信息安全建设方案建议书(七).doc

第1章 企业私有云建设桌面云建设1.1 摘要 通过服务器的虚拟化我们看到了虚拟化技术对企业的带来的诸多收益。同时在企业 的发展中，为解决信息安全问题，提升信息服务水平，对终端进行统一规范、统一部署、 统一管理、统一维护、统一监控。以网络扁平化改造和系统大集中成果为依托，以信息 安全为切入点，引入虚拟应用和虚拟桌面技术来构建桌面云服务平台。降低整体信息技术平台的运营、维护成本，保障业务连续性，实现绿色安全的接入环境。1.2 管理现状随着企业业务的不断发展， IT 系统复杂度的不断提升，给 IT 的管理带来新的 挑战，特别是终端用户访问应用系统的桌面环境日趋复杂，对桌面终端的管理和应用发 布模式构成一定的威胁：n 系统安全性：分散的缺少管理的终端 PC 机对整个信息系统造成了极大的安全 隐患。比如位于终端的企业重要数据很容易通过各种途径泄露，终端用户设备 的丢失会引起的数据丢失等等。n 管理成本：对分散的终端 PC 机进行管理和维护需要 IT 人员大量的工作量。例 如： 对终端 PC 上应用和操作系统的安装管理和更新就消耗了技术人员大部分的 时间和精力；为了保证终端系统可用性需要为各地配备专门的 IT 技术人员，这 些 IT 力量的统筹管理成为 IT 管理敏捷性的一大挑战。n 数据可控性：终端操作人员可通过终端 PC 访问企业的受限办公和业务数据， 可 能导致企业机密数据的外泄，数据安全成为企业信息系统安全的一大威胁。n 数据可管理性：数据都分散存放于用户的计算机上，由于分散保存，很难对文 档的进出进行有效控制，难于实现对文档的统一管理和备份，难于实现敏感数 据的安全防护；n 系统可用性：随着办公的移动化和应用的集中化，业务人员面临着愈加复杂的 办公环境，在各种环境中甚至移动办公环境和远程办公环境中都要求能够拥有 一致的高效的应用体验。n 软件和硬件的投入成本：信息化建设的发展，经常要面对软件和硬件的不断更 新，软件硬件的更新需要大量的 IT 技术人员进行测试、部署、推广，这也是 IT 日常支出的一项庞大费用。n 人员成本：针对分散的终端 PC 机， IT 人员需要经常进行操作系统、应用系统、 硬件等维护工作； IT 人员日复一日陷入低效率的重复手动劳动中，无形中增加 了 IT 投入的人力成本。n 系统可靠性：终端操作人员拥有终端过高的权限和不规范操作，可能导致系统 可靠性下降，无形中增加了管理成本和人力成本。n 业务连续性： 采用分散的 PC 模式， 易造成管理的复杂度， 难以定位故障和损坏， 影响业务连续性和效率。分析这些问题产生的原因，可以发现根源在于客户端 和业务系统的维护，而针对终端操作系统和业务系统的安装、维护、升级、防 病毒、防信息泄露等工作，反过来会影响到生产，影响到业务的连续性。n 无法进行行为监控：由于计算机分散管理，用户登录业务系统后，访问和使用 特定应用、特定数据时的行为无法进行有效、实时的监控，无法进行事后审计、 追溯。 为每个用户提供安全高效的桌面环境是几乎所有公司或组织的基本要求。如果用户 无法使用他们的桌面或应用程序，公司就无法高效率运作。每隔几年，几乎每个公司或 组织都会大规模采用新操作系统、新硬件或新应用，这就需要大量的人力来大规模地构 建、测试并发布最新系统。这一庞大繁琐的过程往往拖延了许多对企业有利的升级， 进 而可能导致企业无法快速应对市场需求。 传统的 IT 建设更加注重应用后台的数据集中和运行部署集中。对于运行于用户终 端之上的应用访问客户端，通常采取各自为政的策略，由应用的访问模式来决定应用访 问客户端的运行和部署模式及运行环境。最终为了访问各个 IT 系统，不得不面临各种 应用访问客户端的部署、配置、维护工作， IT 支持人员也不得不奔波于对用户终端上用 户运行环境的维护和支持上。 IT 管理人员为了能够给最终用户良好的应用访问体验。 针对上述问题，借鉴国内外同行业用户的经验，建议对现有的用户桌面进行逐步改 造，建立企业私有虚拟桌面云。要求可以保证敏感数据的安全、集中化管理用户的桌面 环境，同时尽量保证用户的桌面使用体验。1.3 VMware Horizon Suite技术简介VMware Horizon Suite 是集合了桌面云解决方案、桌面云环境运维监控解决方案、物理PC桌面系统管理、多种设备管理、用户数据存储与分享、的一体化解决方案，致力于构建统一IT生态结构， 在此结构之上划分应用管理、桌面管理、数据管理，通过一致化的界面向终端用户进行交付。安全的移动空间 实现通过各种设备对桌面、应用和数据的安全移动访问，支持漫游及跨多种设备（包括自带设备）进行安全访问，在达到了使用便利性要求的同时，做到个性化且一致的终端用户体验。借助VMware Horizon View 实现DaaS（桌面既服务模式），摆脱笔记本电脑和移动设备硬件业务，从而大幅度提高工作空间生产效率，降低整体桌面TCO。业务流程桌面 从数据中心集中向外部工作人员交付集成虚拟桌面和统一通信，通过向分支机构及海外部门交付集中桌面，确保内部及外部第三方人员安全地访问系统，降低成本并保护旧有投资，实现数据集中化，从而更好的保护公司和客户利益。分支机构桌面 针对小型和远程分支机构的低接触式IT，满足各种带宽需求和未连接网络的员工，VMware Horizon Suite解决方案能够比旧环境更稳定、更易于管理。永不停机的桌面 确保为更关键的服务交付高可用性桌面，确保关键应用全天候可用性，零停机，同时简化桌面管理，降低TCO。Windows迁移和映像管理 Horizon Mirage 提供了适合大多数常见 Windows 7 迁移方法的两个选项：将现有 Windows XP 设备就地升级到 Windows 7；或将用户的配置文件和文件从之前的 Windows XP 设备迁移到新的 Windows 7 硬件（在利用硬件更新周期来协助进行 Windows 7 迁移时）。除此之外，Horizon Mirage 在尝试迁移之前会制作 Windows XP 系统的完整系统快照，这样，在出现错误时，您就可以快速地为终端用户恢复到之前的系统。 通过对 Windows 7 迁移项目的这些增强功能，一个拥有 5,000 人的组织可以利用 Horizon Mirage 加速 Windows 7 迁移，轻松IT节省时间成本和用户工作效率成本。多设备工作空间 通过软件定义的安全工作空间提供在任何移动设备或计算机上访问应用和数据的能力 提高终端用户的工作效率 简化IT人员的多设备管理 加强安全性、合规性和审核力度 内部及外部文件协同1.3.1 呼叫中心场景方案介绍考虑到贵单位目前同时存在物理桌面管理以及虚拟桌面的需求，因此，我们推荐客户部署VMware Mirage以及View解决方案，通过集中式的Mirage管理可以减少管理员对于物理桌面的管理，而不需要针对每一个型号及品牌的设备准备一套操作系统镜像。而对于那些新的呼叫中心或坐席人员，可以直接使用瘦客户机+虚拟桌面的方案进行部署。同时Vcops for view可以帮助IT人员统一监控虚拟桌面系统的运行状态，真正做到防患于未然。另外，通过View的虚拟桌面方案，甚至可以将呼叫中心的坐席延伸至家庭中，实现真正意义上的居家坐席。另外，对于外包呼叫中心坐席人员以及新的居家坐席需求，保证坐席人员的操作合规性是IT需要面临的一个技术难题，通过VMware合作伙伴的审计方案，可以实现坐席人员操作的审计。只需要在员工的物理PC或虚拟桌面端部署相关的代理程序，IT人员即可在中心集中的对坐席人员的操作进行实时监控及事后审计。1.3.2 网点场景方案介绍对于柜台网点，随着业务模式的变化，网点及柜台的增多，计算机设备的管理维护，应用及数据的管理，备份等等方面出现的问题也都随之而来。另外，像大堂、国理财经理等工作人员是否可以使用移动的IPAD等技术接入到内网给客户做业务查询，新品推荐都是来自业务层面的新的业务需求。虚拟桌面方案非常适合这类系统更新频繁，并且需要各类终端设备接入的环境。IT人员可以很轻松的在数据中心统一部署升级操作系统，应用程序及数据。而不用担心各类技术原因导致数据不同步，未更新的问题。而员工则使用使用各种新式的终端设备如IPAD给客户做业务处理。1.3.3 办公场景方案介绍对于金融客户来说，大多数的管理决策，数据分析都需要工作人员在办公室进行操作及参与，因此，保证办公桌面的安全性，可管理性是非常重要的。通过Mirage+View的方案，IT可以轻松的部署集中分发操作系统镜像，VCOPS可以帮助IT人员了解整个虚拟桌面环境的运行状态。另外，在办公环境中，工作人员往往需要大量的交换，更新文件，通过WORKSPACE的网盘功能，工作人员不再需要通过邮件,U盘等传统方式来交换数据，只需要给对方发送文件的链接或共享目录即可实现数据的共享，协同。另外，对于安全级别要求比较高的工作人员或应用，可以使用VMware合作伙伴的ITAUDIT审计方案进行审计录相，实现员工操作的事后审计及操作实时监控。1.3.4 开发中心场景方案介绍开发测试中心作为金融企业的IT应用开发中心，已经不再只是对现有的金融应用程序的维护升级，随着新一代金融核心应用系统项目的推进，越来越多的项目需要由开发测试中心进行管理，随之而来的桌面管理，桌面供应，开发测试环境的分配等都问题都暴露出来。另外，外包的开发模式在金融企业里越来越普遍，如何保证这些外包项目的信息资产的安全性，都是金融企业目前面临的难题。通过View+Vcops方式，管理员在数据中心集中的创建桌面，而开发人员只需要使用瘦客户机或自有的设备接入到虚拟桌