制造行業(yè)數(shù)據(jù)中心資源整合及桌面虛擬化解決方案

制造行業(yè)數(shù)據(jù)中心資源整合及桌面虛擬化

解決方案

目錄

1前言-1-

2虛擬化交付中心的概念-1-

2.1虛擬化提高系統(tǒng)高可用性-4-

2.2應用優(yōu)化提高客戶體驗-6-

2.3應用安全降低系統(tǒng)風險-8-

3EASTED制造行業(yè)解決方案一覽-10-

3.1SAP集中部署解決方案-10-

3.1.1需求分析-10-

3.1.2項目目標-12-

3.1.3技術方案-12-

3.1.4項目收益-13-

3.2企業(yè)分支機構快速擴張和部署解決方案-15-

3.2.1背景-15-

3.2.2需求-15-

3.2.3問題分析-16-

3.3企業(yè)集中開發(fā)管理平臺解決方案-19-

3.3.1功能需求-19-

3.3.2技術需求-20-

3.3.3解決方案及對應項目需求的實現(xiàn)-20-

3.4企業(yè)文檔和源代碼集中管理以及桌面虛擬化解決方案-26-

3.4.1企業(yè)的文檔管理平臺-27-

3.4.2集中部署的虛擬化應用，實現(xiàn)安全、集中的應用和文檔訪問-27-

3.4.3Easted安全的，集中部署的虛擬桌面架構解決方案-27-

3.4.4開發(fā)中心虛擬桌面解決方案-27-

3.4.5可靠的桌面訪問管理-30-

3.4.6廣泛的桌面交付生態(tài)系統(tǒng)-30-

3.4.7業(yè)務系統(tǒng)的發(fā)布-31-

3.4.8桌面和應用集中發(fā)布平臺的優(yōu)勢-31-

3.5圖紙安全控制解決方案-33-

3.5.1應用虛擬化-33-

3.5.2標準桌面虛擬化-34-

3.5.3總結-34-

3.6企業(yè)辦公網(wǎng)統(tǒng)一對外訪問解決方案-34-

3.6.1需求分析-34-

3.6.2Easted解決方案-35-

3.7企業(yè)應用統(tǒng)一發(fā)布管理平臺方案-36-

3.7.1需求分析-36-

3.7.2Easted解決方案-37-

3.8企業(yè)安全遠程訪問內(nèi)網(wǎng)解決方案-38-

3.8.1用戶現(xiàn)狀及面臨的挑戰(zhàn)-38-

3.8.2Easted解決方案-39-

3.8.3主要效益-39-

4EASTED解決方案目標-40-

4.1低帶寬下的遠程應用軟件訪問-40-

4.2徹底解決基于互聯(lián)網(wǎng)的遠程應用安全問題-40-

4.3服務器集群及負載均衡能力-41-

4.4易操作性-41-

4.5穩(wěn)定性-41-

4.6服務器與客戶機資源共享-41-

4.7優(yōu)秀的打印功能-41-

4.8減少軟件投資成本-41-

4.9快速部署實施，集中管理和維護-42-

5EASTED解決方案優(yōu)勢-42-

5.1提高可管理性-42-

5.2簡化部署-42-

5.3更高的靈活性-42-

5.4提高數(shù)據(jù)保護能力-43-

5.5提高資源利用率-43-

5.6降低成本-43-

5.7安全性-43-

5.7.1技術層面-43-

5.7.2管理層面-43-

5.7.3易管理性-44-

5.7.4提升運維效率-44-

5.7.5改善服務等級-44-

5.8靈活擴展-44-

5.9節(jié)約成本-45-

5.9.1硬件成本-45-

5.9.2運行成本-45-

5.9.3知識成本-45-

6EASTED產(chǎn)品解決方案價值和收益-45-

6.1決策層-46-

6.2H"運維管理部門-47-

7EASTED競爭優(yōu)勢-47-

8EASTED技術服務體系-48-

8.1編寫目的-48-

8.2技術服務概覽-48-

8.3技術服務總則-49-

8.3.1電話服務-49-

8.3.2在線服務-49-

8.3.3標準服務包括-49-

8.3.4特殊技術服務包括-49-

8.3.5培訓服務包括-49-

8.3.6服務意見與投訴包括-49-

8.4技術服務詳細內(nèi)容、流程及要求說明-50-

8.4.1電話服務-50-

8.4.2在線服務-51-

8.4.3標準服務-51-

8.5特殊技術服務-52-

8.5.1現(xiàn)場緊急故障救援服務-52-

8.5.2EASTED標準技術服務-52-

8.5.3專題技術方案交流-52-

8.5.4維護經(jīng)驗技術交流-52-

8.5.5培訓服務-52-

8.5.6服務意見與投訴服務-53-

9EASTED公司簡介錯誤!未定義書簽。

10EASTED產(chǎn)品簡介錯誤!未定義書簽。

10.1云計算簡介錯誤!未定義書簽。

10.1.1基礎架構虛擬化錯誤!未定義書簽。

10.1.2桌面虛擬化錯誤!未定義書簽。

10.2EASTEDVSERVER虛擬數(shù)據(jù)中心系統(tǒng)錯誤!未定義書簽。

10.2.1系統(tǒng)結構圖錯誤!未定義書簽。

10.2.2產(chǎn)品簡介錯誤!未定義書簽。

10.2.3產(chǎn)品功能簡介錯誤!未定義書簽。

10.3EASTEDECENTERSERVER云數(shù)據(jù)中心管理系統(tǒng)錯誤!未定義書簽。

10.3.1產(chǎn)品簡介錯誤!未定義書簽。

10.3.2功能和優(yōu)勢錯誤!未定義書簽。

10.4EASTEDVIEW桌面虛擬化系統(tǒng)錯誤!未定義書簽。

10.4.1產(chǎn)品簡介錯誤!未定義書簽。

10.4.2功能和優(yōu)勢錯誤!未定義書簽。

10.4.3高清視頻播放錯誤!未定義書簽。

1前言

制造業(yè)在我國國民經(jīng)濟中處于主體地位。

目前幾乎所有的制造業(yè)企業(yè)都己經(jīng)或正在把企業(yè)信息化作為企業(yè)發(fā)展的戰(zhàn)略之一。企業(yè)

信息化規(guī)劃則是實施這一戰(zhàn)略的藍圖。信息化規(guī)劃以整個企業(yè)的發(fā)展目標，發(fā)展戰(zhàn)略，和各

部門的目標與功能為基礎，結合行業(yè)信息化方面的實踐和對信息技術發(fā)展趨勢的掌握，提出

企業(yè)的信息化遠景，目標，和戰(zhàn)略，全面系統(tǒng)地指導企業(yè)信息化的進程，協(xié)調(diào)發(fā)展地進行信

息技術的應用，及時地滿足企業(yè)發(fā)展的需要，以及有效充分地利用企業(yè)的資源。

不斷提升并完善企業(yè)信息化的價值是一項復雜的系統(tǒng)工程，它既需要軟件和硬件設備的

大量投資，又需要人力、物力、智力的投入。近年來，很多制造企業(yè)都加快了信息化建設的

步伐，通過互聯(lián)網(wǎng)及企業(yè)內(nèi)部網(wǎng)（專網(wǎng)），宣傳企業(yè)或開展電子商務；使用辦公0A系統(tǒng)、

ERP、CRM等信息管理系統(tǒng)；建立自己的門戶網(wǎng)站等，以此提高企業(yè)核心競爭力。

因此，在網(wǎng)絡信息技術高速發(fā)展的今天，企業(yè)信息系統(tǒng)網(wǎng)絡是否高效、暢通、安全在很

大程度上影響企業(yè)的生產(chǎn)、銷售、管理等各個環(huán)節(jié)。對于現(xiàn)代化的制造企業(yè)來說，及時了解

客戶的需求和市場動態(tài)非常重要，建立一個高效、可靠、靈活的企業(yè)信息網(wǎng)絡架構就顯得尤

為迫切。

借助Easted公司多年的制造行業(yè)合作經(jīng)驗，結合Easted公司為制造行業(yè)提供的優(yōu)秀高

科技產(chǎn)品，能夠共同幫助中國制造行業(yè)實現(xiàn)成長企業(yè)戰(zhàn)略，使得企業(yè)就能夠在變化降臨的各

個階段快速實現(xiàn)業(yè)務決策，化被動為主動。使得企業(yè)隨市場而變，隨用戶而動，而企業(yè)核心

業(yè)務系統(tǒng)隨企業(yè)而動；幫助中國制造業(yè)的創(chuàng)新模式就能夠隨時隨地轉化為滿足用戶需求的競

爭力、滿足市場變化的競爭力。使得業(yè)務系統(tǒng)不斷創(chuàng)新，永續(xù)成長，成為企業(yè)的卓越典范。

2虛擬化交付中心的概念

虛擬化交付中心，首先的一個問題就是應用的發(fā)布問題。下面我們從一個典型的應用發(fā)

布流程中間所經(jīng)歷的環(huán)節(jié)進行分析:

任何應用系統(tǒng)都離不開物理的數(shù)據(jù)存放。數(shù)據(jù)最終都是以二進制編碼方式存放在物理設

備上，通常，這些都是存放在存儲設備上，比如常見的硬盤、磁盤陣列等存儲系統(tǒng)上。通過

服務器操作系統(tǒng)，可以將這些數(shù)據(jù)按照應用系統(tǒng)所要求的格式進行讀取和寫入。服務器在

這中間起到了一個橋梁性作用，一方面，服務器從物理存儲設備上讀取和寫入數(shù)據(jù)，另一方

面，服務器對外提供網(wǎng)絡的接口，通過網(wǎng)絡將數(shù)據(jù)進行發(fā)布。應用系統(tǒng)則是安裝在服務器

上的軟件應用，對數(shù)據(jù)進行進一步處理，應用系統(tǒng)包括常見的數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等。

應用系統(tǒng)主要完成商務邏輯運算、數(shù)據(jù)加工整理等功能。最后，通過門戶系統(tǒng)對外呈現(xiàn)一

個統(tǒng)一的界面和接口，如Apache、IIS等Web服務器，對數(shù)據(jù)進行進一步格式化，轉變成用

戶端可見的界面，并提供服務端口，供用戶端進行訪問。所有的存儲、服務器、應用系統(tǒng)

和門戶系統(tǒng)都部署在數(shù)據(jù)中心里。ISP則是連接用戶端和數(shù)據(jù)中心的橋梁。最終用戶通過ISP

提供的鏈路資源訪問到數(shù)據(jù)中心，并最終通過門戶系統(tǒng)、應用系統(tǒng)和服務器系統(tǒng)來讀取和寫

入應用數(shù)據(jù)。這樣，就完成了整個應用的發(fā)布過程。交付中心中所有中間環(huán)節(jié)就是讓最終

用戶可以輸入和使用位于數(shù)據(jù)中心的數(shù)據(jù)。應用則通過不同的展現(xiàn)手段，提供給終端用戶不

同的內(nèi)容。

在應用發(fā)布的整個過程中，直接性的，信息主管面臨以下問題：

?應用整合隨著企業(yè)自身的發(fā)展，對IT信息化建提出了更高的要求，因此應用系統(tǒng)

的整合度越來越高，所以對服務器的性能、高可用性方面的要求也隨之提高。

?服務器整合在應用整合后，服務器的整合隨即變得非常的重要，如何使位于數(shù)據(jù)

中心的服務器資源得到合理的共享、動態(tài)調(diào)配，降低能源消耗，已經(jīng)現(xiàn)實的將問題擺在了信

息主管的面前。

?安全攻擊從DDOS到SQLInjection,各種類型不同的攻擊手段，都在影響著交付中

心的順暢，輕則導致應用變慢、不順暢，重則導致業(yè)務中斷、系統(tǒng)癱瘓。

?用戶分散加劇目前大部分企業(yè)的業(yè)務系統(tǒng)都從最初僅面向一個分支機構或者一個

小范圍的客戶群體，發(fā)展到面向全國甚至全球的使用者。用戶分散加劇也導致了交付中心的

環(huán)境變得越來越惡劣。

?SOA建設企業(yè)業(yè)務的復雜性，需要SOA架構來進行多應用，多協(xié)議的整合，信息

主管需要有完善的架構設計理念和實施部署方案，實現(xiàn)這些不同種類的應用的最佳部署結

構。

針對交付中心的各個環(huán)節(jié)中的薄弱點，Easted交付中心方案提供了端到端的解決方案。

應用整合：通過對應用系統(tǒng)的深層次識別和各種應用加速技術，提高應用系統(tǒng)的訪問效

率和響應速度。

服務器整合：通過使用本地負載均衡、應用優(yōu)化設備，實現(xiàn)服務器的高可用性、高安全

性和可擴充性。

安全攻擊：通過網(wǎng)絡層安全防護、應用層安全防護和傳輸通道加密技術，提高系統(tǒng)的整

體安全性。

用戶分散加?。和ㄟ^將數(shù)據(jù)，應用和桌面完全集中放到數(shù)據(jù)中心，然后通過高效顯示傳

輸協(xié)議交付給最終用戶，最大程度地減少傳統(tǒng)應用的客戶端管理和本地操作系統(tǒng)依賴，真正

實現(xiàn)應用發(fā)布的客戶端獨立性。另外一個層面，通過廣域網(wǎng)用戶引導、多鏈路用戶引導等技

術，引導用戶選擇最佳的數(shù)據(jù)中心，通過最佳的鏈路到達應用服務器。

SOA建設：通過多協(xié)議、多平臺的支持，對應用中的各種協(xié)議流量進行分析，實現(xiàn)精確

引導和應用發(fā)布。

傳統(tǒng)的數(shù)據(jù)網(wǎng)絡主要關注的是網(wǎng)絡的互連互通，而各種新興繁雜的網(wǎng)絡應用，關注的則

是業(yè)務邏輯和功能。應用虛擬化交付中心(DeliveryCenter)的理念則將重點放在了這兩者

之間的地帶，在現(xiàn)有架構的基礎上，實現(xiàn)應用交付的快速、安全和高可用.

Easted通過對網(wǎng)絡和應用之間存在的問題進行分析，提出了以持續(xù)，高效，安全、快速

為核心的應用虛擬化交付中心概念，通過集中式管理模式，并從虛擬化、及應用加速優(yōu)化,

應用安全等幾個方面入手，幫助企業(yè)構架交付中心，提高系統(tǒng)的高可用性、利用率和客戶體

驗，并降低應用安全風險

2.1虛擬化提高系統(tǒng)高可用性

企業(yè)現(xiàn)有應用系統(tǒng)中常用的0A系統(tǒng)，Mail系統(tǒng)，ERP,CRM等眾多的應用已成為企業(yè)

日常運作的重要組成部分，任何一個系統(tǒng)的訪問失敗都會影響企業(yè)運營的進行。目前的企業(yè)

數(shù)據(jù)中心內(nèi)都包含上千個內(nèi)部/外部的業(yè)務應用系統(tǒng)，其關系錯綜復雜。

然而，用戶在通過網(wǎng)絡訪問到企業(yè)所發(fā)布的應用所經(jīng)過的處理環(huán)節(jié)中，造成應用訪問失

敗的原因有很多，比如：單一的Internet或?qū)＞€接入鏈路出現(xiàn)的單點故障，各網(wǎng)絡設備或安

全網(wǎng)關類設備的異常中斷，后臺服務器軟硬件系統(tǒng)的失效或日常維護時的停機重啟等操作，

都無法有效保證企業(yè)關鍵應用系統(tǒng)可以7*24小時不間斷運行。

處于業(yè)務系統(tǒng)的部署需求和成本管理控制，沒有任何一個企業(yè)可以采用單一的操作系統(tǒng)

和單一廠商硬件設備來構建整個的數(shù)據(jù)中心，用戶接入端的種類越來越豐富，對交付中心需

求的時間要求越來越高，也帶來了對系統(tǒng)高可用性越來越高的要求。

虛擬化技術(Virtualization)可以有效的提高系統(tǒng)的整體高可用性。虛擬化技術實際上

在業(yè)界已經(jīng)存在很長的時間，只是目前在開始逐漸清晰，并將其作為一個主流的技術進行展

現(xiàn)。按照不同的用戶接入和應用服務層面，虛擬化可以分為很多個層次。

服務器虛擬化在目前主流的服務器硬件設備和操作系統(tǒng)級別上，均提供了不同程度

的虛擬化功能。包括基于CPU的硬件虛擬化功能的系統(tǒng)如Easted的EastedVServer,Windows

Hyper-V等技術，也包含了基于軟件的服務器虛擬化系統(tǒng)如VMware。在主流的CPU如Intel.

AMD、PowerPC和SPARC等CPU上，也實現(xiàn)了硬件的虛擬化技術，使單臺服務器可以被切

分為多臺服務器系統(tǒng)。從而使操作系統(tǒng)認為其使用的是一個完整的硬件平臺。然后在后臺進

行資源的統(tǒng)一調(diào)度和管理。

應用虛擬化應用虛擬化可以簡單描述為“以IT應用客戶端集中部署平臺為核心，以

對最終用戶透明的方式完全使用戶的應用和數(shù)據(jù)在平臺上統(tǒng)一計算和運行，并最終讓用戶獲

得與本地訪問應用同樣的應用感受和計算結果。”

虛擬化背后的主要推動力是基礎設施各方面的猛烈增長，同時伴隨著IT硬件和應用的

大量增加。而且，n■系統(tǒng)正在變得越來越大，分布越來越廣，并且更加復雜，因而難以管理，

但要求加強IT控制的業(yè)務和監(jiān)管壓力卻在繼續(xù)增大。而應用虛擬化正在幫助解決當今機構

所面臨的很多推動力方面的問題一一提高業(yè)務效率、增強員工移動性、遵守安全與監(jiān)管規(guī)定、

向新興市場拓展、業(yè)務外包、以及業(yè)務連續(xù)性等等。

桌面虛擬化桌面虛擬化是使用軟件從用戶的PC中抽象操作系統(tǒng)、應用程序和相關的

數(shù)據(jù)。桌面須擬化使管理用戶PC、配置新的桌面、使用補丁和強制執(zhí)行安全政策更加方便。

根據(jù)軟件和硬件的選擇，桌面虛擬化能夠減少擁有總成本。一般說來，桌面虛擬化產(chǎn)品有兩

種類型：本地桌面虛擬化和托管的桌面虛擬化。前者在用戶PC上的一個受保護的隔離環(huán)境

中運行整個桌面環(huán)境。后者將用戶的桌面存儲在數(shù)據(jù)中心的服務器或者刀片式PC上，要求

用戶通過網(wǎng)絡連接訪問自己的桌面鏡像。

只有通過虛擬化、共享的系統(tǒng)建設，并通過完善的系統(tǒng)資源監(jiān)控和自動化的調(diào)配體系，

才能實現(xiàn)真正的系統(tǒng)高可用性。為此，在考慮新一代的企業(yè)信息系統(tǒng)建設時，還必須考慮以

下幾個方面：

系統(tǒng)的監(jiān)控除了傳統(tǒng)的數(shù)據(jù)收集類的監(jiān)控體系外，新的系統(tǒng)監(jiān)控體系還必須加入快

速反應系統(tǒng)。在事件發(fā)生的時候，監(jiān)控系統(tǒng)還可以根據(jù)預先設置的條件進行快速反應，對資

源進行動態(tài)調(diào)配，將可能發(fā)生的問題消于無形。

系統(tǒng)的智能化在數(shù)據(jù)中心中，存在有各個廠家、各個層面上的網(wǎng)絡設備、服務器、存

儲等，智能化的系統(tǒng)可以與其他的廠商相關聯(lián)產(chǎn)品進行緊密配合，相互了解資源使用狀況。

并通過開放的應用開發(fā)接口，可以靈活的定制動態(tài)資源調(diào)配策略。

虛擬化對應用系統(tǒng)的影響在實現(xiàn)虛擬化以后，必然會涉及到應用運行環(huán)境的改變，嚴

重的時候甚至將導致系統(tǒng)不能運行。通過兩種手段可以化解這個問題:一是選用靈活度最大

的產(chǎn)品，以增強相互之間的適應性；二是制訂規(guī)范化的部署方案、開發(fā)方案，使開發(fā)和部署

能無縫的在虛擬化環(huán)境中進行。

在一個完善的虛擬化應用系統(tǒng)中，所有的應用系統(tǒng)均要求有最大的通用性、跨平臺性和

各廠商的協(xié)作性。通過與相關廠商的緊密合作，實現(xiàn)不同系統(tǒng)之間的相互監(jiān)控和相互操作，

實現(xiàn)資源的動態(tài)調(diào)配從而實現(xiàn)真正的應用系統(tǒng)高可用性。

2.2應用優(yōu)化提高客戶體驗

隨著技術的進步、產(chǎn)品標準化的加速推進，整個社會正在走向產(chǎn)品無差異時代，特別是

在主流市場上，核心產(chǎn)品創(chuàng)新的難度越來越大，很多行業(yè)實際上成了加工或組裝業(yè)，大家所

使用的零部件大同小異.甚至完全一樣。在這種情況下，一些優(yōu)秀的企業(yè)開始把目光轉到另

外一個地方，并深入研究、實施相關策略，即全面客戶體驗，也即消費者得到產(chǎn)品（或服務）

的全過程。也就是說，一個基本事實是消費者在整個消費過程中所體驗到的一切會使他得出

某些結論，從而喜歡或不喜歡某個品牌，喜歡或不喜歡某個企業(yè)，而產(chǎn)品本身卻成了次要的

選擇因素。這個趨勢終將成為未來幾年主流市場上企業(yè)之間競爭的焦點。

對于制造業(yè)而言，除了產(chǎn)品創(chuàng)新外，完善、優(yōu)化的IT架構也成為提高客戶體驗的一個

最重要的環(huán)節(jié)。

作為企業(yè)的客戶，可能通過各個渠道使用業(yè)務，在這些系統(tǒng)的后臺，都是由企業(yè)的n■架

構在進行支撐。IT系統(tǒng)建設的狀態(tài)直接影響到前臺的渠道客戶體驗。

業(yè)務大集中后，所有關鍵應用都將以數(shù)據(jù)中心為中心，各分支機構、合作伙伴和客戶通

過Internet或?qū)＞€訪問的方式進行發(fā)布，然而：

數(shù)據(jù)中心Internet/lntranet鏈路接入的帶寬不斷擴大，但訪問速度仍然很慢

?大量非關鍵應用的流量在網(wǎng)絡進行傳播，使得無限擴充的鏈路帶寬始終無法得到有

效利用。

企業(yè)內(nèi)部用戶訪問Internet資源時，或外部用戶訪問企業(yè)發(fā)布外部站點時，會受到

ISP提供商網(wǎng)間互通的瓶頸，造成訪問快慢不一的現(xiàn)像。例如：如果采用的ISP是通過網(wǎng)通

接入的，在訪問處于電信的資源時，會由于不同ISP之間互連互通的問題造成訪問變慢，而

訪問網(wǎng)通資源時，就不會存在問題。

如何向遍布在全國范圍的服務網(wǎng)絡提供相同的快速訪問途徑

各分支機構或合作伙伴采用的網(wǎng)絡接入方式，帶寬的接入質(zhì)量存在差異性，造成了訪問

企業(yè)總部應用時的快慢不一。大數(shù)量的應用數(shù)據(jù)傳輸時出現(xiàn)的延時或丟包等現(xiàn)象，嚴重影響

了企業(yè)的關鍵信息數(shù)據(jù)發(fā)布或收集。

，如何加快WEB應用的訪問速度

當前，許多企業(yè)在實施了價值數(shù)百萬、千萬的Web應用部署之后，卻發(fā)現(xiàn)與原有的客

戶端服務器應用相比，新部署的性能不能讓用戶感到滿意。同時，企業(yè)出于監(jiān)管和數(shù)據(jù)安全

性要求需要將服務器集中管理，而Web應用的用戶卻作為遠程分支辦事處和移動用戶而分

布得更加分散。

與此同時，不幸的是，廣域網(wǎng)延遲、錯誤和其它問題使得Web應用無法快速交付。在

門戶應用、CRM應用、協(xié)作應用及其它企業(yè)應用情形中，Web應用架構師和管理員發(fā)現(xiàn)其

交付性能難以滿足用戶的期望。

通過交付中心建設，可以通過多種技術手段對應用進行優(yōu)化，提高客戶體驗。在實際應

用中，通常使用的優(yōu)化手段有：

TCP優(yōu)化：對TCP堆棧進行優(yōu)化處理，提高TCP傳輸效率

負載均衡：通過將用戶請求分配到多臺服務器，降低單臺服務器的壓力，提高服務器的

響應速度

連接復用：將大量的用戶端短連接進行聚合，變成長連接與服務器進行交互，減小服務

器由于頻繁建立和關閉TCP連接帶來的消耗

SSL卸載：通過硬件處理SSL加解密流量，減輕服務器端壓力

內(nèi)存Cache:將大量的靜態(tài)內(nèi)容緩存在交付中心設備的內(nèi)存里，減小服務器端壓力

HTTP壓縮：對HTTP傳輸中的可壓縮內(nèi)容進行壓縮傳輸，減小廣域網(wǎng)帶寬占用，提高客

戶端打開頁面的速度

動態(tài)靜態(tài)分離：通過技術手段，將頁面中的動態(tài)內(nèi)容和靜態(tài)內(nèi)容進行分離，使變化不大

的靜態(tài)內(nèi)容盡量留在客戶端瀏覽器，以減少廣域網(wǎng)數(shù)據(jù)傳輸量

應用優(yōu)化技術與高可用性技術進行配合，就可以極大的提高客戶體驗，使企業(yè)得以留住

并吸引更多的優(yōu)質(zhì)客戶群體，提高自身的競爭力。

2.3應用安全降低系統(tǒng)風險

變化多樣的網(wǎng)絡攻擊及蠕蟲病毒在企業(yè)的網(wǎng)絡中大量泛濫，促使企業(yè)不得不想盡一切辦

法來提升“木桶”的高度，以此來抵擋各種類型的攻擊.提到網(wǎng)絡安全，以前人們想到的是

防火墻、入侵檢測、加密、認證、VPN等等一系列產(chǎn)品的名字。在現(xiàn)有的企業(yè)數(shù)據(jù)中心里,

對傳統(tǒng)的網(wǎng)絡安全都進行了非常嚴密的部署，比如通過防火墻分割安全區(qū)域，使各個分區(qū)之

間的相互訪問都要通過防火墻進行，在防火墻上設置非常細化的安全策略，限定源和目的地

IP和端口等。另外，在同一條數(shù)據(jù)通路的不同區(qū)域中，采用不同品牌，不同形式的防火墻進

行安全防護。在對外的公共通路上，再部署IDS、IPS等進行進一步的安全審計和防護。以期

望獲得最大的安全性。對于傳統(tǒng)的網(wǎng)絡安全概念，這些措施有效防地防范了基于網(wǎng)絡層面

的攻擊，但基本上在現(xiàn)在企業(yè)的安全體系中，都忽略了一個重點，就是應用層面的安全。

企業(yè)帳號，電子定單，財務數(shù)據(jù)等關鍵的應用數(shù)據(jù)通過基于WEB應用的方式進行傳輸

時，默認都采用HTTP明文方式進行傳輸?，F(xiàn)在的企業(yè)系統(tǒng)中存在越來越多的開放運行環(huán)境

的系統(tǒng)，因此，數(shù)據(jù)的安全傳輸是一個非常重要的問題。尤其當應用部署在內(nèi)網(wǎng)時，傳輸?shù)?/p>

安全問題是最容易被忽略的一個環(huán)節(jié)。一旦被非法人員獲取，將使企業(yè)或合作伙伴造成重大

的經(jīng)濟損失。

另外，據(jù)一個國外的安全組織調(diào)查分析結果，目前網(wǎng)絡中的攻擊手段，有85%都是在應

用層面上的攻擊手段。也就是說，在所有的攻擊手段中，只有15%屬于傳統(tǒng)的網(wǎng)絡層面攻擊

手段，比如常見的拒絕服務、碎片等攻擊手段。余下85%均發(fā)生在應用層，如SQLInjection、

跨站攻擊、CC攻擊等手段。

目前企業(yè)的安全系統(tǒng)構建，基本上都是基于網(wǎng)絡安全層面進行構建，實際上可以防護的

攻擊手段只占所有攻擊手段的15%,可以說，現(xiàn)有大部分企業(yè)的開放運行環(huán)境系統(tǒng)是非常脆

弱的。這還不包括基本沒有防火墻防護的封閉運行環(huán)境中的系統(tǒng)。

為什么會造成這種情況，我們可以從目前產(chǎn)品的安全技術特色上進行分析，目前企業(yè)數(shù)

據(jù)中心內(nèi)主要有以下三類安全產(chǎn)品部署：

1、基礎防火墻類，主要是可實現(xiàn)基本包過濾策略的防火墻，這類是有硬件處理、軟件

處理等，其主要功能實現(xiàn)是限制對IP:P。代的訪問。基本上的實現(xiàn)都是默認情況下關閉所有

的通過型訪問，只開放允許訪問的策略。

2、IDS類，此類產(chǎn)品基本上以旁路為主，特點是不阻斷任何網(wǎng)絡訪問，主要以提供報告

和事后監(jiān)督為主，少量的類似產(chǎn)品還提供TCP阻斷等功能，但少有使用。

3、IPS類，解決了IDS無法阻斷的問題，基本上以在線模式為主，系統(tǒng)提供多個端口，

以透明模式工作。在一些傳統(tǒng)防火墻的新產(chǎn)品中也提供了類似功能，其特點是可以分析到數(shù)

據(jù)包的內(nèi)容，解決傳統(tǒng)防火墻只能工作在4層以下的問題。和IDS一樣，IPS也要像防病毒

系統(tǒng)定義N種已知的攻擊模式，并主要通過模式匹配去阻斷非法訪問。

在這幾類產(chǎn)品中，通過如何定制控制策略，就可以分辨出什么是主動安全，什么是被動

安全。從安全的最基本概念來說，首先是關閉所有的通路，然后再開放允許的訪問。因此,

傳統(tǒng)防火墻可以說是主動安全的概念，因為默認情況下防火墻是關閉所有的訪問，然后再通

過定制策略去開放允許開放的訪問。但由于其設計結構和特點，不能檢測到數(shù)據(jù)包的內(nèi)容級

別，因此，當攻擊手段到達應用層面的時候，傳統(tǒng)的防火墻都是無能為力的。IDS的特點是

不能阻斷攻擊流量，只能是一個事后監(jiān)督機制，因此在其后出現(xiàn)的IPS,基本上所有的IPS系

統(tǒng)都號稱能檢查到數(shù)據(jù)包的內(nèi)容，但犯了一個致命的錯誤，就是把安全的原則反過來了，變

成默認開放所有的訪問，只有自己認識的訪問，才進行阻斷。從另外一個方面，由于在線式

造成的性能問題，也不能像殺毒軟件一樣進行全面而細致的安全審計。因此大多數(shù)的IPS在

實際運行環(huán)境中都形同虛設，通常只是當作一個防DDOS的設備存在。IPS尤其對于未知的，

不在其安全知識庫內(nèi)的攻擊手段，則無法進行有效的識別并進行阻斷。并且，由于在線式造

成的性能問題，在大多數(shù)的IPS部署方案中，很難對全部的流量開啟所有的模式分析，因此，

當企業(yè)面臨真正的應用層攻擊時，這些安全手段都無能為力了。

在交付中心中，通過應用層主動安全體系來解決現(xiàn)有的問題。在主動安全的體系中，徹

底改變了IPS的致命安全錯誤。其工作在協(xié)議層上，通過對協(xié)議的徹底分析和Proxy代理工

作模式，同時，結合對應用的訪問流程進行分析，只通過自己識別的訪問，而對于不識別的

訪問，則全部進行阻斷。比如在頁面上的一個留言板，正常的用戶登錄都是填入一些留言，

提問等，但黑客則可能填入一段代碼，如果服務器端的頁面存在漏洞，則當另外一個用戶查

看留言板的時候，則會在用戶完全不知道的情況下執(zhí)行這段代碼，這叫做跨站攻擊。當這段

代碼被執(zhí)行后，用戶的本地任何信息都有可能被發(fā)送到黑客的指定地址上。如果采用防火墻

或者IPS,對此類攻擊根本沒有任何處理辦法，因為攻擊的手段、代碼每次都在變化，沒有

特征而言。而在采用主動安全的系統(tǒng)中，則可以嚴格的限制在留言板中輸入的內(nèi)容，由此來

防范此類跨站攻擊。又如常見的認證漏洞，可能造成某些頁面在沒有進行用戶登錄的情況下

可以直接訪問，這些內(nèi)容在防火墻或者IPS系統(tǒng)中更加無法處理了。因為他們的請求和正常

的請求完全一樣，只是沒有經(jīng)過登錄流程而已，因此不能進行防護，在主動安全體系里，可

以對用戶的訪問進行流程限定，比如訪問一些內(nèi)容必須是在先通過了安全認證之后才能訪

問，并且必須按照一定的順序才能執(zhí)行。因此，工作在流程和代理層面的主動安全設備可以

進一步實現(xiàn)應用系統(tǒng)的真正安全。

3Easted制造行業(yè)解決方案一覽

3.1SAP集中部署解決方案

某是中國最大的一體化能源化工公司之一，主要從事石油與天然氣勘探開發(fā)、開采、管

道運輸、銷售；石油煉制、石油化工、化纖、化肥及其它化工生產(chǎn)與產(chǎn)品銷售、儲運；石油、

天然氣、石油產(chǎn)品、石油化工及其它化工產(chǎn)品和其它商品、技術的進出口、代理進出口業(yè)務；

技術、信息的研究、開發(fā)、應用。是中國最大的石油產(chǎn)品和主要石化產(chǎn)品生產(chǎn)商和供應商。

在實施ERP項目過程中采取了分步推進的戰(zhàn)略部署，并且于2006年時進行ERP服務器

邏輯集中的試點工作，ERP項目的集中化管理能夠?qū)崿F(xiàn)：

//建立統(tǒng)一的數(shù)據(jù)平臺，并且有效地支撐各級管理層尤其是總部相關領導的科學決

策；

/18為了總部統(tǒng)一的業(yè)務和管理要求在各個企業(yè)得到有效貫徹，利用先進的信息系統(tǒng)

提高各企業(yè)管理水平；

/1我高整體管理效率、降低對ERP系統(tǒng)的運維支撐水平和IT總持有成本，

3.1.1需求分析

由于前期ERP項目的集中化管理，主要是停留在“數(shù)據(jù)集中”或稱“服務器集中”的模

式上，SAP客戶端GUI還部署在每一個員工的電腦上，這就相當于把應用邏輯和數(shù)據(jù)分布在

了企業(yè)的各個角落，這樣雖然服務器集中了，但是應用依然是分散的，同時數(shù)據(jù)在各個PC

機上都會傳遞和緩存駐留，這無論給使用、管理還是安全上都帶來麻煩。

根據(jù)對前期ERP上線的銷售企業(yè)的日常維護檢查、后評估和項目驗收檢查，發(fā)現(xiàn)已上線

的銷售企業(yè)ERP系統(tǒng)應用中，SAPGUI分散部署導致的各類問題包括：

/9頁目實施時部分終端用戶的IT環(huán)境需要改造：SAPGUI對PC機配置和網(wǎng)絡均有一

定要求，目前大部分銷售企業(yè)的部署模式是將SAPGUI安裝在用戶自己的PC機上，

這種模式對于達不到要求的用戶，如果不進行改造升級，則不能順利進行SAP實

施，這從項目實施的角度來看，不僅增加了用戶投入的整體成本，而且使得項目的

實施周期被迫延長。

/腑用效率有待提高。目前IT環(huán)境越來越復雜，業(yè)務對n■系統(tǒng)依賴性越來越高，IT

系統(tǒng)對員工的要求也越來越高，隨著SAPGUI的傳統(tǒng)部署，這一現(xiàn)狀進一步加劇，

系統(tǒng)復雜性使得應用效率降低，員工與其PC機逐漸綁定在一起而失去了靈活性。

應用效率不僅包括因計算機性能和網(wǎng)絡速度影響的發(fā)生一筆業(yè)務的時間，還包括業(yè)

務人員為適應IT系統(tǒng)而完成業(yè)務操作的綜合時間和人力成本。以及IT系統(tǒng)是否足

夠靈活，能否有效避免系統(tǒng)故障帶來的業(yè)務中斷等等。例如當企業(yè)需要完成一筆

SAP業(yè)務時，業(yè)務人員由于PC故障卻無法執(zhí)行業(yè)務操作，或由于出差，遠程網(wǎng)絡

差等無法訪問SAP系統(tǒng)等等，這些都會大大降低應用效率，制約了SAP系統(tǒng)實施

效果。

/原安全性問題。在SAP實施初期，為了系統(tǒng)順利運行，往往忽視并犧牲了一定的安

全性，但是隨著SAP系統(tǒng)的運行，SAP系統(tǒng)中企業(yè)敏感數(shù)據(jù)越來越多，安全性問題

應提到重要位置。目前的部署模式，企業(yè)內(nèi)部分散了成千上萬的SAPGUI軟件，難

于管理SAPAGUI模塊的授權安裝和使用；同時SAPGUI和后臺服務器要交互大量

的數(shù)據(jù)，這些企業(yè)數(shù)據(jù)會在全省范圍內(nèi)大面積的傳輸，增加了數(shù)據(jù)被截獲和竊取的

風險；并且在用戶PC機和筆記本上緩存的數(shù)據(jù)，增加了PC機筆記本丟失等原因

的數(shù)據(jù)泄漏的風險；最后，大量的PC機增加了病毒感染的風險，會直接破壞企業(yè)

系統(tǒng)運行。

/解隹護管理工作量加大。目前在SAP實施中，實施部門已經(jīng)運用了各種方法去降低

維護工作量，如將SAPGUI通過FTP下載到每一臺PC機上，執(zhí)行安裝和升級，但

是由于維護和管理的對象面太廣（整個用戶群的PC）,缺少有效地集中管理手段，

還是無法從根本上降低總體的管理維護工作量。而這會在業(yè)務人員對SAP的使用

要求越來越高的同時，技術支持響應速度卻完全滯后，無法使SAP使用效果得到滿

意保障。

/18網(wǎng)絡帶寬的投入，目前的部署模式需要用戶訪問SAP時有一定的帶寬保證，才可

以順暢地使用SAP系統(tǒng)，隨著SAP的實施和推廣，在網(wǎng)絡帶寬上的投入會越來越

大。而遠程訪問受網(wǎng)絡的影響，依然無法有效解決。

/編訓和遠程支持，培訓是SAP成功實施的重要保證，對于目前省公司大量的客戶

和分散的地域，缺少遠程培訓和支持技術，給SAP實施帶來了極大的不便，同時也

會影響使用效果。

因此結合ERP項目的集中化管理，只有實施ERP客戶端集中部署模式，才能有效地解

決分散IT系統(tǒng)架構的弊病，體現(xiàn)集中管理的優(yōu)勢

3.1.2項目目標

在SAPGUI集中部署項目中，項目目標包括：

/團實現(xiàn)SAPGUI的快速部署，每臺使用R/3系統(tǒng)的設備無需安裝SAPGUI客戶端；

/13簡化SAP客戶端維護，避免由于對客戶端的維護導致影響數(shù)據(jù)及時錄入，提升數(shù)

據(jù)的時效性；

/18降低SAP對終端PC的配置要求；

/但高效利用網(wǎng)絡帶寬，解決遠程低帶寬移動客戶訪問SAP系統(tǒng)的低效率問題；

/啾速實現(xiàn)從C/S到B/S的訪問方式轉變；

/m提高密碼安全性，利用單一密碼訪問所有被授權使用的應用；

/M呆障生產(chǎn)業(yè)務連續(xù)性，保證客戶對SAP的不間斷訪問。

于2012年初采用Easted接入平臺進行了ERP客戶端集中部署的試點成功后，于9月份

開始實施5省銷售公司的ERP客戶端集中項目，在北京總部數(shù)據(jù)中心實施總計近5000用戶

的SAPGUI集中部署。Easted平臺于11月10日和SAPERP系統(tǒng)一起正式上線，投入運行。

3.1.3技術方案

SAP系統(tǒng)的總體架構不變，后臺SAP服務器也沒有改變，只是在原來的用戶客戶端和

SAP服務器之間增加了Easted服務器集群，原先需要安裝在用戶客戶端的SAPGUI軟件現(xiàn)在

安裝在Easted服務器上，多用戶同時訪問時，SAPGUI以多進程方式在Easted服務器集群上

運行。

總體架構如下圖所示:

圖：總體架構圖

通過這樣的部署結構，最終用戶對SAP的訪問依賴于服務器計算能力和數(shù)據(jù)中心內(nèi)部

網(wǎng)絡，不再依賴于廣域網(wǎng)和終端設備，因此通過配置高性能的中心服務器，可以使得遠程用

戶像在局域網(wǎng)內(nèi)一樣使用SAP系統(tǒng)。

Easted服務器集群通過負載均衡技術實現(xiàn)了7X24小時的業(yè)務連續(xù)性，無論用戶客戶端

或者服務器出現(xiàn)單點故障，均不影響用戶對SAP系統(tǒng)的訪問。并且對用戶端的網(wǎng)絡依賴性降

低，每個用戶只需要10K-20K的帶寬就可以享受到局域網(wǎng)內(nèi)使用SAP的性能。

3.1.4項目收益

通過ERP客戶端集中部署項目，獲得了如下收益包括：

系統(tǒng)安全性

通過Easted平臺，可以方便地實現(xiàn)應用接入的安全控制。隱藏業(yè)務應用服務器及數(shù)據(jù)

庫主機。應用的安裝、升級和維護只發(fā)生在后臺服務器上，用戶不能接觸、修改應用配置,

也不知道服務器在什么位置，但可以正常使用，可以有效保證主機的安全。用戶可以基于權

限控制要求接觸不同的應用。不同的用戶根據(jù)工作需要和控制要求，配置使用不同的應用。

避免出現(xiàn)應用安裝軟件隨處可見，隨便安裝和使用。

應用連續(xù)性

客戶端網(wǎng)絡有時會出現(xiàn)臨時中斷，原來的客戶端方式會引發(fā)SAP系統(tǒng)交易鎖定，這時需

要后臺管理員解鎖，即使得最終用戶感覺不便，又增加了支持中心的壓力。采用Easted平臺

訪問后，網(wǎng)絡中斷只是會話暫停，不再影響交易，用戶只需等待網(wǎng)絡恢復即可繼續(xù)交易。

另外如果用戶本地客戶端故障，用戶可以馬上登陸備用機或其他人的機器繼續(xù)工作，而

不用擔心業(yè)務中斷或數(shù)據(jù)泄露等問題。

維護方便性

通過Easted平臺，各種應用部署、配置和升級體現(xiàn)出了快速化和準確性。傳統(tǒng)解決方案

及其帶來的麻煩：

（一）通過郵寄安裝光盤或者網(wǎng)絡傳輸安裝軟件，直接或間接到達所有遠近終端上，進

行安裝。讓管理人員在每個終端上都安裝客戶程序會耗費大量的時間和精力，或占用有限的

網(wǎng)絡帶寬。而更加復雜的配置將需要IT人員的支持，甚至到現(xiàn)場處理，由此將發(fā)生高昂的

差旅開銷。

（二）手工、或者自動升級客戶端軟件。出現(xiàn)令人頭疼的卻又難以避免的升級失敗和事

后處理，以及得不到有效控制的升級遺漏，致使舊軟件的繼續(xù)使用。

Easted解決方案帶來的便捷高效：

（一）在中心服務器安裝部署應用，發(fā)布給用戶使用。n■技術人員只要在后臺進行應用

的安裝、配置和測試。一經(jīng)測試通過即可發(fā)布給用戶使用。部署花費少，時間以小時計，無

需復雜的部署安排和時間控制。只要網(wǎng)絡暢通，一個通知，各地用戶就可以使用。對于SAP,

只要在后端進行SAPGUI的安裝配置和發(fā)布。

（二）應用軟件的升級和維護。應用的升級和維護也只發(fā)生在后臺服務器上，用戶甚至

無所察覺。并且可以確保無一遺漏，用戶使用軟件版本決無差異。

（三）所有的客戶端都可以實現(xiàn)免維護。最多就是本地系統(tǒng)網(wǎng)絡配置和ICA的客戶端安

裝。

更短的時間，同一個版本，同時生效。只需傳統(tǒng)方式幾十分之一的時間即可快速、準確

地完成200個用戶的應用部署。考慮實際情況，耗時比率會更低。而后新增用戶的應用部署

將花費更少時間。

降低成本

Easted平臺延長了現(xiàn)有終端設備使用期限。保護已有投資。企業(yè)經(jīng)過多年的建設，存在

有各種檔次的硬件設備，功能和性能各不相同。在經(jīng)過實際測試，-臺2001年的奔騰機器

（PIII-750,：128M內(nèi)存）一樣可以很好地完成思杰部署的業(yè)務應用。延長設備更新周期。通

過使用思杰接入系統(tǒng)，在延長現(xiàn)有設備使用期限的情況下，使得設備采購間隔得以延長。設

備的更新關注在那些故障頻發(fā)老化設備上。減少設備更新花費。

3.2企業(yè)分支機構快速擴張和部署解決方案

3.2.1背景

目前，很多商業(yè)企業(yè)正致力于跨區(qū)域發(fā)展。這些企業(yè)積極推進管理創(chuàng)新和金融技術創(chuàng)新，

努力打造公司企業(yè)、零售公司、個人企業(yè)、信用卡、金融市場五大利潤中心，實現(xiàn)利潤來源

多元化。隨著企業(yè)網(wǎng)點的快速擴張，及各項業(yè)務的開展，業(yè)務需求對IT應用和IT基礎構架

的要求也越來越高。不但要求IT系統(tǒng)的各應用能夠快速滿足各種新業(yè)務的要求，對于網(wǎng)絡

安全、管理等基礎構架也帶來了更高的要求和更大的壓力。而且，由于企業(yè)的快速擴張，IT

部門的人手也嚴重不足，進一步加劇了矛盾。

所以需要有一個系統(tǒng)的解決方案，幫助這些企業(yè)的IT部門來應對這一系列挑戰(zhàn)。

3.2.2需求

為了應對這些挑戰(zhàn)，企業(yè)的n■構架需要解決以下幾個關鍵的問題：

支持分支機構快速擴張的基礎構架因為短期內(nèi)分支機構的快速擴張，需要有一套IT

構架，能夠適應這樣速度的擴張。能夠在最短時間內(nèi)，快速建立新的分支機構的IT環(huán)境的

部署。同時系統(tǒng)要能夠有良好的可擴展性來支持日益增長的系統(tǒng)容量。

解決終端和應用的管理和安全問題由于存在大量的分支機構，終端網(wǎng)點的客戶端的

安全和管理問題的矛盾也越來越突出。由于網(wǎng)點終端分散于各個網(wǎng)點，加上網(wǎng)點的IT管理

力量薄弱，對于這些終端的維護和管理的挑戰(zhàn)性十分大。采用傳統(tǒng)的PC+本地安裝客戶端模

式，初始安裝和配置需要大量的工作量。日后的應用升級、維護，往往需要IT管理人員訪

問現(xiàn)場，其速度和成本也非常高。同時，如何保證這些分散的客戶端的安全也是需要重點考

慮的問題。在生產(chǎn)網(wǎng)絡中，任何一臺受到病毒或木馬感染的客戶端，都可能直接影響到整個

網(wǎng)點，乃至整個生產(chǎn)網(wǎng)絡的正常生產(chǎn)。同時，如何保護重要應用中的敏感信息的保密，也是

需要著重考慮的問題。

跨安全分區(qū)訪問業(yè)務應用由于企業(yè)網(wǎng)絡安全要求的特殊性，其網(wǎng)絡往往劃分為多個

相互隔離的安全分區(qū)，如辦公網(wǎng)，開發(fā)網(wǎng)，生產(chǎn)網(wǎng)等。多個安全分區(qū)之間用防火墻互相隔離。

但是由于不少業(yè)務應用，需要跨安全分區(qū)進行訪問，這就需要在防火墻上打開相應的端口。

由于應用對通信和端口的要求千變?nèi)f化，而且隨著應用的構架變化和版本升級，往往防火墻

規(guī)則也需要做相應修改。這樣不但增加了管理負擔，而且也帶來了一定的安全隱患。

分支機構訪問應用的速度問題對于分支機構，不但存在終端和應用的管理問題，應用

的訪問速度也是用戶十分關注的指標。由于企業(yè)的應用絕大部分采用集中的后端，及越來越

多使用B/S構架，其操作響應速度往往不夠理想。這就要求新的解決方案能夠很好地優(yōu)化分

支機構的用戶對各種應用的訪問和響應速度。

安全的開發(fā)環(huán)境企業(yè)的開發(fā)部門由于企業(yè)的業(yè)務特殊性,對開發(fā)環(huán)境和文檔管理環(huán)境

的安全性要求較高。而由于企業(yè)業(yè)務的飛速拓展，企業(yè)開發(fā)項目中，往往還會牽涉到很多第

三方公司和外包項目。這對開發(fā)系統(tǒng)的安全構成了極大的挑戰(zhàn)。需要有一套環(huán)境，能夠讓開

發(fā)項目的員工及外包員工，能夠在受控環(huán)境下，進行相關應用的開發(fā)和調(diào)試，同時能有效保

護應用代碼及企業(yè)數(shù)據(jù)的安全。

要應對以上的這些挑戰(zhàn)，采用傳統(tǒng)的PC機加管理軟件的方式，不能完全有效地解決這

些矛盾。通過Easted應用交付中心的解決方案，是客戶端系統(tǒng)和應用管理方式的變革，能從

另一種思路來解決這些安全和管理的問題，達到傳統(tǒng)方式無法達到的理想效果。以此使企業(yè)

的客戶端和應用管理水平邁上一個新的臺階，能適應企業(yè)業(yè)務快速拓展的需要。

3.2.3問題分析

企業(yè)終端和應用的安全和管理的挑戰(zhàn)是使用傳統(tǒng)計算模式情況下，非常普遍的問題。由

于PC的特點，PC終端的安全和管理一直是業(yè)界困擾的問題。

3.2.3.1傳統(tǒng)模式的弊端

下圖是傳統(tǒng)的計算模式構架圖：

從傳統(tǒng)構架來看，有這樣幾個特點:

1.客戶端需要在終端部署，初期安裝以及后期維護工作量巨大。維護成本高。

2.由于應用客戶端直接部署終端,業(yè)務數(shù)據(jù)會直接在數(shù)據(jù)中心到網(wǎng)點的網(wǎng)絡中進行傳

輸。

3.由此，為了滿足傳輸?shù)陌踩?，必須對傳輸?shù)臄?shù)據(jù)進行加密，以防被截獲。加密一般

通過應用本身的設計或者使用專門的網(wǎng)絡層的加密設備，如VPN等來實現(xiàn)。

4.此外，大部分應用還會將數(shù)據(jù)緩存與客戶端的本地。在本地的數(shù)據(jù)也需要加密和訪

問控制，才能保證數(shù)據(jù)的安全。

5.要實現(xiàn)從傳輸過程，到本地數(shù)據(jù)的安全和保密，對應用的要求很高。很多應用并沒

有對數(shù)據(jù)的安全性作很好的考量。改造應用，或者通過其他產(chǎn)品來實現(xiàn)加密等，實現(xiàn)非常困

難，安全漏洞很多。

6.應用直接部署于客戶端，也使應用客戶端本身暴露于分析、掃描、反向工程、破解

等等各種安全攻擊的威脅下。

7.對于跨安全分區(qū)的應用，每個應用，都需要分別配置防火墻上的策略。打開過多的

地址和端口，也對安全造成一定的影響。同時，一旦應用服務器的部署有所變化，也需要對

策略作相應的調(diào)整，非常不靈活。

8.由于很多應用沒有對遠程網(wǎng)絡訪問進行優(yōu)化，導致應用訪問速度非常不理想?？蛻?/p>

體驗差，影響工作效率。

綜合起來看，傳統(tǒng)模式由于其分散的本質(zhì)，及客戶端應用和數(shù)據(jù)直接存于遠程的終端之

上，管理復雜，要保證其安全十分困難。其面臨的安全攻擊面較高。

傳統(tǒng)解決方案必須從傳輸，保存，端點及運行環(huán)境等各個環(huán)節(jié)都保證安全，所以有了防

火墻,終端管理軟件、終端防病毒軟件、入侵檢測、網(wǎng)絡加密設備等等各種解決方案和產(chǎn)品。

其實現(xiàn)安全的代價高，效果往往仍不理想。

所以，一味地從傳統(tǒng)方案入手，而不改變其構架，問題隱患并沒有從根本上得到解決。

3.2.3.ZEasted模式帶來的變化

我們來看一看Easted的方式，如何通過改變整體的計算構架，來使整個問題的解決變

得簡單化。

Easted模式的核心是：

1.在數(shù)據(jù)中心集中部署應用客戶端。

2.使用應用虛擬化技術，使集中部署的應用能在各網(wǎng)點的PC和瘦客戶端上使用。

下圖是使用Easted模式帶來的變化

.廟一中

&

(1萬及標用OUisOB

的后*at務s?

不傳遞1ft始數(shù)楙

只俗刷新

餓故和風林移動

128位加密傳情

雙因子身份驗證

從Easted的模式，可以看到有以下幾個變化及特點：

1.應用客戶端集中部署于位于數(shù)據(jù)中心的Easted服務器上。終端設備上無需部署應

用。由此，可以實現(xiàn)應用管理的集中化，大大減輕分支機構終端和應用的維護壓力。

2.由于應用客戶端不在終端直接部署，在終端對應用客戶端進行掃描、破解、反向工

程等攻擊基本不可能。

3.由于應用客戶端在數(shù)據(jù)中心，所以原始業(yè)務數(shù)據(jù)的傳輸也只在數(shù)據(jù)中心的范圍內(nèi)。

數(shù)據(jù)中心的網(wǎng)絡安全性一般能有保障.

4.在數(shù)據(jù)中心到終端網(wǎng)點的網(wǎng)絡中傳輸?shù)氖墙?jīng)過Easted協(xié)議加密的屏幕刷新和鍵盤

鼠標操作等信息。該數(shù)據(jù)很難被截獲破解，即使被截獲破解以后，其提供的信息也十分有限。

能十分好的保護原始數(shù)據(jù)信息。

5.應用客戶端的本地數(shù)據(jù)存儲實際存于數(shù)據(jù)中心的服務器，其安全性也能得到保證。

6.由于客戶端集中部署于數(shù)據(jù)中心，其與后臺應用服務器之間的連接速度良好,從而,

使應用的反應速度有所保證。而從Easted服務器至用戶客戶端，使用的VAP協(xié)議，對于各

種網(wǎng)絡環(huán)境，特別是低帶寬、高延時的網(wǎng)絡有良好的優(yōu)化。從而使遠程的分支機構，訪問應

用的速度和用戶體驗大大增強。

7.對于需要跨安全分區(qū)訪問的應用，以往，不同的應用需要開放不同的IP地址段和

端口，現(xiàn)在，只需要配置從客戶端至Easted服務器的策略即可。即使應用改變，也無須改變

防火墻策略。

總結來說，由于傳統(tǒng)模式客戶端直接訪問后臺時，之間傳輸?shù)臄?shù)據(jù)是真實的企業(yè)應用數(shù)

據(jù)，該數(shù)據(jù)會被緩存在用戶本地或在傳輸中被截獲，這些都是不安全因素;而用戶訪問Easted

ThinApp服務器時，之間傳輸?shù)氖瞧聊辉隽孔兓畔⒑褪髽随I盤變化信息，用戶端無任何應

用數(shù)據(jù)緩存在本地，同時中途截獲這些信息然后反推出用戶真正的業(yè)務操作和數(shù)據(jù)比直接截

獲業(yè)務數(shù)據(jù)困難上千倍。

因而可以說是用EastedThinApp平臺后，數(shù)據(jù)總是存放在最安全的地方。EastedThinApp

帶來的最大益處是采用應用虛擬化方式阻止數(shù)據(jù)任何時候離開數(shù)據(jù)中心。由于其集中的構

架，帶來的安全的優(yōu)勢十分明顯。

3.3企業(yè)集中開發(fā)管理平臺解決方案

隨著很多企業(yè)產(chǎn)品開發(fā)部承接的IT開發(fā)項目的數(shù)量增加與規(guī)模擴大，與外部公司的合

作日益密切，項目開發(fā)環(huán)境的管理更加復雜，安全管理的要求也日益提升。為此，需要建立

一個簡單、易用、安全的集中開發(fā)管理平臺，以有效進行開發(fā)環(huán)境的規(guī)范管理，支持可控的

外部合作公司的遠程開發(fā)模式，同時保護重要數(shù)據(jù)與代碼的安全，并能對重要系統(tǒng)操作進行

跟蹤和審計。

3.3.1功能需求

1.集中管理：可將開發(fā)環(huán)境中的應用軟件進行集中管理，可以根據(jù)需要隨時調(diào)整開發(fā)

環(huán)境的應用部署，簡化開發(fā)人員客戶端的開發(fā)環(huán)境配置及部署要求。

2.應用發(fā)布：具有包括各類開發(fā)工具在內(nèi)的應用軟件發(fā)布功能和Web網(wǎng)頁發(fā)布功能,

要求支持發(fā)布的應用軟件列表參見附錄。

3.存儲隔離：每個用戶能建立各自的文件系統(tǒng)或存儲空間，相互之間不能訪問。但授

權用戶可以訪問特定用戶組的存儲空間，可以通過FTP或者其它方式獲取用戶存儲空間的數(shù)

據(jù)。

4.數(shù)據(jù)保護：所有的代碼及業(yè)務數(shù)據(jù)只在服務器端傳遞，提高系統(tǒng)數(shù)據(jù)訪問的安全性。

5.遠程接入:支持外部合作公司遠程接入的項目開發(fā)模式，能有效控制用戶的剪貼板、

本地硬盤、打印機、端口等操作，做到合作公司人員未經(jīng)授權無法從任何渠道獲取項目的代

碼、文檔和業(yè)務數(shù)據(jù)。

6.訪問控制：對于合作公司的遠程訪問要求能有效控制，包括登錄時間段、登錄用戶

的監(jiān)控。要求能穿越防火墻（能夠NET轉換）訪問到服務器。

7.訪問日志：用戶登錄及對開發(fā)工具和應用軟件的訪問，應該有日志記錄。

操作錄像：對于應用軟件的操作需要有屏幕錄像功能。用戶和應用可以分別控制是否需

要錄像，錄像時間段范圍可配置。能快速根據(jù)指定條件查詢錄像文件，錄像文件可以自動清

理，并能設置錄像文件保留期限。

3.3.2技術需求

1.水平擴展:服務器端支持水平擴展，能通過水平增加服務器來適應業(yè)務需求的擴大。

2.負載均衡：可根據(jù)用戶訪問量和資源使用情況，動態(tài)分配到到負載量最低的服務器

上?？芍С质謩迂撦d均衡操作。

3.本地輸入法：用戶接入要求支持中文界面，可以使用本地輸入法.

資源監(jiān)控：能監(jiān)控系統(tǒng)應用、訪問用戶和對應資源的占用情況，并形成報表。

3.3.3解決方案及對應項目需求的實現(xiàn)

3.3.3.1總體方案構架

通過EastedThinApp集中部署和發(fā)布應用客戶端軟件，整個的后臺應用服務器架構沒

有變化，客戶端可以通過EastedThinApp來訪問集中發(fā)布的各種企業(yè)應用和開發(fā)工具。其整

體構架如下圖所示：

客戶端軟件安裝在Easted服務器（EastedThinApp）上，而所有訪問用戶使用終端設備

均無需事先安裝應用客戶端軟件?？蛻舳嗽O備只需通過IE就可以運行應用系統(tǒng)（第一次訪

問時會自動提示下載安裝一個幾兆大小的插件），多用戶同時訪問時，由EastedThinApp管

理和運行應用客戶端軟件的多進程訪問，并控制向不同用戶發(fā)布的權限。

開發(fā)網(wǎng)段的客戶端可以直接連接Webinterface和EastedThinApp服務器。其他網(wǎng)段的用

戶，可以通過在防火墻打開相應的HTTP和VAP協(xié)議端口來訪問EastedThinApp服務器。

同時外網(wǎng)遠程接入所有客戶端經(jīng)過安全網(wǎng)關AccessGateway（可選）或者第三方VPN接

入。使用AccessGateway可以實現(xiàn)SSL加密，對傳輸?shù)臄?shù)據(jù)進行加密保護，并且配合Easted

ThinApp的智能訪問，可以實現(xiàn)用戶的訪問場景識別，能夠更加嚴格地限制用戶對后臺資源

的訪問。

EastedThinApp可整合現(xiàn)有的活動目錄中的用戶賬戶來進行用戶身份認證。

圖中的文件服務器，提供了用戶的個人數(shù)據(jù)存儲功能。通過使用Windows的目錄權限

控制，及文件夾重定向功能，可以做到用戶數(shù)據(jù)的安全保存及漫游訪問。

對于未來非開發(fā)網(wǎng)段的應用的部署，可以通過在相應的網(wǎng)段部署EastedThinApp服務器

來實現(xiàn)。

3.3.3.2對應功能需求的實現(xiàn)

集中管理

Easted的集中部署模式只將企業(yè)應用部署在數(shù)據(jù)中心，由于客戶端和服務器位于同一局

域網(wǎng)內(nèi)，因而應用性能和安全性得到提升，用戶可以通過任意終端和任意網(wǎng)絡進行訪問數(shù)據(jù)

中心，非常方便；而企業(yè)只需對局域網(wǎng)內(nèi)的數(shù)據(jù)中心進行管理，實現(xiàn)了管理維護的簡化。應

用軟件的安裝及配置變化，均可以在服務器端集中進行，大大簡化了開發(fā)環(huán)境的配置和部署。

應用發(fā)布

EastedThinApp為用戶提供了基于服務器的計算模式（Server-basedComputing）,實現(xiàn)了

虛擬化應用發(fā)布。其技術核心是VAP協(xié)議，VAP協(xié)議連接了運行在EastedThinApp服務器