金融行业云计算解决方案 银行业云计算解决方案.docx
《金融行业云计算解决方案 银行业云计算解决方案.docx》由会员分享,可在线阅读,更多相关《金融行业云计算解决方案 银行业云计算解决方案.docx(22页珍藏版)》请在冰豆网上搜索。
金融行业云计算解决方案银行业云计算解决方案
银行云计算解决方案
1.项目背景介绍
1.1.XX银行项目背景
银行简介。
。
。
。
。
。
。
。
。
随着业务系统的快速扩展,对IT系统也提出了越来越多的要求。
日常的工作和项目建设中,会产生大量的数据。
对这些数据的大量维护访问控制和监管的要求,随着网络系统和业务系统的长期建设,涉及到开发、维护工作量越来越大,传统分散模式下存在大量的安全隐患和管理漏洞,而随着组织体系处于不断变化以及想着合作伙伴合作联盟、业务外包以及全球化方向发展,人员工作环境更加具有移动性,所有这一切对IT监管提出挑战。
对于这些数据的管理,以及安全访问的控制的要求十分的迫切,急需建立一个统一的管理平台对这些数据进行统一的存放和管理。
对于数据的访问能够进行统一的控制和授权,同时能有效的限制敏感信息在公司内部的流转范围,保证信息安全。
1.2.项目目的
介于上述背景,XX银行希望能够建立一个统一的集中管理中心,集中存放和管理各种数据,并能够通过此平台,保证有效的控制各种文档及敏感信息在公司内部的流转范围和访问审计,满足信息的安全要求,
除了数据管理平台,XX银行希望将整个开发中心的开发平台也进行集中地部署和管理。
加强管理,防止和开发有关的数据和代码的统一存储管理,防止泄密安全隐患。
同时,通过新的系统,XX银行也希望能够实现运维不受地域限制,随地办公,不受座位的限制,没有经过授权不可以带走内部资料,数据集中存储,个人机器上不保存任何资料。
2.项目需求
2.1.功能需求
Ø集中管理:
可将开发环境中的应用软件进行集中管理,可以根据需要随时调整开发环境的应用部署,简化开发人员客户端的开发环境配置及部署要求。
Ø应用发布:
具有包括各类开发工具在内的应用软件发布功能和Web网页发布功能,要求支持发布的应用软件列表参见附录。
Ø存储隔离:
每个用户能建立各自的文件系统或存储空间,相互之间不能访问。
但授权用户可以访问特定用户组的存储空间,可以通过FTP或者其它方式获取用户存储空间的数据。
Ø数据保护:
所有的代码及业务数据只在服务器端传递,提高系统数据访问的安全性。
Ø远程接入:
支持外部合作公司远程接入的项目开发模式,能有效控制用户的剪贴板、本地硬盘、打印机、端口等操作,做到合作公司人员XX无法从任何渠道获取项目的代码、文档和业务数据。
Ø访问控制:
对于合作公司的远程访问要求能有效控制,包括登录时间段、登录用户的监控。
要求能穿越防火墙(能够NET转换)访问到服务器。
Ø访问日志:
用户登录及对开发工具和应用软件的访问,应该有日志记录。
Ø提高软件、硬件使用效率
Ø保证关键数据安全
Ø提高协同工作、移动办公能力
Ø减少IT管理员的日常维护工作
Ø降低软件、硬件采购成本
Ø节能、绿色、环保
2.2.技术需求
Ø水平扩展:
服务器端支持水平扩展,能通过水平增加服务器来适应业务需求的扩大。
Ø负载均衡:
可根据用户访问量和资源使用情况,动态分配到到负载量最低的服务器上。
可支持手动负载均衡操作。
Ø本地输入法:
用户接入要求支持中文界面,可以使用本地输入法。
Ø资源监控:
能监控系统应用、访问用户和对应资源的占用情况,并形成报表。
3.易讯通解决方案及对应项目需求的实现
3.1.总体方案架构
整个解决方案平台可以分为四大环节:
Ø服务器采用易讯通的高密度云服务器,配合EASTEDVSERVER实现底层服务器虚拟化,为整个云计算平台架构提供基础。
Ø通过集中部署应用虚拟化,实现安全、集中的应用和文档访问
Ø集中部署虚拟桌面构架,以支持开发平台的各种开发工具的集中部署和运行
Ø终端访问采用易讯通的集中统一管理的云终端设备,
Ø底层的硬件平台采用易讯通的高密度云服务器和云存储,方案基于EASTEDVIEW方案构建,EASTEDVIEW桌面虚拟化方案构建在EASTEDvServer之上,EASTEDvServer允许多个用户桌面以虚拟机的形式独立运行,同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。
这种架构将用户彼此隔离开来,使每位用户都拥有自己的操作系统,同时可以实现精确的资源分配。
Ø方案中,虚拟桌面环境由虚拟化基础平台、企业存储、网络、桌面交付控制、用户桌面设备、数据库及AD/DNS服务器等组成。
Ø在终端桌面同类型较多,其所需的应用相近,因此可以利用这一特点为相同类型的用户创建标准的虚拟桌面模板,并利用桌面级联技术为相同类型的用户置备虚拟桌面。
Ø桌面级联使用链接克隆技术,允许从父虚拟机镜像快速创建桌面映像,批量快速部署虚拟机,无论何时在父虚拟机镜像上实施更新,都可以在数分钟内推送到任意数量的虚拟桌面,极大地简化了部署和修补工作。
此过程不会影响用户设置、数据或应用程序,因此用户仍然可以高效地使用工作桌面。
Ø所有指定应用全部集中在数据中心,在数据中心,一切的安装、管理、支持都变得更加简便;客户端仅需要一次性安装装ThinApp虚拟化客户端软件,就能够让企业各种IT应用摆脱终端设备和网络带宽的限制,实现10KB/S带宽下大型软件流畅运行,终端用户高效、快捷、安全、方便地访问已经集中部署在EASTED服务器(集群)上的各种应用软件。
3.1.1.易讯通桌面虚拟化
底层硬件通过EASTEDvServer构建成云数据中心,使用虚拟桌面搭载不同的系统,通过带有网络加速功能的VAP协议交付给终端,实现120-160KB/s带宽下完美运行。
在此过程中EASTEDView桌面虚拟化系统,可以将虚拟桌面整合到数据中心的服务器中,并独立管理操作环境、应用程序和用户数据,在获得更高业务灵活性的同时,使最终用户能够通过各种网络获得灵活的高性能桌面体验。
EASTEDView桌面虚拟化系统使得IT管理人员可以更加灵活的交付和管理桌面、响应各种用户需求。
3.1.1.1.安全性的提升
●核心业务应用运行在数据中心的服务器上,集中进行安全管控;
●用户访问网络和虚拟桌面网络之间的通讯只涉及虚拟桌面屏幕像素变化量和鼠标键盘的操作指令,不涉及真实业务数据的传输,涉密信息难以从本地终端上取走;
●外设得到有效的控制,USB设备、本地磁盘、光盘等控制都由管理中心的策略来控制是否可以允许用户使用,管理员可以通过策略定义用户、组、部门的设备使用权限;
●可以制定严格的访问策略,细粒度地控制最终用户对桌面应用的访问权限,例如是否可以打印、复制粘贴或将文件保存到本地;
●所有用户数据进行上收后,可以方便进行集中备份和存储。
3.1.1.2.最终用户体验与传统模式不变
●低带宽需求,分支机构访问无需专线连接,支持用户通过3G网络从因特网访问;
●良好的用户体验,虚拟桌面能够提供与目前用户使用的PC一样的各种功能:
如流畅地播放视频,通过即时通讯软件进行多媒体通信(包括双向语音),流畅地观看带有flash的网页,使用各种外设等;
●用户的客户端设备可以使用各种操作系统和配置的硬件设备来访问桌面/应用和数据。
如:
笔记本、PC机、thin-client、各种智能手机、PDA、IPAD等;
●管理员应该有必要的监测能力,评估最终用户体验和排除故障所需的工具,以找出问题,并计划调整受到影响的服务质量;
●未来终端用户可以通过下列不同类型的网络:
高带宽的LAN、低带宽的WAN、Internet/3G、甚至用电话拨号的链路都可以流畅地进行工作。
3.1.1.3.可靠性
●服务可用性即没有直接影响整体架构问题的单点故障;
●所有功能组件必须支持冗余或高可用性,某些功能组件出现故障也不受影响所有用户,其次允许个别用户会话尽可能自动恢复;
●如有需要,部署主动监控服务、报警机制、负载共享或故障切换机制,应无缝转移负荷不用的资源,同样不必要加载失败的节点。
3.1.1.4.可扩展性
●作为最终目标的桌面虚拟化的基础建设在设计中支持200或更多的虚拟应用和虚拟桌面。
●功能模块化可以为未来的发展提供基础,当用户数发生变化,功能模块化可以很容易地适应,而无需重新设计整个基础设施。
对于以1000用户为一个单元的设计,可以很容易扩展到2,000或更多。
3.1.1.5.大步提升运维管理能力
●瘦终端的使用:
终端设备“零维护”;
●通过池桌面方式发布大量虚拟桌面,IT管理员只需在虚拟桌面母镜像(masterimage)上集中维护用户需要使用的桌面系统和核心应用,即可将修改快速部署到所有虚拟桌面,大大减少了客户端维护、更新应用程序的工作量;
●通过池桌面方式发布的虚拟桌面,每次虚拟机重启,会将操作系统还原到初始状态,为用户提供干净的标准化办公桌面,同时用户的个人数据通过文件夹重定向技术得以保留;
●管理员和Helpdesk管理分离,管理控制台为管理员和Helpdesk提供不同的管理权限,为不同角色人员提供不同的操作管理平台。
3.1.1.6.逐步实现绿色IT
●实现桌面虚拟化后,办公业务的处理实际是在数据中心后台进行,对办公终端的配置要求大大降低。
现有办公终端的使用寿命可极大延长;
●新员工入职,配发低廉的瘦客户机,可极大节省每年终端用电;
●当大部分办公终端被瘦客户机替代,员工办公桌面更简洁,改善企业办公环境。
3.1.1.7.高投资回报率
●桌面虚拟化从降低IT运维成本、终端用电、终端成本、降低分支机构及因特网接入成本等方面大大降低了IT的总体拥有成本(TCO);
●桌面虚拟化从移动办公、提高工作效率、降低数据丢失/损坏/泄漏概率、IT标准化、上市企业合规等方面为企业带来收益。
3.1.1.8.高清视频播放
EASTEDView播放高清视频
基于先进的自主研发的VAP协议,EastedView桌面虚拟化系统可向用户交付具有超高用户体验的桌面环境,在虚拟桌面中可流畅播放1080P高清视频、完成大多数图形、图像设计工作。
3.1.1.9.USB外设支持
EASTEDView桌面虚拟化系统USB外设支持
通过EASTEDView桌面虚拟化系统的USB外设管理策略,可允许或禁止用户使用本地USB设备,当管理策略允许用户使用USB外设时,USB设备会优先被虚拟桌面识别并访问,犹如本地使用一般简单。
无论是加密狗、打印机、扫描仪、USB存储设备,还是其他各类USB设备,均可完美使用。
3.1.1.10.模板和批量部署
模板和桌面批量发布图
EASTEDView桌面虚拟化系统与EASTEDvServer虚拟数据中心系统完美结合,可以通过管理平台ECenterServer为不同用户组创建模板和批量部署虚拟机,从而简化了系统部署和管理过程,且能更快响应新增和修改桌面的需求。
可在数秒内完成上千个虚拟桌面的发布与部署。
3.1.1.11.补丁管理
提供微软已经发布各产品的补丁更新服务.
EASTEDView桌面虚拟化系统基于微软的MicrosoftSecurityUpdateService技术,扫描客户机已安装微软产品的安全漏洞,建立客户网络与为微软补丁更新服务的通讯管道,即时为客户机更新安全补丁,确保PC基本的运行环境安全。
EASTEDView桌面虚拟化系统的补丁管理系统,提供补丁缓存和根据网络内PC欠缺补丁动态下载服务,同时为正式用户提供全套微软已经发布的包括Windows2000Professional/Server的补丁安装包。
确保客户减少几个G的补丁下载量;同时即时更新服务确保微软发布补丁最快速部署和更新。
补丁系统的基本特性
不同于其他方案中提供的,将补丁下载到服务商自己网络,然后再转发的特点,EASTEDView桌面虚拟化系统提供了客户网络和微软补丁更新服务的通讯管道,避免补丁二次“污染”。
提供微软发布补丁的全部产品支持,不会因为只关注Windows关键更新,而导致其他产品的安全漏洞带来的潜在风险。
尤其是服务器产品,一旦存在漏洞,其危害性更大。
提供各种语言平台产品的补丁服务,不会因为客户机语言多样化,而导致管理员无法阅读或识别其他语言平台的补丁更新情况。
密切关注微软发布补丁的安全针对性,及时发现并避免会导致客户机出现二次产品注册等的问题,在确保客户机安全前提下,过滤了那些需要PC用户复杂操作的补丁更新,以免误操作带来其它问题。
常规补丁模式因为是直接的与微软UpdateService的互动平台,因此不存在内外网这样的需求,而目前越来越多政府和医疗等行业用户,出于网络物理等安全因素的考虑,将内部网络彻底从物理上与外网断开,避免外网的不安全内容对内网产生影响。
因此,提供内外网隔离情况下的解决方案。
这一方案由两部分组成,一部分是在外网部署补丁更新工具,和完整内网补丁服务器和客户机补丁管理软件组成。
补丁系统的用户化特性
对微软发布的补丁特征进行验证,确保补丁在客户机更新时,是自动的和无人值守的,更新时直接后台运行,减少用户操作。
提供基于时段的客户机补丁配置服务,管理员可以将补丁更新时间设置为中午休息时间,或其他PC用户使用少的情况下,减少对客户机的正常工作的影响。
在大型网络条件下,对补丁更新下载的数据通讯流量控制,运用微软BITS技术,对带宽尽可能占用空闲时段,避免对业务数据通讯的影响。
补丁统计和分析
提供PC补丁更新情况的全面统计,哪些PC补丁更新是完整的,哪些是不完整的,欠缺什么补丁,欠缺补丁的详细说明等,使管理员随时对存在隐患的PC实施即时的补丁更新操作。
3.1.1.12.软件分发
面对动辄几百上千的PC,IT管理人员要把一套软件系统部署到各个终端上,虽然方法很多,但如果没有批量化作业手段,工作量还是非常巨大的。
逐台安装,数量少还可以但如果数量多,就会碰到部署中很多的问题,如PC用户是否在场,已经部署过的是哪些,部署期限上是否允许长期作业,软件与终端所处位置如何对应等等。
软件分发子系统为IT部门提供批量化的软件部署平台,这一平台能够通过软件发布平台、软件制作平台、分发任务维护、任务执行与结果检查等多项职能,共同构成企业软件部署的一体化解决方案。
软件发布平台其特性表现为软件系统的集中上传、存储、下载等服务,IT管理员直接维护这一软件信息库,并按照管理需求进行分类。
软件发布平台是软件分发子系统的支撑平台,其不断得到维护的软件信息库,能够既作为管理员创建分发任务的数据库,又能够为终端PC用户进行PC软件环境自我维护提供统一标准化的下载服务。
软件制作平台为用户提供分发文档数据包的制作、自行开发应用程序的安装包制作、桌面环境配置变更安装包制作等等特性。
可执行软件系统的分发是软件分发的主要职能之一,而用户自定义各种形式的数据包的分发,则能够解决管理员有关数据发布、统一配置变更、统一信息发布等方面的难题。
3.1.1.13.进程管理
进程管理针对桌面PC应用程序,提供一整套运行管理的解决方案,目的是协助IT管理员规范桌面程序环境,阻止非法程序运行,从而保证用户在一个安全、规范的PC环境下工作,避免无关程序运行带来各种行政的和安全的问题。
应用程序管理常见问题
BT、FlashGet、迅雷等网络下载工具的随意运行,导致网络带宽被非法占用,其危害是直接导致正常的业务网络应用受到严重影响,同时擅自从互联网下载的各类软件,携带病毒和木马,将直接对内网安全带来巨大威胁。
炒股、播放电影、QQ、MSN上网聊天等软件,PC用户的这些行为,严重违反行政管理制度,影响公司形象,也同时破坏单位内部良好的工作氛围。
玩游戏如果不在网内禁止,那么直接的后果就是单位网络称为网吧,不仅影响正常工作秩序,同时网络版本的游戏更增加内部网络负荷,因此,对游戏软件的运行控制是PC运行管理中主要内容之一。
“绿色”软件由于无需在PC上注册安装,拷贝到任何PC都可以启动运行,这些小软件,即使在Windows域管理下,也无法控制,因此,这些小软件的运行,也肯定对内网安全带来隐患。
白名单进程管理方案
白名单是允许运行进程的集合,当PC作为固定职能的终端时,其日常使用时运行的应用软件比较统一,就可以仅允许其运行特定的进程,任何未授权软件禁止运行。
白名单策略在桌面安全管理中,能够对PC运行环境安全起到非常有效的作用,无关的、非法的、甚至病毒的进程,都排除在外,使桌面环境规范统一。
黑名单进程管理方案
黑名单是要禁止运行的进程集合,黑名单与白名单相反,日常管理员把认为不可以运行的如“绿色”软件、炒股软件、BT等,都放到黑名单中,PC用户当启动这类软件时,系统自动阻止运行,达到管理员规范PC运行环境的目的。
黑名单策略比较适合内网PC的工作职能比较多元化、无法统一,合法运行的应用程序比较丰富且经常变化,那么黑名单可以对常见的非法软件进行管控,这样就避免PC用户随意执行无关进程。
即时进程管理
与白名单和黑名单策略不同的是,进程管理提供对任意活动PC,即时获得其所运行进程的特性,帮助管理员随时发现并即刻阻止进程,提供了除批量策略化的解决方案外又一灵活的进程管理机制。
离线和分时段机制
当管理员需要制定PC与内部网络断开后的进程管理策略,那么进程管理提供离线管理机制,不论是白名单还是黑名单策略,如果部署为离线生效,那么PC用户即使拔掉网线,仍然受到进程策略的管理。
进程管理还提供分时段机制,这一机制为管理员提供更灵活的策略特性,使应用程序在规定的时段可以运行,规定外时段禁止运行。
预警系统支持
进程管理提供关键进程未运行以及非法进程运行的灵活警告策略,对于管理员关心的如防病毒软件的进程,一旦PC用户手工停止等行为发生后,系统即刻向管理员报警,及早避免可能发生的任何安全隐患。
3.1.1.14.桌面设置管理
桌面配置需求分析
IT管理员管理的PC数量不断增加,PC统一配置越来越成为管理中突出的一个问题,如果没有集中管控的手段,那么逐台操作工作量相当大,且PC用户也会擅自变更配置,造成网内PC的基本配置无法统一管理,经常出现诸如IP地址冲突,偷偷代理上网等等一系列问题。
IP绑定管理
采用静态IP地址的网络,由于IP预先经过严格分配,那么IP地址的修改应该是在管理员计划内进行,才不至于带来地址冲突等一系列问题。
桌面管理提供IP地址绑定特性,管理员可以直接在控制台为PC设置IP,同时可以将IP地址绑定在该主机上,阻止PC用户随意变更。
网络配置与机器名管理
桌面设置提供对PC批量设置其DNS、网关的功能特性,以及可以变更IP地址为静态地址或DHCP动态地址。
同时还可以将PC的主机名称设置与主机绑定,阻止PC用户随意变更。
尤其在采用DHCP的网络,主机名绑定协助管理员更容易定位一个如果具有互联网访问条件,桌面管理提供是否允许IE代理上网的设置功能,协助管理员既可以开放上网权限给PC用户,在不允许上网情况下,又可以阻止私自代理上网。
3.1.1.15.非法外联管理
PC用户非法网络外联是很多IT管理员头疼的事情,且随着PC软硬件技术不断更新,其外联手段多种多样,导致内部网络很严重的安全性问题。
而对于PC数量众多、且应用系统多样化、网络环境复杂的企事业单位来说,必然会遇到各种各样的问题。
常见的非法网络访问带来的问题
管理制度规定PC禁止访问互联网,而员工在局域网中通过拨号、代理、无线等多种手段非法外联,且上网手段越来越多,单纯从设备角度无法彻底控制,从而引发网络安全隐患,导致遭受黑客攻击、信息泄漏等安全事件。
用户在上班时间遨游互联网,正常的工作秩序受到很大影响,并且下载游戏、MP3、电影、在线电影等对于有限的带宽资源经常造成网络堵塞,严重影响了公司正常业务的运行。
虽然部署了网络防火墙实现了内外网的边界保护,然而对于应用层的访问,无法得到控制,且如果内部网络间的数据访问在没有VLAN访问控制的情况下,更加无法防止非授权用户访问重要资源,对内网应用系统的数据安全带来隐患。
网络行为解决方案
EASTEDView桌面虚拟化系统网络访问管理采用防火墙技术,将网络行为的管理延伸到桌面终端,通过灵活的策略组合,实现对网络资源的合理分配和控制。
IT管理员可以定义适合本单位的管理策略,针对不同特征和用途的PC,部署相应管理策略,从而在规范PC用户网络行为基础上,保证访问安全性。
设置互联网地址黑白名单访问策略
非法外联提供互联网访问地址的黑白名单管理特性,通过建立相应策略,授权特定PC仅允许访问的互联网地址,或者不允许访问的地址,IT管理员灵活定义,尤其是在部分PC开放了上网权限前提下,传统手段无法针对特定PC对其地址过滤,那么非法外联通过内置防火墙技术是一个很好的方案。
按协议类型网络访问管理
不论是互联网访问,还是局域网,终端用户的访问类型多种多样,如常用的有SMTP、POP3、HTTP、FTP等等,分别为客户提供了网页访问以及邮件收发等多样化的网络应用。
IT管理员在面对众多PC用户网络管理问题时,非法外联方案提供了灵活定义按协议类型过滤PC机网络访问的特性,使得管理员从协议层对其访问进行约束,加大了管理力度。
局域网资源访问管理
网络的互通特性,在没有VLAN或其他网络访问控制前提下,PC用户有可能访问到单位内部的各种服务器资源、敏感PC资源,如果不加以管理限制,肯定对内网数据安全是不利的。
非法外联管理提供对内网资源访问的过滤特性,协助IT管理员在建立内网资源访问的权限,提供内网安全性。
按时段分配网络资源
IT管理员可以通过定义和分配按时间段访问互联网资源的策略,使PC上网能够在指定时间有效,如正常工作时间禁止上网,而午休或下班时间,则开放访问权限,这一灵活特性使管理员在上网管理方面,能够加强管理的同时,提供机动的管理策略。
互联网访问带宽管理
连接互联网的链路是各单位的稀缺资源,在满足正常的业务需要以及众多内网用户办公需要时,带宽管理是IT管理员重要的管理内容之一,由于互联网带宽一般情况下肯定小于PC机具备的网络吞吐能力,因此,任何一个PC的带宽滥用都会导致整个网络互联网访问的速度降低。
网络访问管理提供分布式的互联网带宽控制功能,管理员通过带宽分配,使PC用户即使使用BT等下载工具也不会对整个带宽严重影响。
PC机监听端口即时查询
管理员随时获得PC正在监听的端口信息,对PC机通讯以及内部网络安全提供依据,通过对非法端口的判断,能够协助网管快速定位PC机出现的病毒感染或网络通讯问题,从而可以尽快采取有效措施。
在实际工作中的应用
EASTEDView桌面虚拟化系统网络访问及非法外联管理,使PC网络行为得到有效控制,构建可控的网络环境,提升整体的网络安全。
非法外联控制策略,能够从本质上加以控制、彻底杜绝非法外网访问的同时,既能够严格管理,又具有一定的灵活性,为内网安全管理发挥应有的作用。
3.1.1.16.外设管理
PC外设常见的有U盘、移动硬盘、光驱、软驱、打印机、扫描仪,以及数码设备等,这些设备为我们日常的工作带来了极大的方便,但对于PC数量众多的企事业用户而言,众多外设的使用,在带来工作便利的同时,也带来管理上的难度。
因此,一套完整严密的外设管理措施,对于企事业IT运维显得尤为重要。
PC外设管理常见问题
用户的U盘、光盘等如果本身带毒,接入到单位的PC后,很容易导致PC感染病毒,后果显然。
单位的文档等数据,可以轻易通过移动存储设备,拷贝出去,导致数据流失。
通过Modem随便拨号,访问外网,造成资料外泄不说,还存在网络访问的安全性,以及法轮功等可能存在的非法网络行为,这些行为对工作产生负面影响外,还对企业形象带来反面效果。
通过擅自接入打印机、扫描仪等设备,利用单位的工作环境,从事与工作不相关工作,发生违背企业管理制度的行为。
以上这些问题也仅仅是IT运维工作中经常碰到的一小部分问题,关键是当没有适当管理措施的前提下,靠员工道德教育,行为教育,并不
升级会员 