企业信息化基础架构详解.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,微软新一代企业信息化基础架构,统一身份管理,统一用户管理,统一认证 统一权限,统一通讯录,一站式登录的基础,客户端机器管理的基础,网络访问控制的基础,安全的信息系统架构认证基础,活动目录,Windows,用户,帐号信息,特权,配置文件,策略,Windows,客户,Mgmt,配置文件,网络信息,策略,Windows,服务器,Mgmt,配置文件,网络信息,服务,打印机,文件共享,策略,活动目录,为下列对象管理焦点：,用户

2、和资源,安全,授权,策略,应用程序,服务器配置,单一注册,用于程序专用的目录信息,策略,Internet,防火墙服务,配置,安全策略,虚拟专用网络策略,网络设备,配置,服务质量策略,安全策略,其他目录,White pages,E-Commerce,其他,NOS,User registry,Security,Policy,电子邮件服务器,邮箱信息,通讯簿,你遇到过这种问题吗？,Software,HR,系统,打印机,共享文件夹,邮件,Data,OA,系统,其它应用,对于用户,每增加一个新的应用，需要记忆一套新的用户名,/,密码,负责的业务范围越大，需要记忆的内容越多,每次访问应用系统，需要重复输入

3、用户名,/,密码,在一个系统中修改了密码，其他系统的密码不会随之更新,对于管理员,员工报到，需要到各系统中逐一建立帐号,员工离职，需要到各系统中逐一删除帐号,无法集中设置访问策略，管理访问权限,为什么会有这样的问题？,应用系统在不同平台上，由不同开发商开发，使用的技术不一致。,每套系统都有独立的用户身份管理。,如何解决？,采用微软活动目录,Active Directory(,简称,AD),技术，建立统一的身份管理,新的应用系统,建立以活动目录为基础的应用程序身份管理接口标准,旧的应用系统,采用数据整合方式，进行用户数据库统一，迁移到,AD,中,一站式登陆的基础,基于目录服务的业界标准协议,LD

4、AP,协议,与桌面客户端软件,Windows,无缝集成,支持业界标准的公共密钥体系,(PKI),Active Directory,与身份验证,活动,目录,User1,User2,Software,身份,验证,HR,系统,打印机,共享文件夹,邮件,Data,用户,身份,验证,经,由,AD,验证通过后,AD,会主动提供该用户所需的,工作,环境与网络资源,OA,系统,其他应用,统一认证,/,统一授权,统一通讯录,组织架构,灵活分组,树型结构,统一消息协作,不仅仅是一个邮件系统,与活动目录紧密集成，唯一帐号登陆,协同日历服务,协同消息平台,Exchange Server 2007,内外网互通 多帐号处

5、理,PC,移动设备,Web,或电话客户端上访问电子邮件，语音邮件和传真信息。,WEB,方式查看文档,word,excel,ppt,pdf,安全，稳定的邮件系统,防病毒从系统底层开始支持防毒,防垃圾邮件 自我学习,Outlook Web Access,访问,SharePoint,站点和文件共享,即时消息平台,Live Communication Server 2005,统一协同工作环境,会议安排,个人日历,团队日历,日历共享,联系人管理,异步消息协同,移动支持,短消息,重要通知、特殊邮件、会议提醒、应急系统,智能手机 领导同志的随身秘书,联系录,工作安排,电子邮件,秘书,办公室 负责将最新的联系

6、录信息和工作安排输入到领导的,Outlook,中,领导同志随时随地,”,一键更新”,!,丰富的移动设备,移动办公,移动审批,即时消息协同,LCS 2005,基础功能,基于统一活动目录帐号,即时消息,多人会议,语音,/,视频交流,文件共享,应用程序共享,扩展功能,和应用程序紧密集成,成为消息通知平台,与短消息集成,与电话系统集成,在线沟通与讨论的工具,使用相同的工具来进行沟通,所有信息加密,与企业内部通信录整合,信息能被记录和存档,容易使用,定制联系人列表,多方通信,可提供语音、视频、数据传输服务,与企业电话系统集成,基于,Windows Mobile,的,Office,Communicator

7、,状态和位置,公司地址簿,安全的即时消息,集成的,IP,电话,微软统一通信,-,创新的移动体验,Communicator Mobile,体验,与桌面客户端相同的客户体验,基于移动设备优化的特性,对话窗口,集成公司地址簿的搜索功能,支持多种访问方式,浙江工商,SSO,业务需求,用,LCS,客户端集成所有的,业务应用系统,，实现单点登陆,在业务专网环境中建设“即时通”系统,图形化展示组织机构以及在线状态,技术需求,身份认证,用户以域用户身份登录,Windows,操作系统,用户关联的,Communicator,自动登录,“一站式”操作环境,统一的用户界面中展现不同的应用系统入口,无需重新输入用户名和

8、口令即可进入不同应用系统,分级、分布的部署结构（“联邦式”体系架构）,省、市各自部署独立的,LCS Server,浙江省工商形成全省互联互通的“联邦式”,LCS,体系,浙江工商,SSO,应用场景,用户登陆界面,业务整合界面,邮件整合界面,Live Meeting,在线网络会议解决方案,与同事，客户以及合作伙伴共同工作而无需位于同一地点,无需离开桌面即可实现和成千上万人员的协作,提高企业的劳动生产率,极大降低培训所需要的差旅费用,Live Meeting 2005,实现在线教学,资源列表,显示所有的文档类型,参会者列表,包含上下文菜单（右击）可以管理角色,录制,可以很方便的快速启动或暂停录制,音

9、频控制,面板,包含多种工具而且可以按用户的选择任意移动、设置独立浮动或放置于主窗口中,缩略图导航,移动、删除或预览您的内容,就像,PowerPoint,启动指南,常见任务的帮助,统一信息门户,SharePoint Server 2007,个人网上办公桌,统一的用户展现风格,统一的的用户认证和管理,信息和应用的集成,/,管理,以知识为核心的内容管理,分布式的搜索,协同工作,个性化,&,定制,商业智能分析,工作流引擎,丰富,灵活的移动支持,在门户中查看各类报表,多级互联门户结构,地区公司,中国石油,中国石油,EIP,EIP,专业公司门,户,规划计划部,门户,财务部门户,人事部门户,科技与信息,管理

10、部门户,其它职能部,门门户,计划处门户,财务处门户,人事处门户,科技与信息,管理处门户,其它职能部,门门户,采油厂门,户,炼油厂门,户,化工厂门,户,管道局门,户,地区公司门,户,计划处门户,财务处门户,人事处门户,科技与信息,管理处门户,其它职能部,门门户,专业部门门,户,股份公司,EIP,专业公司门,户,规划计划部,门户,财务部门户,人事部门户,科技与信息,管理部门户,其它职能部,门门户,规划计划部,门户,财务部门户,人事部门户,科技与信息,管理部门户,其它职能部,门门户,计划处门户,财务处门户,人事处门户,科技与信息,管理处门户,其它职能部,门门户,计划处门户,财务处门户,人事处门户,科

11、技与信息,管理处门户,其它职能部,门门户,专业公司,采油厂门,户,炼油厂门,户,化工厂门,户,管道局门,户,采油厂门,户,炼油厂门,户,化工厂门,户,管道局门,户,地区公司门,户,计划处门户,财务处门户,人事处门户,科技与信息,管理处门户,其它职能部,门门户,专业部门门,户,计划处门户,财务处门户,人事处门户,科技与信息,管理处门户,其它职能部,门门户,专业部门门,户,中石油门户实例,页眉,宣传介绍：如职责和机构、通讯录、下属机构通讯录等,业务工作：各种业务系统的挂接、工作动态。便于网上办公和部门内工作协调,业务工作可由用户按职能分工来设置，其一级栏目的数目不确定,信息共享：支持信息的上下流动

12、，便于信息在门户之间的流动,交流与协作：设置若干讨论区（论坛）、在线调查、协同工作,常用链接,新闻、消息、通知 支持上下传送,版权信息,个人工作助理,搜索,菜单,/,导航条,各部门级门户,项目组门户,数据整合 数据中心,SQL,数据中心，分析，报表,BizTalk,数据清洗和整合,BizTalk,跨系统的互联，业务的互联,-,42,-,完整的数据管理平台,统一管理,规范接口,简单查询,数据中心,新一代数据中心,完整的数据管理,高度的商业智能,强大的开发能力,Integration Services,统一数据交换平台,连接信息孤岛，整合封闭应用系统,采用业界标准数据格式,XML,，建立一条数据总

13、线,解决多系统数据同步，提供数据实时比对,传统的构架模式点到点,CRM System,Purchasing,SCM System,OrderEntry,ERP,问题,不断增长的复杂性,难于修改,难于维护,Financial Systems,Marketing,EAI,的构架模式消息总线,CRM System,Purchasing,SCM System,OrderEntry,ERP,特点,发送者和接收者独立,较简单的集成,用于一到多的消息传输,基于订阅的,Financial Systems,Marketing,系统业务整合平台,在数据整合的基础上，提供“信息孤岛”和封闭系统间业务功能的调用整合。

14、,采用业界标准协议,XML Web Service,，实现异构系统的互联，兼容其他通讯协议，实现业务整合。,基于事务机制，将异构系统间的业务功能，重新组合，提供新的业务,采用松耦合，保护现有投资和未来的投资，满足业务需求的不断创新和改变。,以,XML,为核心的数据整合模式,数据和应用集成的过程,XML,消息数据库,XML,Flat File,接收数据,接收适配器,接收数据,处理通道,数据接收,1,业务过程,数据关系处理,业务流程,XML,2,3,XML,Flat File,发送数据,XML,发送数据,处理通道,发送适配器,数据发送,4,1-2-3,多点数据整合,安全保障体系,安全审计,建立安全

15、审计环境,(,日志整合及分析,),用户层,客户端,PC,的安全管理（补丁管理，客户端环境标准化）,应用层,代码运行访问控制,用户访问权限控制,服务接口权限控制,信息权限控制,数据层,数据安全（数据的储存、传输、使用安全，灾备）,系统层,操作系统的安全强化、补丁管理、个人防火墙,CA,中心的建设,建立防病毒体系,网络层,网络安全（入侵检测，防火墙，,VPN,接入管理）,物理层,机房安全，设备安全，,企业信息安全体系建设策略,整体认识：,企业的信息安全建设涉及企业信息化体系的各个层面，避免只关注技术层面,木桶短边效应：,整个体系的安全水平取决于体系中安全最弱的方面,整体规划：,依靠具备资质的信息安

16、全机构提供全面的信息安全整体规划和实施方案，避免仅仅依赖安全技术产品来实现信息安全,分层防御：,从信息经过的各个系统层面进行防御，指导思想是：假定每一层防御都会失败,技术手段：,产品厂商配合信息安全整体规划，提供相关的安全产品和技术,监督管理：,按照国家,/,国际规范与标准，制定本部门的信息安全管理规范，定期检查、评估、改进信息与系统的安全状况,典型的企业信息安全体系构成,物理和环境安全,网络安全,主机与系统安全,应用与数据安全,门禁系统,摄像监控,物理安全,防火墙,入侵检测与安全审计,VPN,病毒防范,漏洞扫描与加固,操作系统安全,数据库与业务审计,身份验证,授权管理,网络边界防御,统一体系

17、安全监管,主机安全监管,数据安全防护,安全规范与标准,深度安全防御,数据和资源,应用程序防护,主机防护,网络防护,外围防护,防火墙是企业的第一道防线,数据包过滤,状态检查,入侵检测,应用层防火墙越来越重要,HTTP,SSL,加密,匿名连接,容易忽视客户端主机的安全,主机容易成为企业的安全隐患,统一的管理平台,服务器管理,客户端管理,自动监测服务器运行状态,自动建立预案库，解决大部分问题,自动通知管理员,系统补丁管理、补丁分发,软件分发,软硬件资产管理,报告生成,远程诊断,终端标准化,标准规范体系建设,标准规范体系建设,系统整合标准规范,安全体系规范,24,小时不停歇的系统管理员！,MOM Se

18、rver,基于事件日志及性能监测指数,自动监测,服务器运行状态,针对现象，查询预案库，对症下药,自动解决,大部分问题,不能解决的疑难杂症，第一时间,自动通知,管理员,问题解决后，解决办法存储进预案库，便于今后的,自动维护,客户机管理平台,SMS Server 2003,系统补丁管理、补丁分发,软件分发,资产管理,软件资产管理,硬件资产管理,报告生成,远程诊断,BDD,零接触部署,应用软件,分发,资产,管理,安全的系统,升级管理,充分配合,Windows,服务,支持移动应用,防火墙,客户端管理平台,站点服务器,客户端管理,平台分发点,客户端管理,平台客户端,客户端管理,平台客户端,微 软下载中心

19、,客户端管理,平台分发点,安全扫描组件分发到客户端,建立环境,:,下载安全更新资产和,Office,资产工具,;,运行资产工具安装程序,检查客户端，检查结果合并进入资产数据,管理员使用分发软件更新向导 授权更新,客户端软件更新安装代理执行更新,定期任务,:,同步组件检查新的更新，检查客户端，并进行必要的更新,下载更新文件包，创建,/,更新分发广告；复制分发包，通知传播到,客户端管理,平台客户端,客户端管理,平台客户端,客户端管理平台,:,自动补丁管理,ISA Server 2004,高级保护功能,应用层安全保护，内建对微软应用程序的支持,易于使用,高效部署与管理,适用于更多的应用场景,提供快速

20、与安全的访问,让用户可以访问所需的信息，同时节省,IT,支出,“,这是一个,高级应用层防火墙、,VPN,和,Web,缓存,解决方案，有了它，客户就可以提高网络的安全和性能，从而获得最大的,IT,投资回报”,Application Layer Content,应用层内容,传统防火墙对数据包的处理,只检查数据包标头,应用层内容以,“,黑箱,”,形式出现,IP,数据头,TTL,Checksum,源地址、目标地址、,TTL,、,校验和,TCP,数据头,Checksum,顺序号、源端口、目标端口、校验和,根据端口号决定转发,合法通信和应用层攻击都使用相同的端口,Internet,期望的,HTTP,通信,

21、不期望的,HTTP,通信,攻击,非,HTTP,通信,企业网络,ISA Server,对数据包的处理,数据包标头和应用内容都要检查,应用层内容,IP,数据头,Checksum,源地址、目标地址、,TTL,、,校验和,TCP,数据头,Checksum,顺序号、源端口、目标端口、校验和,根据内容决定转发,只处理合法的及经允许的通信,Internet,期望的,HTTP,通信,不期望的,HTTP,通信,Attacks,非,HTTP,通信,企业网络,系统特点,系统功能和特点,与活动目录充分整合,与传统的防火墙产品配合，以账户为中心的网络访问控制,智能缓存解决方案,智能报表机制,病毒防护,Live Comm

22、unication Server,SharePoint Server,Exchangemailbox server,Exchange IMC server,ISA Server-Firewall,SMTPServer,Live Communication Server,邮件,即时消息及文件,邮件,即时消息及文件,病毒,蠕虫,Antigen,帮助拦截入站病毒及不合适内容,帮助内部服务器免受病毒攻击,帮助防止保密信息外发,ISA Server,防火墙在网络前端拦截应用层攻击,用户接入的预先认证,Antigen,Antigen,Antigen,Antigen,Antigen,Antigen,ISA

23、Server2004,ISA Server2004,微软新一代企业信息化整体框架,是一个技术成熟，功能完备的整体,相互依赖、相互补充，既发挥各自的独特作用又相互支撑！,环节,目标及任务,方法,整体规划,确定发展方向、技术线路、建设蓝图、整体架构、投资策略、项目种类、经费预算。,微软,IT,规划框架,RVA,顾问咨询服务,系统开发,系统需求调研、功能范围确定，系统架构设计，逻辑设计、物理设计、代码开发、系统测试、试运行与稳定、系统上线。,微软系统架构设计规范，设计模板、最佳实践指导,项目管理,确定项目经理，项目组队，里程碑，进度计划，质量规范，风险管理，状态报告。,微软项目管理框架,-,MSF,（公开课程）,运行与维护,确定运维质量指标,(SLA),，评估运维现状，建立团队、确定管理流程，分析主要风险，提供持续的技能培训。,微软系统运维框架,MOF,（公开课程）,安全与管理,进行安全现状评估，找到安全弱点，确定和更新整体安全策略，制定和实施安全提升计划，定期进行安全评估。,微软信息安全管理框架,企业信息安全管理框架,微软提供的信息化建设方法论,