公司概述
2004年,中国建设银行山西省分行(以下简称:山西建行)决定在全省范围内采用Windows 2003 终端服务模式向全省用户提供日常办公服务。这种终端模式下的日常办公形式,不仅在金融行业,在国内的其它行业中也处于创新和领先地位。但是,创新同时也伴随着风险,为了避免潜在风险,采用最优的解决方案,微软企业服务部和山西建行通力合作,共同设计和部署了一个“最小风险”的Windows 2003终端信息系统架构。
中国建设银行山西省分行是山西省最大的金融机构之一。除了省行之外,其下属管辖十个地市行和300多个网点。由于日常业务繁忙,且企业机构的地理位置分散,各地市行IT人员缺乏。现有模式下大量分散的客户端对整个信息系统造成了极大的安全隐患。例如:一台客户端被病毒感染就可能在整个系统中传播,从而感染其它客户端和服务器。而省行的维护人员很难及时的了解地市行的系统状况,对地市行的系统进行支持。因此,山西建行在全省范围内采用了创新的Windows 2003 终端服务模式向全省建行用户提供日常办公服务,员工的客户端全部采用WBT(Windows Based Terminal: 网络视窗终端;又称为:瘦终端)。这种模式的采用大大减轻了企业信息系统所面临的安全风险,提高了系统的安全性。终端服务模式下,因为WBT的存储为只读模式,终端被病毒感染的机率大大减少,IT人员只需要集中精力对系统服务器进行安全管理就可以了,在很大程度上减轻了管理成本。
终端模式下进行日常办公虽然是一种创新,有许多优势,但也存在一些风险。由于终端服务器支持大量的终端用户,一台终端服务器出了问题,就会影响到大面积用户的正常办公;终端用户的数据文件都存放在服务器上,这台服务器如果出现故障,所有存储在这台服务器上的数据就会全部丢失,造成的损失将是难以弥补的。
山西建行考虑到了这些风险的存在,决定和微软企业服务部合作,希望通过微软专家的咨询和建议制定出非常好的的技术方案。微软企业服务部对山西建行系统进行了广泛深入的调查和分析,以微软的技术和产品为基础,制定和部署了适合山西建行系统状况的解决方案,从技术和管理两方面避免了这些风险的发生。
一套完整的信息系统架构不仅需要合理的技术方案,同时,流程和管理也是至关重要的。山西建行的这套Windows 2003 终端架构正是技术和管理全面结合的成果。
在技术上,这套方案采用了以下的系统架构:
上述架构使省行和地市行部署在同一个域环境内和网络架构中。在终端服务器群组方面,除省行和个别地市行采用硬件负载均衡外,其余地市行均采用Windows 2003 Server内嵌的负载均衡;省行和地市行文件服务器均采用Windows 2003群集;文件服务器采用光纤存储。在这种情况下,终端用户的漫游配置文件(Roaming Profile)和数据文件都存放在文件服务器上。终端用户通过负载均衡连接到终端服务器的时候,会输入用户名和密码进行域验证。验证成功后,系统会从文件服务器上下载该用户的配置文件。这样用户就可以在终端服务器上操作了。用户数据文件通过组策略重新定向到文件服务器上,用户的数据文件不存在本地终端服务器上。
上述方案采用了微软的域管理、 Windows 2003负载均衡和群集技术。这些技术的应用具有以下的优势:
•首先,Windows 域环境具有以下安全和管理方面的优势:
1. 通过域用户帐号统一验证;
2. 通过组策略实现终端服务器和用户的标准化管理;
3. 通过安全组策略实现服务器和用户的安全管理;
4. 用户统一验证保证了用户终端会话的唯一性。
•其次,负载均衡技术的应用提高了系统的可用性。
终端服务器群组采用网络负载均衡。Windows 2003网络负载均衡使用一种分布算法将负载平均分布到多台服务器上;同时,负载均衡技术还可以检测服务器的故障并自动将负载流量重新分配给其它服务器。终端服务器群组采用这种负载均衡技术提高了终端服务的可伸缩性和可用性。
•另外,群集技术有效提高了系统的安全性。
文件服务器群集采用双机热备。如果群集中的某一台服务器由于故障或维护需要而无法使用时,该服务器上的资源和应用程序将转移到可用的其它群集节点上。那么,如果一台文件服务出现了故障,终端用户仍然能够从群集中的另一台文件服务器上读取配置文件,而用户的数据文件也不会丢失。
•另外,这套方案以微软操作框架(Microsoft Operation Frame Work)为理论基础,在流程和管理方面保证了系统的稳定和安全运行。
1. 服务器监控策略;采用了服务器监视系统来监视整个系统的运行情况,对发生的问题提前预警,并能够对整个终端系统的使用趋势进行分析和提供一目了然的报表。
2. 服务器的备份和恢复策略:对域控制器、文件服务器和终端服务器采用严格的备份和恢复策略。例如:每天对文件服务器进行数据增量备份,周末执行系统全备份。
3. 软件分发策略:经过严格的评估和测试后,通过软件分发工具向服务器统一分发软件。例如:统一分发操作系统补丁。从而保证了服务器的统一管理和安全更新。
4. 流程管理:通过完善的管理流程保证系统的稳定运行。例如:制定了变更管理流程和系统支持流程。
在全省率先采用了这种模式后,最大的成效在于不仅成功的解决了终端模式下进行日常办公所带来的一些潜在的风险,极大的提高了办公效率,同时在很大程度上节省了管理和软、硬件成本,得到了用户的好评。
目前,微软的域管理、 Windows 2003负载均衡和群集技术在系统中得到良好的应用,山西建行下属管辖十个地市行和300多个网点实现了统一管理和无纸化办公,工作效率和安全性大大提高。而微软继续为山西建行提供运行和维护服务,并且在服务过程中不断完善和推广这套模式,也让系统的可管理性和可用性大大提高。
另外,微软的Windows 2003系统提供了行业上最低的规划、实现和维护成本。借助系统易维护,易管理的特性。一方面极大的兼容了客户原有的硬件系统,节省了软硬件成本;另一方面每个网点只需要1-2名IT人员就能解决问题,节省了人力。
如今,山西建行创新的尝试已经引起同行的关注,应客户的要求,微软已经分别在黑龙江、内蒙等省分行介绍了这套系统的成功经验。
案例点评:
微软为山西建行提供的Windows 2003 终端服务模式有以下几个创新值得我们关注: •一是在理念上的突破。利用Windows 2003 终端服务模式进行日常办公,客户端全部采用WBT,这不仅金融行业,在国内的其它行业中也处于创新和领先地位。这更多的体现了山西建行领导在理念上的大胆创新。在业内未有先例的情况下,山西建行利用这种创新的模式,无疑为未来发展奠定了良好的基础。
•二是在技术上的创新。Windows 2003 终端服务模式应用了微软最新的技术构架,负载均衡技术和群集技术的成功应用,解决了终端模式下容易出现安全风险,提高了系统的安全性。不仅让大范围的复杂办公实现了集中管理和应用,同时还为整个系统安上了一个“保险”,保证了系统的安全、稳定运行!这些创新技术的应用让以前只是应用于简单的业务系统拓展到应用于办公系统,无疑是一种突破。
•三是服务上的创新。微软为山西建行提供的是一个针对性的解决方案,在合作过程中,除了技术之外,微软为山西建行提供了较为完善的服务,尤其是在对客户全面解的情况下,针对山西建行未来发展,提供了许多超前的延续性服务,如采用服务器监视系统来监视整个终端系统的运行情况,对发生的问题提前预警;对域控制器、文件服务器和终端服务器采用严格的备份和恢复策略;以及不断完善流程管理体系等等,这让山西建行这套创新的系统焕发了更为长久的生命力,也为其他同行效仿。
客户证言:
Window2003终端系统项目经理樊靖丽说:“微软Windows 2003终端系统投入使用后,成功的解决了我们日常信息化办公的各种问题,尤其是其全面的服务,更是给我们带来了'最小风险'的保障。这套系统已经引起了建行总行的重视;而且,其他省行也陆续到山西建行取经。如今,我们不仅走在了全行业的前列,我们相信,随着与微软合作的加深,我们的信息系统建设还会取得更大的发展。”
