VDIBox金融桌面云-安全办公方案建议书中国惠普有限公司日期: 2 013年5月注意：本文件的著作权归乙方所有。

任何未经允许的（全部或部分）引用、复制、修改、公开展示、发行、翻译等违反著作权的侵权行为，中国惠普有限公司均保留法律追诉权利。

本文件中所提到的商标，均属于合法注册公司所有。

项目名称：项目经理：文档版本编号：项目阶段：文档版本日期：质量复审方法：起草人：起草日期：复审人：复审日期：版本记录版本编号版本日期修改者说明文件名V0.9 2013-5-20 Steven Wang createV1.0 2014-5-24 Steven Wang Update目录1.实施桌面云的必要性 (4)2.桌面云平台的设计目标 (4)2.1.具体建设目标是： (4)2.2.通过建设桌面云平台，项目可达到以下目标: (5)3.桌面云平的设计目标标准 (5)3.1.设计原则 (5)3.2.安全措施 (6)4.桌面云平台整体架构 (6)4.1.虚拟化平台 (6)4.2.远程桌面协议 (7)4.3.控制系统 (7)5.系统拓扑 (8)6.方案描述 (8)6.1.服务器配置方案 (8)6.2.存储配置方案 (9)6.3.虚拟桌面配置方案 (9)7.产品功能 (10)7.1.桌面接入 (10)7.2.管理功能 (10)8.参数性能 (11)9.方案优势 (13)9.1.VDIB OX与VMW ARE V IEW对比 (13)9.2.VDIB OX 与C ITRIX X EN D ESKTOP对比 (14)9.3.VDIB OX与国内友商产品对比 (14)10.实现桌面云平台的收益 (15)10.1.决策层： (15)10.2.IT运维管理部门： (15)10.3.最终用户： (16)1.实施桌面云的必要性企业现有IT系统需要在每台PC上安装业务所需的软件程序及客户端，同时重要的数据也分散在各PC上，不能很方便的进行集中存储及备份。

由于PC机的安全漏洞较多，业务数据在客户端有泄露及丢失的危险，并且也有受到来自客户端的攻击和被破坏的危险。

在应用层面，业务人员的工作环境被绑定在PC机上，出现软硬件故障的时候，只能被动地等待IT 维护人员来修复，不仅要进行PC机进行维护，还要对操作系统环境、应用的安装配置和更新进行管理和维护，随着应用的增多，维护工作呈上升增长趋势，从而导致工作效率低下、终端维护成本上升。

随着应用场景越来越复杂，对业务系统的功能性、安全性、方便性的要求越来越高，例如：工作场所越来越分散带来了数据如何共享的问题，现有的系统很难实现人到哪里、桌面跟着到哪里的需求；业务连续性要求能够在故障后快速恢复业务访问；在工作人员来越来越多的情况下，如何做到投入最少的IT资源、提供更高的用户端接入的能力。

因此简化客户端环境，实施集中化部署、管理和运维，部署桌面云计算应用是有效解决方案。

2.桌面云平台的设计目标为了满足企业高速发展的需要，需要结合网络和应用现状，建设统一桌面应用交付中心，通过虚拟化技术集中发布应用和桌面，拓展业务发布范围，扩大用户终端的接入手段，为终端用户提供稳固、安全、可靠、便捷一致的业务访问服务。

2.1.具体建设目标是：应用集中更新、统一发布：建立企业级应用及桌面云交付中心，实现数据与知识的安全、统一、准确、可共享。

桌面云交付中心将应用及桌面的升级、变更、维护等工作交由后台统一管理和运行，在系统上而不是在用户在终端上进行集中发布、配置和更新，终端用户无需任何变动即可获得最新应用和服务，减少终端所需的运维支持力度。

安全接入、分权分域、集中管控：桌面云交付中心将提供一体化的安全准入控制，集成现有的安全规程，依据相应的权限策略实现对不同安全域、不同接入类型用户的集中管控，保障核心数据、应用数据部流失，以及对不同业务资源的灵活分配和使用状况审计。

提升用户访问体验：桌面云交付中心提供最佳的访问体验，用户不再频繁受到网络质量的影响，实现不同网络环境的一致访问体验，提升业务系统的可用性和连续性。

客户端在经过验证后，可以即安全、高效地方便地跨安全分区访问后台各种不同的应用。

访问规则可以根据策略制定，无需频繁更改设定。

即使通过带宽有限的网络连接，也可以得到较好的用户体验。

降低维护成本、提高工作效率：减轻管理人员的工作强度和不必要的重复劳动，提高业务系统和办公环境的安全性和稳定性。

真正实现人尽其责，物尽其用。

项目建成后，应提供安全的桌面工作环境，同时无需对现有的前后台应用作大规模的改造。

技术上选择采用桌面虚拟化的方式，实现新的集中的桌面管理构架。

2.2.通过建设桌面云平台，项目可达到以下目标:✧桌面及应用全部运行在桌面云数据中心，保证业务数据的安全性；✧通过策略及其它技术手段，可以严格禁止业务数据下载或保存到本地的客户端设备；✧桌面集中托管于数据中心，在数据中心进行集中的部署、维护和管理；✧运行在高性能的服务器上可以使桌面的性能得到提升；✧可以迅速地部署最新的操作系统和应用软件；✧降低维护桌面以及软件的费用；✧前端桌面使用瘦客户端，减少终端维护量，增强终端安全性；✧可以支持各种终端设备，包括PC、瘦客户机、平板电脑、智能手机、智能终端等；✧提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯；✧能良好兼容现有设计应用、并且对未来的可能的应用及安全构架有良好的兼容性；✧构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更；✧提供尽可能灵活地部署方式，以适应不同类型用户的需求，如审批类用户和普通办公用户，涉密终端和非涉密终端等；✧桌面云方案可以适应主流的服务器、客户端的硬件配置，对现有的服务器、PC等设备，可充分利用，便于日常维护；✧方案的可扩展性强，在业务规模增大时，可快速扩容部署，总体造价合理；✧未来可以从互联网、公司网或任何节点远程访问集中托管的桌面和应用。

3.桌面云平的设计目标标准3.1.设计原则✧桌面和应用全部运行在数据中心的服务器上，集中进行安全管控；✧良好的用户体验，虚拟桌面能够提供与目前用户使用的PC一样的各种功能：如流畅地播放视频，通过即时通讯软件进行多媒体通信，流畅地浏览网页，使用各种外设等。

✧用户的客户端设备可以使用各种操作系统和配置的硬件设备来访问桌面/应用和数据。

如：笔记本、PC机、瘦客户机、零客户机及移动设备等。

✧管理员应该有必要的监测能力，评估最终用户体验和排除故障所需的工具，以找出问题，并计划调整受到影响的服务质量。

✧服务可用性即没有直接影响整体架构问题的单点故障。

所有功能组件必须支持冗余或高可用性，某些功能组件出现故障也不受影响所有用户，其次允许个别用户会话尽可能自动恢复。

✧作为最终目标的桌面虚拟化的基础建设，在设计中支持大量的并发虚拟桌面。

✧功能模块化可以为未来的发展提供基础，当数量或应用等发生变化，功能模块化可以很容易地适应，而无需重新设计或重新设计整个基础设施。

3.2.安全措施✧桌面云交付中心以安全为出发点设计的，提供安全接入的基础，而非事后的弥补。

应用和桌面都集中在思杰服务器上，而IT员工则完全掌控接入控制权。

基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入。

信息是虚拟化的并且是以加密的方式进行传输的，让用户能安全利用非信任网络。

最终，能高效管理经由多种接入网关传输的验证过程，从而有效防护任何资源的前门。

总而言之，这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级，而没有泄密安全。

✧管理员可以设置端到端的接入策略，指定每种特定接入情境下可接入哪些内容。

接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。

通过创建接入策略，管理员能更轻松地控制对敏感数据的接入。

✧这些策略还需考虑三种不同的接入因素：谁正在接入应用；他们使用的是哪种类型的客户端设备，如台式机、笔记本电脑、PDA或自助查询终端；以及他们所处的位置，比如在他们通常的工作地点，在其它办公室，或在路途中。

✧这都意味着一种更复杂的接入控制判定，包括选择性信任，要求有比简单的Yes/No更多的控制内容，因为这些因素控制着用户如何接入应用，而不仅仅是用户是否接入应用。

用户可能被全部授权、部分授权或不被授权接入应用。

举例来说，如果用户在路途中，可能获准以只读权限接入文档，而不能编辑。

4.桌面云平台整体架构VDIBox桌面云主要面向学校、企业和政府，提供整套桌面虚拟化综合解决方案，满足企业建设集中式桌面系统的需求，实现高可用、易管理、快速部署和高度数据安全的桌面云（Desktop as a Service）交付。

4.1.虚拟化平台VDIBox桌面云采用业界领先的Hyper-V3.0作为其虚拟化层，并针对Windows Server 2012和Hyper-V3.0进行了深度优化，可以大幅提高虚拟桌面的用户体验，增强系统可用性和安全性，同时提升系统管理便捷性。

4.2.远程桌面协议基于HP独家定制的高安全高效率HP FX的远程桌面协议，在提供优秀的桌面图象质量的同时，更支持GPU重定向和USB设备重定向等先进技术，提供与本地PC一样的用户体验。

4.3.控制系统云平台给员工提供一个安全、可控、便捷的工作环境，并可按照用户的需求安装特殊的应用。

针对这部分用户的桌面需求，可采用VDIBox桌面云平台进行管理，实现统一发布的虚拟桌面和应用，统一存储数据，集中化管理，快速、安全、可靠的桌面交付。

典型的桌面交付云平台架构如下：VDiBox桌面交付云平台在终端用户层与最终业务层建立了一个桌面云平台，为门户和审批业务系统的访问提供一个更安全、可管理的集中接入平台，无论是外网用户还是内网用户，均可通过桌面云平台接入并访问后台业务系统，桌面云平台为企业的各种终端访问提供总体的接入解决方案。

通过桌面云平台的虚拟桌面，会让业务访问更快捷更安全，减少了对终端设备和带宽的依赖性，增加了访问的灵活性，更好的落实桌面云的发展战略。

VDIBox桌面云平台可根据用户的不同场景，通过应用虚拟化和桌面虚拟化的组合实现对用户环境的交付。

如果应用虚拟化可以满足业务应用交付的需求，则只需要部署应用虚拟化实现应用环境的交付；如果用户需要完整的桌面虚拟化体验，通过桌面虚拟化方案可以实现包含操作系统、应用、用户配置文件和数据文件的组装交付，其中的应用可选择在虚拟桌面上部署应用或者通过应用虚拟化实现虚拟桌面内的应用交付。

VDIBox桌面云方案，网络环境划分成三个部分：终端层、虚拟化桌面层和后台应用层，各部分之间按照网络安全要求使用防火墙/网闸严格隔离，只开放访问必须的端口。

将用户终端隔离后可以对后台应用服务器起到很好的保护作用，用户所有的个人桌面、应用和文档被集中控制在虚拟桌面层。

5. 系统拓扑虚拟化资源池由5台服务器组成，通过千兆以太网相互连接并组成虚拟化群集，虚拟磁盘文件通过群集共享卷存储在IP SAN 存储系统当中。