安全靈活辦公桌面云解決方案

1、桌面云安全靈活辦公解決方案解決方案概述安全靈活辦公桌面云解決方案是一個面向金融、保險、企業(yè)、制造、政府等各行業(yè)推出的開箱即用的安全靈活桌面云解決方案，旨在幫助企業(yè)實現(xiàn)提高桌面安全性，提升業(yè)務訪問的靈活性，并最大程度降低運維成本。安全靈活辦公解決方案的核心在于構建一套網(wǎng)絡安全隔離架構，如下圖所示PC 直接訪問數(shù)據(jù)中心業(yè)務的不同之處在于，桌面云在用戶終端與數(shù)據(jù)中心之間增加了桌面云服務層，并PC 直接向數(shù)據(jù)中心的訪問，用戶所有對數(shù)據(jù)中心業(yè)務系統(tǒng)的方案轉而由桌面云實現(xiàn)；架構優(yōu)勢介紹從架構上提升安全性，保護業(yè)務數(shù)據(jù)：由于桌面云本身并沒有真實數(shù)據(jù)對外傳輸和交互，用戶訪問數(shù)據(jù)中心業(yè)務的操作過程、產生的數(shù)據(jù)都

2、駐留與桌面云當中；因此可以有效的避免數(shù)據(jù)外泄，保護數(shù)據(jù)中心業(yè)務數(shù)據(jù)PC、筆記本、瘦客戶機、智能手機、平板電腦等設備訪問桌面云，極大的方便了工作，提升工作效率。終端標準化并簡化運維：桌面虛擬化實現(xiàn)了工作桌面的標準化，無論終端設備是何種操作系統(tǒng)，用戶與管理員都無需關心應用兼容性問題，通過桌面云始終如一的獲得標準化的企業(yè)業(yè)務環(huán)境，真正實現(xiàn)了集中交付、集中運維，簡化訪問。PC上工作的內容，將工作相關內容上收數(shù)據(jù)中心，而用戶個性化的內容可根據(jù)企業(yè)要求決定保留還是完全上收，給予了用戶更多的選擇，更加開放的工作環(huán)境。架構組成與特性介紹眾所周知，云計算已是當今信息技術不可動搖的發(fā)展方向，云計算帶來的信息技術行

3、業(yè)的變革，加速了信息技術的深度應用，并且讓信息技術更為易用；但縱觀傳統(tǒng)云計算架構，往往存在組件繁多、架構復雜、部署與后期成本較高；基于上述問題，創(chuàng)新的推出了云融合技術平臺。右圖是云融合架構的邏輯架構圖，云融合技術融匯了當今業(yè)界主流的技術平臺，包括如下幾個核心技術：內嵌式的超融合內核：眾所周知，超融合技術已成為當今業(yè)界基礎架構的主流發(fā)展方向，超桌面云融合技術大幅降低了云計算的部署門檻，使用通用 X86 服務器即可構建云平臺，并可充分利用服務器自身的計算與存儲資源為云應用提供充足的能力，有效的消除了對于傳統(tǒng)集中 SAN 存儲的依賴性，降低了整體方案的投資成本。分布式部署與管理架構：云平臺引入大規(guī)模

4、計算環(huán)境中較為成熟的分布式架構技術，該技術有效的消除了傳統(tǒng)架構中的集中管理節(jié)點的安全風險，轉而采用冗余度、彈性更高的分布式管理架構；分布式架構采用美國斯坦福大學著Raft 分布式算法理論，有效確保分布式集群環(huán)境下，服務器發(fā)生故障時能以最短的時間進行集群重構，實現(xiàn)故障轉移，確保平臺的業(yè)務連續(xù)性。iConn：眾所周知，傳統(tǒng)桌面云產品組件繁多、部署復雜，從而導致系統(tǒng)部署和運維困難；著眼于企業(yè)桌面管理人員少、運維壓力大的實際現(xiàn)狀，創(chuàng)新的將云平臺和桌面云產品進行了高度融合，通過微服務技術將桌面云嵌入到云平臺中，實現(xiàn)從底層架構到上層桌面管理門戶的完全融合和統(tǒng)一；其核心價值在于：桌面云做到了真正開箱即用，管

5、理員僅需一個門戶即可輕松進行所有的管理運維工作。Liberty：該技術可為關鍵桌面場景提供多副本保護機制，以在服務器出現(xiàn)故障時，快速恢復用戶原有的桌面環(huán)境，確保關鍵用戶桌面的業(yè)務連續(xù)性；為了適應企業(yè)不同的桌面保護策略，Liberty具備獨特的按需伸縮技術，這包括按需保護和動態(tài)伸縮兩個特征；按需保護是指管理員可根據(jù)用戶重要性決定是否給予其桌面保護的權利，以避免不必要的資源浪費；動態(tài)伸縮指 Liberty 可縱向擴展和橫向擴展，包括 Liberty 服務器內的硬盤及服務器臺數(shù)均可根據(jù)項目實際存儲需求按需配置和靈活擴展。NSP桌面協(xié)議與行業(yè)外設支持能力：NSP協(xié)議為自主研發(fā)，著眼于對行業(yè)的理解，NS

6、P協(xié)議不僅能夠很好的適應各種網(wǎng)絡訪問需求（LAN/WAN/4G），并能在各種設備上進行訪問（智能手機、平板電腦、PC等），而且具有較為優(yōu)異的行業(yè)外設支持能力，能夠很好的滿足和匹配行業(yè)業(yè)務需求。精細化的安全策略管控:針對辦公環(huán)境下數(shù)據(jù)安全高度敏感性的特征，安全管控集中在數(shù)據(jù)輸入與輸出環(huán)節(jié)的控制 上，桌面云支持對各類型外設進行分類控制或具體設備指定的黑白名單管理策略，通過不同策略的靈活組合，匹配具體的用戶群組，從而實現(xiàn)精細化、層次化的安全策略管控，很好的滿足辦公環(huán)境數(shù)據(jù)安全管控的要求。單向數(shù)據(jù)只讀訪問：UPC本地硬盤的數(shù)據(jù)上傳需求，實現(xiàn)數(shù)據(jù)的單向傳輸，即僅允許終端本地數(shù)據(jù)向虛擬桌面中傳輸，而不允許

7、虛擬桌面數(shù)據(jù)向終端本地傳輸，確保數(shù)據(jù)只入不出，滿足移動辦公場景用戶數(shù)據(jù)帶入辦公環(huán)境的需求。桌面屏幕錄像行為審計：對于一些高安全場景的桌面來說，事后桌面審計尤為重要，傳統(tǒng)的做法通常以操作日志為主要審計手段，但該方法往往存在大量的雜亂信息，難以甄別， 追溯困難；桌面云內置桌面云屏幕錄像審計功能，可以對用戶桌面的操作通過錄像實現(xiàn)操作過程的記錄，后期可直接回放操作過程，審計結果形象、逼真，追溯效率高，甄別直觀， 是桌面安全審計的有力幫手。屏幕水印形成安全威神力：PC難以管控用戶通過拍照造成的數(shù)據(jù)泄露行為；對此，桌面云引入屏幕水印功能，屏幕水印根據(jù)用戶在桌面環(huán)境中的唯一特征標識的組合，并將其虛化并展現(xiàn)于

8、用戶屏幕上，從而使得拍照后的屏幕留下這些唯一標識；一旦屏幕拍照外泄，可輕松通過這些水印表示追蹤追溯并追究具體人員行為責任。桌面云支持豐富的終端設備接入：針對移動辦公場景，該功能能夠很好的滿足各類用戶自帶設備隨時隨地的安全接入需求， NSPPCWindowsPC、MAC OS、Linux等桌面操作系統(tǒng)。應用場景介紹內網(wǎng)安全辦公：PC轉換至虛擬桌面，實現(xiàn)用戶桌面的完全管控。內網(wǎng)/互聯(lián)網(wǎng)安全協(xié)同辦公：PC+工作虛擬桌面的方式，或者是瘦終端+兩個虛擬桌面（工作桌面+互聯(lián)網(wǎng)桌面）的方式。外網(wǎng)移動辦公：VPNVPN更安全。分支機構廣域網(wǎng)訪問：分支機構通過專線或互聯(lián)網(wǎng)遠程訪問數(shù)據(jù)中心的桌面云，實現(xiàn)了分支機構

9、的集中管理運維。方案架構概述通常，安全桌面集中部署于數(shù)據(jù)中心，該方案由以下幾部分組成：服務器iConn 桌面云服務器承擔用戶桌面虛擬機的運行，提供所需的 CPU、內存及存儲資源，服務器之間使用心跳線互聯(lián)以確保故障自動發(fā)現(xiàn)；用戶可通過PC、瘦客戶機，自帶筆記本等設備通過有線/無線局域網(wǎng)等網(wǎng)絡接入訪問。Liberty 桌面云保護服務器為用戶提供桌面數(shù)據(jù)多副本保護，當某臺iConn 服務器出現(xiàn)故障時，其他服務器可從 Liberty 上重新恢復故障虛擬機， 繼續(xù)對外服務，確保用戶連續(xù)性；注意：該部分為選配上述服務器均可實現(xiàn)橫向按需擴展。網(wǎng)絡設施該部分由三個網(wǎng)絡組成，建議使用 1GbE 或以上的網(wǎng)絡。心

10、跳網(wǎng)：該網(wǎng)絡連接所有服務器，實現(xiàn)服務器之間的健康檢查、故障發(fā)現(xiàn)、故障轉移等功能業(yè)務網(wǎng)：該網(wǎng)絡主要用于虛擬桌面訪問券商后臺業(yè)務系統(tǒng)之用，該網(wǎng)絡與前端對外的桌面網(wǎng)隔離，確保數(shù)據(jù)安全桌面網(wǎng)：用于連接最終用戶終端設備，最終用戶可通過廣域網(wǎng)專線、Internet 或 4G 網(wǎng)絡進行訪問，此網(wǎng)絡僅傳輸桌面屏幕變化量，沒有真實數(shù)據(jù)傳輸，并且使用 SSL 加密傳輸。Liberty 數(shù)據(jù)保護組件，則將增加數(shù)據(jù)保護網(wǎng)，該網(wǎng)絡用于將前端桌面實時變化的數(shù)據(jù)同Liberty Liberty 2 3 副本的保護，并在發(fā)生故障時，通過該網(wǎng)絡將副本數(shù)據(jù)恢復到其他服務器10GbE 或以上的網(wǎng)絡。桌面云軟件版本選擇軟件版本選擇需

11、要根據(jù)實際用戶需求決定；在一般的應用場景下，通常會將用戶個人數(shù)據(jù)集中外置存放到企業(yè)已有文件存儲設施中（如 NAS），同時，對于桌面應用環(huán)境要求統(tǒng)一化，在這種需求下，可以考慮 iConn 標準版軟件；在一些要求較高的場景，如用戶要求數(shù)據(jù)與桌面放置在同一環(huán)境，或者用戶需要持續(xù)保護整個桌面的應用程序環(huán)境， 并對故障轉移時效具有自動化的需求，那么，需要選擇 iConn 企業(yè)版軟件，該版本支持擴展 Liberty 組件，通過構建Liberty 保護服務組件，可對用戶桌面做到完整的數(shù)據(jù)保護和故障自動轉移的高級別保護要求。桌面云建議軟硬件配置集中式部署模式（100用戶示例）類型配置參數(shù)數(shù)量備注CPU：E5-

12、2640 v4(2.4GHz/10-core/25MB) * 2內存：256GB每臺服務器建議承載 50 用戶，每iConn 服務器內置存儲：480G SSD*2 + 6 塊 2TB (7.2K) SATA 硬盤3 臺增加 50 用戶相應增加一臺服務RID（2GB緩存含電容）器。網(wǎng)絡端口：2 端口千兆以太網(wǎng) + 2 端口萬兆以太網(wǎng)Liberty 服務器(選配)CPU：E5-2620 v4(2.1GHz/8-core/20MB) * 1內存：64GB內置存儲：480G SSD*1, =3 塊 2TB (7.2K) SATA 硬盤網(wǎng)絡端口：2 端口千兆以太網(wǎng) + 2 端口萬兆以太網(wǎng)3 臺至少 3 塊 SATA 硬盤或以上；整體 SATA 硬盤容量至少為 iConn硬盤總容量的 2 倍瘦客戶機 (選配)100 臺顯示器 (選配)100 臺鍵盤鼠標 (選配)羅技（Logitech）MK120 鍵鼠套裝 黑色100 套桌面云軟件 iConn 虛擬桌面管理界面軟件（標準版/企業(yè)版）100 并發(fā)用戶許