PDMS及三維設計信息化系統設計、測試實施建議書PDMS及三維設計信息安全系統測試報告2014年6月第1頁PDMS及三維設計信息化系統設計、測試實施建議書目錄1、引言...............................................................................................................................31.1編寫目的.......................................................................................................................31.2項目背景.......................................................................................................................31.3系統簡介.......................................................................................................................32、概述...............................................................................................................................42.1系統概述.......................................................................................................................42.2現狀分析及需求...........................................................................................................43、各種應用場景描述.......................................................................................................53.1CPE大廈內部員工應用場景............................................................................................53.1.1應用場景描述................................................................................53.1.2方案實施準備條件..........................................................................63.1.3三維設計信息化系統方案優勢性......................................................83.2CPE航興樓外協員工應用場景......................................................................................133.2.1應用場景描述..............................................................................133.2.2方案實施準備條件........................................................................143.3異地外協單位應用場景...................................................................................................143.3.1應用場景描述..............................................................................143.3.2方案實施準備條件........................................................................163.4CPE分子機構應用場景..................................................................................................163.4.1應用場景描述..............................................................................163.4.2方案實施準備條件........................................................................173.5筆記本外攜應用場景.......................................................................................................173.5.1應用場景描述..............................................................................173.5.2方案實施準備條件........................................................................184、附錄...........................................................................................................................184.1測試方案記錄..................................................................................................................18第2頁PDMS及三維設計信息化系統設計、測試實施建議書1、引言1.1編寫目的本測試報告為分公司三維設計信息安全系統 項目的測試報告，目的在于總結測試階段工作，分析系統功能是否滿足用戶需求。預期參考人員包括用戶、測試人員、開發人員、項目管理者、其他質量管理人員和需要閱讀本報告的其他人員。1.2項目背景隨著計算機、通信、網絡技術的發展，全球信息化的步伐越來越快，網絡信息系統已經成為一個國家、一個行業、一個集團、一個企業尋求發展的基礎設施。人類在感受到網絡信息系統對社會文明的巨大貢獻的同時， 也認識到網絡信息安全問題已成為企業長遠利益而亟待解決的重大關鍵問題。近年來通過分公司各部門的積極努力，極大地加快了信息化建設的進程，然而隨著企業的應用軟件增多，從而造成信息網絡中支撐層壓力越來越大，雖然我們已經建立起完善的硬件架構和一定的安全體系，但對管理層和應用層的安全和穩定性支持還有提高的空間，在這方面分公司三維設計領域尤為突出。分公司三維設計軟件種類呈多樣化發展，三維設計人員的用工方式有分公司合同化員工、人力資源派遣員工以及外單位協作員工，這對保護分公司三維設計成果提出了更高的要求1.3系統簡介企業終端PC標準化管控平臺的建立，必將為制造行業的業務信息系統、行政管理、信息交流提供一個安全的環境和完整平臺。 通過先進技術建立起的終端PC標準化管控系統，配合企業的管理制度和安全控制軟件，可以從根本上解決來自網絡外部及內部對網絡安全造成的各種威脅， 以最優秀的網絡整體解決方案為基礎形成一個更加完善的企業標準化業務系統和辦公自動化系統。 利用高性能的終端數據安全環境，提供整體防病毒、防數據泄露、減少IT部門運維壓力、提高應用環境部署時間等于一身的整理解決方案，有效地配合企業增強秘密、機密文件的安全傳輸，嚴格地制止涉密情報丟失、泄密現象發生，維護數據安全。第3頁PDMS及三維設計信息化系統設計、測試實施建議書2、概述2.1系統概述本系統利用 Phantosys幻影軟件平臺，在不改變企業原有網絡架構和終端使用習慣的基礎上，打造分公司三維設計標準化管控的平臺， 配合分公司管理制度和安全產品，保護三維設計過程中的元件庫、 三維模型等數據的安全，防止數據不經授權就拷貝出本系統平臺，并能夠對終端桌面數據進行集中的管理和利用。2.2現狀分析及需求根據發展規劃的需要，CPE西南分公司需要將CPE大廈、航興樓、CPE各分子機構、異地外協辦公單位的三維設計由CPE西南分公司進行集中管理，需要完善現有的IT管理安全體系架構，在能滿足CPE內部員工、外協人員和移動辦公的安全應用流程要求的條件下，從管理中求效益，從管理中獲安全。下圖為CPE西南分公司網絡架構調整規劃：下述為用戶規劃技術需求：①應用環境要求：要求：同時給客戶端提供兩種應用環境，分別為內網（三維設計平臺）、外網（處理需要互聯網不事務，如：上網查閱一些資料）。②終端安全控制（硬盤，外設端口，移動介質）：要求：有效控制終端外設端口，核心數據只能在內部進行溝通交流，如需與外部聯系溝通方式可控。第4頁PDMS及三維設計信息化系統設計、測試實施建議書③建立一套有效應用服務器準入機制：要求：建立一套方便有效的應用服務器準入機制， 有效控制非虛擬化客戶端訪問應用服務器。④運維管理：標準化的工作環境（操作系統、管理策略和業務軟件）可控，業務數據可控。3、各種應用場景描述CPE西南分公司目前應用場景以下幾類：CPE大廈內部員工、CPE航興樓外協人員、異地外協人員、CPE分子機構、筆記本外攜等應用場景。具體應用場景描述如下：3.1CPE大廈內部員工應用場景 應用場景描述CPE大廈內部員工應用場景主要是指在CPE大廈辦公內部員工進行三維設計，分別給CPE大廈內部員工客戶端分配二種應用環境分別為內網應用環境、外網應用環境，采用雙屏方式顯示給用終端用戶，其中一顯示器呈現內網環境、另一顯示器呈現外網環境。CPE大廈的B網劃分出一個網段，內網應用環境由幻影提供，外網應用環境由在幻影平臺上部署思杰桌面虛擬化提供，其中內網應用環境主要是進行三維設計應用、外網環境主要是進行處理有關互聯網事務（如上網查閱一些資料），通過這種內外網環境分離的方式實現分工處理事務，到達數據和信息安全管理。其系統構架如下：備注：有關CPE大廈內部員工在內外網應用環境溝通方式第5頁PDMS及三維設計信息化系統設計、測試實施建議書1、CPE內部員工在內部進行及時溝通使用 LYNC來代替QQ通訊工具。2、CPE內部員工在內部資料交接LYNC(只針對一些非正式的資料交接)、CPESW內部郵箱（只針對中間成果交接）、SharePoint（只針對正式資料交接），這些溝通方式都是可控，可進行事后審計。3、CPE內部員工與外部業主、廠商及時溝通主要是通過 LYNC溝通。4、CPE內部員工與對外部資料交接可以采用SharePoint（采取與300Y項目和澳洲項目相同方式，在SharePoint上設置對外文件“緩沖區”，進行資料傳遞）。 方案實施準備條件 服務器硬件準備：1、幻影服務器的配置要求：CPU：服務器CPU超線程2.14G內存：內存4G或者以上網卡：千兆網卡硬盤：500Gx2（sata）2、域控服務器配置要求可以與幻影服務器一致。備注：我們推薦一臺服務器帶200臺左右的客戶端，所以請用戶根據客戶端點數準備相應服務器數量，另外如果需要使用熱備服務，請準備和主服務器相同數量的熱備服務器。如無實體機可以用虛擬服務器代替。3、幻影服務器軟件準備：操作系統：服務器操作系統Win2003或者以上，以及服務器的驅動程序安裝介質4、幻影服務器規劃準備：服務器IP：確定好幻影服務器、AD域控服務器的IP地址所帶部門：請規劃好幻影各臺幻影服務器所帶部門備注：請將相關信息統計到我們提供的想對應的統計表格里 存儲規劃：由于貴單位要求所有用戶端的數據都進行集中存儲、所以在實施三維設計信息化系統之前需要用戶進行數據遷移。在進行數據遷移工作之前，需要對存儲空間進行規劃，需要了解各個部門用戶個人所需要要的存放空間大小，然后再針對統計的需求來對存儲進行規劃，并把規劃好的空間利用域分配給對應的用戶，并讓用戶把個人數據遷移到個人存放空間內。考慮到用戶存儲空間問題，幻影給用戶分配數據盤D盤，用于臨時存放個人數據，但要求必須用戶備份數據，有關PDMS數據必須存放到PDMS服務器。 客戶端準備：因為客戶的終端的配置可能會不統一， 所以需要在實施前統計好所有的硬件第6頁PDMS及三維設計信息化系統設計、測試實施建議書信息（品牌及其詳細的型號，以便在施工的時候可以把配置相近的PC做成一個環境節點，這樣的好處在于客戶在以后的管理中能夠更方便一些，另外還包括所有用戶的IP地址、MAC地址、計算機名等信息，因為這些設置在上了虛擬化之后，都是由幻影服務器來進行制定的，所以需要進行提前的統計，以上這些信息一般都會在客戶的臺帳里體現出來（我們有一個推薦臺帳的模板，如果客戶方便可以按照模板的內容來進行統計），另外在實施時需要各借一臺客戶端不同機型的樣機，所借用的時間可能需要一個禮拜左右，（因為在搭建用戶端應用環境時，需要針對不同機型進行驅動安裝）這樣可以節省搭建環境所需要的要時間。備注：請將相關信息統計到我們提供的想對應的統計表格里 軟件準備：統計所有用戶端的對操作系統、應用軟件以及各類插件，并準備好相應的安裝介質。部署幻影之后用戶端所有的應用環境都需由幻影服務器來進行提供，因此需要在搭建用戶端環境之前進行統計完成，這樣提供給用戶的應用環境直接就可以進行使用，從而可以減少因軟件版本不對或者軟件缺失影響用戶端的使用。備注：請將相關信息統計到我們提供的想對應的統計表格里 網絡狀況調試：部署客戶端所在B網劃分出一個網段，分配B網思杰的外網應用環境（思杰帳號、密碼等）。一般情況下B網下幻影服務器和所帶客戶端都不在同一個VLAN里，所以需要了解幻影服務器到客戶端之間的詳細網絡架構，最好是能提供詳細的網絡拓撲圖，如若方便，可以提前針對網絡進行調試，以下的案例是幻影服務器和客戶端之間跨VLAN的設置，可以進行參考：第7頁PDMS及三維設計信息化系統設計、測試實施建議書請將客戶端所接端口的Portfast端口快速轉發比如設定以太網端口gigabitEthernet0/2為Portfast端口快速轉發Switch(config)#interfacegigabitEthernet0/2Switch(config-if)#Spanning-treePortfastSwitch(config-if)#noshutdownSwitch(config-if)#end#進入需要設置的vlan11進行配置轉發的目標 Phantosys服務器地址Switch(config)#interfacevlan11Switch(config-if)#end#保存設置Switch#copyrunstart如配置訪問控制列表，另行配置。三維設計信息化系統方案優勢性隨著企業信息化的深入，IT基礎架構中的PC桌面已經成為用戶業務操作的平臺，是IT運維的重要對象。在能滿足不影響PC性能、不影響外設兼容、不改變現有IT架構、不改變現有管理模式的條件下，企業對PC桌面的核心目標是要“可控”。具體如下：操作系統可控：保障企業PC桌面的運行安全和可靠，企業需要對 PC桌面第8頁PDMS及三維設計信息化系統設計、測試實施建議書的操作系統、應用程序進行統一安裝、管理，還要防止用戶自行安裝、修改軟件或是通過U盤、光盤等移動介質啟動非本機操作系統，繞過 IT安全策略限制直接修改硬盤數據。應用軟件可控：不同的崗位有不同的應用需求， 因此需要設定適合不同崗位的應用列表，應用軟件可控是企業對 PC桌面管控能力加強的重要特征。操作系統和應用軟件可控既能簡化和穩定企業的 IT環境，又能對正版軟件授權進行有效管理和靈活分配、降低軟件采購成本。完成了這個部分的工作后，可實現對企業IT基礎資源的基本控制。知識資產可控：對于企業而言，大多數計算機用戶屬于知識工作者，工作成果也多數以電子形式存在，因此企業需要對員工工作的數據加以控制，防止企業工作數據的外泄。運維成本可控：PC桌面數量多，針對不同的工作崗位和要求，需要配置不同的PC桌面，作為企業信息化建設的基石，這個基礎架構耗費了 IT部門絕大多數的精力，同時大幅增加了 IT管理、運行、維護的費用。災備高效可控：PC桌面是每個人的工作平臺，其數量遠超服務器，人員復雜、用戶計算機水平參差不齊，且分布的物理位置范圍廣，管理難度高，這就要求PC以及其上的信息化應用要易部署和易維護，發生故障可以迅速高效的實現恢復。三維設計信息化系統平臺幫助企業的 IT團隊應對IT基礎架構困境帶來的挑戰，幫助企業不斷加強自己的競爭地位。1、內網應用環境主要是進行三維設計應用、外網環境主要是進行處理有關互聯網事務（如上網查閱一些資料），通過這種內外網環境分離的方式實現分工處理事務，到達數據和信息安全管理。2、三維設計信息化平臺根據管理需要靈活的從全局控制 PC各種外設的使用權限；端口控制開啟后，PC使用時外設進入屏蔽開啟狀態（以USB接口為例，USB接口的鍵盤，鼠標可正常使用，其它USB設備均被屏蔽無法正常使用），目前可以控制的外設如下圖所示：3、三維設計信息化平臺架構中，PC關機離線后硬盤不再具有任何可以被直接使用的文件，內網應用環境每次開機都必須由服務器通過網絡傳送扇區分配表第9頁PDMS及三維設計信息化系統設計、測試實施建議書到PC的內存中，才能將硬盤上的扇區標識組合還原為可被PC使用的文件數據；本地硬盤扇區緩存（localcache）技術可以讓客戶端的硬盤不再安裝任何分區格式和文件系統，本地硬盤在系統架構里成為一個緩存設備、并且這種緩存機制是位于BIOS之上、操作系統之下的，通過三維設計信息化平臺獨特的本地硬盤扇區緩存（LocalCache）技術客戶端本地硬盤的數據存取都需借助三維設計信息化平臺服務器的指針，數據硬盤一旦離開了網絡、缺少指針，即變成空白，無法讀取數據，符合保密要求。4、PC的數據端口采用底層控制技術，一旦非法用戶試圖嘗試破解或繞開限制，三維設計信息化平臺即會停止PC的操作系統運行，徹底切斷用戶的非法行為；PC硬盤中的扇區分配表由三維設計信息化平臺服務器提供和控管，即使PC硬盤因為報廢、故障損壞、遺失等原因流落出去，脫離了中心的管理，誰都沒有辦法把這些硬盤上的扇區重新組合還原回有價值的數據；5、三維設計信息化平臺可以與內部已經部署的域控服務器結合，所有用戶登陸計算機必須經由域控進行賬戶身份認證，并經由域控對每個用戶賬戶進行數據存儲路徑的配置（可將存儲路徑映射成一個或多個盤符到每個用戶的桌面），由域控對用戶進行存儲權限、數據訪問權限的統一管理，每個用戶在自己的專有數據存儲路徑中進行權限范圍內的數據交互；用戶工作數據集中存放NAS存儲服務器中，由域控服務器進行統一的權限和文件管理。PC本地硬盤全部進行LOCALCACHE安全管理控制，服務器提供PC使用的系統分區，數據分區可強制映射到集中存儲，個人數據以LOCALCACHE加密形式存儲于本地硬盤中，重要數據配合管理制度即時強制備份至集中存儲。第10頁PDMS及三維設計信息化系統設計、測試實施建議書6、在完全發揮PC本地運算性能、完美支持外設擴展兼容、對帶寬和服務器壓力較小的前提下實現集中化管理；三維設計信息化平臺架構下管理的 PC運算時完全利用本地硬件資源，服務器的硬件資源不參與 PC的任何運算，機器運行性能只與 PC自身硬件有關；PC使用時僅在增量更新時需要通過網絡與服務器進行少量數據傳輸， 平常只調用本地硬盤緩存，不會因產生持續流量的數據傳輸造成對網絡的壓力和影響。 銀行業務現有和以后需要增加的各類票據打印機，各類 USB證書只要在PC上可正常安裝使用，三維設計信息化平臺下管理的 PC就可100%兼容使用，安裝和操作與使用PC一樣。7、以最佳的性能、最靈活的方式、最高的安全性和最低的成本隨需交付桌面應用，簡化IT成本；三維設計信息化平臺將桌面環境（操作系統和應用軟件）采用流技術方式交付到PC硬盤中，而非安裝到PC上，交付桌面應用時無需擔心應用和系統兼容性問題；PC使用時運算、I/O讀寫本地化，無需擔心集中化架構下桌面性能的降低，提高了PC隨需調用操作系統（Windows&linux）和應用軟件的靈活性；通過三維設計信息化平臺提供的PIM群集文件系統、樹狀節點架構，IT部門可以做到再大規模的PC部署“同一種應用，只一次安裝”；利用三維設計信息化平臺可以使 IT部門能夠在不影響桌面用戶工作的前提第11頁PDMS及三維設計信息化系統設計、測試實施建議書下，在任意一個位置上在線交付、更新業務應用，而無需親自操作所有桌面，能夠在不修改任何應用代碼的情況下通過局域網交付各種傳統軟件應用，達到了“簡化IT”的目標；8、確保不會因為PC的軟件更新、故障導致工作效率下降，保證所有應用的連續性、可用性以及業務的靈活性；三維設計信息化平臺可以在發現PC工作不正常或感染了病毒木馬間諜軟件時只需要簡單的鼠標單擊就可以恢復正常工作，從而杜絕了病毒產生的來源，消除對桌面運行安全的擔心，大大提高了系統和網絡的可靠性、穩定性，實現一個可以24*7連續工作的可靠的業務運行環境；三維設計信息化平臺能夠確保用戶不可隨意安裝未經授權和同意的軟件，工作環境保持一致性標準化，避免了用戶直接對操作系統、網絡設置的更改造成的影響和危害，所有桌面用戶都能使用穩定高效、始終如一的系統和軟件，不會因為PC繁雜的更新、修復、部署對企業的業務造成影響，有效提高工作效率和管理價值三維設計信息化平臺能夠動態交付桌面，通過桌面虛擬化，PC用戶能夠根據工作需要即時調用啟動全新的桌面環境，業務工作的開展變得十分靈活IT部門還可以利用三維設計信息化平臺桌面虛擬化技術建立一種按需服務的應用交付模式，IT部門根據桌面端用戶的實際需要向他們派送不同版本的操作系統或進行個性化定制的應用服務，這是IT部門向業務服務角色轉換的有益嘗試9、集中存儲Windows應用和員工文件夾中的數據，簡化Windows應用備份，嚴密保護知識產權；傳統PC管理模式下，IT人員不僅要應對數據的存放、打印和操控環境，還要考慮分散在企業各處的PC中的數據如何遷移、備份，更要防止數據不會因為管理手段的漏洞導致丟失泄露。通過三維設計信息化平臺提供的集中式管理架構，系統和數據將分為兩個大的模塊整合到一起，從技術層面保證員工配合企業的數據存取制度，從而消除了在分散設備層面上數據被盜或數據丟失的風險，提高了PC的安全標準；三維設計信息化平臺還能滿足銀行的高安全需求，可以從PC系統底層對所有外設端口進行屏蔽，存取在硬盤上的所有數據均為加密控制的磁盤扇區格式、離開了三維設計信息化平臺的控制架構，PC硬盤無法直接讀取數據，大幅提高了金融數據的安全性；三維設計信息化平臺可幫助 IT部門利用現有基礎架構和資產完成業務的現代化建設，而非簡單地維護多數企業在發展過程中構建的各種復雜信息系統。 通過三維設計信息化平臺解決方案， IT部門能夠簡化運營、降低成本，即便是最復雜的環境也能輕松應對。規模越大、環境越復雜，越能體現三維設計信息化平臺解決方案帶來的價值。事實上，在基于 PC架構上的桌面虛擬交付，三維設計信息化平臺是全世界領先的解決方案。第12頁PDMS及三維設計信息化系統設計、測試實施建議書3.2CPE航興樓外協員工應用場景 應用場景描述CPE航興樓外協員工應用場景主要是針對一些 CPE上下游配套廠商外協員工在CPE航興樓進行辦公，其部署方案基本與CPE大廈CPE內部員工部署方式基本一致。只是由于受到B網賬戶的限制無法提供B網思杰虛擬桌面，所以只能通過思杰應用商店發布一些可控應用（如：CPE航興樓外協員工需要上網查閱一些資料，則通過應用商店發布可控IE瀏覽器）。由于CPE航興樓是通過光纖接入CPE大廈，目前CPE航興樓只與CPE大廈18樓相通，所有幻影服務器部署有兩種方式（一種幻影服務器部署在CPE大廈、另一方案幻影服務器部署在航興樓），CPE航興樓PDMS服務器是獨立服務器并不與CPE大廈的PDMS服務器互通，但根據起初設計方案需要對三維設計PDMS進入統一管理，所以需要開通CPE航興樓與CPE大廈PDMS服務器相通。其系統架構如下：方案一、幻影服務器、PDMS服務器都統一部署在CPE大廈方案二、幻服務器部署在 CPE航興樓、PDMS服務器部署在CPE大廈第13頁PDMS及三維設計信息化系統設計、測試實施建議書備注：有關CPE大廈內部員工在內外網應用環境溝通方式，其溝通方式與CPE大廈內部員工基本一致，與之區別是提供溝通方式(LYNC、CPESW內部郵箱、SharePoint)都是臨時授權、可控可進行事后審查方式。 方案實施準備條件方案一、方案二的實施準備條件與CPE大廈CPE內部部署準備條件基本一致。不同之處在于是需要開通CPE航興樓與CPE大廈網絡，使用CPE航興樓能訪問CEP大廈PDMS服務器，如果采用方案一還需要開通CPE航興樓能訪問與CPE大廈幻影服務器、AD域控服務器。3.3異地外協單位應用場景 應用場景描述異地外協單位應用場景主要是針對一些外協人員在異地進行協同進行三維設計工作。其部署方式與CPE大廈內部員工應用場景的方式基本一致，不同之處在于需在和異地外協單位搭建幻影服務器，其次異地外協單位由于受到B網的資源的限制，無法給異地外協提供B網思杰虛擬化，所以只能使用VMware虛擬機方式代替B網思杰虛擬化。目前異地辦公地點客戶端訪問CPE西南分公司PDMS服務器方式經過