在信息化時代，實現高效網絡化辦公的首要條件就是系統的安全和穩定。最小風險的信息系統架構是企業高效現代化辦公的堅實保障!

　　中國建設銀行山西省分行(以下簡稱山西 建行)下轄十個地市行和300多個網點，由于日常業務繁忙，且企業機構的地理位置分散，各地市行IT人員很缺乏。現有模式下大量分散的客戶端對整個信息系統造成了極大的安全隱患。例如:一臺客戶端被病毒感染就可能在整個系統中傳播，從而感染其它客戶端和服務器。而省行的維護人員很難及時了解地市行的系統狀況并進行支持。

　　終端模式的機遇和風險

　　山西建行考慮在全省范圍內采用創新的Windows 2003 終端服務模式向全省建行用戶提供日常辦公服務，員工的客戶端全部采用WBT(Windows Based Terminal，網絡視窗終端，又稱為瘦終端)。這種模式的采用大大減輕了企業信息系統所面臨的安全風險，提高了系統的安全性。終端服務模式下，因為WBT的存儲為只讀模式，終端被病毒感染的機率大大減少，IT人員只需要集中精力對系統服務器進行安全管理就可以了。

　　終端模式也存在一些風險。由于終端服務器支持大量的終端用戶，一臺終端服務器出了問題，就會大面積影響到用戶的正常辦公;終端用戶的數據文件都存放在服務器上，這臺服務器如果出現故障，所有存儲在這臺服務器上的數據就會全部丟失，造成的損失將是難以彌補的。

　　山西建行考慮到這些風險的存在。2004年，他們決定和微軟企業服務部合作，希望通過微軟專家的咨詢和建議制定出最佳的技術方案。創新同時也伴隨著風險，為了避免潛在風險，微軟企業服務部和山西建行通力合作，共同設計和部署了一個“最小風險”的Windows 2003終端信息系統架構。

　　終端模式=技術+管理

　　微軟企業服務部對山西建行系統進行了廣泛深入的調查和分析，以微軟的技術和產品為基礎，制定和部署了適合山西建行系統狀況的解決方案，從技術和管理兩方面避免了這些風險的發生。

　　一套完整的信息系統架構不僅需要技術方案，同時，流程和管理也是至關重要的。山西建行的這套Windows 2003 終端架構正是技術和管理全面結合的成果。

　　該方案系統架構(見下圖)使省行和地市行部署在同一個域環境內和網絡架構中。在終端服務器群組方面，除省行和個別地市行采用硬件負載均衡外，其余地市行均采用Windows 2003 Server內嵌的負載均衡;省行和地市行文件服務器均采用Windows 2003群集;文件服務器采用光纖存儲。在這種情況下，終端用戶的漫游配置文件(Roaming Profile)和數據文件都存放在文件服務器上。終端用戶通過負載均衡連接到終端服務器的時候，會輸入用戶名和密碼進行域驗證。驗證成功后，系統會從文件服務器上下載該用戶的配置文件。這樣用戶就可以在終端服務器上操作了。用戶數據文件通過組策略重定向到文件服務器上，用戶的數據文件不存在終端服務器本地。

　　省行終端網絡架構

　　上述方案采用了微軟的域管理、 Windows 2003負載均衡和群集技術。這些技術的應用具有以下的優勢:

　　首先，Windows 域環境具有以下安全和管理方面的優勢:

　　1. 通過域用戶賬號統一驗證;

　　2. 通過組策略實現終端服務器和用戶的標準化管理;

　　3. 通過安全組策略實現服務器和用戶的安全管理;

　　4. 用戶統一驗證保證了用戶終端會話的唯一性。

　　負載均衡技術的應用還提高了系統的可用性。

　　終端服務器群組采用網絡負載均衡。Windows 2003網絡負載均衡使用一種分布算法，將負載平均分布到多臺服務器上。同時，負載均衡技術還可以檢測服務器的故障并自動將負載流量重新分配給其它服務器。終端服務器群組因此提高了終端服務的可伸縮性和可用性。另外，群集技術有效提高了系統的安全性。

　　文件服務器群集采用雙機熱備。如果群集中的某一臺服務器由于故障或維護需要而無法使用時，該服務器上的資源和應用程序將轉移到可用的其他群集節點上。那么，如果一臺文件服務出現了故障，終端用戶仍然能夠從群集中的另一臺文件服務器上讀取配置文件，而用戶的數據文件也不會丟失。

　　另外，這套方案以微軟操作框架(Microsoft Operation Frame Work)為理論基礎，在流程和管理方面保證了系統的穩定和安全運行。

　　1. 服務器監控策略:采用了服務器監視系統來監視整個系統的運行情況，對發生的問題提前預警，并能夠對整個終端系統的使用趨勢進行分析和報告。

　　2. 服務器的備份和恢復策略:對域控制器、文件服務器和終端服務器采用嚴格的備份和恢復策略。例如:每天對文件服務器進行數據增量備份，周末執行系統全備份。

　　3. 軟件分發策略:經過嚴格的評估和測試后，通過軟件分發工具向服務器統一分發軟件。如統一分發操作系統補丁來保證服務器的統一管理和安全更新。

　　4. 流程管理:通過完善的管理流程保證系統的穩定運行。例如:制定了變更管理流程和系統支持流程。
三個創新作支撐

　　該模式的最大成效不僅在于成功解決了終端模式下日常辦公的潛在風險，極大提高了辦公效率，同時在很大程度上節約了管理和軟硬件成本。

　　目前，微軟的域管理、 Windows 2003負載均衡和群集技術在系統中得以良好應用，山西建行下轄十個地市行和300多個網點實現了統一管理和無紙化辦公，而微軟繼續為山西建行提供運行和維護服務。

　　另外，微軟的Windows 2003系統提供了行業上最低的規劃、實現和維護成本。系統易維護、易管理的特性，一方面兼容了原有的硬件系統，節省了軟硬件成本;另一方面每個網點只需要一兩名IT人員就能解決問題，節省了人力。

　　如今，山西建行的嘗試引起了同行的關注，應客戶的要求，微軟已經分別在黑龍江、內蒙等省分行介紹了成功經驗。

　　微軟為山西建行提供的Windows 2003 終端服務模式有以下幾個創新值得關注:

　　一是理念突破。利用Windows 2003 終端服務模式進行日常辦公，客戶端全部采用WBT，這不僅在金融行業，在國內的其他行業中也處于領先地位。在業內未有先例的情況下，這更多地體現了山西建行在理念上的大膽創新。

　　二是技術創新。Windows 2003 終端服務模式應用了微軟最新的技術構架，負載均衡技術和群集技術的成功應用，解決了終端模式下容易出現安全風險的問題，提高了系統的安全性，不僅讓大范圍的復雜辦公實現了集中管理和應用，同時還為整個系統安上了一個“保險”。這些創新技術以前只是應用于簡單的業務系統，現在拓展到應用于辦公系統。

　　三是服務創新。微軟為山西建行提供的是一個針對性的解決方案，在合作過程中，在技術之外，微軟針對山西建行未來發展，提供了許多超前的延續性的服務，如采用服務器監視系統來監視整個終端系統的運行情況，對發生的問題提前預警，對域控制器、文件服務器和終端服務器采用嚴格的備份和恢復策略，以及不斷完善流程管理體系等等。

　　山西建行Window 2003終端系統項目經理樊靖麗說:“微軟Windows 2003終端系統投入使用后，成功解決了我們日常信息化辦公的各種問題，尤其是其全面的服務，更是給我們帶來了‘最小風險’的保障。這套系統已經引起了建行總行的重視，其他省行也陸續到山西建行取經。如今，我們已經走在了全行業的前列。”