systemintroduce

系統(tǒng)概述

人類社會(huì)大踏步邁進(jìn)21世紀(jì)，信息技術(shù)和經(jīng)濟(jì)已表現(xiàn)出卓越的發(fā)展趨勢(shì)，信息技術(shù)從

模擬向數(shù)字化、從單一媒體向多媒體、從低速傳輸向暢通的“信息高速公路”、從一般網(wǎng)絡(luò)

向智能化廣域網(wǎng)絡(luò)轉(zhuǎn)變；經(jīng)濟(jì)從物質(zhì)型經(jīng)濟(jì)向信息經(jīng)濟(jì)、從實(shí)體經(jīng)濟(jì)向虛擬經(jīng)濟(jì)、從本地經(jīng)

濟(jì)向跨區(qū)經(jīng)濟(jì)甚至全球?體化經(jīng)濟(jì)轉(zhuǎn)變。革新企業(yè)管理，加快信息建設(shè)勢(shì)在必行，企業(yè)管理

軟件成為當(dāng)今經(jīng)濟(jì)需求和技術(shù)發(fā)展的必然產(chǎn)物。金蝶K3系統(tǒng)是基于局域網(wǎng)、廣域網(wǎng)范圍的

企業(yè)管理解決方案，它嚴(yán)格遵循微軟WindowsDNA框架結(jié)構(gòu)，以三層結(jié)構(gòu)技術(shù)為基石，結(jié)

合先進(jìn)的Citrix終端技術(shù)實(shí)現(xiàn)真正的分布式網(wǎng)絡(luò)計(jì)算架構(gòu)，從應(yīng)用上將單一主體的會(huì)計(jì)核算

轉(zhuǎn)變成群體的財(cái)務(wù)管理，從分散的部門管理變?yōu)橐惑w化的企業(yè)管理解決方案。

金蝶KR系統(tǒng)的背景

金蝶K3系統(tǒng)作為一個(gè)財(cái)務(wù)業(yè)務(wù)一體化的企業(yè)管理全面解決方案，有其深厚的技術(shù)背景

和業(yè)務(wù)背景。

一、網(wǎng)絡(luò)環(huán)境的改善

計(jì)算機(jī)技術(shù)在“摩爾定律”的驅(qū)使下飛速發(fā)展,CPU由最初的8088發(fā)展到今天的Pentium

D,連通全球的網(wǎng)絡(luò)系統(tǒng)己經(jīng)建成，網(wǎng)絡(luò)帶寬成倍增加，以此為契機(jī)的企業(yè)信息化正在深入

人心；企業(yè)信息化首當(dāng)其沖的就是企業(yè)管理網(wǎng)絡(luò)化，這就要求企業(yè)管理軟件必須適應(yīng)新的網(wǎng)

絡(luò)環(huán)境。

二、WEB技術(shù)飛快速發(fā)展

以TCP/IP和HTML為代表的WEB技術(shù)正在迅猛的發(fā)展，截至2003年年底，僅我國(guó)的互

聯(lián)網(wǎng)（Internet）用戶就已達(dá)7950萬，同時(shí)擁有3089萬互聯(lián)計(jì)算機(jī)，并且這個(gè)數(shù)字每天都

在增加；企業(yè)使用各種工具在Internet上發(fā)布、共享以及查詢信息，作為經(jīng)營(yíng)決策指導(dǎo)；較

前衛(wèi)的企業(yè)已經(jīng)實(shí)施了網(wǎng)上交易系統(tǒng)，減少中間環(huán)節(jié)費(fèi)用，客戶也能及時(shí)得到最優(yōu)惠的商品。

人們普遍認(rèn)識(shí)到，WEB技術(shù)應(yīng)用于企業(yè)的發(fā)展，其突出的特點(diǎn)就是它可以“使大企業(yè)變小,

小企業(yè)變大”，最大限度地縮小了企業(yè)內(nèi)各個(gè)部門、企業(yè)與企業(yè)和企業(yè)與客戶間的距離，作

為一種重要的信息技術(shù)，WEB技術(shù)完全可以在企業(yè)信息管理的各個(gè)方面武裝一個(gè)企業(yè)，使

企業(yè)打破空間限制，使企業(yè)隨心所欲地進(jìn)行信息的交流、管理和利用，發(fā)展電子商務(wù)，內(nèi)外

一體。

三、企業(yè)集團(tuán)需要加強(qiáng)內(nèi)部控制

企業(yè)大規(guī)模分化、重組企業(yè)集團(tuán)的時(shí)代已經(jīng)到來，這是企業(yè)適應(yīng)市場(chǎng)競(jìng)爭(zhēng)的現(xiàn)實(shí)需求,

也是迎接世界經(jīng)濟(jì)一體化的戰(zhàn)略性措施。企業(yè)集團(tuán)的內(nèi)部控制同一般企業(yè)不同，各下屬企業(yè)

空間割據(jù)和行業(yè)多樣，對(duì)于這樣的群體，需要更加嚴(yán)格的內(nèi)部控制和管理，包括賬務(wù)處理控

制、貨幣資金控制、收入循環(huán)控制、費(fèi)用循環(huán)控制、生產(chǎn)循環(huán)控制、財(cái)務(wù)成果控制等，這一

切都需要通過遠(yuǎn)程工具來快速有效的管理，達(dá)到事前控制的目的，從而進(jìn)一步提升企業(yè)的市

場(chǎng)競(jìng)爭(zhēng)力。同資金一樣，企業(yè)的數(shù)據(jù)信息也是企業(yè)集團(tuán)的一項(xiàng)重要資源，企業(yè)集團(tuán)群體數(shù)據(jù)

的安全性、真實(shí)性和及時(shí)性直接影響集團(tuán)的決策結(jié)果，因此，企業(yè)集團(tuán)需要財(cái)務(wù)數(shù)據(jù)集中存

儲(chǔ)和管理，定期或不定期地審查下屬企業(yè)賬務(wù)、匯總合并財(cái)務(wù)報(bào)表、分析財(cái)務(wù)狀況，防止會(huì)

計(jì)舞弊行為，這種遠(yuǎn)程數(shù)據(jù)處理、數(shù)據(jù)分布存儲(chǔ)需求充分地體現(xiàn)了網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的應(yīng)用價(jià)值。

四、移動(dòng)辦公的興起

購機(jī)成本的迅速降低，多數(shù)企業(yè)均在辦公桌上配備了PC機(jī)，并為流動(dòng)人員配備了便攜

式電腦。在繁忙的社會(huì)中，大量流動(dòng)人員需要在公司外工作：家里、航空港、酒店中。作為

財(cái)務(wù)人員的辦公軟件——企業(yè)管理軟件同樣需要具有移動(dòng)辦公的能力。財(cái)務(wù)主管希望隨時(shí)隨

地查看公司賬簿，希望在家調(diào)整公司賬務(wù)；外地出差人員需要及時(shí)填寫報(bào)銷憑證，回到公司

可以上網(wǎng)直接提交數(shù)據(jù)。

五、電子商務(wù)

電子商務(wù)浪潮以不可遏制之勢(shì)迅速席卷了整個(gè)世界,成為網(wǎng)絡(luò)和各種媒體必談的焦點(diǎn)明

星。當(dāng)今，電子商務(wù)被納入到包含內(nèi)聯(lián)網(wǎng)（Intranet）、互聯(lián)網(wǎng)（Internet）的大作用域中，

極大地拓展了電子商務(wù)“互聯(lián)網(wǎng)上商務(wù)活動(dòng)”的初期意義。內(nèi)聯(lián)網(wǎng)實(shí)現(xiàn)無紙辦公，進(jìn)而辦公

自動(dòng)化（0A）,進(jìn)而管理信息系統(tǒng)（MIS/ERP）,使得企業(yè)的資金流、物流和信息流不斷循環(huán)

往復(fù)。互聯(lián)網(wǎng)發(fā)布信息、公告，網(wǎng)上交易，最大限度的模仿傳統(tǒng)方式的銷售。內(nèi)聯(lián)網(wǎng)與互聯(lián)

網(wǎng)連接，將內(nèi)部信息處理與外部信息處理一致化，就是現(xiàn)今意義上的電子商務(wù)。

金蝶KR系統(tǒng)的內(nèi)涵

金蝶K/3系統(tǒng)遵循微軟WindowsDNA框架結(jié)構(gòu)，基于三層結(jié)構(gòu)技術(shù)，支持網(wǎng)絡(luò)數(shù)據(jù)庫，支

持Microsoft/Citrix終端應(yīng)用，是真正面向網(wǎng)絡(luò)的企業(yè)管理軟件。它有如下技術(shù)組成：

＞“數(shù)據(jù)庫技術(shù)+三層結(jié)構(gòu)組件技術(shù)+Citrix終端技術(shù)+企業(yè)管理技術(shù)”

＞數(shù)據(jù)庫技術(shù)：企業(yè)管理軟件應(yīng)關(guān)注的是數(shù)據(jù)存放系統(tǒng)，即用來存儲(chǔ)和管理企業(yè)數(shù)據(jù)工具。解

決如何存儲(chǔ)數(shù)據(jù)才不會(huì)丟失；如何存儲(chǔ)才是最高效，處理最快及意外事件的數(shù)據(jù)自動(dòng)恢復(fù)

等問題。金蝶K/3系統(tǒng)采用大型網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)，支持大用戶量的訪問和海量的數(shù)據(jù)

存儲(chǔ)，支持主流大型數(shù)據(jù)庫MSSQLSERVER2000。

＞三層結(jié)構(gòu)技術(shù)：企業(yè)管理軟件是典型的數(shù)據(jù)庫應(yīng)用，三層結(jié)構(gòu)是一項(xiàng)先進(jìn)且成熟的數(shù)據(jù)庫應(yīng)

用結(jié)構(gòu)。根據(jù)分布式計(jì)算原理，它將應(yīng)用分為數(shù)據(jù)庫端、中間層、客戶端三個(gè)層次。數(shù)據(jù)

庫端即數(shù)據(jù)庫服務(wù)器；中間層包含了封裝商業(yè)規(guī)則的計(jì)算組件；客戶端為用戶界面，可以

是本地客戶端GUI、也可以是遠(yuǎn)程的Citrix客戶端。

＞Citrix終端技術(shù)：金蝶軟件（中國(guó)）有限公司是思杰系統(tǒng)亞太有限公司正式授權(quán)的Citrix獨(dú)立

軟件開發(fā)商，被授權(quán)可在中國(guó)內(nèi)地，香港和臺(tái)灣地區(qū)與金蝶應(yīng)用軟件系統(tǒng)一起捆綁銷售

CitrixMetaframePresentationServer。K/3與CitrixMPS結(jié)合部署可以大大減少遠(yuǎn)程客戶端的

網(wǎng)絡(luò)帶寬占用、提高傳輸安全性，并且K/3在MPS上部署的客戶端還具有免維護(hù)、集中管

理、易于擴(kuò)充等特性，能有效降低企業(yè)的系統(tǒng)管理成本。

＞企業(yè)管理技術(shù)：包括企業(yè)管理軟件的業(yè)務(wù)規(guī)則以及數(shù)據(jù)處理的手段。金蝶K/3系統(tǒng)通過對(duì)企

業(yè)物流、資金流、信息流的業(yè)務(wù)和財(cái)務(wù)管理，實(shí)現(xiàn)企業(yè)完善的“數(shù)據(jù)——信息——決策一

一控制”的企業(yè)管理解決方案。

K/3系統(tǒng)的應(yīng)用框架

軟件技術(shù)的先進(jìn)性直接影響其生命周期。金蝶KB系統(tǒng)是嚴(yán)格遵循微軟WindowsDNA

框架結(jié)構(gòu)，基于三層結(jié)構(gòu)技術(shù)開發(fā)的大型數(shù)據(jù)庫應(yīng)用系統(tǒng)。在介紹之前先讓我們來看看市場(chǎng)

上流行的管理軟件應(yīng)用框架。

當(dāng)前市場(chǎng)上管理軟件的應(yīng)用框架呈多樣化，包括：文件服務(wù)器（F/S）、兩層客戶/服務(wù)

器（2tC/S）、三層客戶/服務(wù)器（3tC/S）、瀏覽器/服務(wù)器（B/S）、N層結(jié)構(gòu)（Nt）。前三種是

從數(shù)據(jù)庫應(yīng)用角度來說的，后兩種是從WEB開發(fā)技術(shù)角度來定義的，因此前后兩類不具有

可比性。

企業(yè)管理軟件首先是數(shù)據(jù)庫應(yīng)用，因此具有優(yōu)良的數(shù)據(jù)庫處理性能相當(dāng)重要。三種類型

的應(yīng)用在數(shù)據(jù)庫處理上存在較大的差異。

文件服務(wù)器，是最早采用的數(shù)據(jù)庫應(yīng)用結(jié)構(gòu)，數(shù)據(jù)存放在特定的數(shù)據(jù)文件里如：DBF、

PARADOX,ACCESS等。這種結(jié)構(gòu)最大的缺點(diǎn)是數(shù)據(jù)處理沒有服務(wù)程序來維護(hù)，網(wǎng)絡(luò)性能差，

處理網(wǎng)絡(luò)數(shù)據(jù)的速度慢，當(dāng)用戶量或數(shù)據(jù)量大到一定程度時(shí)就會(huì)有數(shù)據(jù)丟失的危險(xiǎn)，數(shù)據(jù)安

全不容易保證。

兩層客戶/服務(wù)器，是針對(duì)大型數(shù)據(jù)庫管理系統(tǒng)開發(fā)的應(yīng)用，沿用早期的主機(jī)系統(tǒng)的數(shù)

據(jù)處理方式，它充分地利用大型數(shù)據(jù)庫本身固有的數(shù)據(jù)處理能力，數(shù)據(jù)處理的速度得到了提

高，同時(shí)數(shù)據(jù)的安全也得到了保證。在結(jié)構(gòu)上將應(yīng)用分為兩層：數(shù)據(jù)庫服務(wù)器和客戶端，借

助微機(jī)和局域網(wǎng)作一定程度的分布計(jì)算。雖然這樣，但是兩層結(jié)構(gòu)的還是有如下問題不能解

決：

當(dāng)用戶量增大時(shí)，數(shù)據(jù)庫的性能就會(huì)下降。因?yàn)椋?dāng)用戶連接上數(shù)據(jù)庫，開始處理數(shù)據(jù)

時(shí)，大型數(shù)據(jù)庫管理系統(tǒng)就會(huì)為每一個(gè)用戶建立一個(gè)連接，物理上表現(xiàn)為內(nèi)存的占用，當(dāng)用

戶量直線增加時(shí)，數(shù)據(jù)庫本身可用的資源就會(huì)相應(yīng)減少，因此整個(gè)數(shù)據(jù)庫的性能就會(huì)下降。

計(jì)算分布的峰值分配問題難于解決。在財(cái)務(wù)系統(tǒng)中存在需要大量計(jì)算的過程，如果將全

部計(jì)算過程放置到數(shù)據(jù)庫服務(wù)器上運(yùn)行，會(huì)加重?cái)?shù)據(jù)庫服務(wù)器的負(fù)擔(dān)，如果放在客戶端，網(wǎng)

路上傳輸?shù)臄?shù)據(jù)會(huì)過多，且客戶端的處理能力有限。

其應(yīng)用程序依賴于某一個(gè)特定類型的大型數(shù)據(jù)庫，用戶更換數(shù)據(jù)庫類型需要大規(guī)模改動(dòng)

程序，甚至重寫。應(yīng)用的移植性不夠好。客戶端程序與數(shù)據(jù)緊密相關(guān)，如果用戶需求變更，

面臨大量需要修改的程序.用戶需求不易滿足。

三層客戶/服務(wù)器，克服了上述兩種數(shù)據(jù)庫應(yīng)用的所有缺點(diǎn)，由于采用了組件技術(shù)，做

到了真正的分布式網(wǎng)絡(luò)計(jì)算。三層結(jié)構(gòu)包括數(shù)據(jù)庫服務(wù)器、中間層服務(wù)器、客戶端三個(gè)層次。

數(shù)據(jù)庫服務(wù)器：采用市場(chǎng)流行的大型數(shù)據(jù)庫管理系統(tǒng)，實(shí)現(xiàn)海量存儲(chǔ)，支持MSSQL

SERVER2000,為企業(yè)數(shù)據(jù)提供有力的安全保障。

中間層服務(wù)器：包含了封裝了系統(tǒng)業(yè)務(wù)邏輯的組件，應(yīng)用系統(tǒng)的大部分的計(jì)算工作在此

完成。首先，中間層同數(shù)據(jù)庫打交道，維護(hù)同數(shù)據(jù)庫的連接，采用“數(shù)據(jù)緩沖”和“代理連

接"，保證只有較少數(shù)量的用戶數(shù)據(jù)連接；接著，將數(shù)據(jù)按照一定的財(cái)務(wù)規(guī)則打包成業(yè)務(wù)對(duì)

象數(shù)據(jù)，最后將其傳向客戶端。中間層擁有臼己的內(nèi)存和CPU,并且可根據(jù)不同應(yīng)用需要進(jìn)

行分布式計(jì)算。所以能夠提供較高性能的數(shù)據(jù)庫應(yīng)用。

客戶端：在三層結(jié)構(gòu)中的客戶端只是用戶的界面外殼，不具有任何的復(fù)雜計(jì)算，它需要

做的工作就是將中間層傳入的業(yè)務(wù)對(duì)象數(shù)據(jù)放置在界面利控制用戶的鍵盤鼠標(biāo)操作。

金蝶K"系統(tǒng)全面采用了組件技術(shù)，應(yīng)用如“積木”般地搭建起來，這為用戶和二次開

發(fā)商提供了一個(gè)很好的開發(fā)平臺(tái)，通過標(biāo)準(zhǔn)的接口，可以直接調(diào)用中間層組件進(jìn)行數(shù)據(jù)操作,

這樣，用戶能將金蝶K6系統(tǒng)同其它應(yīng)用系統(tǒng)有機(jī)的結(jié)合起來，將企業(yè)各個(gè)系統(tǒng)全面整合為

一個(gè)完整的企業(yè)管理信息系統(tǒng)。

K/3系統(tǒng)的安全性

Internet并非是一個(gè)完美的神話，企業(yè)通過Internet,不僅要從異地取回重要數(shù)據(jù)，同

時(shí)又要面臨由于Internet的開放所帶來的數(shù)據(jù)安全的新挑戰(zhàn)，任何一家企業(yè)都不希望自己的

技術(shù)和商業(yè)機(jī)密被他人獲得，特別是財(cái)務(wù)數(shù)據(jù)，所以對(duì)于企業(yè)管理軟件來說，安全性是一個(gè)

十分重要的問題。安全性問題包括惡意攻擊和竊取、泄漏信息兩種類型。為防止非法侵入，

需要采用防火墻（Firewall）技術(shù)，它可以很好地把企業(yè)的內(nèi)部網(wǎng)與Internet隔離開來，作為

企業(yè)網(wǎng)的第一道安全防線，防火墻技術(shù)是用來保證對(duì)主機(jī)和應(yīng)用安全訪問及多種客戶機(jī)和服

務(wù)器的安全性，保護(hù)關(guān)健部門不受到來自內(nèi)部和外部的攻擊，為通過Internet進(jìn)行遠(yuǎn)程通信

的客戶提供安全通道，用戶可以根據(jù)自己的實(shí)際情況選擇合適的防火墻產(chǎn)品，來保證企業(yè)站

點(diǎn)的安全性。

金蝶K/3系統(tǒng)是運(yùn)行在Windows2000/2003網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)，采用微軟活動(dòng)目錄/域

用戶權(quán)限機(jī)制，是操作系統(tǒng)級(jí)別的用戶識(shí)別，較之傳統(tǒng)的企業(yè)管理軟件輸入用戶名和口令的

身份識(shí)別更加安全。Windows2000/2003具有極高的安全性，為賬號(hào)管理和企業(yè)范圍的網(wǎng)絡(luò)

認(rèn)證提供了很好的安全服務(wù)，在TCSEC（TrustedComputerSystemEvaluationCriteria受信任

電腦系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)）標(biāo)準(zhǔn)下，Windows2000/2003獲得了E）F-C2級(jí)的安全認(rèn)證，這是NT

繼從C2級(jí)安全認(rèn)證后又一次安全級(jí)別的提升。TCSEC標(biāo)準(zhǔn)是頗具權(quán)威的電腦系統(tǒng)安全標(biāo)準(zhǔn)

之一。

金蝶K3系統(tǒng)的數(shù)據(jù)傳遞由底層協(xié)議加密（SSL）,此種方式不必改變應(yīng)用層協(xié)議，也

不必改變傳輸層協(xié)議，它是在應(yīng)用層與傳輸層之間加一層安全加密協(xié)議，達(dá)到安全傳輸?shù)哪?/p>

的。SecureSocketLayer（SSL）是由SecureChannel（Schannel）安全提供程序?qū)崿F(xiàn)的基

于公眾密鑰加密的安全協(xié)議。如今，Internet瀏覽器和服務(wù)器使用這些安全協(xié)議來做互認(rèn)證，

信息完整性以及保密性高。當(dāng)提交服務(wù)器的證書作為SSL安全通道建立的一部分后，就由

InternetExplorer（客戶機(jī)）來做Internet服務(wù)器的認(rèn)證。客戶機(jī)程序核實(shí)了服務(wù)器證書

上加了密的簽名，就接受這個(gè)證書和到幾個(gè)已知的或設(shè)置CA的任何中間的CA證書。采

用SSL協(xié)議能為傳輸數(shù)據(jù)提供較高的安全性。

金蝶K3系統(tǒng)采用大型數(shù)據(jù)庫管理系統(tǒng)作為數(shù)據(jù)存儲(chǔ)方案，大型數(shù)據(jù)庫對(duì)用戶有一套嚴(yán)

格的權(quán)限管理機(jī)制，這為企業(yè)數(shù)據(jù)又加了一道安全屏障。對(duì)大型數(shù)據(jù)庫的用戶、密碼進(jìn)行嚴(yán)

格管理，定義用戶的數(shù)據(jù)庫角色，并且提供審計(jì)線索，能夠保證數(shù)據(jù)的安全性。

有了上述四級(jí)安全防護(hù)的保證，金蝶K3系統(tǒng)有條件在互聯(lián)網(wǎng)上安全運(yùn)行。

systemintroduce

基本部署策略

基本配置策略用以指導(dǎo)用戶依據(jù)自身的業(yè)務(wù)規(guī)模，以及對(duì)性能、可靠性等方面的具體要

求，來確定合適的系統(tǒng)配置和部署方案。用戶的環(huán)境和要求千差萬別，本章只是給出一個(gè)指

導(dǎo)性的配置策略，依實(shí)際情況的不同，用戶可能需要在本部署策略的基礎(chǔ)之上做適當(dāng)調(diào)整以

滿足特定需求。

K/3系統(tǒng)采用多層網(wǎng)絡(luò)結(jié)構(gòu)，包括三層結(jié)構(gòu)（數(shù)據(jù)庫服務(wù)層，中間層、客戶端）以及Web

應(yīng)用層。

?客戶端：指最終用戶進(jìn)行業(yè)務(wù)操作或者業(yè)務(wù)設(shè)置的應(yīng)用程序、交互界面和

對(duì)話框。K6系統(tǒng)的客戶端是基于Windows的GUI桌面應(yīng)用程序，需要安裝在業(yè)務(wù)

系統(tǒng)使用人員的計(jì)算機(jī)上。

?中間層：涵蓋了K3系統(tǒng)所有的業(yè)務(wù)邏輯，包括業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯組件，

客戶端的業(yè)務(wù)操作，通過對(duì)中間層組件的調(diào)用來訪問數(shù)據(jù)庫。中間層是K6系統(tǒng)的

核心部分，對(duì)硬件環(huán)境的配置要求較高。

?數(shù)據(jù)庫：主要安裝數(shù)據(jù)庫產(chǎn)品和K3系統(tǒng)的數(shù)據(jù)庫端組件，對(duì)目前的K3系

統(tǒng)而言，要安裝的數(shù)據(jù)庫是SQLServer,所有的業(yè)務(wù)數(shù)據(jù)都是存儲(chǔ)在這里的。

?Web系統(tǒng)：則是基于C/S架構(gòu)進(jìn)行的擴(kuò)展，我們可以瀏覽器來訪問KB的

結(jié)算中心系統(tǒng)、HR系統(tǒng)和管理駕駛艙。在Web系統(tǒng)的應(yīng)用中，客戶端只需要瀏覽

器而不用安裝任何系統(tǒng)。

KA系統(tǒng)的多層結(jié)構(gòu)，可以根據(jù)需要安裝在不同的機(jī)器上，它們對(duì)系統(tǒng)的配置要求也不

盡相同，中間層和數(shù)據(jù)庫還可以根據(jù)需要進(jìn)行分布式部署。高端應(yīng)用可通過群集技術(shù)提供高

可靠、高性能、高容錯(cuò)性等高級(jí)特性。

下面我們從不同的應(yīng)用規(guī)模分別描述其配置策略

基本系統(tǒng)配置

Ka系統(tǒng)四個(gè)安裝部分中，中間層和數(shù)據(jù)庫對(duì)于任何應(yīng)用模式都必須安裝，客戶端和

Web系統(tǒng)則可以根據(jù)需要選擇安裝。K/3系統(tǒng)的多層結(jié)構(gòu)可以裝在同一臺(tái)機(jī)器上，但如果條

件允許，應(yīng)盡可能將各部分分別部署，以提升整個(gè)系統(tǒng)的性能。

小型的應(yīng)用場(chǎng)合，業(yè)務(wù)量較小，通常只有三到五個(gè)客戶端，可以考慮將中間層和數(shù)據(jù)庫

安裝在同一臺(tái)服務(wù)器上。

超過十個(gè)客戶端的應(yīng)用，每個(gè)部分都應(yīng)該裝在不同的機(jī)器上，如果中間層服務(wù)器的負(fù)荷

允許，也可以將Web系統(tǒng)安裝在中間層所在服務(wù)器上。除非是做演示用途，否則請(qǐng)不要將

K臺(tái)系統(tǒng)的多層結(jié)構(gòu)裝在同一硬件設(shè)備。

Ka系統(tǒng)的多層結(jié)構(gòu)對(duì)硬件設(shè)備的要求各有不同，以下章節(jié)對(duì)系統(tǒng)配置的描述均指安裝

單一部分時(shí)的常規(guī)配置，如果硬件設(shè)備上安裝了多個(gè)部分的程序，對(duì)配置將有更高的要求。

客戶端

用戶通過網(wǎng)絡(luò)終端的客戶機(jī)對(duì)系統(tǒng)進(jìn)行業(yè)務(wù)操作，客戶端對(duì)硬件設(shè)備的要求并不是特別

的嚴(yán)格。

如果客戶端安裝了K3系統(tǒng)的全部模塊，或者安裝了許多其它的應(yīng)用軟件，會(huì)對(duì)系統(tǒng)的

性能造成一定的影響。如果經(jīng)常會(huì)同時(shí)打開多個(gè)應(yīng)用系統(tǒng),對(duì)系統(tǒng)資源也會(huì)提出更高的要求。

如果以Web應(yīng)用方式為主，只要能很好地運(yùn)行瀏覽器軟件就足夠了。基本原則是如果系統(tǒng)

運(yùn)行很慢而且頻繁地訪問硬盤，就應(yīng)該考慮提升系統(tǒng)配置了。

有時(shí)系統(tǒng)慢并不一定是客戶端的問題，中間層或者數(shù)據(jù)庫性能下降也會(huì)導(dǎo)致客戶端響應(yīng)

變慢。因此，通過必要的性能監(jiān)測(cè)找到問題的根源是解決問題的關(guān)鍵所在。

中間層服務(wù)器

中間層的任務(wù)是運(yùn)行K3系統(tǒng)的也務(wù)組件，客戶端通過訪問中間層向數(shù)據(jù)庫讀寫數(shù)據(jù)，

從而完成各種復(fù)雜的業(yè)務(wù)操作。一個(gè)中間層服務(wù)器往往要為多個(gè)客戶端（包括Web）提供

服務(wù)，因此對(duì)中間層機(jī)器的配置要求一般較高。

中間層使用部門級(jí)的服務(wù)器即可。根據(jù)實(shí)際測(cè)試的結(jié)果，K3系統(tǒng)中，一臺(tái)配置為：主

流Xeon雙CPU、1GB內(nèi)存的中間層服務(wù)器，所能負(fù)載的并發(fā)用戶數(shù)為60個(gè)左右或者Web

客戶端200個(gè)左右。在超過該并發(fā)數(shù)目時(shí);可通過提升服務(wù)器的硬件配置解決，當(dāng)單臺(tái)服務(wù)

器增加配置仍無法滿足性能要求時(shí)，此時(shí)需要采用多臺(tái)中間層服務(wù)器進(jìn)行分布式處理。因此

我們建議為每60-100個(gè)GUI客戶端或每200個(gè)Web客戶端配置一臺(tái)中間層服務(wù)器。

業(yè)務(wù)量的大小，客戶端的數(shù)目會(huì)影響中間層服務(wù)器的處理和響應(yīng)能力，通過增加CPU、

內(nèi)存可以對(duì)性能的提升帶來一定的好處，但這并不是萬能的。當(dāng)達(dá)到一定的并發(fā)數(shù)量后，配

置的提升可能對(duì)性能的改進(jìn)成效并不明顯，此時(shí)應(yīng)該考慮中間層的分布處理。

Web服務(wù)器

KB系統(tǒng)的Web部分需要安裝在IIS5.0及以上版本的機(jī)器上，客戶端通過IE瀏覽器訪

問Web服務(wù)器上相應(yīng)的虛擬目錄來進(jìn)行日常的業(yè)務(wù)處理。當(dāng)確定Web服務(wù)器成為性能瓶頸

的時(shí)候，可以考慮安裝多臺(tái)Web服務(wù)器，每臺(tái)Web服務(wù)器上執(zhí)行Web系統(tǒng)配置工具指向

不同的中間層。條件許可的話，可以建立Web服務(wù)器網(wǎng)絡(luò)負(fù)載平衡群集以獲得更好的效果。

數(shù)據(jù)庫服務(wù)器

數(shù)據(jù)庫服務(wù)器作為賬套數(shù)據(jù)的存儲(chǔ)平臺(tái)，無論從性能還是可靠性方面都提出了很高的要

求。一方面我們可以通過增加內(nèi)存和CPU來提升數(shù)據(jù)庫服務(wù)器的性能，另一方面利用RAID

來存儲(chǔ)數(shù)據(jù)可以提高數(shù)據(jù)的安全和可靠性，同時(shí)也會(huì)帶來一定的I/O性能提升。

如果數(shù)據(jù)庫服務(wù)器成為性能瓶頸，可以考慮將賬套分布到不同的數(shù)據(jù)庫服務(wù)器上，如果

本來就只有一個(gè)賬套，即一個(gè)Database,就只能依靠提高數(shù)據(jù)庫服務(wù)器的配置來提升性能了。

網(wǎng)絡(luò)環(huán)境

K/3系統(tǒng)是以三層結(jié)構(gòu)Clent/Server為基礎(chǔ)擴(kuò)展為多層網(wǎng)絡(luò)結(jié)構(gòu)的，在網(wǎng)絡(luò)結(jié)構(gòu)上具

有很大的靈活性。在K/3系統(tǒng)的三層結(jié)構(gòu)中，業(yè)務(wù)表示層即客戶端與中間層的通信量非常小;

而中間層與數(shù)據(jù)庫服務(wù)層之間具有較高的通信量。

支持K/3系統(tǒng)運(yùn)行的網(wǎng)絡(luò)可以分為核心網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)兩大部分：

?核心網(wǎng)絡(luò)。核心網(wǎng)絡(luò)的任務(wù)是提供足夠支持應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器運(yùn)

行所需要的高帶寬。核心網(wǎng)絡(luò)起到了隔離作用，所有對(duì)K3系統(tǒng)的數(shù)據(jù)訪問都必須

由應(yīng)用服務(wù)器即中間層執(zhí)行，這種方式將數(shù)據(jù)庫和外界隔離開來，有效保護(hù)了數(shù)據(jù)

庫服務(wù)器上數(shù)據(jù)的安全。在網(wǎng)絡(luò)帶寬足夠的前提下，數(shù)據(jù)庫服務(wù)器和中間層應(yīng)用服

務(wù)器可以進(jìn)行靈活的配置。用戶可以根據(jù)硬件平臺(tái)的容量選擇將數(shù)據(jù)庫和應(yīng)用服務(wù)

器集中在同一主機(jī)上，或者分布在多臺(tái)主機(jī)上，起到均衡訪問壓力的作用。

?訪問網(wǎng)絡(luò)。訪問網(wǎng)絡(luò)部分的任務(wù)是為K3客戶端提供靈活多樣的接入手段。

K3的三層結(jié)構(gòu)設(shè)計(jì)中，由于客戶端與中間層的通信量相對(duì)較小，可以使用ADSL、

寬帶網(wǎng)、局域網(wǎng)等多種訪問方式。在訪問網(wǎng)絡(luò)上可以根據(jù)客戶的實(shí)際應(yīng)用需要進(jìn)行

靈活的部署。

在建議的應(yīng)用部署方案中，數(shù)據(jù)庫服務(wù)器和中間層服務(wù)器被安置在計(jì)算中心局域網(wǎng)內(nèi)的

核心網(wǎng)段上。在核心網(wǎng)段所覆蓋的范圍內(nèi)，各客戶機(jī)通過光纖、100/10M交換機(jī)與計(jì)算中心

共同組成中心網(wǎng)絡(luò)。通過防火墻的分隔，K/3數(shù)據(jù)庫服務(wù)器和中間層服務(wù)器所在網(wǎng)段成為核

心網(wǎng)段，網(wǎng)絡(luò)其余部分為訪問網(wǎng)段。所有外地用戶（包括外地局域網(wǎng)用戶和遠(yuǎn)程訪問用戶）

都必須通過防火墻的過濾才能夠訪問核心網(wǎng)絡(luò)及其上的K/3系統(tǒng)。

外地分支機(jī)構(gòu)網(wǎng)絡(luò)可以通過DDN專線（或者FrameRelay、ISDN撥號(hào)等其他方式）連接

到中心網(wǎng)絡(luò)的訪問網(wǎng)段。為提高網(wǎng)絡(luò)的可靠性，可以采用包括電話撥號(hào)備份在內(nèi)的線路備份

措施，以及具有冗余路由的廣域網(wǎng)結(jié)構(gòu)。

網(wǎng)絡(luò)結(jié)構(gòu)方案

最簡(jiǎn)方案（ScaleInone）

最簡(jiǎn)單的業(yè)務(wù)需求應(yīng)用，允許客戶將所有的服務(wù)都安裝在一臺(tái)服務(wù)器上，這種形式稱為

ScaleIn（向內(nèi)擴(kuò)展）。該方案在一臺(tái)服務(wù)器上實(shí)現(xiàn)三層結(jié)構(gòu)的全部工作過程。

Clients

WEB股務(wù)COM服務(wù)SQLServer

圖2-1最簡(jiǎn)方案拓?fù)鋱D

分層部署方案(ScaleOut-Tier3)

當(dāng)業(yè)務(wù)應(yīng)用在一臺(tái)服務(wù)器上不能滿足，或者需要對(duì)原有的單臺(tái)服務(wù)器進(jìn)行升級(jí)的時(shí)候,

可以考慮對(duì)DNA三層結(jié)構(gòu)進(jìn)行壓力分解，在該方案中，針對(duì)比較復(fù)雜的業(yè)務(wù)需求，將三層

結(jié)構(gòu)對(duì)應(yīng)的服務(wù)分布安裝在不同的服務(wù)器上，這種形式稱為ScaleOut(向外擴(kuò)展)。

圖2-2分層部署網(wǎng)絡(luò)拓?fù)鋱D

分層部署集群應(yīng)用方案(ScaleOut-Tier3-Cluster)

當(dāng)客戶業(yè)務(wù)需求在進(jìn)行了三層結(jié)構(gòu)分解以后，硬件平臺(tái)依然無法達(dá)到性能負(fù)荷要求時(shí)，

傳統(tǒng)的思路會(huì)要求客戶選擇替換原有設(shè)備，轉(zhuǎn)而使用性能更高，運(yùn)行速度更快的高端服務(wù)器。

這對(duì)客戶的原有硬件投資將是一種極大的浪費(fèi)，同時(shí)高端服務(wù)器的采購費(fèi)用將是非常驚人

的。在DNA體系架構(gòu)下，支持使用集群的方式擴(kuò)展服務(wù)器對(duì)系統(tǒng)業(yè)務(wù)的處理能力。在比較

龐大復(fù)雜的業(yè)務(wù)應(yīng)用情況下，對(duì)每一個(gè)服務(wù)使用一組服務(wù)器陣列并通過集群的工作方式，實(shí)

現(xiàn)強(qiáng)大的負(fù)載均衡能力。

圖2-3群集部署網(wǎng)絡(luò)拓?fù)鋱D

各方案特性對(duì)比

方案特性

網(wǎng)絡(luò)模型適用范圍

優(yōu)點(diǎn)缺點(diǎn)

硬件投資成本最小；服務(wù)器在物理上對(duì)許可協(xié)議較少；

客戶端是可見的，不符

服務(wù)器內(nèi)部通訊速度合高安全性的要求；并發(fā)操作用

最快（系統(tǒng)內(nèi)部總線處理速硬件負(fù)荷能力較戶數(shù)量不多；

最簡(jiǎn)方案

度）；小，并發(fā)用戶數(shù)量有限；

ScaleInone小規(guī)模企業(yè)

業(yè)務(wù)擴(kuò)展的時(shí)候需要升

維護(hù)最簡(jiǎn)單；應(yīng)用。

級(jí)服務(wù)器或者考慮使用

其它的解決方案。

硬件投資成本最有效，負(fù)荷能力高于單機(jī)許可協(xié)議較

可以針對(duì)Web服務(wù)、Com方案，但是面對(duì)復(fù)雜業(yè)多；

服務(wù)、數(shù)據(jù)庫服務(wù)不同的需務(wù)的高強(qiáng)度處理仍然無

并發(fā)用戶40

求選用最適用的服務(wù)器硬法實(shí)現(xiàn)智能負(fù)載分布，

個(gè)左右；

件；

對(duì)性能要求苛刻的

中小型企業(yè)

.數(shù)據(jù)庫與客戶端隔離，高端客戶來說，本方案

應(yīng)用；

最大程度保護(hù)客戶的數(shù)據(jù)仍未達(dá)到高可用性的標(biāo)

是目前K/3

分層部署方安全；準(zhǔn)

應(yīng)用較為普遍的

案

.三層結(jié)構(gòu)下邏輯結(jié)構(gòu)

網(wǎng)絡(luò)模型。

ScaleOut

分布清晰，系統(tǒng)整體運(yùn)行效

-Tier3

率高；

支持更多的業(yè)務(wù)壓力

和并發(fā)用戶操作需求；

方案設(shè)計(jì)靈活，支持向

上擴(kuò)展到集群處理方案；

性能價(jià)格比最優(yōu)的方

案形式.

發(fā)揮三層結(jié)構(gòu)應(yīng)用精成本費(fèi)用較高；許可協(xié)議較

髓，高可用性和高性能表多；

集群方案在項(xiàng)目后

現(xiàn)；

期需要客戶具備專業(yè)的并發(fā)用戶數(shù)

數(shù)據(jù)庫與客戶端隔離，人員進(jìn)行管理維護(hù)。量大；

最大程度保護(hù)客戶的數(shù)據(jù)

高端客戶

安全；

業(yè)務(wù)；

數(shù)據(jù)庫采用Fail-Over

cluster,在單臺(tái)數(shù)據(jù)庫出現(xiàn)

故障的時(shí)候不影響整體系

統(tǒng)的運(yùn)行；

三層結(jié)構(gòu)下邏輯結(jié)構(gòu)

集群應(yīng)用方案分布清晰，系統(tǒng)整體運(yùn)行效

ScaleOut率高；

-Tier3

在投資許可的條件下

-Cluster

對(duì)業(yè)務(wù)壓力的支持和并發(fā)

用戶操作的數(shù)量幾乎沒有

限制；

該方案設(shè)計(jì)靈活，費(fèi)用

雖然較高但仍可以得到嚴(yán)

格的控制，客戶可以在進(jìn)行

評(píng)估后，對(duì)集群服務(wù)器的性

能、規(guī)格、數(shù)量進(jìn)行有效測(cè)

算，從而給出比較精確的方

案預(yù)算；

是所有方案中性能最

優(yōu)的一種。

表2T

KB系統(tǒng)網(wǎng)絡(luò)服務(wù)器配比參照表

一、財(cái)務(wù)類用戶服務(wù)器配置簡(jiǎn)易參照表

業(yè)務(wù)應(yīng)用類別財(cái)務(wù)類——總賬、工資、固定資產(chǎn)等模塊

業(yè)務(wù)應(yīng)用模集中式應(yīng)用/K/3GUI&WEB

式：

操作系統(tǒng)Windows2000+SP4及其它安全補(bǔ)丁/Windows2003

及應(yīng)用軟件SQLServer2000+SP4；

部門級(jí)標(biāo)準(zhǔn)配置的中間層服務(wù)器可負(fù)荷75個(gè)左右的并發(fā)財(cái)務(wù)類用戶

中間層服務(wù)器服務(wù)器數(shù)量值比1NT（最大并發(fā)用戶數(shù)/75）+1

數(shù)量計(jì)算公式

例如：當(dāng)最大并發(fā)用戶數(shù)為N=125,則中間層服務(wù)器數(shù)量建議值為

int（125/75）+l=2

1-30最大并發(fā)用戶數(shù)ScaleInOne

網(wǎng)絡(luò)部署模式30-100最大并發(fā)用戶數(shù)分層部署方案(ScaleOut-Tier3)

建議

100以上的最大并發(fā)用戶數(shù)集群部署方案(ScaleOutTier3

Cluster)

服務(wù)器配置中間層服務(wù)器：雙路Xeon2.8G以匕CPU1G以上內(nèi)存

中間層服務(wù)器需要安裝雙網(wǎng)卡，100/1000M

建議配置：部門級(jí)服務(wù)器

數(shù)據(jù)庫服務(wù)器：雙路Xeon2.7G以」tCPU/2G以上內(nèi)存/單網(wǎng)卡（當(dāng)存在3

臺(tái)以上中間層時(shí)，建議1G網(wǎng)卡）

建議配置（集群）：4路CPU

表2-2

二、供需鏈類用戶服務(wù)器配置簡(jiǎn)易參照表

'業(yè)務(wù)應(yīng)用供需鏈類——指采購管理、倉存管理、銷售管理（商業(yè)、工業(yè)）等模塊

類別

業(yè)務(wù)應(yīng)用集中式應(yīng)用/K/3GUI&WEB

模式：

操作系統(tǒng)Windows2000+SP4及其他安全補(bǔ)丁/Windows2003

及應(yīng)用軟SQLServer2000+SP4

件ApplicationCenter2000(SP2)(群集方案下使用)

部門級(jí)標(biāo)準(zhǔn)配置的中間層服務(wù)器（雙CPU,2G內(nèi)存）可負(fù)荷65個(gè)左右

中間層服

的供需鏈類并發(fā)用戶

務(wù)器

服務(wù)器數(shù)量值QlNT（N/65）+l

數(shù)量計(jì)算

例如：當(dāng)最大并發(fā)用戶數(shù)為N=150,則中間層數(shù)量建議值為

公式

int（150/65）+1=3

1-20最大并發(fā)用戶數(shù)ScaleInOne

網(wǎng)絡(luò)部署20-75最大并發(fā)用戶數(shù)分層部署方案(ScaleOut-Tier

3)

模式建議

75以上的最大并發(fā)用戶數(shù)集群部署方案(ScaleOutTier3

Cluster)

中間層服雙路Xeon2.8GCPU

務(wù)器配置

2G內(nèi)存

雙網(wǎng)卡(100/1000M)

數(shù)據(jù)庫服雙路Xeon2.7GCPU/4GMEM

務(wù)器配置單網(wǎng)卡（1G）（如果選擇數(shù)據(jù)庫集群則要求雙網(wǎng)卡）

建議配置：4路CPU（150~200并發(fā)數(shù)）

最高可選Windows2003Enterprise（64位）+SQLServer2000Enterprise缶4

位）

磁盤陣列柜（可選）

表2-3

說明：財(cái)務(wù)類+供需鏈類許可協(xié)議部署模型同樣參照上述辦法進(jìn)行。

例如：某集團(tuán)K/3集中式應(yīng)用，中間層服務(wù)器1臺(tái)做網(wǎng)絡(luò)負(fù)載平衡NLB,另外4臺(tái)做組件

負(fù)載平衡CLB,可支持的并發(fā)用戶數(shù)約為300—350個(gè)。

特別說明:

1、由于微軟從2004-5月就停止Windows2000銷售，而且K/3中間層

在Windows2003上的性能表現(xiàn)比Windows2000要優(yōu)越許多，例如組件多進(jìn)程、

組件活動(dòng)時(shí)間限制等等，在Windows2000中是沒有的，所以，建議用戶盡量使

用Windows2003操作系統(tǒng)。

2、當(dāng)用戶數(shù)量較大時(shí)，建議數(shù)據(jù)庫服務(wù)器采用Sql2000SereverEnterprise,

操作系統(tǒng).Windows2000server和SQL2000Standard某些進(jìn)程僅支持單CPU或多

CPU處理效果不理想（類似于金蝶中間層組件“死鎖”現(xiàn)象），這點(diǎn)特別提請(qǐng)注

后、O

網(wǎng)絡(luò)設(shè)計(jì)和部署遵循原則:

網(wǎng)絡(luò)類別設(shè)計(jì)要求備注

1.數(shù)據(jù)庫/中間層服務(wù)器設(shè)置在同一局域網(wǎng)網(wǎng)絡(luò)帶寬一般

子網(wǎng)不會(huì)成為性能瓶頸

2.客戶端/中間層帶寬22M（有效帶

局域網(wǎng)應(yīng)寬）

用

3.中間層/數(shù)據(jù)庫帶寬e100M

4.數(shù)據(jù)庫與客戶端不同屬于一個(gè)子網(wǎng)，

僅對(duì)中間層可見（出于安全考慮）

1.服務(wù)器端Web/中間層/數(shù)據(jù)庫服務(wù)器部署1.網(wǎng)絡(luò)帶

在同一個(gè)子網(wǎng)里寬的不足往往成為

系統(tǒng)的性能瓶頸關(guān)

2.中間層/數(shù)據(jù)庫帶寬210OM;

鍵。

3.減少客戶端和中間層之間路由跳轉(zhuǎn)

如何管

數(shù)目；2.

理好網(wǎng)絡(luò)，是廣域

4.K3系統(tǒng)Web系列可以很好地運(yùn)行在網(wǎng)運(yùn)行良好的關(guān)犍

廣域網(wǎng)應(yīng)低速網(wǎng)絡(luò)或者廣域網(wǎng)絡(luò)環(huán)境。所在。啟用QoS網(wǎng)

用

5.必須使用GUI客戶端的情況下，必須絡(luò)服務(wù)等有助于提

保證有效訪問帶寬在256K（獨(dú)占/有效）以上。升網(wǎng)絡(luò)性能指標(biāo)。

6.極端的低速訪問條件下（小于32K）,

可以考慮使用遠(yuǎn)程終端訪問的形式，例如微軟

或者Citrix解決方案

7.提升廣域網(wǎng)的帶寬一般會(huì)明顯提高

系統(tǒng)的性能

DDNVPNvia

幀中繼

廣域網(wǎng)遠(yuǎn)ChinaNet

程連接ATM

方式ADSL

ISDN

PSTN城域網(wǎng)

低速率帶客戶端一一中間層帶寬＞=30K,則采用Citrix遠(yuǎn)程管理應(yīng)用軟件。一個(gè)Citrix

寬服務(wù)器（2G內(nèi)存、2.8G雙XeonCPU）^^40~60個(gè)K3Client用戶并發(fā)使用。

應(yīng)用解決

方案

集中式應(yīng)用：總部（中間層系統(tǒng)服務(wù)+數(shù)據(jù)庫）與遠(yuǎn)程客戶端連接為512K

幀中繼。這種應(yīng)用可以承擔(dān)3?4個(gè)KBGUIClient使用，或者10-30個(gè)

K3Web用戶使用。

分布式應(yīng)用：總部（中間層系統(tǒng)服務(wù)+數(shù)據(jù)庫）與遠(yuǎn)程分支機(jī)構(gòu)數(shù)據(jù)庫

連接為256K幀中繼獨(dú)占連接。通過KB賬套管理注冊(cè)遠(yuǎn)程機(jī)構(gòu)賬套，實(shí)現(xiàn)

K/3集團(tuán)控制、報(bào)表合并、審計(jì)機(jī)構(gòu)財(cái)務(wù)等。

應(yīng)用案例

有效帶寬低于64K,要實(shí)現(xiàn)諸如報(bào)表合并等功能則通過IMTS實(shí)現(xiàn)。

廣域網(wǎng)共享環(huán)境：總部與分公司的通訊帶寬為256K,除了K3以外，還

運(yùn)行著其他業(yè)務(wù)，有限帶寬資源下的網(wǎng)絡(luò)爭(zhēng)用導(dǎo)致K/3速度極不穩(wěn)定。

解決辦法：通過帶寬質(zhì)量管理軟件，保證帶寬的65%用于K3業(yè)務(wù)，并

使用終端服務(wù)軟件實(shí)現(xiàn)，系統(tǒng)運(yùn)行效果大為改觀。

表2-4

K/3網(wǎng)絡(luò)流量分布

圖2-4

說明：

Q1/Q2:客戶端與系統(tǒng)服務(wù)（KR許可所在服務(wù)器）之間的流量，一般為10?60Kbps/客戶

端*功能模塊。

M0:為客戶端登錄及退出系統(tǒng)產(chǎn)生的流量，中途應(yīng)用時(shí)不再增加流量，一般為120Kbps/

客戶端

F1/F2:為客戶端日常業(yè)務(wù)產(chǎn)生的流量,一般來情況下F1和F2分別占客戶端總流量的30?

40%、60?70%,F1/F2流量占K3系統(tǒng)流量絕大部分。

W1/W2:約40?60Kbps/客戶端，流量隨客戶端切換模塊而相應(yīng)增加。

S1/S2:中間層與KB數(shù)據(jù)庫之間的流量，其中S1和S2分別占總流量的15?20%、80?

85%。

流量從大至小排列順序:F24S2,Fl^Sl,Q2—Q1,W1?W2,MO

基本安全策略

KB系統(tǒng)是基于WindowsDNA架構(gòu)下的分布式應(yīng)用，需要對(duì)三層應(yīng)用系統(tǒng)分別進(jìn)行安全

設(shè)置，并在用戶運(yùn)行環(huán)境中積極采用推薦的安全技術(shù)，最終提高系統(tǒng)的抗攻擊能力和可用性。

客戶端的安全策略

金蝶K3系統(tǒng)登錄使用了兩類認(rèn)證方式

?域用戶登錄方式。當(dāng)使用域用戶登錄方式登錄K3系統(tǒng)時(shí)，系統(tǒng)會(huì)將當(dāng)前域

用戶的賬號(hào)信息傳送到中間層組件，中間層組件驗(yàn)證賬套數(shù)據(jù)庫中是否有該用戶信

息。如果有該用戶信息并且該用戶是有效用戶，則進(jìn)入K/3系統(tǒng)，否則，提示用戶

登錄失敗。

?命名身份登錄方式。包括：傳統(tǒng)登錄方式，動(dòng)態(tài)密碼鎖(ActivCard)登錄

方式和智能鑰匙(eKey)認(rèn)證方式。

隨著密碼安全技術(shù)的發(fā)展和客戶對(duì)應(yīng)用系統(tǒng)安全需求的提高，金蝶K3系統(tǒng)在傳統(tǒng)認(rèn)證

方式的基礎(chǔ)上增加了新的身份認(rèn)證方式：動(dòng)態(tài)密碼鎖(ActivCard)認(rèn)證方式和智能鑰匙(eKey)

認(rèn)證方式，從而為用戶提供更多的安全應(yīng)用環(huán)境選項(xiàng)。下面針對(duì)K3系統(tǒng)中命名身份登錄的

三種方式分別作簡(jiǎn)要的介紹。

1、傳統(tǒng)認(rèn)證方式

用戶輸入用戶名和密碼，KR系統(tǒng)把用戶名和密碼通過網(wǎng)絡(luò)傳送到KR中間層服務(wù)器，

K3中間層服務(wù)器組件根據(jù)用戶名從賬套數(shù)據(jù)庫服務(wù)器中取出該用戶的密碼，驗(yàn)證與用戶輸

入的密碼是否相同，如果相同，則進(jìn)入K3系統(tǒng)，否則，提示用戶登錄失敗。

2、動(dòng)態(tài)密碼鎖(ActivCard)認(rèn)證

用戶輸入用戶名和動(dòng)態(tài)密碼，K3系統(tǒng)把當(dāng)前賬套名，用戶名和動(dòng)態(tài)密碼通過網(wǎng)絡(luò)傳送

到KR中間層服務(wù)器，K3中間層服務(wù)器組件將賬套名，用戶名和動(dòng)態(tài)密碼傳送給動(dòng)態(tài)密碼

鎖的認(rèn)證組件，該組件從動(dòng)態(tài)密碼鎖數(shù)據(jù)庫中取出該用戶的加密因子并以相同的算法計(jì)算出

密碼，如果這個(gè)密碼和用戶輸入的密碼相同，則進(jìn)入KR系統(tǒng)，否則，提示用戶登錄失敗。

由于密碼是卷次使用動(dòng)態(tài)密碼鎖時(shí)動(dòng)態(tài)產(chǎn)生的，用過之后自動(dòng)失效，因此，密碼即使泄露，

也只能即時(shí)有效，數(shù)秒鐘之后即失效，不會(huì)造成安全影響。動(dòng)態(tài)密碼鎖本身也需要密碼才能

進(jìn)入，取得動(dòng)態(tài)密碼。

3、智能鑰匙(eKey)認(rèn)證方式

用戶在K3客戶端主機(jī)的USB接口上插入智能鑰匙，輸入用戶名和智能鑰匙PIN碼，KB

系統(tǒng)客戶端組件調(diào)用智能鑰匙的客戶端組件傳入PIN碼訪問當(dāng)前的Ekey。如果PIN碼錯(cuò)誤，

則系統(tǒng)提示登錄失敗。否則,eKey客戶端組件用自己的私鑰簽名用戶名，得到用戶簽名(Client

Signature),并發(fā)送到K/3中間層服務(wù)器，K方中間層服務(wù)器組件把用戶簽名，及相關(guān)信息傳

送到智能鑰匙的服務(wù)器端組件，服務(wù)器端組件以用戶名在智能鑰匙數(shù)據(jù)庫中檢索該用戶名所

對(duì)應(yīng)的公鑰并以該公鑰驗(yàn)證用戶簽名。如果驗(yàn)證通過，則進(jìn)入K3系統(tǒng)，否則，提示用戶

登錄失敗。

中間層的安全策略

K3系統(tǒng)的中間層根據(jù)子系統(tǒng)劃分成多個(gè)應(yīng)用程序(包)，組件服務(wù)管理提供了可以針對(duì)

應(yīng)用程序級(jí)以及組件級(jí)的安全設(shè)置。

對(duì)于應(yīng)用程序級(jí)的安全設(shè)置，我們可以設(shè)置對(duì)調(diào)用者的身份驗(yàn)證的級(jí)別，在最高的安全

級(jí)別下，數(shù)據(jù)將會(huì)在網(wǎng)絡(luò)上加密傳送，但這會(huì)導(dǎo)致一定的性能損失。還可以設(shè)置該應(yīng)用程序

以特定的賬號(hào)來運(yùn)行，進(jìn)而限制其資源訪問權(quán)利，如只給該賬號(hào)可以運(yùn)行這些組件必要的權(quán)

限，包括對(duì)數(shù)據(jù)庫的訪問權(quán)限。

我們還可以為組件指定基于角色的安全機(jī)制，但這種方式下，我們首先在應(yīng)用程序（包）

一級(jí)定義一些角色，然后給每個(gè)角色指定一個(gè)或者多個(gè)成員（成員可以是域用戶或者用戶

組），最后將組件的安全設(shè)置指定為強(qiáng)制進(jìn)行安全檢查，同時(shí)選定可以訪問該組件的角色。

數(shù)據(jù)庫端的安全策略

對(duì)于數(shù)據(jù)庫端，我們主要從連接驗(yàn)證的角度來提高安全性，并不建議設(shè)計(jì)針對(duì)數(shù)據(jù)表等

實(shí)體級(jí)的安全策略，因?yàn)镵3系統(tǒng)有自己的針對(duì)數(shù)據(jù)的安全機(jī)制。再者，在三層結(jié)構(gòu)機(jī)制下,

所有對(duì)數(shù)據(jù)庫的訪問，默認(rèn)都是以中間層所在機(jī)器上的當(dāng)前用戶身份來進(jìn)行的，顯然難以通

過這種方法來實(shí)現(xiàn)針對(duì)當(dāng)前客戶端操作用戶的安全策略。

SQLServer中的sa用戶是一個(gè)超級(jí)用戶，建議一定要給sa用戶設(shè)定一個(gè)密碼，最好將

SQLServer的認(rèn)證方式改為只接受Windows驗(yàn)證，且只允許特定的域賬號(hào)訪問，在中間層

則以該域賬號(hào)登錄或者將中間層組件指定在該特定的賬號(hào)下運(yùn)行。這樣，客戶端沒有辦法可

以直接訪問數(shù)據(jù)庫，只有中間層組件才有這個(gè)權(quán)力，從而提高了數(shù)據(jù)的安全性。

JW曠

systemintroduce

安裝過程

安裝前的環(huán)境檢測(cè)

K/3系統(tǒng)的正常運(yùn)行需要很多第三方組件的支持，所以在安裝K/3系統(tǒng)前我們要對(duì)安裝目標(biāo)

機(jī)器做一次系統(tǒng)環(huán)境檢測(cè)，以保證這些必需組件在目標(biāo)機(jī)器上都具備并且運(yùn)作正常。

目標(biāo)機(jī)器沒有或者運(yùn)作不正常的組件，在環(huán)境檢測(cè)過程中會(huì)自動(dòng)從K/3資源光盤中安裝。

K/3資源光盤是K/3安裝光盤的組成部分，一般有3張：

金蝶K/3資源光盤（一）——簡(jiǎn)體資源光盤

金蝶K/3資源光盤（二）——繁體資源光盤

金蝶K/3資源光盤（三）——英文資源光盤

分別對(duì)應(yīng)簡(jiǎn)體、繁體、英文操作系統(tǒng)環(huán)境，環(huán)境檢測(cè)過程中請(qǐng)對(duì)應(yīng)您的操作系統(tǒng)放入正確

的資源光盤。

基準(zhǔn)組件

?MicrosoftWindows2000ServicePack4

?MicrosoftWindowsXPServicePack1

?MicrosoftDCOM981.3

?MicrosoftInternetExplorerWebControlsVersion1.0

?Microsoft.NETFrameWork1.1

?MicrosoftInternetExporler6.0.2600

?MicrosoftVMforJAVA

?MicrosoftJetEngine4.0SP8

?MicrosoftMDAC2.8

?MicrosoftMDAC2.5

?MicrosoftActiveDirectoryClient

?MicrosoftWindowsInstaller2.0

?MicrosoftSQLServer2000SP4

MicrosoftVBA

?AdobeSVGViewer3.0

?IBM4614POS機(jī)接口程序

根據(jù)操作系統(tǒng)和所要安裝的K3系統(tǒng)組件的不同，以上第三方組件可能并非都需要，K3

環(huán)境檢測(cè)程序會(huì)自動(dòng)檢測(cè)出您所需的組件。

如果您不想通過環(huán)境檢測(cè)程序自動(dòng)安裝第三方組件，您也可以自行手動(dòng)安裝，主要組件

在KB資源光盤上的位置是：

組件金蝶K/3資源光盤上的位置

Windows2000ServicePack4OS\W2KSP4\W2KSP4.EXE

WindowsXPServicePack10S\XPSPl\XPSPlA.exe

MicrosoftDCOM981.3OS\DCOM\DCOM98.EXE

MicrosoftInternetExplorerWebControlsV1.0OS\WEBCONTROL\IEWEBCONTROL

S.EXE

MicrosoftWindowsInstaller2.0（用于OS\MSINSTALLER\2.0\INSTMSIA.EX

Windows98）E

MicrosoftWindowsInstaller2.0（用于OS\MSINSTALLER\2.0\INSTMSIW.EX

Windows2000）