查看原文
其他

信创安全 | 基于云桌面的信创安全解决方案

和信创天 信创纵横
2024-10-31

点击 信创纵横 并设为星标⭐️ 及时获取最新资讯

编者按:和信创天推出了和信下一代云桌面系统搭载和信统一应用管理系统,构建了“前后端混合云桌面+虚拟云应用(UAM)”的业务模式,既兼容了原有Windows应用可持续化使用,又将信息系统由Windows向国产化自主可控方向迁移,不仅满足了用户日常办公的需要,更有效保障用户数据安全,助力用户业务向国产化平台平滑迁移



编辑|信创纵横公众号(ID:xinchuangzh)出品 | 安东工作室作者|和信创天转载|请注明出处

01

解决方案基本概述


当前信息技术的飞速发展,国家对央企、军队及公检法等行业的IT信息化建设的要求越来越高,IT架构一方面需要满足不断发展、日益复杂的业务需求,同时需要更加注重自身信息架构的简便易用性、安全性、可管理性和总体拥有成本。国家也在近几年出台了相应的国产化政策,不断推动信创产品在相关行业里新基础设施建设。


央企、军队及公检法等关键领域构建自主可控、安全可靠信息系统的进程中,实现系统国产化意义重大。国家对自主可控及国产化安全应用进行进一步探路,对推动国产处理器、国产操作系统、国产办公软件的应用部署起到积极作用。新型办公模式衍生出终端统一防护、简化运维管理、保障数据安全等新型需求,云桌面替换传统PC逐步成了新的办公发展趋势。


同时,随着我国信息产业核心技术逐步自主化的发展,Linux内核的国产桌面系统开始在行政机构、事业单位中普及。但大量原先基于Windows平台开发的业务系统、应用软件却在短期之内难以完成迁移。原先基于PC平台开发的业务系统短期内难以平滑的迁移到便携式智能终端,无法实现业务系统快速的向移动端完成交付。


基于以上我国各关键领域国产化办公的需要,和信创天推出了和信下一代云桌面系统搭载和信统一应用管理系统,构建了“前后端混合云桌面+虚拟云应用(UAM)”的业务模式,既兼容了原有Windows应用可持续化使用,又将信息系统由Windows向国产化自主可控方向迁移,不仅满足了用户日常办公的需要,更有效保障用户数据安全,助力用户业务向国产化平台平滑迁移。

02

解决方案总体架构及说明


2.1和信下一代信创桌面云安全解决方案概述

 

和信下一代云桌面(VENGD)支持前后端混合计算模式。VENGD提供了统一的界面平台,在用户中心里管理人员全览所有用户的使用资源情况,无论当前用户的接入地点、平台、系统的差异均可以一个视图中呈现。在统一的资源管理池中,可以全览宿主服务器、虚拟服务器、虚拟机、虚拟系统镜像的IO读写、流量消耗、资源配置与占用情况。早期管理人员不得不在多套系统间反复切换查询才能获得并不完整的数据。


VENGD最重要的实用的意义在于前端后端资源的共用,众所周知VDI 主要采用服务器端的运算资源,而VOI 主要采用终端自身的计算资源,两者都有优劣势且互补。但是用户更希望在成本降低的同时性能得到提升,以VOI 为例能否在完全发挥本地性能的同时,也能利用服务器的计算资源,因客户机的配置终归有限,不可能无条件的一直升级客户机,当客户机配置逐渐退出主流,如何让其保障虚拟操作系统流畅运行的同时,也能使用最新的应用软件。


VENGD实现了虚拟桌面无损无缝漫游、云计算为用户而服务,充分发挥前端与后端及云端的计算资源与资源共用,而无关乎于场景与平台。


VOI补充了VDI所缺失的高计算能力、复杂外设场景,VDI补充了VOI移动办公、弹性计算、移动智能终端的场景,前后端计算一体融合解决方案使得用户可以在任意终端、任意地点、任意时间接入使用云桌面,满足各用户移动办公需求,是未来云桌面环境IT构架发展和信息化建设的趋势。


国产化替代工程,基本上会采用性能强劲的PC做为终端办公使用,对于性能强劲的PC 机可采用VOI 模式启动,充分发挥PC 本地CPU、GPU 的硬大性能,无需任何重定向技术的支持即能完美支持3D 图形图像的建模、渲染、后期处理、高频解码及后期处理等工作,对服务器的计算资源几乎零占用。和信创天云桌面管理系统采用前后端混合计算架构,实现VOI+VDI的全场景覆盖模式。


利用下一代云桌面完全可以在低成本的前提下,为所有需要使用托管的员工分配可靠的计算资源。员工在低配低功耗的终端设备接入云桌面获得强大后端计算资源支持。下一代云桌面的应用将使遥不可及的云计算应用落地,让计算资源得到最大化的合理分配和利用。对行业用户而言是一项可行可靠的实用方案。



VOI架构使PC类终端使用网络引导从服务器端下载网络引导文件并启动操作系统,终端本地硬盘也可缓存部分或整个系统镜像,这样不仅可最大限度利用本地硬件资源,也可实现终端离线应用。服务端资源池可预建立多个镜像,以备终端用户自由选择或者由管理员根据不同部门或需求为终端统一分配系统及应用。



VDI架构可以使移动设备、瘦客户机可通内置MINI系统或和信VENGD客户端登录服务端,身份认证通过后将获取到该用户所分配的虚拟机,用户可以远程连接使用该虚拟机的桌面进行业务工作。虚拟机支持模板化批量管理。可以集中更新并管理。


2.2和信下一代信创桌面云安全解决方案架构


针对信创国产化替代的实际情况分析,为了有效的满足行业国产化终端管理实现的要求,采用下一代云桌面作为终端管理系统的架构,从管理运维、安全及应用等方面为各终端提供全面的桌面虚拟化解决方案。在下一代云桌面部署过程中,采用集群服务器、负载均衡方案,确保系统高可靠性与数据库的高可用性。

和信下一代信创桌面云安全解决方案整体架构由物理硬件、虚拟化层、云平台管理、行业应用等四部分构成。方案以虚拟化技术为核心,将计算、存储、网络等虚拟资源融合到国产服务器中,同时还融合了云桌面元素,在统一平台的管理下,为用户提供安全可靠的桌面体验。

物理硬件:即为云资源服务端,采用国产化芯片的物理服务器、网络设备,为虚拟化层提供物理资源。


虚拟化层:即为资源池化,将物理硬件资源进行池化,为平台管理提供资源调度。

云平台管理:即云管理端,通过统一的管理平台,对桌面进行用户管理、镜像管理、存储管理、安全管理、资源管理、网络管理等模块的集中管理;同时对VPC业务提供相应的虚拟机资源供应用管理系统使用。


行业应用:即服务于不同行业用户。

03

解决方案功能模块介绍


3.1一站式管理平台


启用全新HTML5 设计前端管理平台,管理人员可以在单一的WEB 界面中图形化众览所有资源。不同类型的用户终端、不同软硬件架构平台的终端都能在统一的界面中进行管控,无需在多套系统间反复切换。


3.2自动保护


通过部署和信下一代云桌面,用户可以对所有桌面操作系统进行统一安全加固,达到C级操作系统安全水平。云桌面在每次重启后将自动重新加载系统镜像或虚拟机时,此前任何写入操作都将被自动还原,避免了病毒、恶意文件驻留以及误操作以起的系统损毁。


3.3合规基线


目前国家等级保护、分级保护以及各行业信息安全管理规范都对终端PC提出了更加细化的合规性要求。传统PC桌面的管理方式松散无序,且停留在应用程序层面,能难实现细致的合规配置,并长期维持更新。和信下一代云桌面从硬件底层起全面接管操作系统,任何的合规性要求均可以直接在数据中心的单一镜像中实现,无需逐一配置PC,真正形成了终端桌面的统一化合规基线,任何时刻都能够迅速满足等保、分保等各类国家规范的标准。同时,它能够完全兼容终端审计、桌面安全系统、杀毒软件等众多传统安全程序的混合部署,并减少这类软件的维护工作量。


3.4高效集中化运维


传统分布式计算模式,IT 必须对企业内的数百台或数千台桌面进行逐一管理:员工人数越多,IT 支持负担就越重。采用和信下一代云桌面后,管理员只需要维护数据中心的操作系统镜像,各自补丁、软件的安装升级维护只需要进行一次镜像更新,其他终端桌面会自动更新,无需逐台安装维护。根据IDC调查数据表明,部署了下一代云桌面的企业机构,配置和管理成本减少了93%,技术支持电话的数量也减少了72%。


3.5离线运行


和信下一代云桌面可提供前后端混合计算模式,并支持操作系统在系统运行后完全缓存到本地,无需实时连接服务器,即使服务器出现宕机或网络出现异常,用户仍可使用桌面资源。


在VDI模式下,当服务器宕机或网络故障,用户可切换成本地桌面继续使用;在VOI模式下,当服务器宕机或网络故障,系统可自动切换成本地缓存模式继续使用。在各种不同桌面资源模式下,均可做到离线运行,保障用户业务不中断。


3.6负载均衡


和信VDI模式云桌面统一管理平台内的服务器集群,当某台服务器的CPU使用率较高的时候,而集群内其它服务器有计算资源空闲,系统会自动分配CPU资源,将虚拟机迁移到空闲的服务器上计算。该过程中,业务不会中断,从而达到均衡服务器的负载,提高平台的可靠性。同理,当某台服务器网络流速达到峰值的时候,系统会做同样的调配,均衡网络流量的负载。


3.7安全与监控


和信VDI模式云桌面可实时监控系统的运行状态,包括系统运行和服务状态。通过统一管理平台监控到服务产生异常预警的时候,可自动启动服务,同步通知管理员。


3.8动态扩展


和信VDI模式云桌面基于分布式扩展架构设计,以集群为单位,实现计算资源池的相对独立。集群资源池不足时,可动态扩展计算、存储资源;构建的用户虚拟机资源不足时,可动态扩展用户虚拟机需求,支持在线或者离线调配。从而实现在业务无感知的情况下资源的按需弹性扩容,保证业务的连续性、稳定性。


当计算、存储资源不足时,可以动态增加集群内服务器;


当虚拟机资源不足时,可动态支持用户需求,调配CPU、内存、磁盘等资源。


3.9高兼容性


和信下一代云桌面从桌面应用交付提升到了OS(操作系统)的标准化与即时分发,兼容各种不同架构、不同批次的硬件设备及外设,支持各类应用软件,带给用户同PC一般的良好使用体验。 


3.10降低成本


和信下一代云桌面的部署使得每次升级IT只需维护单一主镜像即可,而不必穿梭在企业的各个角落,查看每台PC 是否采用了最新版本。不管企业有几十名或几千名员工,他们都可无限次地使用该镜像。除提高了业务响应度之外,IT 机构还可延长预算的使用期,因为每个计划所需的成本和人力资源都大大降低了。同时,当采用前端计算模式时,下一代云桌面产品仅需要一台部门级服务器和百兆网络就可以支持多达500台PC桌面,不仅在服务器硬件投入方面不到VDI桌面虚拟化的10%,维护运营也更为简便,大大降低了部署桌面虚拟化的TCO成本。

04

解决方案实施效果


4.1高效管理信创终端


可实现桌面管理统一化、数据存储集中化、运维服务简单化,为用户提供稳定可靠、安全高效、按需扩展,覆盖用户全场景的云桌面服务。同一平台下可对前后端桌面资源进行统一管理,包含服务器管理、镜像管理、桌面管理、更新维护等。管理人员可以随时随地访问管理后台进行管理操作,无需到终端设备前维护管理,实现移动远程管理。在维护数据中心的操作系统镜像时,各自补丁、软件的安装升级维护只需要进行一次镜像更新,其他信创终端桌面会自动更新,无需逐台安装维护。


4.2全面信创兼容适配


和信下一代云桌面已全面兼容适配市面上主流的国产软硬件、外设,例如飞腾、龙芯、兆芯、海光等国产芯片,操作系统已适配麒麟操作系统、统信UOS等,以及兼容各种主流业务应用,包括但不限于办公类软件、及时聊天工具、图形处理软件、视频会议等,如金山WPS Office、永中Office等流式办公软件,福昕阅读器、数科阅读器、书生阅读器等版式处理软件,奇安信浏览器、搜狗输入法、华宇输入法、麒麟影音等,以及北信源、中孚、万里红等安全软件,可保障用户业务快速平滑迁移,提高信创办公用户体验。


4.3无缝迁移Windows应用


借助和信统一应用管理系统可实现当你需要使用一个应用程序时候不需要在自己的电脑安装这个程序,通过远程桌面传输协议将远端虚拟机的画面输出在终端显示器上,计算在远端完成,终端只负责输入输出,从而无缝将Windows应用迁移到信创终端上使用。


4.4保障终端安全合规使用


目前国家等级保护、分级保护以及各行业信息安全管理规范都对终端PC提出了更加细化的合规性要求。下一代云桌面系统设计时充分考虑到安全性管理,系统通过了公安三所及多家第三方安全厂商的安全监测,保障了平台自身的安全性,同时,针对终端桌面访问、传输协议、数据交互等进行安全管控,从硬件底层起全面接管操作系统,任何的合规性要求均可直接在数据中心的单一镜像中实现,无需逐一配置PC,真正形成了终端桌面的统一化合规基线,任何时刻都能够迅速满足等保、分保等各类国家规范的标准。


4.5保障用户数据安全


和信下一代云桌面为了保护用户数据安全,在云桌面统一管理平台上可自定义用户策略,其中对外部存储设备如 U 盘等制定数据保护策略,当用户在使用云桌面时连接 U 盘, 可读取 U 盘里的文件(把 U 盘里的文件复制到云桌面上使用),但云桌面上的文件不能复制到 U 盘上(受策略管控),实现企业的办公数据安全保护,防止人为泄密。


采用无代理安全防护系统以及桌面安全防护机制,对云端系统以及终端桌面系统实时进行全覆盖,有效拦截诸如病毒、木马、勒索软件等攻击行为,提供统一的安全防护。同时还可以通过对终端外设管控,保障系统安全(防人为引入病毒等风险),通过限制数据被复制,保障用户数据安全不泄密。


4.6推动各行业信创快速落地


通过和信下一代云桌面实现对信创终端的统一管理、数据的集中存储存,实现对信创整体管理的统一、部署的便捷、维护方便;借助和信统一应用管理系统在国产操作系统上直接使用windows应用,更符合政策要求;并且资源投入少,建立云应用中心,将常用办公软件、工业软件发布为虚拟软件云端计算、云端存储,不依赖本地终端性能用户可直接通过浏览器访问云端业务系统简化从C/S到B/S的过渡,保障国产化业务平滑迁移支持跨平台混合环境,从而推动各关键领域信创产品替换的快速落地。

05

解决方案典型应用场景


5.1公安部门应用场景

 

当前,公安部门全面进行国产化替换建设,要求兼容已有的公安内部安全业务软件及外设,同时要求满足公安准入及各项安全性要求,需要前瞻性的统一规划、分布式实施建设。基于融合3V架构的和信下一代云桌面可一次性完成全部桌面安全加固、一键迅速恢复系统,实现简化运维,并完美兼容原有数字证书UKEY、打印机等外设及公安业务管理系统、市局警务云搜索系统、市局警务大数据分析系统等业务软件;和信统一应用管理系统则有效保障了国产芯片、操作系统、OA类web应用,及微信、office等日常业务软件的全面兼容,确保用户完成平台迁移后可充分利用终端硬件性能,无需改变使用习惯,即可快速适应新的办公环境。


5.2行政服务中心应用场景

 

行政服务中心不同的业务需要应用到多种终端设备,如办公电脑、自助机、叫号大屏以及各种打印机、高拍仪、扫描仪等外部设备都需要进行统一的管理和维护,通过将和信下一代云桌面系统部署在各类业务终端电脑上,以保障行政服务中心的信息化办公系统持续稳定运行,在不改变原有终端用户使用习惯的同时能够完全兼容各类打印机、扫描仪、身份证识别器等各种硬件外设和业务系统,在提升安全性的同时不降低易用性。同时实现集中、统一的对各类终端进行管理和维护,有效提升运维管理效率,保障日常业务的顺利开展。


 

5.3金融行业应用场景


5.3.1中国农业银行

 

用于银行业务培训室和会议室公用电脑的日常安全管理与系统维护,满足业务人员及网点人员日常办公,新入职员工业务培训需求。


5.3.2华夏银行

 

全面满足银行在武汉、江苏、上海等地呼叫中心办公桌面业务扩张需求,简化维护管理流程,提高业务响应能力及IT运维效率。


5.3.3邮政储蓄银行

 

覆盖银行培训教室数百台终端,兼容邮政业务常用软件,配合个人云盘满足日常培训需求。


06

相关产品列表介绍


产品名称

产品介绍

和信下一代云桌面系统(VENGD)

和信下一代云桌面系统(VENGD)是国内领先的基于NGD(Next Generation Desktop)架构的桌面虚拟化产品,它融合了VDI、VOI、IDV三大架构优势,实现了前后端混合计算,在调度服务器后端计算资源的同时更能充分利用前端资源,和信下一代云桌面不仅可以满足随时随地移动办公的需求,更可以在窄带环境下实现3D高清播放和外设硬件的全面兼容,满足大规模终端的管理、安全、运维需求,可真正覆盖用户全场景。

和信统一应用管理系统(VEUAM)

和信统一应用管理系统(VEUAM)是一款提供虚拟桌面和虚拟应用发布的产品,它采用虚拟化技术按需随时随地向用户安全交付完整的桌面和应用,为用户提供高效便捷的应用程序交付服务。能将标准的Windows应用程序生成为可跨平台发布的虚拟应用,在Windows、Linux、Android上均能运行Windows应用程序。VEUAM的虚拟应用拨离了应用程序与操作系统之间的依赖耦合,使应用程序运行的交互界面可远程于其他平台的操作系统上,无需安装即可运行,且不会在本地产生任何数据及修改。员工通过VEUAM实现灵活、快速、安全地访问各种应用和桌面环境。而IT管理部门也只需管理服务器、终端操作系统、应用和用户配置文件的单个实例或者管理模板,从而大大简化了信息化管理过程。

07

解决方案联系方式


联系人:黑女士

电话:13810614178

邮箱:heiyuanyuan@vesystem.com

了解更多云桌面行业方案可关注和信创天公众号:

——如果你觉得不错,点个在看吧。

END

 

点击图片查看完整内容:


继续滑动看下一个
信创纵横
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存