【正文】 ..................................................... 53 總體原則 ............................................................................................ 53 營(yíng)業(yè)廳方案 ........................................................................................ 54 呼叫中心方案 ..................................................................................... 55 本文檔僅限思杰系統(tǒng)信息技術(shù)（北京）有限公司內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 4 頁(yè) 共 77 頁(yè) 1 建設(shè)背景 終端環(huán)境現(xiàn)狀 終端管理在信息化日益發(fā)展的今天，逐漸成為人們關(guān)注的重點(diǎn)。內(nèi)網(wǎng)終端管理軟件種類繁多，主要有桌面運(yùn)維類、安全防護(hù)類、監(jiān)控審計(jì)類、文檔防泄密類、準(zhǔn)入控制類等幾大類，這其中包括了傳統(tǒng)的防病毒軟件、內(nèi)網(wǎng)安全管理軟件、桌面管理軟件以及目前嶄露頭角的虛擬桌面管理軟件等，種類繁多且競(jìng)爭(zhēng)復(fù)雜。 當(dāng)前客戶端軟件采用了分散部署架構(gòu) ,由此帶來的客戶端軟件的部署與升級(jí)復(fù)雜、系統(tǒng)安全性不高、系統(tǒng)全部上線后客戶端環(huán)境運(yùn)維工作量大等已有的及潛在的問題成為需要解決的問題，具體的問題如下 ： (1) 客戶端 的部署與升級(jí)復(fù)雜 雖然用戶通過客戶端系統(tǒng)，但進(jìn)行業(yè)務(wù)操作之前，用戶計(jì)算機(jī)需要安裝各種程序和插件，還需。隨著終端環(huán)境的日漸復(fù)雜，客戶端軟件的 部署與升級(jí)將變得復(fù)雜，一定程度上會(huì)影響項(xiàng)目的推廣進(jìn)度。盡管現(xiàn)有的系統(tǒng)已經(jīng)從數(shù)據(jù)的加密傳輸和用戶授權(quán)訪問等方面采用了一系列的措施進(jìn)行了安全防護(hù)，然而受限于現(xiàn)有的部署模式，如何保證財(cái)務(wù)數(shù)據(jù)不通過網(wǎng)絡(luò)傳輸和終端訪問泄露，如何能夠避免系統(tǒng)的非法訪問，成為系統(tǒng)建設(shè)過程需要著重考慮的問題。 第 5 頁(yè) 共 77 頁(yè) 況。每個(gè)企業(yè)的終端情況，接入情況，人員計(jì)算機(jī)使用水平，使用行為等都不一樣 , 而且涉及用戶量大，如果采用傳統(tǒng)部署模式 , 客戶端環(huán)境的運(yùn)維工作將變得異常復(fù)雜，因此如何簡(jiǎn)化客戶端環(huán)境的運(yùn)維工作是在項(xiàng)目大規(guī)模實(shí)施后的一個(gè)需要重點(diǎn)關(guān)注的問題。終端用戶也可以從選擇和安裝各種安全軟件、補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)等繁雜的個(gè)人維護(hù)工作中解脫出來，并且虛擬化和集中化的應(yīng)用方式，也可以使用戶終端從根本上避免系統(tǒng)癱瘓、軟件沖突及誤操作等多層面的問題。在終端管理方面，虛 擬化的終端管理平臺(tái)將是目前各種紛爭(zhēng)背后終端管理發(fā)展的必然趨勢(shì)。 具體目標(biāo)是： ? 應(yīng)用集中更新、統(tǒng)一發(fā)布：統(tǒng)一訪問系統(tǒng)將應(yīng)用的升級(jí)、變更、維護(hù)等工作交由后臺(tái)統(tǒng)一管理和運(yùn)行，再系統(tǒng)上而不是在用戶在終端上進(jìn)行集中發(fā)布、配置和更新，終端用戶無需任何變動(dòng)即可獲得最新應(yīng)用和服務(wù)，減少終端所需的運(yùn)維支持力度。 第 6 頁(yè) 共 77 頁(yè) 現(xiàn)有的安全規(guī)程，依據(jù)相應(yīng)的權(quán)限策略實(shí)現(xiàn)對(duì)不同安全域、不同接入類型用戶的集中管控，以及對(duì)不同業(yè)務(wù)資源的靈活分配和使用狀況審計(jì)。 3 建設(shè)原則 基于多業(yè)務(wù)統(tǒng)一訪問系統(tǒng)的規(guī)劃以及會(huì)建設(shè)要求，統(tǒng)一訪問系統(tǒng)應(yīng)按照以下 原則 進(jìn)行建設(shè) ： ? 統(tǒng)一規(guī)劃、逐步建設(shè)實(shí)施原則 在多業(yè)務(wù)訪問系統(tǒng)在統(tǒng)一規(guī)劃的前提下，根據(jù)系統(tǒng)的實(shí)際需求，進(jìn)行逐步實(shí)施，充分考慮已有試點(diǎn) 的現(xiàn)狀以及項(xiàng)目進(jìn)程。 ? 安全性原則 根據(jù)應(yīng)用訪問的不同安全等級(jí)要求，和網(wǎng)絡(luò)訪問的安全規(guī)范，制定系統(tǒng)的安全性規(guī)范，完善信息安全策略和信息安全標(biāo)準(zhǔn)，滿足數(shù)據(jù)安全和訪問安全的要求，提供可靠的系統(tǒng)安全管理模式。 ? 適應(yīng)性原 則 系統(tǒng)需充分考慮到已有的 IT 資源投入，適應(yīng)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用架構(gòu)，避免在構(gòu)建過程中的大范圍系統(tǒng)改造，降低系統(tǒng)復(fù)雜度和建設(shè)成本。 第 7 頁(yè) 共 77 頁(yè) 4 建設(shè)方案 場(chǎng)景分析 舉例說明 營(yíng)業(yè)廳 營(yíng)業(yè)廳分為固定營(yíng)業(yè)廳和流動(dòng)（或稱合作）營(yíng)業(yè)廳?；久總€(gè)終端均配置本地打印機(jī)，需在終端本地配置發(fā)票打印格式。流動(dòng) （合作） 營(yíng)業(yè)廳采用無線 /ADSL 或其他窄帶接入營(yíng)業(yè)系統(tǒng)，要求終端受理時(shí)帶寬占用小，可滿足 窄帶條件下的快速受理，其次，應(yīng)支持通過手機(jī)、 PDA 等智能終端接入受理。虛擬化終端設(shè)備需要具備廣泛兼容性的驅(qū)動(dòng)插件支持常見的串口、并口、 USB 口外設(shè)，支持雙屏顯示。 呼叫中心 目前呼叫中心座席主要采用 PC終端，使用人員只需通過瀏覽器訪問客服系統(tǒng)，需安裝java 運(yùn)行環(huán)境和相關(guān)瀏覽器插件。 傳統(tǒng)呼叫中心終端具有以下特點(diǎn)： ? 桌面?zhèn)€性化不強(qiáng) ? 針對(duì) LAN 開發(fā)的應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬有較高的要求，遠(yuǎn)程訪問時(shí)往往效率很差，針對(duì)分支機(jī)構(gòu)要求配置很高的網(wǎng)絡(luò)帶寬，對(duì)于分散在家中的座席更是難以使用； ? 遠(yuǎn)程客戶端的維護(hù)管理復(fù)雜，由于遠(yuǎn)程訪問的客戶端比較分散，很難保證 IT 人員能夠高效及時(shí)地對(duì)其進(jìn)行系統(tǒng)維護(hù)，問題解決等工作； ? 將業(yè)務(wù)系統(tǒng)由 C/S 架構(gòu)改造為 B/S 架構(gòu)，雖然可以解決客戶端安裝部署、補(bǔ)丁升級(jí)等問題，但同時(shí)又帶來插件管理困難、研發(fā)投入大、訪問速度慢等問題； 本文檔僅限思杰系統(tǒng)信息技術(shù)（北京）有限公司內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 辦公運(yùn)維 對(duì)于辦公運(yùn)維，主要需要考慮如下幾 類終端環(huán)境： 辦公終端 員工普通辦公使用。個(gè)性化軟件安裝較多 ,在考慮虛擬桌面建設(shè)中使用特點(diǎn)包括： ? 傳統(tǒng) PC 使用和虛擬桌面共存 ? 對(duì)于后臺(tái)支撐、經(jīng)營(yíng)支持、涉密單位、外協(xié)單位均可以 采用虛擬桌面方式； ? 外設(shè)需求較簡(jiǎn)單，主要是 USB 設(shè)備連接需求 ? 個(gè)性化要求高，能夠靈活地進(jìn)行安全策略部署。 由于 社會(huì)用工流動(dòng)性大，工作時(shí) 本文檔僅限思杰系統(tǒng)信息技術(shù)（北京）有限公司內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 運(yùn)維終端 目前的運(yùn)維終端采用標(biāo)準(zhǔn)的 PC，通過網(wǎng)絡(luò)直接連接到網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)，運(yùn)維終端的虛擬化管理需要具有如下特點(diǎn)： ? 外包和運(yùn)維員工無法直接訪問業(yè)務(wù)系統(tǒng)，關(guān)鍵業(yè)務(wù)和系統(tǒng)的訪問數(shù)據(jù)通過為其發(fā)布的終端虛擬化平臺(tái)實(shí)現(xiàn)，從而完成日常審計(jì)、維護(hù)、管理業(yè)務(wù)； ? 員工可實(shí)現(xiàn)良好的桌面體驗(yàn)和性能 ? 通過權(quán)限的設(shè)置可阻止員工的訪問、拷貝等動(dòng)作，并可實(shí)現(xiàn)審計(jì)錄像監(jiān)管 ? 可以同已有的運(yùn)維管理系統(tǒng)進(jìn)行集成 ，實(shí)現(xiàn)界面統(tǒng)一化和單點(diǎn)登錄 ? 針對(duì)網(wǎng)絡(luò)管理的特點(diǎn)，多種手持終端（ Android類、 Windows Mobile 類， Iphone OS類， Ipad OS類， Embedded Linux 類終端），可以實(shí)現(xiàn)無縫的隨時(shí)隨地接入，遠(yuǎn)程維護(hù)和監(jiān)控，方便隨時(shí)隨地的接入進(jìn)行網(wǎng)絡(luò)狀態(tài)分析與網(wǎng)絡(luò)故障定位，對(duì)于重大問題，充分發(fā)揮網(wǎng)管專家的經(jīng)驗(yàn)優(yōu)勢(shì)。代維終端隨意接入移動(dòng)局域網(wǎng)，易引發(fā)病毒、木馬的傳播，同時(shí)，代維人員日常工作涉及對(duì)后臺(tái)系統(tǒng)大量的訪問， 易發(fā)生操作失誤、公司重要信息泄密等事件。 本文檔僅限思杰系統(tǒng)信息技術(shù)（北京）有限公司內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 思杰交付中心（ Citrix Delivery CenterTM），將數(shù)據(jù)中心轉(zhuǎn)變成交付中心，其組成架構(gòu)如下圖所示： 圖 41 思杰支付中心 架構(gòu)圖 關(guān)鍵 組件解釋如下： ? Citrix XenApp? – 虛擬應(yīng)用：支持客戶端和服務(wù)器端應(yīng)用虛擬化的端到端Windows 應(yīng)用交付系統(tǒng)； ? Citrix XenDesktop? –虛擬桌面：以更低成本更安全、更可靠地直接通過數(shù)據(jù)中心交付 Windows 桌面； ? Citrix XenServer? – 虛擬服務(wù)器：交付動(dòng)態(tài)數(shù)據(jù)中心最簡(jiǎn)捷、最有效的方式； ? Citrix174。 – Web 優(yōu)化和安全保護(hù)：交付具有最高可用性、安全性和性能的 Web 應(yīng)用； ? Citrix Workflow Studio – 用于動(dòng)態(tài)交付中 心的功能強(qiáng)大的協(xié)調(diào)工具。 第 11 頁(yè) 共 77 頁(yè) 圖 42 面向 企業(yè) 的終端云平臺(tái)架構(gòu)圖 Citrix根據(jù) 企業(yè) 的業(yè)務(wù)現(xiàn)狀和 發(fā)展 需求，提出一種面向 企業(yè) 的終端云平臺(tái)架構(gòu)， 如 上圖所示。通過云接入平臺(tái)的虛擬桌面或虛擬應(yīng)用，會(huì)讓業(yè)務(wù)訪問更快捷更安全，減少了對(duì)終端設(shè)備和帶寬的依賴性，增加了訪問的靈活性，更好的落實(shí) 企業(yè) 云平臺(tái) 的 發(fā)展 戰(zhàn)略。 第 12 頁(yè) 共 77 頁(yè) 基于 Citrix FlexCast 按需交付技術(shù)的云平臺(tái)架構(gòu) 思杰是桌面虛擬化解決方案領(lǐng)域中的領(lǐng)導(dǎo)者。有些員工要求簡(jiǎn)潔實(shí)用和標(biāo)準(zhǔn)化的桌面，有的員工則看重卓越性能和個(gè)性化。在思杰的桌面虛擬化解決方案中，雖然面對(duì)不同的應(yīng)用場(chǎng)景和不同需求的用戶，需要利用到不同的部署方式，但是很多構(gòu)架和組件，如統(tǒng)一的訪問門戶 Web Interface, 統(tǒng)一的應(yīng)用交付模塊，統(tǒng)一的 OS鏡像管理和交付模塊、統(tǒng)一的搞笑交付協(xié)議 ICA和 HDX技術(shù)，以及共享的后臺(tái)基礎(chǔ)構(gòu)架等等，構(gòu)成了一個(gè)靈活的統(tǒng)一終端虛擬化云平臺(tái)。用 FlexCast， IT 部門能夠交付各種虛擬桌面 – 每種桌面都經(jīng)過專門定制，可滿足每位用戶的性能、安全性和靈活性要求。 第 13 頁(yè) 共 77 頁(yè) 圖 43 基于 Citrix FlexCast 按需交付技術(shù)的云平臺(tái)架構(gòu) 圖 圖 43 中包含了以下幾種交付模式： 1. 集中托管的共享桌面 2. 基于虛擬機(jī)的集中 VDI桌面 a) 1： 1 私有鏡像模式 b) 1： N 共享鏡像模式 3. 本地流交付桌面（無盤桌面） 本文檔僅限思杰系統(tǒng)信息技術(shù)（北京）有限公司內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 集中托管的 共享桌面 集中托管的共享桌面的實(shí)質(zhì)是發(fā)布共享的 Windows 服務(wù)器的桌面，可提供封閉、經(jīng)過簡(jiǎn)化的標(biāo)準(zhǔn)環(huán)境，提供一組核心應(yīng)用，適合不需要 （或者不允 許 ）個(gè)性化定制的任務(wù)型員工。 后臺(tái)基于 Windows Server 2020 或 2020 服務(wù)器，使用 Citrix XenApp 發(fā)布服務(wù)器的桌面給 前端 用戶同時(shí)訪問，配置嚴(yán)格的組策略保護(hù)共享的服務(wù)器工作環(huán)境。不少中小外企就是將這種手段配合瘦客戶機(jī)使用，時(shí)間長(zhǎng)的已經(jīng)部署接近十年。這種方案結(jié)合了集中管理和全面用戶個(gè)性化定制的優(yōu)點(diǎn)，每臺(tái)服務(wù)器能支持 60 到 70 個(gè)桌面。適用于應(yīng)用相對(duì)復(fù)雜，用戶個(gè)性化要求高的場(chǎng)景，在 多種 種 FlexCast 場(chǎng)景中部署最為廣泛。 第 15 頁(yè) 共 77 頁(yè) 本地流交付桌面（無盤桌面） 基于流技術(shù)的無盤桌面利用胖客戶端的本地計(jì)算能力，同時(shí)集中管理桌面的統(tǒng)一鏡像。它還適用于使用無盤 PC 的政府部門和大學(xué)實(shí)驗(yàn)室，確保最高的數(shù)據(jù)安全性。 一方面可以配合第二個(gè)場(chǎng)景實(shí)現(xiàn) VDI單一鏡像管理；另一方面適用于三維圖形要求更高的環(huán)境，除了硬盤之外，內(nèi)存、 CPU、 GPU 都調(diào)用本地的計(jì)算資源，所以性能基本和傳統(tǒng)桌面沒有區(qū)別。 圖 44 Citrix Provisioning Server 無盤工作站工作原理示意圖 直接交付于桌面上的虛擬應(yīng)用 利用 Citrix的虛擬應(yīng)用技術(shù)，可以直接將虛擬應(yīng)用直接交付于普通桌面或者瘦客戶端。在此種方式下，應(yīng)用集中部署在后臺(tái)服務(wù)器，通過 ICA協(xié)議和 HDX技術(shù)，將特定的應(yīng)用集中、安全、高效地交付于各種客戶端。 而對(duì)于一些需要離線訪問應(yīng)用的用戶，可以不使用集中托管運(yùn)行方式的虛擬應(yīng)用，而使用 Streaming 方式的虛擬應(yīng)用來解決離線應(yīng)用的問題 。 第 16 頁(yè) 共 77 頁(yè) 后 ，從傳統(tǒng)的 “ 安裝后運(yùn)行 ” 改變?yōu)?“ 下載后運(yùn)行 ” 。因 為虛擬應(yīng)用能夠脫機(jī)工作，因此這種模式也是移動(dòng)用戶的理想選擇。 XenClient 是 Citrix和 Intel 一起研發(fā)的，本質(zhì)就是把服務(wù)器虛擬化技術(shù)中廣泛采用的ParaHypervisor 移植到客戶端 ，同時(shí)加入了各種客戶端虛擬化需要的對(duì)各種多樣的客戶端設(shè)備及外設(shè)的支持及電源管理等等客戶 端所需要的特性支持。同時(shí) Synchronizer 通過集中地策略管理，可以限制被管理的 OS 鏡像對(duì)外設(shè)和網(wǎng)絡(luò)的訪問、加密本地存儲(chǔ)的數(shù)據(jù)、甚至在設(shè)備丟失后進(jìn)行遠(yuǎn)程擦除，從而保證客戶端設(shè)備的安全性。 桌面虛擬化建設(shè)方案 基于虛擬機(jī)的集中 VDI 桌面 是前章 節(jié)提到的各種部署方式中，最常用的方式之一。 在 VDI方式下，用戶可通過各種終端設(shè)備接收虛擬的 Microsoft Windows XP 或 Vista桌面。這確保了桌面一直擁有優(yōu)異的性能，同時(shí)高速交付協(xié)議還可透過任何網(wǎng)絡(luò)提供無與倫比的響應(yīng)速度。從用戶的角度看，登錄虛擬桌面與登錄本地桌面過程完全相同。 本文檔僅限思杰系統(tǒng)信息技術(shù)（北京）有限公司內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 Citrix 虛擬桌面整體構(gòu)架 在基于虛擬機(jī)的集中 VDI 典型設(shè)計(jì)方案，網(wǎng)絡(luò)環(huán)境劃分成三個(gè)部分：終端層、虛擬桌面層和后臺(tái)應(yīng)用層，各部分之間使用防火墻嚴(yán)格隔離，只開放訪問必須的端口。 訪問流程簡(jiǎn)單地描述為：用戶使用各種終端設(shè)備連接入口服務(wù)器（ WI），通過域控制器（ AD）驗(yàn)證身份，在基礎(chǔ)架構(gòu)服務(wù)器集群的調(diào)控下，訪問分配給他的虛擬桌面，透過該桌面訪問后臺(tái)系統(tǒng)。這樣的架構(gòu)既保證了網(wǎng)絡(luò)層的傳輸安全，又保護(hù)了企業(yè)的數(shù)據(jù)安全。 第 18 頁(yè) 共 77 頁(yè) N 鏡像模式兩種。此種模