微軟新一代企業信息化基礎架構微軟(中國)有限公司高超Jamesgao@微軟新一代企業信息化基礎架構統一身份管理統一用戶管理統一認證統一權限統一通訊錄一站式登錄的基礎客戶端機器管理的基礎網絡訪問控制的基礎安全的信息系統架構認證基礎

——活動目錄Windows用戶帳號信息特權配置文件策略Windows客戶Mgmt配置文件網絡信息策略Windows服務器Mgmt配置文件網絡信息服務打印機文件共享策略活動目錄為下列對象管理焦點：用戶和資源安全授權策略應用程序服務器配置單一注冊用于程序專用

的目錄信息策略Internet防火墻服務配置安全策略虛擬專用網絡策略網絡設備配置服務質量策略安全策略其他目錄

WhitepagesE-Commerce其他NOSUserregistrySecurityPolicy電子郵件服務器郵箱信息通訊簿你遇到過這種問題嗎？SoftwareHR系統打印機共享文件夾郵件DataOA系統其它應用對于用戶每增加一個新的應用，需要記憶一套新的用戶名/密碼負責的業務范圍越大，需要記憶的內容越多每次訪問應用系統，需要重復輸入用戶名/密碼在一個系統中修改了密碼，其他系統的密碼不會隨之更新對于管理員員工報到，需要到各系統中逐一建立帳號員工離職，需要到各系統中逐一刪除帳號無法集中設置訪問策略，管理訪問權限為什么會有這樣的問題？應用系統在不同平臺上，由不同開發商開發，使用的技術不一致。每套系統都有獨立的用戶身份管理。如何解決？采用微軟活動目錄ActiveDirectory(簡稱AD)技術，建立統一的身份管理新的應用系統建立以活動目錄為基礎的應用程序身份管理接口標準舊的應用系統采用數據整合方式，進行用戶數據庫統一，遷移到AD中一站式登陸的基礎基于目錄服務的業界標準協議LDAP協議與桌面客戶端軟件Windows無縫集成支持業界標準的公共密鑰體系(PKI)ActiveDirectory與身份驗證活動目錄User1User2Software身份驗證HR系統打印機共享文件夾

郵件Data用戶身份驗證經由AD驗證通過后,AD會主動提供該用戶所需的工作環境與網絡資源OA系統其他應用統一認證/統一授權統一通訊錄組織架構靈活分組樹型結構統一消息協作不僅僅是一個郵件系統與活動目錄緊密集成，唯一帳號登陸協同日歷服務協同消息平臺ExchangeServer2007內外網互通多帳號處理PC,移動設備,Web或電話客戶端上訪問電子郵件，語音郵件和傳真信息。WEB方式查看文檔,word,excel,ppt,pdf安全，穩定的郵件系統防病毒 從系統底層開始支持防毒防垃圾郵件自我學習OutlookWebAccess訪問SharePoint站點和文件共享即時消息平臺LiveCommunicationServer2005統一協同工作環境會議安排個人日歷團隊日歷日歷共享聯系人管理異步消息協同移動支持短消息重要通知、特殊郵件、會議提醒、應急系統智能手機領導同志的隨身秘書聯系錄工作安排電子郵件秘書\辦公室負責將最新的聯系錄信息和工作安排輸入到領導的Outlook中,領導同志隨時隨地,”一鍵更新”!豐富的移動設備移動辦公移動審批即時消息協同LCS2005基礎功能基于統一活動目錄帳號即時消息多人會議語音/視頻交流文件共享應用程序共享擴展功能和應用程序緊密集成成為消息通知平臺與短消息集成與電話系統集成在線溝通與討論的工具使用相同的工具來進行溝通所有信息加密與企業內部通信錄整合信息能被記錄和存檔容易使用定制聯系人列表多方通信可提供語音、視頻、數據傳輸服務與企業電話系統集成基于WindowsMobile的Office

Communicator狀態和位置公司地址簿安全的即時消息集成的IP電話微軟統一通信--創新的移動體驗CommunicatorMobile體驗與桌面客戶端相同的客戶體驗基于移動設備優化的特性對話窗口集成公司地址簿的搜索功能支持多種訪問方式浙江工商SSO業務需求用LCS客戶端集成所有的業務應用系統，實現單點登陸在業務專網環境中建設“即時通”系統圖形化展示組織機構以及在線狀態技術需求身份認證用戶以域用戶身份登錄Windows操作系統用戶關聯的Communicator自動登錄“一站式”操作環境統一的用戶界面中展現不同的應用系統入口無需重新輸入用戶名和口令即可進入不同應用系統分級、分布的部署結構（“聯邦式”體系架構）省、市各自部署獨立的LCSServer浙江省工商形成全省互聯互通的“聯邦式”LCS體系浙江工商SSO應用場景用戶登陸界面業務整合界面郵件整合界面LiveMeeting

在線網絡會議解決方案與同事，客戶以及合作伙伴共同工作而無需位于同一地點無需離開桌面即可實現和成千上萬人員的協作提高企業的勞動生產率極大降低培訓所需要的差旅費用LiveMeeting2005實現在線教學資源列表顯示所有的文檔類型參會者列表包含上下文菜單（右擊）可以管理角色錄制可以很方便的快速啟動或暫停錄制音頻控制面板包含多種工具而且可以按用戶的選擇任意移動、設置獨立浮動或放置于主窗口中縮略圖導航移動、刪除或預覽您的內容——就像PowerPoint啟動指南常見任務的幫助統一信息門戶

SharePointServer2007個人網上辦公桌統一的用戶展現風格統一的的用戶認證和管理信息和應用的集成/管理以知識為核心的內容管理分布式的搜索協同工作個性化&定制商業智能分析工作流引擎豐富\靈活的移動支持在門戶中查看各類報表多級互聯門戶結構地區公司中國石油中國石油EIPEIP專業公司門戶規劃計劃部門戶財務部門戶人事部門戶科技與信息管理部門戶其它職能部門門戶計劃處門戶財務處門戶人事處門戶科技與信息管理處門戶其它職能部門門戶采油廠門戶煉油廠門戶化工廠門戶管道局門戶地區公司門戶計劃處門戶財務處門戶人事處門戶科技與信息管理處門戶其它職能部門門戶專業部門門戶股份公司EIP專業公司門戶規劃計劃部門戶財務部門戶人事部門戶科技與信息管理部門戶其它職能部門門戶規劃計劃部門戶財務部門戶人事部門戶科技與信息管理部門戶其它職能部門門戶計劃處門戶財務處門戶人事處門戶科技與信息管理處門戶其它職能部門門戶計劃處門戶財務處門戶人事處門戶科技與信息管理處門戶其它職能部門門戶專業公司采油廠門戶煉油廠門戶化工廠門戶管道局門戶采油廠門戶煉油廠門戶化工廠門戶管道局門戶地區公司門戶計劃處門戶財務處門戶人事處門戶科技與信息管理處門戶其它職能部門門戶專業部門門戶計劃處門戶財務處門戶人事處門戶科技與信息管理處門戶其它職能部門門戶專業部門門戶中石油門戶實例頁眉宣傳介紹：如職責和機構、通訊錄、下屬機構通訊錄等業務工作：各種業務系統的掛接、工作動態。便于網上辦公和部門內工作協調業務工作可由用戶按職能分工來設置，其一級欄目的數目不確定信息共享：支持信息的上下流動，便于信息在門戶之間的流動交流與協作：設置若干討論區（論壇）、在線調查、協同工作常用鏈接新聞、消息、通知支持上下傳送版權信息個人工作助理搜索菜單/導航條各部門級門戶項目組門戶數據整合數據中心SQL數據中心，分析，報表BizTalk數據清洗和整合BizTalk跨系統的互聯，業務的互聯-43-完整的數據管理平臺統一管理規范接口簡單查詢

數據中心新一代數據中心完整的數據管理高度的商業智能強大的開發能力

IntegrationServices統一數據交換平臺連接信息孤島，整合封閉應用系統采用業界標準數據格式XML，建立一條數據總線解決多系統數據同步，提供數據實時比對傳統的構架模式－點到點CRMSystemPurchasingSCMSystemOrder

EntryERP問題不斷增長的復雜性難于修改難于維護FinancialSystemsMarketingEAI的構架模式－消息總線CRM

SystemPurchasingSCM

SystemOrder

EntryERP特點發送者和接收者獨立較簡單的集成用于一到多的消息傳輸基于訂閱的FinancialSystemsMarketing系統業務整合平臺在數據整合的基礎上，提供“信息孤島”和封閉系統間業務功能的調用整合。采用業界標準協議XMLWebService，實現異構系統的互聯，兼容其他通訊協議，實現業務整合。基于事務機制，將異構系統間的業務功能，重新組合，提供新的業務采用松耦合，保護現有投資和未來的投資，滿足業務需求的不斷創新和改變。以XML為核心的數據整合模式數據和應用集成的過程XML消息數據庫XML,

FlatFile,接收數據接收適配器接收數據處理通道數據接收1業務過程數據關系處理業務流程<tag> <tag>

<tag> <tag>XML23XML,

FlatFile,發送數據XML發送數據處理通道發送適配器數據發送41-2-3多點數據整合安全保障體系安全審計建立安全審計環境(日志整合及分析)用戶層客戶端PC的安全管理（補丁管理，客戶端環境標準化）應用層代碼運行訪問控制用戶訪問權限控制服務接口權限控制信息權限控制數據層數據安全（數據的儲存、傳輸、使用安全，災備）系統層操作系統的安全強化、補丁管理、個人防火墻CA中心的建設建立防病毒體系網絡層網絡安全（入侵檢測，防火墻，VPN接入管理）物理層機房安全，設備安全，…企業信息安全體系建設策略整體認識：企業的信息安全建設涉及企業信息化體系的各個層面，避免只關注技術層面木桶短邊效應：整個體系的安全水平取決于體系中安全最弱的方面整體規劃：依靠具備資質的信息安全機構提供全面的信息安全整體規劃和實施方案，避免僅僅依賴安全技術產品來實現信息安全分層防御：從信息經過的各個系統層面進行防御，指導思想是：假定每一層防御都會失敗技術手段：產品廠商配合信息安全整體規劃，提供相關的安全產品和技術監督管理：按照國家/國際規范與標準，制定本部門的信息安全管理規范，定期檢查、評估、改進信息與系統的安全狀況典型的企業信息安全體系構成物理和環境安全網絡安全主機與系統安全應用與數據安全門禁系統攝像監控物理安全防火墻入侵檢測與安全審計VPN病毒防范漏洞掃描與加固操作系統安全數據庫與業務審計身份驗證授權管理網絡邊界防御統一體系安全監管主機安全監管數據安全防護安全規范與標準深度安全防御數據和資源應用程序防護主機防護網絡防護外圍防護防火墻是企業的第一道防線數據包過濾狀態檢查入侵檢測應用層防火墻越來越重要HTTPSSL加密匿名連接容易忽視客戶端主機的安全主機容易成為企業的安全隱患統一的管理平臺服務器管理客戶端管理

自動監測服務器運行狀態自動建立預案庫，解決大部分問題

自動通知管理員

系統補丁管理、補丁分發軟件分發軟硬件資產管理報告生成遠程診斷終端標準化標準規范體系建設

標準規范體系建設系統整合標準規范安全體系規范24小時不停歇的系統管理員！MOMServer基于事件日志及性能監測指數自動監測服務器運行狀態針對現象，查詢預案庫，對癥下藥自動解決大部分問題不能解決的疑難雜癥，第一時間自動通知管理員問題解決后，解決辦法存儲進預案庫，便于今后的自動維護客戶機管理平臺

SMSServer2003系統補丁管理、補丁分發軟件分發資產管理軟件資產管理硬件資產管理報告生成遠程診斷BDD零接觸部署應用軟件分發資產管理安全的系統升級管理充分配合Windows服務支持移動應用防火墻客戶端管理平臺

站點服務器客戶端管理平臺分發點客戶端管理平臺客戶端客戶端管理平臺客戶端微軟

下載中心客戶端管理平臺分發點安全掃描組件分發到客戶端建立環境:下載安全更新資產和Office資產工具;運行資產工具安裝程序檢查客戶端，檢查結果合并進入資產數據管理員使用分發軟件更新向導授權更新客戶端軟件更新安裝代理執行更新定期任務:同步組件檢查新的更新，檢查客戶端，并進行必要的更新下載更新文件包，創建/更新分發廣告；復制分發包，通知傳播到客戶端管理平臺客戶端客戶端管理平臺客戶端客戶端管理平臺:自動補丁管理ISAServer2004高級保護功能應用層安全保護，內建對微軟應用程序的支持易于使用高效部署與管理,適用于更多的應用場景提供快速與安全的訪問讓用戶可以訪問所需的信息，同時節省IT支出“這是一個高級應用層防火墻、VPN和Web緩存解決方案，有了它，客戶就可以提高網絡的安全和性能，從而獲得最大的IT投資回報”ApplicationLayerContent應用層內容傳統防火墻對數據包的處理只檢查數據包標頭應用層內容以“黑箱”形式出現IP數據頭TTL,

Checksum源地址、目標地址、TTL、校驗和TCP數據頭Checksum順序號、源端口、目標端口、校驗和根據端口號決定轉發合法通信和應用層攻擊都使用相同的端口Internet期望的HTTP通信不期望的HTTP通信攻擊非HTTP通信企業網絡ISAServer對數據包的處理數據包標頭和應用內容都要檢查應用層內容IP數據頭Checksum源地址、目標地址、TTL、校驗和TCP數據頭Checksum順序號、源端口、目標端口、校驗和根據內容決定轉發只處理合法的及經允許的通信Internet期望的HTTP通信不期望的HTTP通信Attacks非HTTP通信企業網絡系統特點系統功能和特點

與活動目錄充分整合

與傳統的防火墻產品配合，以賬戶為中心的網絡訪問控制智能緩存解決方案

智能報表機制

病毒防護LiveCommunicationServerSharePointServerExchange

mailboxserverExchangeIMCserverISAServer-FirewallSMTP

ServerLiveCommunicationServer郵件即時消息及文件郵件即時消息及文件病毒蠕蟲Antigen幫助攔截入站病毒及不合適內容幫助內部服務器免受病毒攻擊幫助防止保密信息外發ISAServer防火墻在網絡前端攔截應用層攻擊用戶接入的預先認證AntigenAntigenAntigenAntigenAntigenAntigenISAServer

2004ISAServer

2004微軟新一代企業信息化整體框架是一個技術成熟，功能完備的整體相互依賴、相互補充，既發揮各自的獨特作用又相互支撐！環節目標及任務方法整體規劃確定發展方向、技術線路、建設藍圖、整體架構、投資策略、項目種類、經費預算。微軟IT規劃框架–

RVA顧問咨詢服務系統開發系統需求調研、功能范圍確定，系統架構設計，邏輯設計、物理設計、代碼開發、系統測試、試運行與穩定、系統上線。微軟系統架構設計規范，設計模板、最佳實踐指導項目管理確定項目經理，項目組隊，里程碑，進度計劃，質量規范，風險管理，狀態報告。微軟項目管理框架-

MSF（公開課程）運行與維護確定運維質量指標(SLA)，評估運維現狀，建立團隊、確定管理流程，分析主要風險，提供持續的技能培訓。微軟系統運維框架–

MOF（公開課程）安全與管理進行安全現狀評估，找到安全弱點，確定和更新整體安全策略，制定和實施安全提升計劃，定期進行安全評估。微軟信息安全管理框架企業信息安全管理框架微軟提供的信息化建設方法論國內成功案例金融工商銀行平安保險華融資產管理公司新華人壽保險公司中信集團生命人壽保險有限公司上海浦發銀行信誠人壽保險中國信達資產管理公司電信/媒體北京移動中國網通中國電信南方報業中國聯通阿里巴巴UT斯達康深圳華為政府中國海關江蘇工商管理局農業部廣州人事局航天科技總部江蘇國土資源局浙江省政府能源/運輸中國石油中國石化鐵道部中國南方航空公司海南航空制造業東風汽車白沙集團神龍汽車萍鄉鋼鐵目錄服務國內客戶中石油全國目錄部署（100000用戶）鐵道部（97500用戶）工商銀行全國目錄部署（50000用戶）海關全國目錄部署（15000用戶）中國網絡通信有限公司全國目錄部署華融資產（2000用戶）中信實業銀行（3000用戶）上海貝爾（3000用戶）海南航空（6000用戶）深圳華為（15000用戶）東風汽車（9000用戶）上海浦發（15