC本地运算性能、完美支持外设扩展兼容、对带宽和服务器压力较小的前提下实现集中化管理；三维设计信息化平台架构下管理的 PC运算时完全利用本地硬件资源，服务器的硬件资源不参与 PC的任何运算，机器运行性能只与 PC自身硬件有关；PC使用时仅在增量更新时需要通过网络与服务器进行少量数据传输， 平常只调用本地硬盘缓存，不会因产生持续流量的数据传输造成对网络的压力和影响。 银行业务现有和以后需要增加的各类票据打印机，各类 USB证书只要在PC上可正常安装使用，三维设计信息化平台下管理的 PC就可100%兼容使用，安装和操作与使用PC一样。7、以最佳的性能、最灵活的方式、最高的安全性和最低的成本随需交付桌面应用，简化IT成本；三维设计信息化平台将桌面环境（操作系统和应用软件）采用流技术方式交付到PC硬盘中，而非安装到PC上，交付桌面应用时无需担心应用和系统兼容性问题；PC使用时运算、I/O读写本地化，无需担心集中化架构下桌面性能的降低，提高了PC随需调用操作系统（Windows&linux）和应用软件的灵活性；通过三维设计信息化平台提供的PIM群集文件系统、树状节点架构，IT部门可以做到再大规模的PC部署“同一种应用，只一次安装”；利用三维设计信息化平台可以使 IT部门能够在不影响桌面用户工作的前提第11页PDMS及三维设计信息化系统设计、测试实施建议书下，在任意一个位置上在线交付、更新业务应用，而无需亲自操作所有桌面，能够在不修改任何应用代码的情况下通过局域网交付各种传统软件应用，达到了“简化IT”的目标；8、确保不会因为PC的软件更新、故障导致工作效率下降，保证所有应用的连续性、可用性以及业务的灵活性；三维设计信息化平台可以在发现PC工作不正常或感染了病毒木马间谍软件时只需要简单的鼠标单击就可以恢复正常工作，从而杜绝了病毒产生的来源，消除对桌面运行安全的担心，大大提高了系统和网络的可靠性、稳定性，实现一个可以24*7连续工作的可靠的业务运行环境；三维设计信息化平台能够确保用户不可随意安装未经授权和同意的软件，工作环境保持一致性标准化，避免了用户直接对操作系统、网络设置的更改造成的影响和危害，所有桌面用户都能使用稳定高效、始终如一的系统和软件，不会因为PC繁杂的更新、修复、部署对企业的业务造成影响，有效提高工作效率和管理价值三维设计信息化平台能够动态交付桌面，通过桌面虚拟化，PC用户能够根据工作需要即时调用启动全新的桌面环境，业务工作的开展变得十分灵活IT部门还可以利用三维设计信息化平台桌面虚拟化技术建立一种按需服务的应用交付模式，IT部门根据桌面端用户的实际需要向他们派送不同版本的操作系统或进行个性化定制的应用服务，这是IT部门向业务服务角色转换的有益尝试9、集中存储Windows应用和员工文件夹中的数据，简化Windows应用备份，严密保护知识产权；传统PC管理模式下，IT人员不仅要应对数据的存放、打印和操控环境，还要考虑分散在企业各处的PC中的数据如何迁移、备份，更要防止数据不会因为管理手段的漏洞导致丢失泄露。通过三维设计信息化平台提供的集中式管理架构，系统和数据将分为两个大的模块整合到一起，从技术层面保证员工配合企业的数据存取制度，从而消除了在分散设备层面上数据被盗或数据丢失的风险，提高了PC的安全标准；三维设计信息化平台还能满足银行的高安全需求，可以从PC系统底层对所有外设端口进行屏蔽，存取在硬盘上的所有数据均为加密控制的磁盘扇区格式、离开了三维设计信息化平台的控制架构，PC硬盘无法直接读取数据，大幅提高了金融数据的安全性；三维设计信息化平台可帮助 IT部门利用现有基础架构和资产完成业务的现代化建设，而非简单地维护多数企业在发展过程中构建的各种复杂信息系统。 通过三维设计信息化平台解决方案， IT部门能够简化运营、降低成本，即便是最复杂的环境也能轻松应对。规模越大、环境越复杂，越能体现三维设计信息化平台解决方案带来的价值。事实上，在基于 PC架构上的桌面虚拟交付，三维设计信息化平台是全世界领先的解决方案。第12页PDMS及三维设计信息化系统设计、测试实施建议书3.2CPE航兴楼外协员工应用场景 应用场景描述CPE航兴楼外协员工应用场景主要是针对一些 CPE上下游配套厂商外协员工在CPE航兴楼进行办公，其部署方案基本与CPE大厦CPE内部员工部署方式基本一致。只是由于受到B网账户的限制无法提供B网思杰虚拟桌面，所以只能通过思杰应用商店发布一些可控应用（如：CPE航兴楼外协员工需要上网查阅一些资料，则通过应用商店发布可控IE浏览器）。由于CPE航兴楼是通过光纤接入CPE大厦，目前CPE航兴楼只与CPE大厦18楼相通，所有幻影服务器部署有两种方式（一种幻影服务器部署在CPE大厦、另一方案幻影服务器部署在航兴楼），CPE航兴楼PDMS服务器是独立服务器并不与CPE大厦的PDMS服务器互通，但根据起初设计方案需要对三维设计PDMS进入统一管理，所以需要开通CPE航兴楼与CPE大厦PDMS服务器相通。其系统架构如下：方案一、幻影服务器、PDMS服务器都统一部署在CPE大厦方案二、幻服务器部署在 CPE航兴楼、PDMS服务器部署在CPE大厦第13页PDMS及三维设计信息化系统设计、测试实施建议书备注：有关CPE大厦内部员工在内外网应用环境沟通方式，其沟通方式与CPE大厦内部员工基本一致，与之区别是提供沟通方式(LYNC、CPESW内部邮箱、SharePoint)都是临时授权、可控可进行事后审查方式。 方案实施准备条件方案一、方案二的实施准备条件与CPE大厦CPE内部部署准备条件基本一致。不同之处在于是需要开通CPE航兴楼与CPE大厦网络，使用CPE航兴楼能访问CEP大厦PDMS服务器，如果采用方案一还需要开通CPE航兴楼能访问与CPE大厦幻影服务器、AD域控服务器。3.3异地外协单位应用场景 应用场景描述异地外协单位应用场景主要是针对一些外协人员在异地进行协同进行三维设计工作。其部署方式与CPE大厦内部员工应用场景的方式基本一致，不同之处在于需在和异地外协单位搭建幻影服务器，其次异地外协单位由于受到B网的资源的限制，无法给异地外协提供B网思杰虚拟化，所以只能使用VMware虚拟机方式代替B网思杰虚拟化。目前异地办公地点客户端访问CPE西南分公司PDMS服务器方式经过