北京军区某司令部设计所是以从事工程装备科研和技术革新,国防工程勘察、论证、设计、科研为主的科研机构,现有计算机网络是以工程勘察设计和工程装备科研为主要业务内容而搭建的千兆局域网,主要运行工程勘察设计计算机集成应用系统、PKPM、天正设计软件、FTP、Web 等应用服务。
由于设计所的业务性质需要,局域网每天都产生、处理并交换大量的涉密信息(公文、技术文档、数据、设计图纸等),在信息的交流与使用上,网内主要通过设置共享、在线互传等,数据可随意在工作站拷贝泄漏风险巨大、无法设置访问权限,无法保证数据安全。
由于病毒、硬盘损耗等原因,导致设计所工作站系统的保障和维护面临诸多问题,如不断出现用户操作系统和应用系统不能正常使用;安装应用软件需要频繁更新,在目前本地硬盘上需要逐台安装更新,维护工作量巨大,信息化投入及维护成本剧增。
由于在技术上缺乏有效的控制手段,普遍存在着纸介质信息的随意打印,移动存储设备滥用,导致电子信息随意拷贝的混乱局面,对研究所信息安全建设带来重大的安全隐患。在全军突出强调部队安全稳定的前提下,网络安全的不确定性极大地影响和干扰了研究所的正常业务工作的开展。
由于研究所工作特殊需求,工作站安装较多大型设计类软件,对计算机工作站性能要求较高,且根据需要随时要切换工作站操作系统,如windows和linux系统切换,满足研发设计需求,并要求工作站要兼容各类应用软件。
本方案采用网众NXD虚拟磁盘方案,在保持现有网络总体架构不变的前提下,将工作站终端改为虚拟磁盘管理模式,工作站所有产生数据集中存储在NXS存储服务器上,并采取数据自动备份功能和相应的安全防护措施,确保网络信息的安全。
部署网众NXD虚拟磁盘主、副服务器,启用热备功能,保证任一服务器宕机不影响工作站使用,确保客户机系统安全可靠;根据服务器与客户机的内存情况,开启读、写缓存,适当的分配内存做缓存,以增加工作站的运行速度,减轻服务器压力;保证客户机系统使用性能。
采用虚拟磁盘管理工作站+NXS集中存储架构,客户机系统重启即还原,本地无任何存储介质,客户端不保留任何信息,用户产生的数据全部集中存储在机房的磁盘阵列服务器上,存储服务器设置自动备份功能,彻底保证研究所数据存储安全。
NXD虚拟磁盘系统针对工作站所有外设做管理,禁用移动硬盘、禁用串口光驱软盘等等;通过打印机管理控制,合理分配计算机打印权限,从系统驱动层面禁止,彻底杜绝员工私自连接外设,导致研究所数据泄密。
NXD虚拟磁盘系统采用SCSI虚拟磁盘驱动技术,工作站的所有计算显示能力全部在本地完成,性能远高于普通虚拟桌面,对操作系统和应用程序而言完全透明,在操作系统上看到的系统盘和使用本地磁盘无任何差别,因此原理上可兼容所有应用程序,满足用户各种应用程序使用需求。
以上虚拟磁盘系统管理研究所工作站办公环境方案,经过对比,从安全防护角度、系统运维角度和建设成本角度总结
从安全角度看,无盘(虚拟磁盘)方式要明显优于有盘方式。作为无盘方式,整个计算机网络系统所有的数据都集中存储于磁盘阵列和服务器,计算机终端没有存储介质,从物理上根本解决了终端安全防护的问题。可以杜绝计算机丢失造成信息泄密、硬盘被盗造成的信息泄密。加强了安全防护的强度,降低了安全管理的压力。
虚拟磁盘系统建设完成后,相对于有盘方式而言,虚拟磁盘管理系统在病毒防护上由于操作系统的不可更改性,大大降低了计算机感染病毒的风险,并且系统安装及后期软件补丁更新,均可批量操作,快捷简便,不需要太多的专业技能,极大程度降低了运维压力。
采用有盘方式,由于操作系统和涉密数据存在于分散在全所范围内的各个计算机终端上,由于使用人员计算机水平不统一造成软硬件维护压力大,系统维护成本高。
采用虚拟磁盘管理方式,由于采取数据集中存储方式需要专门的存储设备,所以系统搭建成本要高于有盘方式,但后期系统维护成本远远低于有盘方式。