无盘工作站解决方案.docx
《无盘工作站解决方案.docx》由会员分享,可在线阅读,更多相关《无盘工作站解决方案.docx(9页珍藏版)》请在冰豆网上搜索。
无盘工作站解决方案
无盘工作站解决方案
无盘工作站解决方案
2011年11月21日
2内网安全管理目标
在政府及军队网络中,一套安全管理系统解决方案要求达到如下的效果:
(1)终端身份认证管理
身份认证系统以用户信息、系统权限为核心,集成各业务系统的认证信息,为客户提供一个高度集成且统一的认证平台。
(2)数据集中管理
数据统一集中管理,设立数据访问权限,记录数据访问信息记录,防止数据人为破坏。
(3)集中系统和数据维护平台
提供无盘工作站的应用模式,每个终端没有硬盘,系统和涉密数据全部存储在远端服务器硬盘镜像空间中,保证终端无法感染病毒、木马,通过对镜像服务器的安全防护(防毒、防攻击和灾备)保证终端系统、应用和数据的可用性和稳定性。
(4)软件可控性好
无盘系统和保密系统结合使用,可以控制员工使用的软件,避免员工擅自安装游戏等不允许的软件。
(5)主机的资源和用户行为审计平台
对于网络内部需要管理的重要主机信息和操作行为进行实时的审计,并且根据相应的审计信息定制科学的安全策略,记录信息包括进程服务信息、网络访问、文件操作和打印操作等日志;
(6)主机外设端口管理平台
对于一切可能通过外设形成接入的行为进行控制,有效地防止了核心数据被第三方通过各种设备将机密数据盗窃,保障了核心区的数据安全;
(7)存储设备管理平台
能够提供存储设备管理手段,保证了数据的存储介质——磁盘的科学使用,可以规定每台主机上磁盘的存储方式(正常读写、只读、保密读写)及其磁盘的数据有效范围(单机有效、域有效、第三方有效),从而可以保证了重要数据在未授权的前提下,不可能被带出网络,解决了用户身份和数据身份的访问控制问题;
(8)自由选定已授权桌面系统环境运行,高可用性;
客户机启动时,屏幕显示已授权的多系统环境菜单(如本地硬盘系统、内网普通系统环境、内网OA系统环境等),终端用户可依据当时需要选择相应系统进入桌面;
客户机连接的网线掉落或中间网络设备故障,半小时内实现网络正常连接,终端用户当前的操作数据能正常留存应用,并继续下一步操作;
客户机当前连接的服务器可能故障问题,客户机桌面系统可自动甄别故障,后台自动连接至活动服务器上,有效保障终端系统应用安全,实现应用环境的高可用性;
根据以上实际情况,应百思为政府及军队网络信息系统规划、设计、实施网络信息系统的安全系统的目标是:
1)方案适合用户的实际应用和网络情况,实施部署简单快捷;
2)桌面系统安全性强,有效防止病毒、木马入侵破坏。
3)高可用性服务器集群安全管理,有效的双机热备、负载均衡、数据同步;
4)方案扩展兼容能力强,构建的系统为一个操作系统平台,支持用户的多种应用;
5)单客户上可选择多种系统环境运行要求,充足有效利用当前硬件资源;能适应有盘、无盘系统共存管理。
6)方案可实现数据集中存储,避免数据的单点风险,实现数据集中安全规范;
7)方案可有效管理移动存储设备,防止非法(未注册)的移动存储设备的接入;
8)网络内部信息与网络资源受控合法地使用;
9)方案对所需保护的主机进行详细的管理和审计,具有统一管理能力;
10)方案的选型采用一流的品牌和成熟的产品和方案,保证系统运行的稳定;
11)方案节能,耐用,环保,保护使用者的健康。
3解决方案
3.1设计原则
根据政府及军队校内网的规模和管理情况,本解决方案根据以下原则进行内网保护方案的设计。
1.平台应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;
2.平台与应用相关性应该尽可能低,支持应用系统的升级和新应用的扩展;
3.平台的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性;
4.平台应具有良好的可管理性和可维护性,有统一的管理中心;
5.平台必须具有良好的易用性和兼容性,不会改变业务系统的主要结构,也不会对业务系统的操作人员带来过多的习惯改变;
6.平台应该符合国家制定的相关安全管理规范,取得相关资质。
3.2总体方案
通过政府及军队的需求分析,本方案将从无盘系统及保密系统两个部分来构造政府及军队的安全保密体系。
无盘的基本实现原理简而言之就是,利用底层技术通过网络将服务器上的磁盘映像文件模拟成硬盘,并从其启动。
无盘的实现层面处于计算机系统的“控制器/虚拟控制器”一层。
由于处在硬盘控制器之下,与存储设备硬件的驱动程序处于同一层面,与真实硬盘的实现层面相同,因此通过网络虚拟出的硬盘与真实硬盘一般无二,可以正常分区、格式化,并且具有最佳的软件兼容性,支持任何在真实硬盘上可以安装的软件。
保密系统针对存储设备进行逻辑磁盘认证来控制存储设备的使用,只有通过认证的设备才能在安全控制域中进行使用,并根据仅在认证设置的策略和权限范围内使用该存储设备;并对所有内网接受保密管理的计算机上文件操作、邮件收发和网页访问等行为都进行完整内容记录,并保存在服务器,可以在一旦发生内网泄密事件的时候作为追查证据,也可以起到相当的威吓作用,防止少数员工故意泄密行为的发生。
根据政府及军队的需求,保密系统+无盘系统配合应用,针对政府及军队现状给出了基于终端主机安全管理的统一解决方案。
3.4方案功能特色简介
网络安全管理的核心是数据的安全,解决方案通过对内外网数据安全的关注和有效管理,建立了一个完整的内外网数据安全保护体系。
3.4.1无盘系统管理
新一代的无盘技术
无盘工作站是指工作站本地没有挂载硬盘,通过远程网络启动技术(PXE),服务器通过TCP/IP协议传输映射镜像操作系统到本地工作站运行的模
式,用户在使用无盘工作站像运行本地磁盘一样运行各类型操作系统及应用软件,来访问和共享网络资源。
对于军队网络无盘的优点在于:
客户端操作系统集中管理,应用软件统一分发,应用数据同步更新。
锐起无盘管理系统是新无盘技术中的一种方式,也是目前无盘领域中最为先进的无盘技术。
快速部署,轻松管理
无论是新装系统还是更新软件,只需在一台工作站上操作一次,弹指间,网络内所有客户机便都能投入使用。
网管再也不必一一处理每台机器,无需每天东奔西跑、手忙脚乱地克隆硬盘、安装程序、设置系统。
将网络的管理简化到基本就是对服务器的管理,使繁重的系统维护量减到最小,极大提高系统部署的效率,节省人力和成本;在服务器管理端可以清晰地看到每台客户机的运行情况,是否开机、网络使用状况、硬盘访问状况尽在掌握。
还可设置客户机以何种方式启动,是否执行自动恢复功能等。
自主更新,维护简单
可随意选择自己想要的软件,随时进行安装或更新,轻轻松松就能令办公拥有最多最新的软件;智能化的系统保护措施,客户机只要一重新启动,所有客户端安装的程序或修改的资料便可立即被删除,系统瞬间恢复到管理者预设的状态。
使得客户端任何的操作、删改都不会对系统造成破坏。
超强防护,安全无忧
客户机不装硬盘,感染病毒的概率降低为零。
即使网络中感染了病毒,也只需在服务器上杀毒,不必逐台处理客户机,更不会出现一台机器处理不好,整个网络的病毒就永远不能清除干净的麻烦;可设置多个还原点,系统无论受到多么严重的破坏,只需一次还原就能立刻解决。
多种操作系统平台切换应用
l锐起无盘管理系统是基于.Net及Linux开发平台的网络无盘系统。
对于网络操作系统用户可以根据需求自主进行选择。
l作为Intel、Microsoft和中国红旗的ISV合作伙伴,锐起研发技术提供了多种平台,多类型服务器的运行环境。
l锐起无盘管理系统可以基于多种类型的操作系统之上来运行,操作系统包括DOS、Windows2000、WindowsXP、Windows2000Server、Windows2003Server、Linux(Fodera、中科红旗)、RedHadEnterpriseLinux等。
l对于最新的64位操作系统锐起无盘管理系统提供了32/64位的支持运行模式,实现了锐起无盘管理系统与多平台,多系统的完全兼容。
l根据军队不同应用网络的需求,锐起还研发了多服务平台与多桌面系统的组合;多客户端操作系统菜单选择启动功能:
Windows服务器端,DOS/windows/Linux桌面系统、Linux服务器端,DOS/windows/Linux桌面系统;超级稳定,兼容性极佳
采用MSSCSIMiniport驱动程序模型为核心,完全仿真本地硬盘,稳定可靠、软件兼容性极佳,保证办公系统等能够长时间处于稳定的状态,各种分析应用软件均能运行无阻,确保各类计算机系统的正常运转。
节省总体投资和维护成本
在拥有了锐起无盘管理系统的同时用户的TCO总值在大幅度降低,以下是我们对TCO总值的评估:
l完全省去客户机硬盘、保护卡等硬件投资,整个网络工程可节省下的经费相当可观(前期投资可降低20%左右,后期维护成本降低80%左右);
l所有客户机共用服务器上的大容量硬盘,不会再因硬盘容量不足或硬盘损坏问题而不断追加后期投入;
l无需不断升级电脑硬件,现有设备不会在短期内淘汰,能延长硬件设备50,的适应性应用期限,硬件保值性增加;
l无需添加采购软件分发、系统更新、补丁管理、IP,MAC绑定、杀毒软件等安全管理软件,避免重复性投资。
l多种计算机系统环境架构容易,适应多种管理及用户需求;
l计算机系统维护为零维护量,使信息管理人员把主要精力放在业务系统的运营上,确保军队多类应用网络系统运行顺畅。
l随意开关计算机,致使计算机长时间非正常运行,如果是有盘计算机系统无法承受如此运行压力,不仅增加了信息管理人员的维护压力,也致使计算机设备使用寿命大大缩减,而锐起无盘管理系统方案可极大减少上述风险
快速部署,管理轻松及压力。
l无论是新装系统还是更新软件,只需在一台工作站上操作一次,弹指间,网络内所有客户机便都能投入使用。
网络管理员再也不必为处理每台机器,无需每天东奔西跑、手忙脚乱地克隆硬盘、安装程序、设置系统。
将网络的管理简化到基本就是对服务器的管理,使繁重的系统维护量减到最小,极大提高系统部署的效率,节省人力和成本。
l提供服务器多网卡、多磁盘、多配置等贴心功能,简化客户机配置过程。
l优秀的硬件兼容性,支持各种不同类型的电脑硬件设置,不必担心买不到相同的机器无法与原有机器相匹配。
并且系统能自动识别大部分的不同配置的工作站,实现即插即用。
l在服务器管理端可以清晰地看到每台客户机的运行情况,是否开机、网络使用状况、硬盘访问状况尽在掌握。
还可设置客户机以何种方式启动,是否执行自动恢复功能等等。
数据保密性强
在军队各类应用网络中,最为重要的就是数据安全。
锐起无盘管理系统在加强个人数据的安全保密性方面做到了每用户的数据资料都相对独立。
对于保密性要求较高的文档,还可避免员工通过硬盘、USB盘等媒体带出办公室,只有在权限充许的情况下才可进行上述操作。
个性化网络磁盘
l用户可以通过对服务器端的磁盘的划分、映射,提供单独的磁盘镜像区域供客户端使用。
l服务器将磁盘映射到指定的客户机上,客户端可以像使用本地磁盘一样进行磁盘读写。
l对于网络映射磁盘,客户端还可以开启网络共享功能,以提供自己所拥有的磁盘内数据给其他用户使用。
l在客户开启了共享功能后,其他用户根据所分配的用户权限来获取网络数据。
(数据共享根据客户端所使用的操作系统来定)服务器负载均衡与数据同步
l锐起无盘管理系统为加强服务器的运行效率与减轻多客户端高负载带来的数据流压力,锐起无盘管理系统提供了多服务器的集群架构。
使用群集服务器负载均衡功能来分担主服务器对客户群体提供数据服务。
l锐起无盘管理系统服务器负载功能同时还提供,主、副服务器数据
中任何一台同步功能。
在集群内的服务器及时同步所有镜像数据。
在集群环境服务器出现故障时,只需重起客户端,客户端可以自动连接到其他副服务器,并从其他服务器内得到同样的数据服务。
l锐起无盘管理系统简单的负载均衡设置,只需要对主、副服务器设
置服务器同步功能,主服务器自动的开启多服务器之间的负载均衡功能。
l锐起无盘管理系统主服务器急救机制,在主服务器出现故障的情况下,任何一台副服务器都能承接其工作,锐起无盘管理系统多服务器网络中允许72小时内无主服务器环境中客户端正常工作,如果主服务器暂时无法抢修,工作人员还可以将主服务器加密狗换插于副服务器上将副服务器身份提升成主服务器继续工作。
服务器双机热备及桌面系统零宕机
用户还可以使用第三方软、硬件,实现服务器端的双机热备功能,以确保服务器端因系统死锁、服务中止等情况下,备份服务器能接管主服务器的所有运行工作。
网络故障时,半小时内,桌面系统当前应用数据能继续留存;连通网络后,桌面系统及程序可继续调用相应数据,继续之前的操作动作;连接的服务器因故障中断时,桌面系统由后台自动甄别故障并切换至活动服务器上,无任何停顿,有效保障桌面系统的应用安全;运行流畅
充分考虑无盘网络的运行特点,采用网络无盘专利技术对网络通信结构和磁盘驱动进行了精心地优化,使服务器的负载力强劲、稳定,远程启动的
客户机运行迅速、流畅,速度可以达到甚至超过普通本地硬盘。
令整个办公应用系统的启动和运行都处于最佳状态。
应用程序个性化
l对于军队部门的特别保障用户,多应用程序需求,锐起无盘管理系统提供了个性化应用程序功能,用户可以通过申请超级用户权限来添加属于自己的个性化应用软件。
l通过个性化的应用程序添加安装,可以满足客户的特殊需求。
同时
软件可还可以以镜像方式来保存其个性化设置及其个性化的数据到网络磁盘。
控性好
可以监控客户端所使用的应用软件,避免员工擅自安装游戏或其他所不允许安装的软件,一定程度上规避可能的责任风险,降低维护管理难度。
各
类系统映像物理隔离,增强系统安全特性
3.4.2移动存储设备管理
实现了对移动存储设备的管理和认证;防止非法的移动存储设备在网络内部使用,同时保证注册的合法移动存储设备的使用。
独家支持的逻辑磁盘认证技术对接入计算机的存储介质进行认证和控制,防止信息被有意或者无意从存储设备(尤其是移动存储设备)中泄漏出去。
支持灵活的策略管理模式,使得用户能够根据需要设定移动存储设备的使用权限(比如正常读写策略、保密读写策略),即保留了移动存储设备的方便性,又堵截了移动存储设备可能带来的安全隐患。
通过对存储设备进行逻辑磁盘认证来控制存储设备的使用,只有通过认证的设备才能在安全控制域中进行使用,并根据仅在认证设置的策略和权限范围内使用该存储设备。
逻辑磁盘认证不仅提供了对移动存储设备使用的权限控制,还提供了数据安全共享交换的有效方法。
逻辑磁盘认证支持对保密读写策略设定使用范围,即主机共享和网络共享范围。
其中,主机共享是指存储在该存储设备中的数据只能在本机使用,而不能在任何别的计算机上使用;网络共享是指存储在
该存储设备中的数据可以在同一个安全域中的计算机中进行自有交换,而这些数据在安全域外的任何一台计算机上都不能读取。
特别声明:
1:
资料来源于互联网,版权归属原作者
2:
资料内容属于网络意见,与本账号立场无关
3:
如有侵权,请告知,立即删除。