[鍵入文字] [鍵入文字] [鍵入文字]深信服政務(wù)安全桌面云解決方案應(yīng)用背景為提升政府各部門的協(xié)作能力和辦事效率，國家通過政務(wù)信息化工程大力推進(jìn)機(jī)關(guān)單位的電子政務(wù)建設(shè)，從而為公眾提供高效的政府服務(wù)，但隨之而來的是業(yè)務(wù)應(yīng)用環(huán)境越來越復(fù)雜（比如多級架構(gòu)、多套網(wǎng)絡(luò)、多種系統(tǒng)等）。所以，政務(wù)終端在使用過程中難免會遇到安全管理難度大、文件失密風(fēng)險大、辦公桌面繁雜等諸多困境，不符合政府對公文流轉(zhuǎn)和業(yè)務(wù)系統(tǒng)的安全保密要求，需要優(yōu)化現(xiàn)有模式，建立安全、便捷、靈活的政務(wù)桌面平臺。傳統(tǒng)PC問題分析難以杜絕非法接入：政府網(wǎng)絡(luò)具有涉及面廣、參與人員多、開放性強(qiáng)等特點(diǎn)，而政府公文流轉(zhuǎn)和系統(tǒng)訪問在網(wǎng)絡(luò)中需要傳輸真實(shí)的業(yè)務(wù)數(shù)據(jù)，雖然各政府部門已經(jīng)根據(jù)國家主管單位要求將不同網(wǎng)絡(luò)進(jìn)行邏輯或物理隔離，從而降低安全隱患。但是，政務(wù)網(wǎng)的安全問題，75%是內(nèi)部所為，主要來自于非法設(shè)備接入，而當(dāng)前還缺乏有效的管理手段，所以這就成為政府網(wǎng)絡(luò)的一個安全缺口，容易將流動的信息暴露在安全風(fēng)險之下。難以避免數(shù)據(jù)泄漏：政務(wù)PC是公文流轉(zhuǎn)、業(yè)務(wù)訪問的客戶端，在本地可接收、處理和存儲相關(guān)政務(wù)數(shù)據(jù)，而政務(wù)終端本地接口種類眾多（USB、串口、并口等），部分人員還會使用筆記本且經(jīng)常帶離辦公場所，導(dǎo)致非法復(fù)制難以察覺，所以政務(wù)數(shù)據(jù)無法得到正確的保護(hù)。此外，每個人的辦公文檔分散在各個政務(wù)終端上，IT人員無法進(jìn)行統(tǒng)一的備份和管理，所以當(dāng)硬盤或設(shè)備出現(xiàn)故障時難以恢復(fù)，這也增大了敏感數(shù)據(jù)丟失的風(fēng)險。難以實(shí)現(xiàn)安全管理：為保障政務(wù)網(wǎng)安全性，政務(wù)終端在實(shí)際應(yīng)用中，需要持續(xù)監(jiān)控系統(tǒng)安全漏洞和病毒感染情況，以便能夠及時分發(fā)重要的安全補(bǔ)丁，并保證軟件運(yùn)行在正確的版本上。但是，這項工作在分散的PC環(huán)境下難以快速完成，而且IT管理員無法限制政務(wù)人員隨意安裝軟件和使用各種外設(shè)，即便是部署了終端管理軟件，但依然無法實(shí)現(xiàn)桌面安全管理的標(biāo)準(zhǔn)化和簡單化，往往治標(biāo)不治本，反而影響了政務(wù)辦公體驗(yàn)和效率。解決方案為適應(yīng)政府業(yè)務(wù)發(fā)展和安全保密要求，政務(wù)終端的“云化”是必然趨勢，通過aDesk桌面云將政務(wù)人員辦公桌面和相關(guān)文檔遷移到服務(wù)器上，以虛擬機(jī)的方式承載每個人的桌面，而這種集中化的方式可以解決政務(wù)環(huán)境下信息點(diǎn)多難以全面保護(hù)、政務(wù)敏感數(shù)據(jù)易泄密等問題。 本方案使用小巧、節(jié)能的瘦終端作為桌面設(shè)備，政務(wù)人員訪問虛擬桌面時，必須使用政務(wù)CA系統(tǒng)配套的UKey進(jìn)行身份認(rèn)證，避免政務(wù)資源的惡意訪問。同時，通過USB外設(shè)黑白名單及管控策略、政務(wù)虛擬桌面數(shù)據(jù)卷全盤加密等技術(shù)實(shí)現(xiàn)政務(wù)數(shù)據(jù)的立體式防護(hù)，有效防范信息泄密。桌面云將公文流轉(zhuǎn)范圍限制在數(shù)據(jù)中心內(nèi)，政務(wù)網(wǎng)只傳輸圖像變化和指令信息，避免了非法設(shè)備獲取政務(wù)數(shù)據(jù)的可能性。同時，為進(jìn)一步提升安全性，SRAP協(xié)議采用加密手段，保證在安全通道內(nèi)傳輸政務(wù)數(shù)據(jù)。所有政務(wù)數(shù)據(jù)都在服務(wù)器上，因此不管政務(wù)人員使用哪種接入終端，數(shù)據(jù)都不會落地，而且還可以管控USB外設(shè)使用權(quán)限，包括放通、禁止和單向拷貝（比如只允許使用某一款安全U盤，其他設(shè)備不允許使用；或者允許所有U盤接入，但只能夠往虛擬桌面拷貝數(shù)據(jù)，反向是禁止的……）。此外，IT人員可以統(tǒng)一管理和備份政務(wù)數(shù)據(jù)，降低數(shù)據(jù)損壞和丟失風(fēng)險。由于政府同一科室的政務(wù)人員所需應(yīng)用和安全策略相同，因此可以為相同類型的用戶創(chuàng)建標(biāo)準(zhǔn)桌面模板，方便IT人員完成政務(wù)VM派發(fā)、更新安全補(bǔ)丁、配置管控策略等工作，從而實(shí)現(xiàn)政務(wù)桌面部署和安全管理的簡單化、標(biāo)準(zhǔn)化。方案優(yōu)勢深信服為政務(wù)人員提供了一套前后端軟硬件深度融合的桌面云架構(gòu)，從而打造出流暢、穩(wěn)定、安全、高效的用戶體驗(yàn)，同時滿足政務(wù)網(wǎng)高效辦公和安全保密要求。媲美PC的辦公體驗(yàn)：深信服SRAP協(xié)議通過流緩存、重復(fù)數(shù)據(jù)削減、圖像壓縮等廣域網(wǎng)優(yōu)化技術(shù)，大幅提升虛擬桌面在政務(wù)網(wǎng)的傳輸效率，從而為政務(wù)人員提供與傳統(tǒng)PC一樣的桌面流暢度，滿足政府對服務(wù)質(zhì)量及響應(yīng)速度的高要求。立體式政務(wù)安全防護(hù)：通過UKey認(rèn)證、客戶端準(zhǔn)入等技術(shù)，在確認(rèn)用戶身份和授權(quán)終端后才允許接入政務(wù)網(wǎng)虛擬桌面（杜絕非法訪問）。此外，政務(wù)人員日常使用時，所有數(shù)據(jù)的傳輸和存儲都會全程加密，從而實(shí)現(xiàn)政務(wù)網(wǎng)的安全隔離和數(shù)據(jù)保護(hù)。持續(xù)可用的桌面服務(wù)：深信服利用超融合技術(shù)（主機(jī)集群、自動遷移、虛擬存儲等）為政務(wù)桌面云系統(tǒng)構(gòu)建了一套高可用的底層平臺，自動應(yīng)對故障所帶來的影響，所以政府部門能夠?qū)崿F(xiàn)高效穩(wěn)定的內(nèi)部辦公、政務(wù)協(xié)作和公眾服務(wù)等整個過程。簡單易用的可擴(kuò)展性：電子政務(wù)的快速發(fā)展，必將面臨行政層級和基層部門的調(diào)整，這就需要政務(wù)桌面云有靈活、彈性的資源整合能力。所以，深信服通過桌面云一體機(jī)和超融合技術(shù)能夠降低政務(wù)桌面在變更和擴(kuò)容時的復(fù)雜性，滿足電子政務(wù)發(fā)展要求。設(shè)計思路（本節(jié)以300個政務(wù)桌面舉例說明，但選型方案會因應(yīng)用方式和行為習(xí)慣的不同而有所差異，所以如下選型數(shù)據(jù)僅供參考）應(yīng)用場景應(yīng)用場景需要使用的操作系統(tǒng)、應(yīng)用軟件和外設(shè)虛擬機(jī)配置參數(shù)政務(wù)桌面桌面采用Windows7操作系統(tǒng)，以及電子政務(wù)系統(tǒng)、office套件、郵件系統(tǒng)、監(jiān)控視頻等應(yīng)用軟件，高拍儀、UKey、安全U盤等外設(shè)2vCPU、4G內(nèi)存、200G存儲說明：本方案包括300個政務(wù)內(nèi)網(wǎng)虛擬機(jī)，主要訪問電子政務(wù)系統(tǒng)和office辦公軟件，有部分監(jiān)控視頻和高拍儀的使用。選型方案項目名稱配置信息簡要描述數(shù)量桌面云服務(wù)器2*2660v3/256G/2*240SSD+6*4TSATA/6*千兆網(wǎng)口型號：VDS-6550，每臺服務(wù)器跑45用戶，考慮到冗余設(shè)計，總共8臺服務(wù)器、支撐300用戶8瘦終端（或者采用現(xiàn)有PC）ARM架構(gòu)、CPU四核1.6GHz、1G內(nèi)存、4G存儲新增300臺瘦終端300桌面云VDI用戶授權(quán)按并發(fā)用戶數(shù)計費(fèi)，每個用戶授權(quán)含獨(dú)享桌面、共享桌面、遠(yuǎn)程應(yīng)用300分布式虛擬存儲模塊每臺VDS服務(wù)器必須配備1個對應(yīng)型號VS模塊VS可以把服務(wù)器自帶硬盤組成統(tǒng)一存儲池，獲得高端存儲所具備的高可靠性和高性能8說明：本方案通過虛擬存儲替代成本較高的獨(dú)立存儲設(shè)備，每臺VDS服務(wù)器配備1或2塊SDD+6塊HDD，其中SSD用于熱點(diǎn)緩存，HDD用于數(shù)據(jù)持久存儲，從而獲得較高的IOPS性能，同時采用多副本技術(shù)確保數(shù)據(jù)在多主機(jī)有實(shí)時備份存儲，無需擔(dān)