新一代企业信息化基础架构

微软新一代企业信息化基础架构微软(中国)有限公司高超Jamesgao@微软新一代企业信息化基础架构统一身份管理统一用户管理统一认证统一权限统一通讯录一站式登录的基础客户端机器管理的基础网络访问控制的基础安全的信息系统架构认证基础

——活动目录Windows用户帐号信息特权配置文件策略Windows客户Mgmt配置文件网络信息策略Windows服务器Mgmt配置文件网络信息服务打印机文件共享策略活动目录为下列对象管理焦点：用户和资源安全授权策略应用程序服务器配置单一注册用于程序专用

的目录信息策略Internet防火墙服务配置安全策略虚拟专用网络策略网络设备配置服务质量策略安全策略其他目录

WhitepagesE-Commerce其他NOSUserregistrySecurityPolicy电子邮件服务器邮箱信息通讯簿你遇到过这种问题吗？SoftwareHR系统打印机共享文件夹邮件DataOA系统其它应用对于用户每增加一个新的应用，需要记忆一套新的用户名/密码负责的业务范围越大，需要记忆的内容越多每次访问应用系统，需要重复输入用户名/密码在一个系统中修改了密码，其他系统的密码不会随之更新对于管理员员工报到，需要到各系统中逐一建立帐号员工离职，需要到各系统中逐一删除帐号无法集中设置访问策略，管理访问权限为什么会有这样的问题？应用系统在不同平台上，由不同开发商开发，使用的技术不一致。每套系统都有独立的用户身份管理。如何解决？采用微软活动目录ActiveDirectory(简称AD)技术，建立统一的身份管理新的应用系统建立以活动目录为基础的应用程序身份管理接口标准旧的应用系统采用数据整合方式，进行用户数据库统一，迁移到AD中一站式登陆的基础基于目录服务的业界标准协议LDAP协议与桌面客户端软件Windows无缝集成支持业界标准的公共密钥体系(PKI)ActiveDirectory与身份验证活动目录User1User2Software身份验证HR系统打印机共享文件夹

邮件Data用户身份验证经由AD验证通过后,AD会主动提供该用户所需的工作环境与网络资源OA系统其他应用统一认证/统一授权统一通讯录组织架构灵活分组树型结构统一消息协作不仅仅是一个邮件系统与活动目录紧密集成，唯一帐号登陆协同日历服务协同消息平台ExchangeServer2007内外网互通多帐号处理PC,移动设备,Web或电话客户端上访问电子邮件，语音邮件和传真信息。WEB方式查看文档,word,excel,ppt,pdf安全，稳定的邮件系统防病毒 从系统底层开始支持防毒防垃圾邮件自我学习OutlookWebAccess访问SharePoint站点和文件共享即时消息平台LiveCommunicationServer2005统一协同工作环境会议安排个人日历团队日历日历共享联系人管理异步消息协同移动支持短消息重要通知、特殊邮件、会议提醒、应急系统智能手机领导同志的随身秘书联系录工作安排电子邮件秘书\办公室负责将最新的联系录信息和工作安排输入到领导的Outlook中,领导同志随时随地,”一键更新”!丰富的移动设备移动办公移动审批即时消息协同LCS2005基础功能基于统一活动目录帐号即时消息多人会议语音/视频交流文件共享应用程序共享扩展功能和应用程序紧密集成成为消息通知平台与短消息集成与电话系统集成在线沟通与讨论的工具使用相同的工具来进行沟通所有信息加密与企业内部通信录整合信息能被记录和存档容易使用定制联系人列表多方通信可提供语音、视频、数据传输服务与企业电话系统集成基于WindowsMobile的Office

Communicator状态和位置公司地址簿安全的即时消息集成的IP电话微软统一通信--创新的移动体验CommunicatorMobile体验与桌面客户端相同的客户体验基于移动设备优化的特性对话窗口集成公司地址簿的搜索功能支持多种访问方式浙江工商SSO业务需求用LCS客户端集成所有的业务应用系统，实现单点登陆在业务专网环境中建设“即时通”系统图形化展示组织机构以及在线状态技术需求身份认证用户以域用户身份登录Windows操作系统用户关联的Communicator自动登录“一站式”操作环境统一的用户界面中展现不同的应用系统入口无需重新输入用户名和口令即可进入不同应用系统分级、分布的部署结构（“联邦式”体系架构）省、市各自部署独立的LCSServer浙江省工商形成全省互联互通的“联邦式”LCS体系浙江工商SSO应用场景用户登陆界面业务整合界面邮件整合界面LiveMeeting

在线网络会议解决方案与同事，客户以及合作伙伴共同工作而无需位于同一地点无需离开桌面即可实现和成千上万人员的协作提高企业的劳动生产率极大降低培训所需要的差旅费用LiveMeeting2005实现在线教学资源列表显示所有的文档类型参会者列表包含上下文菜单（右击）可以管理角色录制可以很方便的快速启动或暂停录制音频控制面板包含多种工具而且可以按用户的选择任意移动、设置独立浮动或放置于主窗口中缩略图导航移动、删除或预览您的内容——就像PowerPoint启动指南常见任务的帮助统一信息门户

SharePointServer2007个人网上办公桌统一的用户展现风格统一的的用户认证和管理信息和应用的集成/管理以知识为核心的内容管理分布式的搜索协同工作个性化&定制商业智能分析工作流引擎丰富\灵活的移动支持在门户中查看各类报表多级互联门户结构地区公司中国石油中国石油EIPEIP专业公司门户规划计划部门户财务部门户人事部门户科技与信息管理部门户其它职能部门门户计划处门户财务处门户人事处门户科技与信息管理处门户其它职能部门门户采油厂门户炼油厂门户化工厂门户管道局门户地区公司门户计划处门户财务处门户人事处门户科技与信息管理处门户其它职能部门门户专业部门门户股份公司EIP专业公司门户规划计划部门户财务部门户人事部门户科技与信息管理部门户其它职能部门门户规划计划部门户财务部门户人事部门户科技与信息管理部门户其它职能部门门户计划处门户财务处门户人事处门户科技与信息管理处门户其它职能部门门户计划处门户财务处门户人事处门户科技与信息管理处门户其它职能部门门户专业公司采油厂门户炼油厂门户化工厂门户管道局门户采油厂门户炼油厂门户化工厂门户管道局门户地区公司门户计划处门户财务处门户人事处门户科技与信息管理处门户其它职能部门门户专业部门门户计划处门户财务处门户人事处门户科技与信息管理处门户其它职能部门门户专业部门门户中石油门户实例页眉宣传介绍：如职责和机构、通讯录、下属机构通讯录等业务工作：各种业务系统的挂接、工作动态。便于网上办公和部门内工作协调业务工作可由用户按职能分工来设置，其一级栏目的数目不确定信息共享：支持信息的上下流动，便于信息在门户之间的流动交流与协作：设置若干讨论区（论坛）、在线调查、协同工作常用链接新闻、消息、通知支持上下传送版权信息个人工作助理搜索菜单/导航条各部门级门户项目组门户数据整合数据中心SQL数据中心，分析，报表BizTalk数据清洗和整合BizTalk跨系统的互联，业务的互联-43-完整的数据管理平台统一管理规范接口简单查询

数据中心新一代数据中心完整的数据管理高度的商业智能强大的开发能力

IntegrationServices统一数据交换平台连接信息孤岛，整合封闭应用系统采用业界标准数据格式XML，建立一条数据总线解决多系统数据同步，提供数据实时比对传统的构架模式－点到点CRMSystemPurchasingSCMSystemOrder

EntryERP问题不断增长的复杂性难于修改难于维护FinancialSystemsMarketingEAI的构架模式－消息总线CRM

SystemPurchasingSCM

SystemOrder

EntryERP特点发送者和接收者独立较简单的集成用于一到多的消息传输基于订阅的FinancialSystemsMarketing系统业务整合平台在数据整合的基础上，提供“信息孤岛”和封闭系统间业务功能的调用整合。采用业界标准协议XMLWebService，实现异构系统的互联，兼容其他通讯协议，实现业务整合。基于事务机制，将异构系统间的业务功能，重新组合，提供新的业务采用松耦合，保护现有投资和未来的投资，满足业务需求的不断创新和改变。以XML为核心的数据整合模式数据和应用集成的过程XML消息数据库XML,

FlatFile,接收数据接收适配器接收数据处理通道数据接收1业务过程数据关系处理业务流程<tag> <tag>

<tag> <tag>XML23XML,

FlatFile,发送数据XML发送数据处理通道发送适配器数据发送41-2-3多点数据整合安全保障体系安全审计建立安全审计环境(日志整合及分析)用户层客户端PC的安全管理（补丁管理，客户端环境标准化）应用层代码运行访问控制用户访问权限控制服务接口权限控制信息权限控制数据层数据安全（数据的储存、传输、使用安全，灾备）系统层操作系统的安全强化、补丁管理、个人防火墙CA中心的建设建立防病毒体系网络层网络安全（入侵检测，防火墙，VPN接入管理）物理层机房安全，设备安全，…企业信息安全体系建设策略整体认识：企业的信息安全建设涉及企业信息化体系的各个层面，避免只关注技术层面木桶短边效应：整个体系的安全水平取决于体系中安全最弱的方面整体规划：依靠具备资质的信息安全机构提供全面的信息安全整体规划和实施方案，避免仅仅依赖安全技术产品来实现信息安全分层防御：从信息经过的各个系统层面进行防御，指导思想是：假定每一层防御都会失败技术手段：产品厂商配合信息安全整体规划，提供相关的安全产品和技术监督管理：按照国家/国际规范与标准，制定本部门的信息安全管理规范，定期检查、评估、改进信息与系统的安全状况典型的企业信息安全体系构成物理和环境安全网络安全主机与系统安全应用与数据安全门禁系统摄像监控物理安全防火墙入侵检测与安全审计VPN病毒防范漏洞扫描与加固操作系统安全数据库与业务审计身份验证授权管理网络边界防御统一体系安全监管主机安全监管数据安全防护安全规范与标准深度安全防御数据和资源应用程序防护主机防护网络防护外围防护防火墙是企业的第一道防线数据包过滤状态检查入侵检测应用层防火墙越来越重要HTTPSSL加密匿名连接容易忽视客户端主机的安全主机容易成为企业的安全隐患统一的管理平台服务器管理客户端管理

自动监测服务器运行状态自动建立预案库，解决大部分问题

自动通知管理员

系统补丁管理、补丁分发软件分发软硬件资产管理报告生成远程诊断终端标准化标准规范体系建设

标准规范体系建设系统整合标准规范安全体系规范24小时不停歇的系统管理员！MOMServer基于事件日志及性能监测指数自动监测服务器运行状态针对现象，查询预案库，对症下药自动解决大部分问题不能解决的疑难杂症，第一时间自动通知管理员问题解决后，解决办法存储进预案库，便于今后的自动维护客户机管理平台

SMSServer2003系统补丁管理、补丁分发软件分发资产管理软件资产管理硬件资产管理报告生成远程诊断BDD零接触部署应用软件分发资产管理安全的系统升级管理充分配合Windows服务支持移动应用防火墙客户端管理平台

站点服务器客户端管理平台分发点客户端管理平台客户端客户端管理平台客户端微软

下载中心客户端管理平台分发点安全扫描组件分发到客户端建立环境:下载安全更新资产和Office资产工具;运行资产工具安装程序检查客户端，检查结果合并进入资产数据管理员使用分发软件更新向导授权更新客户端软件更新安装代理执行更新定期任务:同步组件检查新的更新，检查客户端，并进行必要的更新下载更新文件包，创建/更新分发广告；复制分发包，通知传播到客户端管理平台客户端客户端管理平台客户端客户端管理平台:自动补丁管理ISAServer2004高级保护功能应用层安全保护，内建对微软应用程序的支持易于使用高效部署与管理,适用于更多的应用场景提供快速与安全的访问让用户可以访问所需的信息，同时节省IT支出“这是一个高级应用层防火墙、VPN和Web缓存解决方案，有了它，客户就可以提高网络的安全和性能，从而获得最大的IT投资回报”ApplicationLayerContent应用层内容传统防火墙对数据包的处理只检查数据包标头应用层内容以“黑箱”形式出现IP数据头TTL,

Checksum源地址、目标地址、TTL、校验和TCP数据头Checksum顺序号、源端口、目标端口、校验和根据端口号决定转发合法通信和应用层攻击都使用相同的端口Internet期望的HTTP通信不期望的HTTP通信攻击非HTTP通信企业网络ISAServer对数据包的处理数据包标头和应用内容都要检查应用层内容IP数据头Checksum源地址、目标地址、TTL、校验和TCP数据头Checksum顺序号、源端口、目标端口、校验和根据内容决定转发只处理合法的及经允许的通信Internet期望的HTTP通信不期望的HTTP通信Attacks非HTTP通信企业网络系统特点系统功能和特点

与活动目录充分整合

与传统的防火墙产品配合，以账户为中心的网络访问控制智能缓存解决方案

智能报表机制

病毒防护LiveCommunicationServerSharePointServerExchange

mailboxserverExchangeIMCserverISAServer-FirewallSMTP

ServerLiveCommunicationServer邮件即时消息及文件邮件即时消息及文件病毒蠕虫Antigen帮助拦截入站病毒及不合适内容帮助内部服务器免受病毒攻击帮助防止保密信息外发ISAServer防火墙在网络前端拦截应用层攻击用户接入的预先认证AntigenAntigenAntigenAntigenAntigenAntigenISAServer

2004ISAServer

2004微软新一代企业信息化整体框架是一个技术成熟，功能完备的整体相互依赖、相互补充，既发挥各自的独特作用又相互支撑！环节目标及任务方法整体规划确定发展方向、技术线路、建设蓝图、整体架构、投资策略、项目种类、经费预算。微软IT规划框架–

RVA顾问咨询服务系统开发系统需求调研、功能范围确定，系统架构设计，逻辑设计、物理设计、代码开发、系统测试、试运行与稳定、系统上线。微软系统架构设计规范，设计模板、最佳实践指导项目管理确定项目经理，项目组队，里程碑，进度计划，质量规范，风险管理，状态报告。微软项目管理框架-

MSF（公开课程）运行与维护确定运维质量指标(SLA)，评估运维现状，建立团队、确定管理流程，分析主要风险，提供持续的技能培训。微软系统运维框架–

MOF（公开课程）安全与管理进行安全现状评估，找到安全弱点，确定和更新整体安全策略，制定和实施安全提升计划，定期进行安全评估。微软信息安全管理框架企业信息安全管理框架微软提供的信息化建设方法论国内成功案例金融工商银行平安保险华融资产管理公司新华人寿保险公司中信集团生命人寿保险有限公司上海浦发银行信诚人寿保险中国信达资产管理公司电信/媒体北京移动中国网通中国电信南方报业中国联通阿里巴巴UT斯达康深圳华为政府中国海关江苏工商管理局农业部广州人事局航天科技总部江苏国土资源局浙江省政府能源/运输中国石油中国石化铁道部中国南方航空公司海南航空制造业东风汽车白沙集团神龙汽车萍乡钢铁目录服务国内客户中石油全国目录部署（100000用户）铁道部（97500用户）工商银行全国目录部署（50000用户）海关全国目录部署（15000用户）中国网络通信有限公司全国目录部署华融资产（2000用户）中信实业银行（3000用户）上海贝尔（3000用户）海南航空（6000用户）深圳华为（15000用户）东风汽车（9000用户）上海浦发（15