1、系统概述人类社会大踏步迈进 21 世纪,信息技术和经济已表现出卓越的发展趋势,信息技术从模拟向数字化、从单一媒体向多媒体、从低速传输向畅通的“信息高速公路” 、从一般网络向智能化广域网络转变;经济从物质型经济向信息经济、从实体经济向虚拟经济、从本地经济向跨区经济甚至全球一体化经济转变。革新企业管理,加快信息建设势在必行,企业管理软件成为当今经济需求和技术发展的必然产物。金蝶 K/3 系统是基于局域网、广域网范围的企业管理解决方案,它严格遵循微软 Windows DNA 框架结构,以三层结构技术为基石,结合先进的 Citrix 终端技术实现真正的分布式网络计算架构,从应用上将单一主体的会计核算转
2、变成群体的财务管理,从分散的部门管理变为一体化的企业管理解决方案。金蝶 K/3 系统的背景金蝶 K/3 系统作为一个财务业务一体化的企业管理全面解决方案,有其深厚的技术背景和业务背景。一、 网络环境的改善计算机技术在“摩尔定律”的驱使下飞速发展,CPU 由最初的 8088 发展到今天的Pentium D,连通全球的网络系统已经建成,网络带宽成倍增加,以此为契机的企业信息化正在深入人心;企业信息化首当其冲的就是企业管理网络化,这就要求企业管理软件必须适应新的网络环境。二、 WEB 技术飞快速发展以 TCP/IP 和 HTML 为代表的 WEB 技术正在迅猛的发展,截至 2003 年年底,仅我国的
3、互联网(Internet)用户就已达 7950 万,同时拥有 3089 万互联计算机,并且这个数字每天都在增加;企业使用各种工具在 Internet 上发布、共享以及查询信息,作为经营决策指导;较前卫的企业已经实施了网上交易系统,减少中间环节费用,客户也能及时得到最优惠的商品。人们普遍认识到,WEB 技术应用于企业的发展,其突出的特点就是它可以“使大企业变小,小企业变大” ,最大限度地缩小了企业内各个部门、企业与企业和企业与客户间的距离,作为一种重要的信息技术,WEB 技术完全可以在企业信息管理的各个方面武装一个企业,使企业打破空间限制,使企业随心所欲地进行信息的交流、管理和利用,发展电子商务
4、,内外一体。三、 企业集团需要加强内部控制企业大规模分化、重组企业集团的时代已经到来,这是企业适应市场竞争的现实需求,也是迎接世界经济一体化的战略性措施。企业集团的内部控制同一般企业不同,各下属企业空间割据和行业多样,对于这样的群体,需要更加严格的内部控制和管理,包括账务处理控制、货币资金控制、收入循环控制、费用循环控制、生产循环控制、财务成果控制等,这一切都需要通过远程工具来快速有效的管理,达到事前控制的目的,从而进一步提升企业的市场竞争力。同资金一样,企业的数据信息也是企业集团的一项重要资源,企业集团群体数据的安全性、真实性和及时性直接影响集团的决策结果,因此,企业集团需要财务数据集中存储
5、和管理,定期或不定期地审查下属企业账务、汇总合并财务报表、分析财务状况,防止会计舞弊行为,这种远程数据处理、数据分布存储需求充分地体现了网络财务系统的应用价值。四、 移动办公的兴起购机成本的迅速降低,多数企业均在办公桌上配备了 PC 机,并为流动人员配备了便携式电脑。在繁忙的社会中,大量流动人员需要在公司外工作:家里、航空港、酒店中。作为财务人员的办公软件企业管理软件同样需要具有移动办公的能力。财务主管希望随时随地查看公司账簿,希望在家调整公司账务;外地出差人员需要及时填写报销凭证,回到公司可以上网直接提交数据。五、 电子商务电子商务浪潮以不可遏制之势迅速席卷了整个世界,成为网络和各种媒体必谈
6、的焦点明星。当今,电子商务被纳入到包含内联网(Intranet) 、互联网(Internet)的大作用域中,极大地拓展了电子商务“互联网上商务活动”的初期意义。内联网实现无纸办公,进而办公自动化(OA) ,进而管理信息系统(MIS/ERP) ,使得企业的资金流、物流和信息流不断循环往复。互联网发布信息、公告,网上交易,最大限度的模仿传统方式的销售。内联网与互联网连接,将内部信息处理与外部信息处理一致化,就是现今意义上的电子商务。金蝶 K/3 系统的内涵金蝶 K/3 系统遵循微软 Windows DNA 框架结构,基于三层结构技术,支持网络数据库,支持 Microsoft/Citrix 终端应用
7、,是真正面向网络的企业管理软件。它有如下技术组成: “数据库技术+三层结构组件技术+Citrix 终端技术+企业管理技术” 数据库技术:企业管理软件应关注的是数据存放系统,即用来存储和管理企业数据工具。解决如何存储数据才不会丢失;如何存储才是最高效,处理最快及意外事件的数据自动恢复等问题。金蝶 K/3 系统采用大型网络数据库管理系统,支持大用户量的访问和海量的数据存储,支持主流大型数据库 MS SQL SERVER 2000。 三层结构技术:企业管理软件是典型的数据库应用,三层结构是一项先进且成熟的数据库应用结构。根据分布式计算原理,它将应用分为数据库端、中间层、客户端三个层次。数据库端即数据
8、库服务器;中间层包含了封装商业规则的计算组件;客户端为用户界面,可以是本地客户端 GUI、也可以是远程的 Citrix 客户端。 Citrix 终端技术:金蝶软件(中国)有限公司是思杰系统亚太有限公司正式授权的 Citrix 独立软件开发商,被授权可在中国内地,香港和台湾地区与金蝶应用软件系统一起捆绑销售 Citrix Metaframe Presentation Server。K/3 与 Citrix MPS 结合部署可以大大减少远程客户端的网络带宽占用、提高传输安全性,并且 K/3 在 MPS 上部署的客户端还具有免维护、集中管理、易于扩充等特性,能有效降低企业的系统管理成本。 企业管理技
9、术:包括企业管理软件的业务规则以及数据处理的手段。金蝶 K/3 系统通过对企业物流、资金流、信息流的业务和财务管理,实现企业完善的“数据信息决策控制”的企业管理解决方案。K/3 系统的应用框架软件技术的先进性直接影响其生命周期。金蝶 K/3 系统是严格遵循微软 Windows DNA框架结构,基于三层结构技术开发的大型数据库应用系统。在介绍之前先让我们来看看市场上流行的管理软件应用框架。当前市场上管理软件的应用框架呈多样化,包括:文件服务器(F/S) 、两层客户/服务器(2t C/S) 、三层客户/服务器( 3t C/S) 、浏览器/ 服务器( B/S) 、N 层结构(Nt ) 。前三种是从数
10、据库应用角度来说的,后两种是从 WEB 开发技术角度来定义的,因此前后两类不具有可比性。企业管理软件首先是数据库应用,因此具有优良的数据库处理性能相当重要。三种类型的应用在数据库处理上存在较大的差异。文件服务器,是最早采用的数据库应用结构,数据存放在特定的数据文件里如:DBF、PARADOX 、ACCESS 等。这种结构最大的缺点是数据处理没有服务程序来维护,网络性能差,处理网络数据的速度慢,当用户量或数据量大到一定程度时就会有数据丢失的危险,数据安全不容易保证。两层客户/服务器,是针对大型数据库管理系统开发的应用,沿用早期的主机系统的数据处理方式,它充分地利用大型数据库本身固有的数据处理能力
11、,数据处理的速度得到了提高,同时数据的安全也得到了保证。在结构上将应用分为两层:数据库服务器和客户端,借助微机和局域网作一定程度的分布计算。虽然这样,但是两层结构的还是有如下问题不能解决:当用户量增大时,数据库的性能就会下降。因为,当用户连接上数据库,开始处理数据时,大型数据库管理系统就会为每一个用户建立一个连接,物理上表现为内存的占用,当用户量直线增加时,数据库本身可用的资源就会相应减少,因此整个数据库的性能就会下降。计算分布的峰值分配问题难于解决。在财务系统中存在需要大量计算的过程,如果将全部计算过程放置到数据库服务器上运行,会加重数据库服务器的负担,如果放在客户端,网路上传输的数据会过多
12、,且客户端的处理能力有限。其应用程序依赖于某一个特定类型的大型数据库,用户更换数据库类型需要大规模改动程序,甚至重写。应用的移植性不够好。客户端程序与数据紧密相关,如果用户需求变更,面临大量需要修改的程序。用户需求不易满足。三层客户/服务器,克服了上述两种数据库应用的所有缺点,由于采用了组件技术,做到了真正的分布式网络计算。三层结构包括数据库服务器、中间层服务器、客户端三个层次。数据库服务器:采用市场流行的大型数据库管理系统,实现海量存储,支持 MS SQL SERVER 2000,为企业数据提供有力的安全保障。中间层服务器:包含了封装了系统业务逻辑的组件,应用系统的大部分的计算工作在此完成。
13、首先,中间层同数据库打交道,维护同数据库的连接,采用“数据缓冲”和“代理连接” ,保证只有较少数量的用户数据连接;接着,将数据按照一定的财务规则打包成业务对象数据,最后将其传向客户端。中间层拥有自己的内存和 CPU,并且可根据不同应用需要进行分布式计算。所以能够提供较高性能的数据库应用。客户端:在三层结构中的客户端只是用户的界面外壳,不具有任何的复杂计算,它需要做的工作就是将中间层传入的业务对象数据放置在界面和控制用户的键盘鼠标操作。金蝶 K/3 系统全面采用了组件技术,应用如“积木”般地搭建起来,这为用户和二次开发商提供了一个很好的开发平台,通过标准的接口,可以直接调用中间层组件进行数据操作
14、,这样,用户能将金蝶 K/3 系统同其它应用系统有机的结合起来,将企业各个系统全面整合为一个完整的企业管理信息系统。K/3 系统的安全性Internet 并非是一个完美的神话,企业通过 Internet,不仅要从异地取回重要数据,同时又要面临由于 Internet 的开放所带来的数据安全的新挑战,任何一家企业都不希望自己的技术和商业机密被他人获得,特别是财务数据,所以对于企业管理软件来说,安全性是一个十分重要的问题。安全性问题包括恶意攻击和窃取、泄漏信息两种类型。为防止非法侵入,需要采用防火墙(Firewall)技术,它可以很好地把企业的内部网与 Internet 隔离开来,作为企业网的第一道
15、安全防线,防火墙技术是用来保证对主机和应用安全访问及多种客户机和服务器的安全性,保护关键部门不受到来自内部和外部的攻击,为通过 Internet进行远程通信的客户提供安全通道,用户可以根据自己的实际情况选择合适的防火墙产品,来保证企业站点的安全性。金蝶 K/3 系统是运行在 Windows 2000/2003 网络上的应用系统,采用微软活动目录/域用户权限机制,是操作系统级别的用户识别,较之传统的企业管理软件输入用户名和口令的身份识别更加安全。Windows 2000/2003 具有极高的安全性,为账号管理和企业范围的网络认证提供了很好的安全服务,在 TCSEC( Trusted Comput
16、er System Evaluation Criteria 受信任电脑系统评价标准)标准下, Windows 2000/2003 获得了 E3/F-C2 级的安全认证,这是 NT 继从 C2 级安全认证后又一次安全级别的提升。TCSEC 标准是颇具权威的电脑系统安全标准之一。金蝶 K/3 系统的数据传递由底层协议加密(SSL) ,此种方式不必改变应用层协议,也不必改变传输层协议,它是在应用层与传输层之间加一层安全加密协议,达到安全传输的目的。Secure Socket Layer(SSL) 是由 Secure Channel (Schannel) 安全提供程序实现的基于公众密钥加密的安全协议。
17、如今,Internet 浏览器和服务器使用这些安全协议来做互认证,信息完整性以及保密性高。当提交服务器的证书作为 SSL 安全通道建立的一部分后,就由 Internet Explorer (客户机) 来做 Internet 服务器的认证。客户机程序核实了服务器证书上加了密的签名,就接受这个证书和到几个已知的或设置 CA 的任何中间的 CA 证书。采用 SSL 协议能为传输数据提供较高的安全性。 金蝶 K/3 系统采用大型数据库管理系统作为数据存储方案,大型数据库对用户有一套严格的权限管理机制,这为企业数据又加了一道安全屏障。对大型数据库的用户、密码进行严格管理,定义用户的数据库角色,并且提供审
18、计线索,能够保证数据的安全性。有了上述四级安全防护的保证,金蝶 K/3 系统有条件在互联网上安全运行。基本部署策略基本配置策略用以指导用户依据自身的业务规模,以及对性能、可靠性等方面的具体要求,来确定合适的系统配置和部署方案。用户的环境和要求千差万别,本章只是给出一个指导性的配置策略,依实际情况的不同,用户可能需要在本部署策略的基础之上做适当调整以满足特定需求。K/3 系统采用多层网络结构,包括三层结构(数据库服务层,中间层、客户端)以及 Web应用层。 客户端:指最终用户进行业务操作或者业务设置的应用程序、交互界面和对话框。K/3 系统的客户端是基于 Windows 的 GUI 桌面应用程序
19、,需要安装在业务系统使用人员的计算机上。 中间层:涵盖了 K/3 系统所有的业务逻辑,包括业务系统的业务逻辑组件,客户端的业务操作,通过对中间层组件的调用来访问数据库。中间层是 K/3 系统的核心部分,对硬件环境的配置要求较高。 数据库:主要安装数据库产品和 K/3 系统的数据库端组件,对目前的 K/3系统而言,要安装的数据库是 SQL Server,所有的业务数据都是存储在这里的。 Web 系统:则是基于 C/S 架构进行的扩展,我们可以浏览器来访问 K/3 的结算中心系统、HR 系统和管理驾驶舱。在 Web 系统的应用中,客户端只需要浏览器而不用安装任何系统。K/3 系统的多层结构,可以根
20、据需要安装在不同的机器上,它们对系统的配置要求也不尽相同,中间层和数据库还可以根据需要进行分布式部署。高端应用可通过群集技术提供高可靠、高性能、高容错性等高级特性。下面我们从不同的应用规模分别描述其配置策略基本系统配置K/3 系统四个安装部分中,中间层和数据库对于任何应用模式都必须安装,客户端和Web 系统则可以根据需要选择安装。K/3 系统的多层结构可以装在同一台机器上,但如果条件允许,应尽可能将各部分分别部署,以提升整个系统的性能。小型的应用场合,业务量较小,通常只有三到五个客户端,可以考虑将中间层和数据库安装在同一台服务器上。超过十个客户端的应用,每个部分都应该装在不同的机器上,如果中间
21、层服务器的负荷允许,也可以将 Web 系统安装在中间层所在服务器上。除非是做演示用途,否则请不要将 K/3 系统的多层结构装在同一硬件设备。K/3 系统的多层结构对硬件设备的要求各有不同,以下章节对系统配置的描述均指安装单一部分时的常规配置,如果硬件设备上安装了多个部分的程序,对配置将有更高的要求。客户端用户通过网络终端的客户机对系统进行业务操作,客户端对硬件设备的要求并不是特别的严格。如果客户端安装了 K/3 系统的全部模块,或者安装了许多其它的应用软件,会对系统的性能造成一定的影响。如果经常会同时打开多个应用系统,对系统资源也会提出更高的要求。如果以 Web 应用方式为主,只要能很好地运行
22、浏览器软件就足够了。基本原则是如果系统运行很慢而且频繁地访问硬盘,就应该考虑提升系统配置了。有时系统慢并不一定是客户端的问题,中间层或者数据库性能下降也会导致客户端响应变慢。因此,通过必要的性能监测找到问题的根源是解决问题的关键所在。中间层服务器中间层的任务是运行 K/3 系统的业务组件,客户端通过访问中间层向数据库读写数据,从而完成各种复杂的业务操作。一个中间层服务器往往要为多个客户端(包括 Web)提供服务,因此对中间层机器的配置要求一般较高。 中间层使用部门级的服务器即可。根据实际测试的结果,K/3 系统中,一台配置为:主流 Xeon 双 CPU、1GB 内存的中间层服务器,所能负载的并
23、发用户数为 60 个左右或者Web 客户端 200 个左右。在超过该并发数目时,可通过提升服务器的硬件配置解决,当单台服务器增加配置仍无法满足性能要求时,此时需要采用多台中间层服务器进行分布式处理。因此我们建议为每 60-100 个 GUI 客户端或每 200 个 Web 客户端配置一台中间层服务器。业务量的大小,客户端的数目会影响中间层服务器的处理和响应能力,通过增加CPU、内存可以对性能的提升带来一定的好处,但这并不是万能的。当达到一定的并发数量后,配置的提升可能对性能的改进成效并不明显,此时应该考虑中间层的分布处理。Web 服务器K/3 系统的 Web 部分需要安装在 IIS 5.0 及
24、以上版本的机器上,客户端通过 IE 浏览器访问 Web 服务器上相应的虚拟目录来进行日常的业务处理。当确定 Web 服务器成为性能瓶颈的时候,可以考虑安装多台 Web 服务器,每台 Web 服务器上执行 Web 系统配置工具指向不同的中间层。条件许可的话,可以建立 Web 服务器网络负载平衡群集以获得更好的效果。数据库服务器数据库服务器作为账套数据的存储平台,无论从性能还是可靠性方面都提出了很高的要求。一方面我们可以通过增加内存和 CPU 来提升数据库服务器的性能,另一方面利用RAID 来存储数据可以提高数据的安全和可靠性,同时也会带来一定的 I/O 性能提升。如果数据库服务器成为性能瓶颈,可
25、以考虑将账套分布到不同的数据库服务器上,如果本来就只有一个账套,即一个 Database,就只能依靠提高数据库服务器的配置来提升性能了。网络环境K/3 系统是以三层结构 Clent/Server 为基础扩展为多层网络结构的,在网络结构上具有很大的灵活性。在 K/3 系统的三层结构中,业务表示层即客户端与中间层的通信量非常小;而中间层与数据库服务层之间具有较高的通信量。支持 K/3 系统运行的网络可以分为核心网络和访问网络两大部分: 核心网络。核心网络的任务是提供足够支持应用服务器与数据库服务器运行所需要的高带宽。核心网络起到了隔离作用,所有对 K/3 系统的数据访问都必须由应用服务器即中间层执
26、行,这种方式将数据库和外界隔离开来,有效保护了数据库服务器上数据的安全。在网络带宽足够的前提下,数据库服务器和中间层应用服务器可以进行灵活的配置。用户可以根据硬件平台的容量选择将数据库和应用服务器集中在同一主机上,或者分布在多台主机上,起到均衡访问压力的作用。 访问网络。访问网络部分的任务是为 K/3 客户端提供灵活多样的接入手段。K/3 的三层结构设计中,由于客户端与中间层的通信量相对较小,可以使用ADSL、宽带网、局域网等多种访问方式。在访问网络上可以根据客户的实际应用需要进行灵活的部署。在建议的应用部署方案中,数据库服务器和中间层服务器被安置在计算中心局域网内的核心网段上。在核心网段所覆
27、盖的范围内,各客户机通过光纤、100/10M 交换机与计算中心共同组成中心网络。通过防火墙的分隔,K/3 数据库服务器和中间层服务器所在网段成为核心网段,网络其余部分为访问网段。所有外地用户(包括外地局域网用户和远程访问用户)都必须通过防火墙的过滤才能够访问核心网络及其上的 K/3 系统。外地分支机构网络可以通过 DDN 专线(或者 FrameRelay、ISDN 拨号等其他方式)连接到中心网络的访问网段。为提高网络的可靠性,可以采用包括电话拨号备份在内的线路备份措施,以及具有冗余路由的广域网结构。网络结构方案最简方案(Scale In one)最简单的业务需求应用,允许客户将所有的服务都安装
28、在一台服务器上,这种形式称为 Scale In(向内扩展) 。该方案在一台服务器上实现三层结构的全部工作过程。图 2-1 最简方案拓扑图分层部署方案(Scale Out Tier 3)当业务应用在一台服务器上不能满足,或者需要对原有的单台服务器进行升级的时候,可以考虑对 DNA 三层结构进行压力分解,在该方案中,针对比较复杂的业务需求,将三层结构对应的服务分布安装在不同的服务器上,这种形式称为 Scale Out(向外扩展) 。图 2-2 分层部署网络拓扑图分层部署集群应用方案( Scale Out Tier 3 -Cluster)当客户业务需求在进行了三层结构分解以后,硬件平台依然无法达到性
29、能负荷要求时,传统的思路会要求客户选择替换原有设备,转而使用性能更高,运行速度更快的高端服务器。这对客户的原有硬件投资将是一种极大的浪费,同时高端服务器的采购费用将是非常惊人的。在 DNA 体系架构下,支持使用集群的方式扩展服务器对系统业务的处理能力。在比较庞大复杂的业务应用情况下,对每一个服务使用一组服务器阵列并通过集群的工作方式,实现强大的负载均衡能力。图 2-3 群集部署网络拓扑图各方案特性对比方案特性网络模型优点 缺点适用范围最简方案Scale In one硬件投资成本最小;服务器内部通讯速度最快( 系统内部总线处理速度); 维护最简单;服务器在物理上对客户端是可见的, 不符合高安全性
30、的要求;硬件负荷能力较小,并发用户数量有限;业务扩展的时候需要升级服务器或者考虑使用其它的解决方案。许可协议较少;并发操作用户数量不多;小规模企业应用。分层部署方案Scale Out- Tier 3硬件投资成本最有效,可以针对 Web 服务、Com服务、数据库服务不同的需求选用最适用的服务器硬件;.数据库与客户端隔离,最大程度保护客户的数据安全;负荷能力高于单机方案,但是面对复杂业务的高强度处理仍然无法实现智能负载分布,对性能要求苛刻的高端客户来说,本方案仍未达到高可用性的标准许可协议较多;并发用户 40个左右;中小型企业应用;是目前 K/3应用较为普遍的.三层结构下逻辑结构分布清晰,系统整体
31、运行效率高;支持更多的业务压力和并发用户操作需求;方案设计灵活,支持向上扩展到集群处理方案;性能价格比最优的方案形式.网络模型。集群应用方案Scale Out-Tier 3-Cluster发挥三层结构应用精髓,高可用性和高性能表现;数据库与客户端隔离,最大程度保护客户的数据安全;数据库采用 Fail-Over cluster,在单台数据库出现故障的时候不影响整体系统的运行;三层结构下逻辑结构分布清晰,系统整体运行效率高;在投资许可的条件下对业务压力的支持和并发用户操作的数量几乎没有限制;成本费用较高;集群方案在项目后期需要客户具备专业的人员进行管理维护。许可协议较多;并发用户数量大;高端客户业
32、务;该方案设计灵活,费用虽然较高但仍可以得到严格的控制,客户可以在进行评估后,对集群服务器的性能、规格、数量进行有效测算,从而给出比较精确的方案预算; 是所有方案中性能最优的一种。表 2-1K/3 系统网络服务器配比参照表一、财务类用户服务器配置简易参照表业务应用类别 财务类总账、工资、固定资产等模块业务应用模式: 集中式应用 / K/3 GUI 3. 减少客户端和中间层之间路由跳转数目;4. K/3 系统 Web 系列可以很好地运行在低速网络或者广域网络环境。5. 必须使用 GUI 客户端的情况下,必须保证有效访问带宽在 256K(独占/ 有效)以上。6. 极端的低速访问条件下(小于32K)
33、, 可以考虑使用远程终端访问的形式,例如微软或者 Citrix 解决方案7. 提升广域网的带宽一般会明显提高系统的性能1. 网络带宽的不足往往成为系统的性能瓶颈关键。2. 如何管理好网络,是广域网运行良好的关键所在。启用 QoS网络服务等有助于提升网络性能指标。广域网远程连接方式DDN帧中继ATMISDNPSTNVPN via ChinaNetADSL城域网低速率带宽应用解决方案客户端中间层带宽=30K,则采用 Citrix 远程管理应用软件。一个Citrix 服务器(2G 内存、2.8G 双 Xeon CPU)可供 4060 个 K/3 Client 用户并发使用。集中式应用:总部(中间层系
34、统服务数据库)与远程客户端连接为512K 帧中继。这种应用可以承担 34 个 K/3 GUI Client 使用,或者 1030个 K/3 Web 用户使用。分布式应用:总部(中间层系统服务数据库)与远程分支机构数据库连接为 256K 帧中继独占连接。通过 K/3 账套管理注册远程机构账套,实现 K/3 集团控制、报表合并、审计机构财务等。有效带宽低于 64K,要实现诸如报表合并等功能则通过 IMTS 实现。应用案例广域网共享环境:总部与分公司的通讯带宽为 256K,除了 K/3 以外,还运行着其他业务,有限带宽资源下的网络争用导致 K/3 速度极不稳定。解决办法:通过带宽质量管理软件,保证带
35、宽的 65%用于 K/3 业务,并使用终端服务软件实现,系统运行效果大为改观。表 2-4K/3 网络流量分布图 2-4说明:Q1/Q2:客户端与系统服务(K/3 许可所在服务器)之间的流量,一般为 1060Kbps/ 客户端功能模块。M0:为客户端登录及退出系统产生的流量,中途应用时不再增加流量,一般为120Kbps/客户端F1/F2:为客户端日常业务产生的流量,一般来情况下 F1 和 F2 分别占客户端总流量的30 40%、60 70%,F1/F2 流量占 K/3 系统流量绝大部分。W1/W2:约 4060Kbps/客户端,流量随客户端切换模块而相应增加。S1/S2:中间层与 K/3 数据库
36、之间的流量,其中 S1 和 S2 分别占总流量的15 20%、80 85%。流量从大至小排列顺序:F2 S2 ,F1S1,Q2Q1 ,W1W2,M0基本安全策略K/3 系统是基于 Windows DNA 架构下的分布式应用,需要对三层应用系统分别进行安全设置,并在用户运行环境中积极采用推荐的安全技术,最终提高系统的抗攻击能力和可用性。客户端的安全策略金蝶 K/3 系统登录使用了两类认证方式 域用户登录方式。当使用域用户登录方式登录 K/3 系统时,系统会将当前域用户的账号信息传送到中间层组件,中间层组件验证账套数据库中是否有该用户信息。如果有该用户信息并且该用户是有效用户,则进入 K/3 系统
37、,否则,提示用户登录失败。 命名身份登录方式。包括:传统登录方式,动态密码锁(ActivCard)登录方式和智能钥匙(eKey)认证方式。随着密码安全技术的发展和客户对应用系统安全需求的提高,金蝶 K/3 系统在传统认证方式的基础上增加了新的身份认证方式:动态密码锁(ActivCard)认证方式和智能钥匙(eKey)认证方式,从而为用户提供更多的安全应用环境选项。下面针对 K/3 系统中命名身份登录的三种方式分别作简要的介绍。1、传统认证方式用户输入用户名和密码,K/3 系统把用户名和密码通过网络传送到 K/3 中间层服务器,K/3 中间层服务器组件根据用户名从账套数据库服务器中取出该用户的密
38、码,验证与用户输入的密码是否相同,如果相同,则进入 K/3 系统,否则,提示用户登录失败。2、动态密码锁(ActivCard)认证用户输入用户名和动态密码,K/3 系统把当前账套名,用户名和动态密码通过网络传送到 K/3 中间层服务器,K/3 中间层服务器组件将账套名,用户名和动态密码传送给动态密码锁的认证组件,该组件从动态密码锁数据库中取出该用户的加密因子并以相同的算法计算出密码,如果这个密码和用户输入的密码相同,则进入 K/3 系统,否则,提示用户登录失败。由于密码是每次使用动态密码锁时动态产生的,用过之后自动失效,因此,密码即使泄露,也只能即时有效,数秒钟之后即失效,不会造成安全影响。动
39、态密码锁本身也需要密码才能进入,取得动态密码。3、智能钥匙(eKey)认证方式用户在 K/3 客户端主机的 USB 接口上插入智能钥匙,输入用户名和智能钥匙 PIN 码,K/3 系统客户端组件调用智能钥匙的客户端组件传入 PIN 码访问当前的 Ekey。如果 PIN 码错误,则系统提示登录失败。否则,eKey 客户端组件用自己的私钥签名用户名,得到用户签名(Client Signature) ,并发送到 K/3 中间层服务器,K/3 中间层服务器组件把用户签名,及相关信息传送到智能钥匙的服务器端组件,服务器端组件以用户名在智能钥匙数据库中检索该用户名所对应的公钥并以该公钥验证用户签名。如果验证
40、通过,则进入 K/3 系统, 否则,提示用户登录失败。中间层的安全策略K/3 系统的中间层根据子系统划分成多个应用程序(包) ,组件服务管理提供了可以针对应用程序级以及组件级的安全设置。对于应用程序级的安全设置,我们可以设置对调用者的身份验证的级别,在最高的安全级别下,数据将会在网络上加密传送,但这会导致一定的性能损失。还可以设置该应用程序以特定的账号来运行,进而限制其资源访问权利,如只给该账号可以运行这些组件必要的权限,包括对数据库的访问权限。我们还可以为组件指定基于角色的安全机制,但这种方式下,我们首先在应用程序(包)一级定义一些角色,然后给每个角色指定一个或者多个成员(成员可以是域用户或
41、者用户组) ,最后将组件的安全设置指定为强制进行安全检查,同时选定可以访问该组件的角色。数据库端的安全策略对于数据库端,我们主要从连接验证的角度来提高安全性,并不建议设计针对数据表等实体级的安全策略,因为 K/3 系统有自己的针对数据的安全机制。再者,在三层结构机制下,所有对数据库的访问,默认都是以中间层所在机器上的当前用户身份来进行的,显然难以通过这种方法来实现针对当前客户端操作用户的安全策略。SQL Server 中的 sa 用户是一个超级用户,建议一定要给 sa 用户设定一个密码,最好将SQL Server 的认证方式改为只接受 Windows 验证,且只允许特定的域账号访问,在中间层则
42、以该域账号登录或者将中间层组件指定在该特定的账号下运行。这样,客户端没有办法可以直接访问数据库,只有中间层组件才有这个权力,从而提高了数据的安全性。安装过程安装前的环境检测K/3 系统的正常运行需要很多第三方组件的支持,所以在安装 K/3 系统前我们要对安装目标机器做一次系统环境检测,以保证这些必需组件在目标机器上都具备并且运作正常。目标机器没有或者运作不正常的组件,在环境检测过程中会自动从 K/3 资源光盘中安装。K/3 资源光盘是 K/3 安装光盘的组成部分,一般有 3 张:金蝶 K/3 资源光盘(一)简体资源光盘金蝶 K/3 资源光盘(二)繁体资源光盘金蝶 K/3 资源光盘(三)英文资源
43、光盘分别对应简体、繁体、英文操作系统环境,环境检测过程中请对应您的操作系统放入正确的资源光盘。基准组件 Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 Microsoft DCOM98 1.3 Microsoft Internet Explorer WebControls Version 1.0 Microsoft .NET FrameWork 1.1 Microsoft Internet Exporler 6.0.2600 Microsoft VM for JAVA Microsoft Jet
44、 Engine 4.0 SP8 Microsoft MDAC 2.8 Microsoft MDAC 2.5 Microsoft Active Directory Client Microsoft Windows Installer 2.0 Microsoft SQL Server 2000 SP4 Microsoft VBA Adobe SVG Viewer 3.0 IBM 4614 POS 机接口程序 根据操作系统和所要安装的 K/3 系统组件的不同,以上第三方组件可能并非都需要,K/3 环境检测程序会自动检测出您所需的组件。如果您不想通过环境检测程序自动安装第三方组件,您也可以自行手动安装
45、,主要组件在 K/3 资源光盘上的位置是:组件 金蝶 K/3 资源光盘上的位置Windows 2000 Service Pack 4 OSW2KSP4W2KSP4.EXE Windows XP Service Pack 1 OS XPSP1 XPSP1A.exeMicrosoft DCOM98 1.3 OSDCOMDCOM98.EXE Microsoft Internet Explorer WebControls V1.0 OSWEBCONTROLIEWEBCONTROLS.EXE Microsoft Windows Installer 2.0 (用于 Windows 98) OSMSINST
46、ALLER2.0INSTMSIA.EXE Microsoft Windows Installer 2.0 (用于 Windows 2000) OSMSINSTALLER2.0INSTMSIW.EXE Microsoft Internet Explorer 6 OSIE6IE6SETUP.EXE Microsoft VM for JAVA OSOTHERMSJAVX86.EXEMicrosoft MDAC 2.8 OSMDAC28MDAC_TYP.EXE Microsoft 数据访问组件 2.5 OSMDAC25MDAC_TYP.EXE Microsoft SQL Server 2000 SP4
47、 OSSQL2KSP4SQL2KSP4.EXE Adobe SVG Viewer 3.0 OSOTHERSVGVIEW30.EXEMicrosoft.NET Framework 1.1 OSDOTNETFXDOTNETFX.EXEActive Directory Client OSMSADCDSCLIENT_9X.EXE IBM 4614 POS 机接口程序 OSIBMPOSSETUP.EXE表 3-1环境检测 请根据您的操作系统语言放入对应的 K/3 资源光盘,通过光盘自动运行功能或者手工运行光盘上的 setup.exe 来进行环境检测:图 3-1用 K/3 的安装光盘也可以进行环境检测,但
48、是当检测程序检测出您有需要安装的组件时,要再手动更换 K/3 资源光盘到您的光驱中进行安装:图 3-2单击“环境检测”程序,会出现如下画面:图 3-3环境检测是根据金蝶 K/3 部件来进行的,需要安装哪一个金蝶 K/3 系统部件,就选择那个选项进行环境检测。如果您选择检测的部件环境与我们推荐系统环境有重大差别,检测程序也会给出相应提示,一般这类提示只具有提醒作用,如果您确定要在现有系统上安装相应的部件,虽然效能上可能达不到最优,当仍然是允许的:图 3-4举例来说,如果希望在当前机器上安装数据库服务器端,则选择,然后单击【检测】,程序就会自动对当前操作系统的环境进行检测,检测当前系统是否可以满足
49、安装数据库服务器端的条件。如果不符合,系统会给出提示:图 3-5用户可以根据给出的提示安装相应的组件,如果符合,系统也会给出符合安装环境的提示。此时,用户就可以进行金蝶 K/3 产品的安装了:图 3-6K/3 系统的安装过程环境检测成功之后,用户可以根据实际需要进行所需服务部件的安装。放入 K/3 系统安装光盘,通过光盘自动运行功能或者手工运行安装光盘上的 setup.exe,可以开启安装主界面如下:图 3-7点击“安装金蝶 K/3”即开始 K/3 安装过程初次安装如果目标机器在之前没有安装过 K/3,安装开始后会进入选择组件的界面:图 3-8您可以根据目标机器在 K/3 部署中的角色,选择安装一个或者全部部件。如果您需要安装一个以上的部分部件,请选择“自定义安装” ,这样您可以选择多个部件组合安装。下一步,您可以根据您的业务需要选择不同业务领域的组件进行安装,不安装您不使
