证券行业超融合桌面云解决方案建议书

1、证券行业超融合桌面云解决方案建议书目 录 TOC o 1-2 h z u HYPERLINK l _Toc496182167 1证券行业桌面云平台解决方案介绍 PAGEREF _Toc496182167 h 4 HYPERLINK l _Toc496182168 1.1桌面云产品介绍 PAGEREF _Toc496182168 h 4 HYPERLINK l _Toc496182169 1.2证券行业整体解决方案介绍 PAGEREF _Toc496182169 h 10 HYPERLINK l _Toc496182170 1.3证券行业桌面云部署架构设计 PAGEREF _Toc4961821

2、70 h 13 HYPERLINK l _Toc496182171 1.4系统运维与管理 PAGEREF _Toc496182171 h 15 HYPERLINK l _Toc496182172 1.5部署一体化设计 PAGEREF _Toc496182172 h 15 HYPERLINK l _Toc496182173 1.6系统集群冗余设计 PAGEREF _Toc496182173 h 17 HYPERLINK l _Toc496182174 1.7集群数据高可用保护APS PAGEREF _Toc496182174 h 18 HYPERLINK l _Toc496182175 1.8系

3、统扩容设计 PAGEREF _Toc496182175 h 20 HYPERLINK l _Toc496182176 1.9系统安全设计 PAGEREF _Toc496182176 h 20 HYPERLINK l _Toc496182177 1.10用户访问流程设计 PAGEREF _Toc496182177 h 24 HYPERLINK l _Toc496182178 1.11系统安全设计 PAGEREF _Toc496182178 h 29 HYPERLINK l _Toc496182179 1.12桌面云方案与传统PC方案功能对比 PAGEREF _Toc496182179 h 31

4、HYPERLINK l _Toc496182180 1.13桌面云方案与传统VDI方案对比 PAGEREF _Toc496182180 h 33 HYPERLINK l _Toc496182181 2成功案例介绍 PAGEREF _Toc496182181 h 36 HYPERLINK l _Toc496182182 2.1申万宏源证券案例概述 PAGEREF _Toc496182182 h 36 HYPERLINK l _Toc496182183 2.2客户挑战 PAGEREF _Toc496182183 h 36 HYPERLINK l _Toc496182184 2.3客户需求 PAGE

5、REF _Toc496182184 h 36 HYPERLINK l _Toc496182185 2.4解决方案 PAGEREF _Toc496182185 h 37 HYPERLINK l _Toc496182186 2.5客户收益 PAGEREF _Toc496182186 h 38 HYPERLINK l _Toc496182187 2.6结论 PAGEREF _Toc496182187 h 38 HYPERLINK l _Toc496182188 2.7光大证券案例概述 PAGEREF _Toc496182188 h 39 HYPERLINK l _Toc496182189 2.8东吴

6、证券案例概述 PAGEREF _Toc496182189 h 39 HYPERLINK l _Toc496182190 3软硬件配置资源需求清单 PAGEREF _Toc496182190 h 41 HYPERLINK l _Toc496182191 3.1客户总体需求 PAGEREF _Toc496182191 h 41 HYPERLINK l _Toc496182192 3.2硬件需求清单 PAGEREF _Toc496182192 h 41 HYPERLINK l _Toc496182193 3.3软件需求清单 PAGEREF _Toc496182193 h 42证券行业桌面云平台解决方

7、案介绍桌面云产品介绍桌面云基本概述桌面虚拟化技术是指将计算机的桌面进行虚拟化，将原本需要使用PC本地资源（如CPU、内存、磁盘等），变迁到使用服务器资源的工作方式。理论上可以通过任何设备、在任何地点、任何时间，访问存在于网络上专属于个人的桌面系统，以达到桌面使用的安全性和灵活性的目的。在桌面虚拟化的概念被提出至今，其发展都与服务器虚拟化紧密联系。随着服务器虚拟化技术的成熟，以及服务器计算能力的增强，使得服务器可以提供多台桌面操作系统的计算能力。以当前4核双CPU的至强处理器、64G内存服务器举例，如果用户的桌面系统分配2G内存；平均水平下，一台服务器可以支撑25至30个桌面运行。因此，如果桌面

8、均由虚拟技术提供，那么采购物理机的成本将高于服务器的成本。并且管理成本、安全因素还未被计算在内，所以服务器虚拟化技术的出现，使得桌面虚拟化技术的企业大规模应用成为可能。当然，如果只是将操作系统在物理机上运行，转变成在服务器上运行的方式，这是不能被市场完全接受的。因为桌面虚拟化技术的核心与关键，不仅是服务器虚拟化技术简单的将桌面虚拟，而是让用户能够通过各种途径访问到自己专属的桌面，即具备网络远程访问的能力。桌面云解决方案介绍方案基于iConn方案构建， iConn桌面云方案完全由公司自主研发，从虚拟化内核到用户桌面的交付全部使用超融合架构， iConn桌面云方案允许多个用户桌面以虚拟机的形式独立

9、运行，同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将用户彼此隔离开来，使每位用户都拥有自己的操作系统，同时可以实现精确的资源分配。 iConn桌面云方案是全新的国产化桌面云技术平台，可为终端用户提供自由的IT使用体验，同时充分满足 IT 管理和控制的需求。 iConn桌面云方案专为中国市场设计，由国际领先的技术团队共同研发，具备所有国际领先的虚拟化技术，并融入了更适合中国用户使用需求的桌面解决方案领先技术。其不仅能使用户自由使用软件与硬件资源（包括所有传统的应用程序与外设设备），更使 IT 能够简化和自动执行成千上万个桌面的管理，并以桌面服务的形式从数据中心安全地向用户

10、交付桌面，达到传统 PC 无法企及的安全性、可用性和可靠性。通过根据用户需要随时随地为任何设备提供对应用程序和数据的安全访问， iConn桌面云方案可为终端用户提供最高级别的流动性和灵活性。 iConn桌面云方案将操作系统、应用程序、配置文件和用户数据封装到隔离层中以改善桌面管理，并按需动态组装桌面以向各个用户提供其桌面的个性化视图。随着桌面应用的复杂化和多样化，企业正陷入各种各样的 IT 桌面困境。一方面，IT 组织面临着成本、合规性、可管理性和安全性方面的压力。以 PC 为中心的现有计算模式加剧了这种态势，这种模式的管理成本高昂，限制了IT 敏捷性，难以应对不断变化的业务形势。另一方面，终

11、端用户越来越需要从更多设备和位置自由、灵活地访问其应用程序和数据。这一困境 终端用户自由和 IT 控制之间的两难困境 抬高了成本，影响了安全，并令 IT 资源不堪重负。为了摆脱这种困境，各个组织都在寻求既灵活敏捷又适应性强的计算方法，从而使 IT 能够平衡企业的需要和终端用户的需要，实现灵活的高性能计算体验。通过 iConn桌面云方案实现桌面虚拟化，各个组织能够提高IT运作效率，达到真正以用户为中心的桌面服务的传递和交付。通过将应用程序、数据和操作系统与端点分离，并将这些组件转移到数据中心，您就可以在数据中心进行集中管理。桌面和应用程序虚拟化为 IT 提供了一种更加精简和安全的方法来管理用户和

12、提供可按需访问的敏捷桌面服务。 iConn桌面云方案既能简化 IT 管理、提高终端用户的安全性和控制力，又能通过从数据中心提供桌面服务来降低成本，是很好的同时实现这些目标的端到端解决方案。 iConn桌面云方案能够实现兼具高可用性、可扩展性、安全性和可靠性的桌面服务，这些特性是物理 PC 所无法企及的。通过跨不同地点提供具有最高保真度的性能和用户体验，采用 自主研发的NSP协议可为用户提供丰富的个性化虚拟桌面，用于访问数据、应用程序、统一通信和丰富的外设支持。解决方案技术优势数据安全管控项目采用完全国产化自主知识产权的成熟产品，符合国家信息安全战略；该方案采用了当今主流成熟的云计算虚拟化技术，

13、所有数据集中管控，真正实现了“终端不留密”，确保金融行业的核心利益安全！系统同时设计了严密的事前事后安全保障措施，如屏幕录像、打印审计等，确保用户行为的可追溯性支持复杂的金融业务外设全面支持证券业务的各项外设应用，确保业务应用需求，同时可进行细粒度的外设权限控制，避免数据的非法外泄降低投资成本适应券商业务的灵活变化及营业网点的逐步建设现实情况，该方案不会造成大量的初期和长期成本，以实际需求出发，按需建设，线性扩充，避免不必要的重复建设投资。高效部署，集中运维超融合云平台提供了高效简便的统一管理控制台，管理员无需专业培训，全部功能融合到统一控制台进行管理，管理员可快速上手。证券行业整体解决方案介

14、绍传统营业厅应用场景传统营业厅旨在逐步替换现有营业厅PC设备，通过桌面云，实现客户端完全免维护，提高营业厅终端访问的可靠性。在此场景下，桌面云需充分支持营业柜面的外部设备，并实现最便捷访问，提供用户数据存储空间，与PC同等操作体验与计算性能。轻型营业厅应用场景轻型营业厅既不提供现场交易服务的现场营业网点，其特点为：第一，不需要机房，但可以外包信息系统运维工作；第二，没有电脑等硬件系统服务；第三，营业部不提供现场交易服务；第四，办公场地空间不受限制，一般门店空间面积狭小；第五，人员配置较少。桌面云良好的广域网体验，能够较好的支持轻型营业厅广域网接入的应用场景，NSP协议可根据带宽进行自适应，提供

15、带宽匹配的最佳用户体验；与此同时，NSP协议还提供丰富的外设支持，对于金融行业应用外设，特别是高拍仪进行了优化，降低了网络传输带宽，并确保良好用户体验。在该环境下，数据全部集中存放于数据中心，网络上并无真实数据交互，确保了轻型营业厅的数据安全。投资顾问与客户经理应用场景桌面云能够友好的支持多种移动终端设备，不仅支持Windows PC设备，还支持MAC OS笔记本，以及iOS、Android等常见的移动智能终端设备。终端用户无需配置VPN等繁琐过程，仅需通过浏览器或客户端即可快速登陆访问，同时，确保应用程序的兼容性，确保用户在不同系统设备的正常访问体验。桌面云能够充分提高投资顾问与客户经理的随

16、时随地接入访问需求，为券商向全员营销转型奠定了强大的信息技术基石；同时，客户资料信息也逐步成为券商的生命线，客户经理人员流动性较大，桌面云确保在访问过程数据不落地，避免了数据被泄露的可能性，保护了券商的核心数据安全。客户服务呼叫中心应用场景随着券商由过去的以佣金收入为主的通道业务向以客户为中心的综合投资业务的转型，呼叫中心也逐步成为提升券商服务品质的重要组成部分；桌面云提供了良好的技术保障，实现了呼叫中心的带内语音传输，实现了浮动工位制，员工可随时随地访问呼叫中心业务，并确保员工个性化体验，同时，确保客户关键数据的安全性。信息化管理应用场景桌面云能够有效提升IT信息管理效能，通过桌面云平台，信

17、息化管理人员可以统一对虚拟桌面进行集中管理、批量更新、远程支持，提高了运维效能；同时，桌面超融合架构，能够实现快速部署上线，无需高昂的SAN架构，降低投资成本，并支持分布式部署，针对大型营业厅等场景，可分布式部署，部署更加灵活可靠；此外，桌面云提升了券商整体数据安全，避免数据外泄，使得所有终端设备不存留与工作相关数据，充分保障券商核心利益的安全。数据中心应用场景数据中心业务云平台Nexus，提供了强有力的后台业务可靠性保障，通过对物理服务器的虚拟化，实现真正的软件定义的数据中心，同时，借助特有的超融合架构，有效降低数据中心虚拟化难度，一步交付Iaas云平台，实现数据中心自动化，并降低机房成本，

18、对于营业厅机房，可有效降低营业厅机房的占地空间，有效降低投资成本。Nexus可支持券商多数场景业务系统的虚拟化，包含了四大系统。第一是核心生产系统，包括了集中交易系统、理财系统、法人结算系统、三方存管系统、开放式基金代销系统、风险监控以及反洗钱系统、网上交易系统等。第二是客户关系管理系统，该系统是通过技术系统辅助来维持与客户的良好关系，同时对公司内部，系统提供对客户管理和分析的功能，根据统计数据对客户进行分类、提供客户经理和经纪人管理功能，向客户推介合适的产品，进行针对性的投资者教育。第三是公司内部管理与业务支撑系统，主要包括财务、资产管理、人力资源管理、等系统作为公司日常管理所用。第四是业务

19、支撑系统，包含投行管理系统、财经资讯系统等内部使用的业务系统。证券行业桌面云部署架构设计总体拓扑设计网络结构设计整体网络结构：总部网络：该网络主要提供核心服务器的交换，并与总部办公机构终端网络连接，服务各总部各部门终端用户营业厅网络：该网络通过汇聚层+广域网方式进行连接，通过分布式部署实现本地化访问体验，提高营业厅访问的可靠性，并降低远程专线的带宽消耗，降低投资成本，同时，可利用原有营业厅IT人员进行维护。轻型营业厅网络该网络用于对轻型营业厅的远程接入访问，该部分通过运营商广域网链路连入。外部访问网络该网络通过外部互联网络接入，主要提供移动业务访问，对外采用通过SSL 443加密传输，且桌面云

20、在网络上不传输真实数据，保证数据安全传输。网络带宽需求桌面云网络流量主要传输桌面云的桌面画面信息，平均每用户大约200kbps，按照各区县网络结构，具体带宽需求如下：每链路带宽总部网络-营业厅网络保持现有网络带宽不变总部网络轻型营业厅256kbps/用户移动访问，包括投资顾问，客户经理等256kbps/用户网络安全设计用户终端网络与云平台最终通过SSL加密传输，数据中心防火墙仅需开放443端口，用户即可访问，系统会根据用户身份来自动判别并分配桌面，对于用户访问权限的控制均由各自独立的虚拟交付系统完成，以实现精细的权限细粒度控制，以确保有效的权限访问合法授权的应用资源。由于虚拟化技术在网络上并不

21、传输真实应用数据，加之两网严格的用户权限保障，因此，可以保障两网隔离的安全性！系统运维与管理整套虚拟化系统均运行于超融合架构平台上，系统提供了标准、兼容、高可靠的执行环境，同时，还提供了冗余性等安全保障，通过该平台，实现了数据中心的自动化运维。对于用户来说，所有的应用程序、桌面均由统一的镜像生成，后期的补丁更新、软件安装等操作只需要管理员更改黄金镜像，即可对特定或所有用户实现统一的更新，高效快捷！同时，对于用户的日常运维来说，由于用户的操作均在数据中心完成，管理员对于用户日常遇到的各种问题（操作系统、应用程序、配置等）均可在数据中心里进行维护操作，提升了IT运维效率！部署一体化设计桌面云软件系

22、统采用了All-In-One的设计思路，使管理层和IT人员不必再去考虑部署虚拟桌面时各个网元间复杂的兼容性，而只需将精力集中在譬如桌面规划、用户角色分配、存储空间调整等事务上。具体到本方案，在部署云计算系统时，涉及的基本网元如下：桌面云平台服务器作为实现桌面云功能的主体，桌面云平台服务器实现了“软件一体化”，能在统一的Web页面中，对用户、虚拟计算机、模板、脚本、虚拟化服务器等进行全面便捷的管理。另外，由于采用分布式设计架构，可将传统VDI架构需集中存储的桌面数据，分散放置在各台桌面服务器的本地存储中；如此不仅提高了数据读写速度提升了用户体验，而且进一步分散了数据损坏丢失的风险，从而加强了数据

23、的安全性。同时，桌面云融合技术既实现了负荷分担在多台桌面云服务器间的平衡，而且使虚拟桌面系统的部署更加灵活，能够更好的契合对网络分层很细的组网需求。网络设备在部署桌面云系统的同时，IT人员需要持续关注更新整个网络工作负荷，适时的根据网络占用情况对网络设备进行调整，譬如交换机、路由器等。当实现桌面云后，中轻量级的桌面操作场景下，该用户占用的网络带宽约为250kbps至500kbps。IT人员可以根据此数据进行估算，但建议在整体部署系统前，小范围的使用iConn虚拟桌面系统，并拿到网络占用情况的第一手资料。在实际部署中，我们将如下网络进行了分离，以确保具备良好的IT管理性能网络名称网络功能网络性能

24、要求终端网络用于终端用户访问虚拟桌面千兆以上业务网络用于虚拟桌面访问业务系统千兆以上心跳网络用于服务器之间的健康检查、模板同步等管理通信千兆以上存储网络用于虚拟桌面访问文件存储每服务器连接交换机 千兆以上交换机连文件存储 万兆接入终端由于采用了Prioritized Network Screen Protocol(NSP)协议，因此桌面云系统对终端类型无特别要求。无论是对已有PC、笔记本电脑进行利旧，还是采购瘦客户机、平板电脑等新终端设备，都可以通过安装桌面云客户端或直接使用浏览器来访问用户桌面。系统集群冗余设计该系统采用分布式架构技术实现，架构建议至少由3台以上服务器组成分布式服务器集群；该

25、集群通过Raft分布式算法（斯坦福大学著名的分布式算法，现已成为分布式系统应用最为广泛的算法机制）来实现可用性保障。在所有服务器第一次启动后，服务器之间会进行协商，根据时间与竞争机制，选举出三个管理节点（Master），在三个管理节点中，为了确保分布式系统数据的一致性，其中一台会作为主要管理节点Master（active），作为集群的主要数据节点，另外两台为备用管理节点Master(Standby)；当集群发生变化时，首先对主管理节点的数据进行更新，之后，再更新两个从管理节点，确认三者数据一致后，向系统反馈确认信息。其他更多的加入集群的服务器，将作为从属计算节点角色（Slave），不启动管理角

26、色。当主管理节点Master（active）出现故障时(如宕机)，两台从管理节点会进行重新选举，生成新的主管理节点Master（active），如果集群有3台以上主机，则会提升一台从属计算节点服务器（Slave）为备用管理节点Master(Standby)，以维持集群再次故障时的高可用需求。从上述过程可以看出，桌面云由于采用了分布式架构，使得整个高可用性完全可由软件实现，并通过分布式算法实现了自动化，为系统可靠性提供了保障。集群数据高可用保护APSAPS(Adaptive Protection Service)是专为桌面虚拟化场景设计的集群数据保护服务器，众所周知，桌面虚拟化是一类IO密集型应

27、用，传统解决方案往往采用高吞吐率的存储设备来实现，近年来，分布式存储大行其道的同时，其在桌面虚拟化中的高IO应用始终是一个行业难题。APS架构的优势在于兼顾了运行性能和数据高可靠冗余两方面桌面虚拟化核心技术要求；在桌面虚拟化机构中，将用户直接运行的第一副本存储与iConn计算节点上，使得用户体验始终处于本地运行的最佳效能；于此同时，后端连接的APS节点则完成数据的多副本备份冗余，确保在服务器出现故障后，能够有更多冗余副本快速在其他可用服务器上恢复运行。于此同时，在多站点架构设计中，用户可以在多站点上进行无缝漫游，并且，在漫游期间的数据可以无缝回传，因此，数据也同时实现了多站点保护针对VIP用户

28、，可以实现资源预留和优先恢复，优先确保VIP用户的恢复时效通过APS，用户可以获得如下价值：同时确保并兼顾用户计算存储性能和数据冗余保护实现用户数据的多副本冗余当服务器出现故障时，能快速将故障服务器上的虚拟机在其他可用服务器上恢复实现多站点用户无缝漫游对于VIP用户，实现高级别和优先级的故障恢复系统扩容设计由于采用了超融合架构，使得每台服务器实现了标准化的软硬件堆栈，每台服务器都可因实际运行环境运行等量的用户，后期用户增加，仅需向集群添加所需数量的服务器即可，从而实现线性扩容。系统安全设计身份安全管理设计本系统与传统桌面云方案的不同在于不依赖微软AD域，大多数传统的桌面虚拟化厂商方案几乎都必须

29、依赖微软AD域作为认证核心节点，这对于大多数中国用户来说，他们将面临着不仅仅是用户管理的变化，包括原有的网络结构、应用环境、用户权限都要发生较大的变化，这往往导致了项目上线后各种兼容性问题。着眼中国用户IT现状，自主研发了多认证体系支持，不依赖于AD域，提供内置的用户认证模块，并支持与第三方LDAP及双因素认证进行对接，充分理解中国用户的实际需求，提供开放、安全的用户认证管理平台，并高效融合在系统中，高度可靠、安全。除了上述静态口令的支持，还支持如下认证方式：数字证书：通过数字证书可以有效识别客户端有效性。可以统一采用企业内部认可的证书体系，通过在桌面云平台平台和用户手机客户端加载数字证书，来

30、确保用户身份的可靠性。如果用户手机丢失，则发证机构将该证书作废，则丢失手机无法使用移动办公系统。动态口令/双因素认证：平台可集成第三方高强度身份认证技术，如RSA令牌等等。认证令牌可以硬件、软件和智能卡等多种形式向用户提供。令牌在发售时已经使用唯一的128位种子初始化；内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个随机的数字作为动态密码，从而提高用户的密码强度。生物识别（如指纹）及其他高强度认证：桌面云平台可集成其他身份认证的接口，如RADIUS认证等等，可以方便地集成用户自由认证或第三方认证。数据安全管理设计数据与设备输入输出控制系统自带针对数据与外设的控制，包括如下几个方面

31、安全控制内容内容说明USB外设可针对具体USB设备的唯一ID识别号来启用或禁用该设备的使用，包括打印机、扫描仪等客户端共享文件夹可针对用户PC本地磁盘的映射数据的传输进行控制，可进行双向、只读的控制，避免非法数据带入粘贴板可针对用户的粘贴行为进行控制，包括单向、双向粘贴内容音频控制包括对扬声器、麦克风的支持控制视频播放包括对摄像头、视频流的支持控制传统端口设备包括对串口等旧有接口设备的支持控制屏幕录像审计控制可以对用户屏幕操作行为进行全屏录像，后期可以随时调阅用户的录像审计，直观展示用户的桌面行为。 病毒防控安全设计采用三级安全控制用户虚拟机采用非持久方式，用户退出桌面后自动清除用户数据之外产

32、生的临时数据，实现系统自恢复，使得病毒等没有残留的余地，保证系统的安全！控制用户数据交互通道，例如USB、磁盘映射、粘贴板等的控制，减少外部非安全数据的输入，降低病毒防控风险通过集中文件存储，在相应的文件服务器上进行统一的防病毒操作，实现高效的病毒防控网络安全访问设计本方案在网络上传输的仅是Windows操作系统的图形指令，没有其他与用户相关的文件和数据系统自身对外仅提供ssl443端口服务，实现内外网隔离，保障用户业务访问安全，数据中心所有对外流量只需443一个端口实现接入和隔离！用户访问流程设计客户端设备的支持桌面云解决方案将桌面和应用的运行全部集中到数据中心，因此对客户端要求大大降低，可

33、以使用各种接入设备和系统访问支持的终端设备操作系统： 系统名称C/SB/S (html5)PC操作系统Microsoft WindowsMac OS XLinux移动终端系统iOSAndroid用户访问流程介绍PC或瘦客户机访问流程介绍可通过PC浏览器(IE, Firefox,Chrome,Safari)访问企业的统一应用门户，输入用户名和密码：系统会根据用户的权限和分配的资源自动显示其桌面，用户可以在页面中预览之前的桌面状态，并可直接点击进入如下图，系统自动以html5方式呈现用户桌面，用户无需安装任何客户端应用。手机或Pad访问流程介绍访问流程截图访问AppStore，输入owtware下

34、载Owtware lens程序点击Owtware lens程序图标，打开程序输入用户名、密码出现用户桌面，点击桌面进入进入Windows桌面系统支持移动设备本地键盘输入，包括中文和英文系统安全设计身份安全管理设计本系统与传统桌面云方案的不同在于不依赖微软AD域，大多数传统的桌面虚拟化厂商方案几乎都必须依赖微软AD域作为认证核心节点，这对于大多数中国用户来说，他们将面临着不仅仅是用户管理的变化，包括原有的网络结构、应用环境、用户权限都要发生较大的变化，这往往导致了项目上线后各种兼容性问题。着眼中国用户IT现状，自主研发了多认证体系支持，不依赖于AD域，提供内置的用户认证模块，并支持与第三方LDA

35、P及双因素认证进行对接，充分理解中国用户的实际需求，提供开放、安全的用户认证管理平台，并高效融合在系统中，高度可靠、安全。数据安全管理设计数据与设备输入输出控制系统自带针对数据与外设的控制，包括如下几个方面安全控制内容内容说明USB外设可针对具体USB设备的唯一ID识别号来启用或禁用该设备的使用，包括打印机、扫描仪等客户端共享文件夹可针对用户PC本地磁盘的映射数据的传输进行控制，可进行双向、只读的控制，避免非法数据带入粘贴板可针对用户的粘贴行为进行控制，包括单向、双向粘贴内容音频控制包括对扬声器、麦克风的支持控制视频播放包括对摄像头、视频流的支持控制传统端口设备包括对串口等旧有接口设备的支持控

36、制打印使用审计控制可以对用户打印的文件进行XPS格式的存档，后期可以追溯用户打印的文件及文件内容。屏幕录像审计控制可以对用户屏幕操作行为进行全屏录像，后期可以随时调阅用户的录像审计，直观展示用户的桌面行为。 病毒防控安全设计采用三级安全控制用户虚拟机采用非持久方式，用户退出桌面后自动清除用户数据之外产生的临时数据，实现系统自恢复，使得病毒等没有残留的余地，保证系统的安全！控制用户数据交互通道，例如USB、磁盘映射、粘贴板等的控制，减少外部非安全数据的输入，降低病毒防控风险通过集中文件存储，在相应的文件服务器上进行统一的防病毒操作，实现高效的病毒防控桌面云方案与传统PC方案功能对比传统PC解决方

37、案iConn虚机解决方案核心数据安全防泄密较困难，容易导致企业数据泄密，尤其是研发、客户资料；操作系统运行在iConn服务器上，终端只显示数据不存储数据，确保企业数据安全；用户访问连续性终端硬件设备损坏（如硬盘），将导致用户数据的丢失；终端用户的数据存储在iConn服务器上，终端设备损坏不影响用户数据；用户数据可靠性对终端用户的数据管控力度弱 ，通常无法有效的对终端用户的数据进行归档备份；终端用户的数据集中存储，可以对终端数据进行统一的归档备份；系统部署于管理需要每台设备单独安装，耗时耗力；通常需要到本地进行安装操作；只需要在iConn服务器上操作，不需要到本地进行安装；可以把操作系统和应用程

38、序做成一个模板后进行快速发布；故障恢复（操作系统、应用程序）通常需要到现场进行操作，耗时耗力；只需要在iConn服务器上操作，方便快捷；若是虚机出现故障，马上可以在iConn服务器上重新发布；终端远程维护通常比较困难；所有终端的OS和应用程序运行在iConn服务器上，维护管理简单方便；移动办公通常仅能够支持B/S架构的应用程序；只要终端设备能够运行支持HTML5协议的浏览器，就可以进行移动办公；TCO高低桌面云方案与传统VDI方案对比领域 特性 Citrix XenDesktop 7VMware View 6华为 FusionAccess 5 终端接入 固定TC接入 不支持 不支持 支持 支持

39、 TC 802.1X认证 依赖TC自身功能 依赖TC自身功能 支持TC证书自动部署 支持TC证书自动部署 用户认证 第三方数字证书认证系统 不支持 不支持 支持，卫士通、XT、BJCA 支持无AD认证 不支持 不支持 支持 支持 AD智能卡 支持windows TC加入域的单点登录，不支持Linux TC单点登录 支持，不支持Linux TC单点登录 支持，支持Linux TC单点登录 支持，支持Linux和Windows单点登录 客户端IP认证不支持 不支持 不支持 支持动态口令认证 支持，radius/RSA SecurID协议令牌、短消息动态口令 支持，radius/RSA SecurI

40、D协议令牌支持，radius协议令牌、短消息动态口令 支持，radius协议令牌、短消息动态口令、USB加密狗国产安全软件认证 与其USBkey认证结合会存在兼容问题，（AD智能卡方式除外） 与其USBkey认证结合会存在兼容问题（AD智能卡方式除外） 兼容卫士通、鼎普、格尔等厂家，能与其USBkey认证结合 兼容国内厂家，能与其USBkey认证结合 协议安全 外设虚拟通道可控 支持支持 支持支持数据流向单项控制 支持U盘、文件共享只读 不支持 只支持终端U盘只读 支持U盘、文件共享只读 管理安全 三员分立 不支持 不支持 支持 支持 分权分域 支持 只支持分权，不支持分域 支持 支持 系统安

41、全 用户行业控制与审计 无 无 TSM软件 TSM软件 文档加密软件 无 无 DSM软件 DSM软件 用户连接可靠能力与业界对比桌面代理进程端口冲突自动切换 不支持 不支持 支持 系统自动复用通信端口，不会产生端口冲突 桌面代理软件防误删，误杀 不支持 不支持 支持 支持 进程文件保护 不支持 不支持 支持 支持 VM蓝屏自动重启 不支持 支持 支持 支持 VM注册速度 慢，依赖于WCF通信 慢 快 秒级注册，虚拟桌面开机即用无需等待 网络闪断自动重连 支持 不支持 支持 支持 网络状态自动侦测 不支持 支持 支持 支持 管理节点可靠性与业界对比管理节点冗余支持支持需要单独收费 支持支持线性扩

42、容不支持 不支持 不支持 支持无存储模式 不支持 不支持 不支持 支持管理节点内存，CPU，硬盘状态自动监控 不支持 不支持 支持 支持 业务层状态检测并进行故障自动恢复及隔离 不支持 不支持 支持 支持 时钟自动同步 不支持 不支持 支持 支持管理数据备份 不支持，依赖代理商 不支持，依赖代理商 支持 支持 审计功能屏幕录像支持，需要其他功能模块配合不支持 不支持 支持，管理平台自带，无需其他组件支持虚拟机位置功能物理分布位置可视化不支持 不支持 不支持 支持 支持为特定一组虚机完成对其访问终端的物理分布位置的可视化描述，并能够展现虚拟桌面状态并完成广播、消息发送、互动等操作分布式集群物理分

43、散不支持 不支持 支持 支持 转发代理的机制，进行分布式集群的统一管理。尽管是分散在 各地 的各个集群，总部仍然可以采用一套账号体系进行桌面授权和权限管理。这 套机制本身仍然融合在云桌面软件内部而无需额外的硬件和中间件。成功案例介绍申万宏源证券案例概述申万宏源证券股份有限公司作为国内最具实力的证券公 司之一，目前在全国17个省、直辖市和45个大中城市拥有137家营业部和8家证券服务部。作为证券市场的开拓者和领导者，某证券 公司创造了中国证券市场的一系列“第一”。为保证其市场的行业领导地位, 申万宏源证券不断尝试新技术以支持其业务的飞速增长。客户挑战申万宏源证券目前正在全国范围内部署轻型营业部计

44、划，直接向他们的客户提供账户和交易服务。员工需通过访问内部应用程序为客户进行账户管理和交易工作。因此，申万宏源证券急需一套IT解决方案来保护其数据安全、并满足其低成本快速扩张需求。客户需求提供敏捷部署。轻型营业部的增长由市场需求驱动，其从申报到正式对外营业一般只有非常短的时间。这对IT的提前部署安排带来 挑战。因此，申万宏源证券需要一个能够帮助他们快速部署和扩展， 同时可以限制前期投资成本的解决方案。确保数据安全。申万宏源证券需要一套解决方案可以控制对敏感数据和内部系统的访问，杜绝数据泄漏风险。而这套解决方案必须同 时对客户数据的真实性提供合理的保证，并有效识别客户文件和表 格。控制IT成本。

45、对传统IT系统来说，轻型营业部增加了IT的负担。在每个轻型营业部配备全职IT人员是浪费成本且不切实际的做法，但因为无法集中管理，造成总部IT人员必须随时到各个营业厅进行现 场IT支持服务。这促使申万宏源证券需要一套解决方案，令其在不产生额外费用或不为IT员工带来额外负担的情况下为轻型营业部提 供必需的支持服务。快速响应。由于客户直接使用系统进行操作，这使得提供及时的帮 助和快速的响应服务更显重要，一旦有操作问题，必须及时得到排除。因此申万宏源证券需要的IT解决方案必须可以迅速发现，确认并 解决来自任意一个轻型营业部发生的问题。复杂的网络环境。轻型营业部分散在全国各地，包括二线和三线城 市。而不

46、同的地区和不同的营业厅要面对不同的网络配置、可靠性 和速度。因此，申万宏源证券需要一个满足在不同网络环境下保持正常、统一工作状态的解决方案。高清图片。轻型营业部的主要任务之一是签署新的客户，并代表客 户进行交易。申万宏源证券提供的服务必须首先满足政府对身份认 证文件和个人信息记录等的严格法规要求。因此，申万宏源证券所需的IT解决方案必须可以提供高清晰度的画面，实时录像录音设备， 以满足法规要求。解决方案申万宏源证券评估了不同的解决方案和技术供应商，最终选择iConn作为他们的首选解决方案。iConn解决方案全面满足某证券 公司目前的IT需求。该解决方案集中管理了托管在全国各地的数据 中心的虚拟

47、桌面。轻型营业部可以通过瘦客户端远程接入被托管 的虚拟桌面，进而访问企业内部的管理应用来获取所有的IT服务。线性扩容。iConn服务器建立在先进的融合架构之上，这种融合架构充分利用单个服务器上的计算、存储和网络资源并进行池 化，将这些资源汇集成一个集中管理的资源池。这些资源池可以用 来设定、执行和连接任何规模的虚拟机。这种软件定义的设计省去 了其他架构的复杂性和成本，先进、智能地提供可靠的、可扩展的 服务。即插即用。iConn服务器由完整的软件定义的虚拟基础设施管理组件构成，只需通电连接系统即可接入私有云。结合线性扩容和 融合架构，系统可以从单一的管理后台自动发现并管理同一个集群 的任意数量的

48、服务器。iConn具备所有企业级功能，它可以自动配 置和启用如复制、故障恢复、备份、警报和报告功能。提高IT管理员 工作效率并保证系统的始终可用。NSP协议。iConn服务器使用NSP协议，允许远程客户端访问 被托管的虚拟桌面。允许管理员完全控制通过协议传输的信息，例 如文件传输可以被禁用或设置为只读，USB设备可以被设置识别可 用抑或不可用，剪贴板访问可以被设置限制或完全禁止使用。这使管理员可以允许客户通过应用程序访问敏感数据，但同时阻止数据本身被传送或存储在客户端设备、外部设备或者本地网络。远程访问。iConn服务器提供了一个独特的单端口/单协议设 计，可以对系统管理界面轻松进行远程访问和

49、管理，这样服务器可 以部署在远程数据中心，当发现问题时管理员可以在服务器端远 程接入系统进行监控并解决问题。由于轻型营业部使用瘦客户机 为客户端，较PC具有更长的使用寿命，可靠性更高，而且几乎零维 护。而瘦客户机设备上不运行的任何应用软件，这同时减少了客户 端设备的潜在问题。这些都使轻型营业部几乎无需IT人员做任何现 场故障支持。相反，一旦发现问题，管理员只需通过管理系统接入 被托管的虚机即可迅速、方便地解决。高清视频捕获与视频流。iConn系统自带的捕获功能，可以捕获客户端设备与托管虚拟桌面之间的流媒体高清视频内容。这些 视频数据被压缩，从而限制通过网络发送的数据量。不仅如此，它 还可以支持视频静态捕捉，它可以发送静止图像的实时视频采集 图像，从而适应较窄的带宽要求和最苛刻的网络环境。客户收益成本可控。由于iConn服务器的线性扩容和即插即用功能，申万宏源证券现在可以轻松地预测和控制其在建的每个轻型营业部的 IT成本。快速部署。申万宏源证券能够在几分钟内为一个轻型营业部部署IT基 础架构，再无需耗费几星期时间。这相比其他解决方案减少了95 的时间和复杂性。并可以在不到一天的时间进行服务器的容量扩 展，相较于其他解决方案减少逾60的时间。降低成本。因为提供的是软件定义的一体化解决方案，比其他的解决方案，iConn系统为申万宏源证券节省50的总体成