FusionCloud税务行业桌面云方案

1、FusionCloud税务行业桌面云方案Content2税务桌面云解决方案1行业趋势分析3客户成功案例我国税务当前发展趋势数据中心云平台安全接入 涵盖核心征管、渠道办税、外部门交换、管理决策等数据 解决“信息孤岛”问题，实现与国税、工商、公安、质监等部门的数据共享和交换 解决数据不统一、不规范、不完整的问题，提供统一公共数据接口 接入方式涵盖互联网接入、政务网接入、银联专网接入、智能设备接入等，为智能地税提供安全保障 内网设备严格集中管控，未经认证不能随意接入 通过互联网接入的终端，必须进行身份认证，经由安全通道才能访问对外发布的税务系统不需要安装臃肿的客户端软件以及办公软件 突破时空限制，随

2、时随地办公 文档保存在云端，不需要随身携带 集成了知识库，可以方便查询政策法规、办事流程等税务安全挑战场景说明 根据税务总局的规定，地税系统的建设必须遵守税务信息系统安全等级定级保护指南 当前国/地税网络虽经采取了弱点分析、权限控制、数据加密、内外网隔离、入侵检测、防火墙、防病毒等措施，但是风险依然很大，特别是地税办公访问安全挑战 完全按照等级保护的标准，进行安全部署和实施，杜绝安全隐患： 计算环境安全 通信网络安全 边界安全 安全管理计算环境安全通信网络安全边界安全安全管理病毒木马非法接入系统漏洞风险控制网络被监听数据被破解DDOS攻击非法访问病毒木马身份管理安全审计权限管理传统PC的困境信

3、息安全业务保障传统PC向员工发放消耗时间长终端故障需现场维护，时间长、效率低软硬件多种多样，桌面标准化管理困难，不堪重负传统PC磁盘易造成个人数据丢失，影响业务运行终端的安全防护、管理运维耗费大量资源，业务中断时间长，效果仍然不尽人意！资源固化硬件标准化配置，无法满足用户个性化需求硬件配置无法灵活升级硬件资源固化，空闲时无法复用，资源利用率低下数据在终端本地存储各种端口难以管控使用者行为难以约束电脑失窃导致数据丢失和信息泄露基于云计算的桌面云技术带来桌面转型价值优势本地无数据，安全可控移动办公随时随地接入简单运维一人维护1500个桌面故障快速恢复减少业务中断时间本地存储、计算和应用程序全部迁移

4、到云数据中心PC变成瘦客户机手机瘦客户机PCPad桌面转型Content2税务桌面云解决方案1行业趋势分析3客户成功案例税务桌面云解决方案逻辑架构端到端解决方案，整合优化，确保综合性能和用户体验瘦终端CT3000/CT3100CT5000CT6000虚拟机虚拟机图形处理虚拟机云操作系统FusionSphere云平台软件硬件业务管理ITA虚拟资源管理VRM统一硬件管理UHM统一管理系统FusionManagerRH2288HE9000S5500T（可选）桌面管理软件FusionAccess登录界面WI连接控制HDC用户信息DB用户侧数据中心侧网络侧桌面云网关接入交换机防火墙AD/DHCP/DNS

5、IT基础设施其他终端税务桌面云典型应用场景普通OA办公卓越体验敏捷高效（运维管理、高效交付、资源高效使用）系统全方位可靠性安全办公接入安全系统安全网络安全管理安全内外网安全上网办税大厅多业务外设支持统一管理就近接入分支机构统一管理就近接入安全接入安全办公场景接入安全，传输安全，数据安全，管理安全税务办公在云端办公OA场景业务需求个性化桌面需求桌面可快速恢复，数据不可丢失高安全要求，网络隔离方案设计独享桌面，1:1配置虚拟桌面热迁，保障业务连续性本地无数据，集中存储，集中管理，实现高安全VMVM安全存储网络服务器华为桌面云FusionAccess终端用户税务内部业务平台VM端到端逻辑隔离邮箱系统

6、公文处理档案管理资料管理会议管理内外网上网隔离：实现流量隔离和数据隔离123流量隔离业务网访问流量，用户物理桌面终端只能访问业务系统。参考互联网访问流量，参考用户只能通过虚拟桌面或虚拟应用访问互联网，参考在防火墙设置网络隔离PC机虚拟桌面的端口开放：8843/443/80端口，其它关闭虚拟桌面-AD端口开放：仅对应AD IP地址及需要访问安全目录，Kerberos认证等端口，其它关闭数据隔离通过桌面协议控制策略，确保PC机上磁盘，外设，文件上数据不能通过桌面协议传送到虚拟机上虚拟桌面访问互联网数据只能保存在本地，不能通过直接传送到物理机，需要通过桌面权限控制策略才能传送数据回物理机税务内外网隔

7、离：双网口单系统的分区接入方案优点：单系统TC、成本低。不同区域桌面云可同时连接，在TC内置操作系统任务栏中进行切换，比KVM切换更方便缺点：每次连接桌面云时，需要先选择对应区域的桌面云网关地址，略为不便办公区桌面云办公应用系统机密区桌面云机密信息隔离防火墙防火墙FusionSphereVM1VM2VM3FusionSphereVM1VM2VM3双网口TC网关1网关2IP1IP2系统管理安全管理审计管理管理角色透明加解密用户无感知USB Key支持安全删除虚拟机剩余信息全0覆写避免剩余信息泄露管理平台防护终端确保接入安全 更多防护手段日志审计三员分立剩余信息擦除 用户数据存储合法认证安全TC安

8、全办公OA场景-E2E安全防护设计用户数据加密剩余信息擦除数据安全统一管理入口管理员行为监控操作日志记录安全策略配置安全操作执行安全管理日志统一日志管理 合规审计增强接入认证域帐号指纹USB key动态口令无AD域认证安全网关国家保密局测评SSL加密传输支持BM17加密禁用存储设备禁止在TC上自行安装软件TC合法性认证用户与TC绑定虚拟桌面虚拟化防病毒虚拟桌面隔离第三方数字证书认证系统终端接入安全固定TC接入固定TC接入：通过在TC MAC地址/MAC地址组与域用户/域用户组之间建立绑定关系，实现指定域用户/域用户组成员从固定TC/TC组接入桌面。固定TC接入可以和WI任何一种认证方式同时使用

9、。应用场景：在信息安全要求高的场合，只允许特定用户从固定地点的TC登录包含敏感信息的虚拟桌面，以避免敏感信息在其它地方被查看。方式一：手工录入方式二：批量导入桌面云管理员可以通过在ITA界面开启TC绑定功能，并录入TC MAC和用户的绑定关系支持如下两种录入方式：登录体验桌面用户绑定给该用户的TC+桌面用户未绑定给该用户的TC+X被绑定到固定TC的桌面用户，只能从被绑定的TC登录WI，而无法使用其他TC登录桌面。1.登录WI时，TC会将用户名，域名，MAC地址发送桌面云系统，检查TC是否与此用户绑定2.与ITA的预存绑定信息相匹配，则允许去AD鉴权，继续登录过程，否则不允许继续登录3.成功登录

10、进入VM可信终端可信接入安全审计可信计算环境终端接入安全 USBKEY认证模式（二次登录）USBKEY认证优势USBKey属于智能卡的一种，具有硬件和PIN码双重保护机制，用户只有同时取得USB Key和PIN码，才能登录系统，安全系数非常高USBKEY移除后，自动中断虚拟桌面连接约束TC必须为CT5000和CT6000， TC的操作系统可以为Windows或Linux 可信终端可信接入安全审计可信计算环境Color ThemeCombination of three colors, main theme: company red桌面协议安全及策略控制HDP/SSL.安全接入网关虚拟桌面数据H

11、DP输出屏幕刷新和盘鼠标指令用户接入控制、数据加密传输应用虚拟化ERP & Other DBEnterprise App Server终端/外设桌面数据中心数据集中控制：终端与信息分离，桌面和数据在后台集中存储和处理，传输到终端的仅是屏幕的刷新；外设虚拟通道可控：每个虚拟通道都支持可以单独打开或关闭，如：打印控制、USB端口映射管理；数据流向单向控制：U盘只读，只能单向导入虚拟机，不能从虚拟机向U盘写入；协议传输加密：桌面协议传输默认采用AES128算法进行加密保护可信终端可信接入安全审计可信计算环境虚拟化安全隔离基础设施隔离：管理平面、存储平面、业务平面物理网络隔离。虚拟化边界隔离：通过虚拟

12、化防火墙实现数据中心的边界隔离和访问控制。提供ACL、Anti-DoS、IPsec VPN等功能。虚拟化资源隔离：虚拟机之间通过VLAN实现二层隔离，通过安全组实现三层隔离和访问控制。VM IP和MAC绑定，防止ARP欺骗攻击。Guest OS虚拟硬件虚拟机1虚拟机2计算资源统一分配模块121112221OSAppOSAppvcpu1vcpu1vcpu2vSwitchVMVMVMVMVMVMVMVMVMVMVMVM安全组1安全组2安全组3网络隔离：vSwitch支持VLAN隔离，层次化QoS控制访问控制：基于安全组配置安全策略，自动应用到各成员VM。安全策略随虚拟机动态迁移。0资源隔离：CPU

13、、内存、磁盘IO基于虚拟机进行隔离vNic安全：禁止混杂模式；MAC、IP地址禁止修改；避免欺骗攻击提供虚拟机级别的访问控制手段，避免病毒、威胁在不同租户间扩散，防止威胁蔓延智能、弹性安全防护，VM漂移、扩容无需人工配置安全策略特点：层次化的安全防护价值可信终端可信接入安全审计可信计算环境虚拟化杀毒演进建议可信终端可信接入安全审计可信计算环境用户VM无需安装防病毒代理；支持从病毒扫描范围、扫描时机、发现病毒后的处理方式等多维度组合来灵活设置防病毒策略；支持趋势科技/瑞星主流防病毒厂家的对接集成；避免了传统部署代理的防病毒方式在全盘扫描时带来的病毒风暴和业务性能损耗；无代理虚拟化杀毒安全VM用户

14、VM用户VM用户VM防病毒管理服务器共享内存接口FusionSphere主机1安全VM用户VM用户VM用户VM共享内存接口FusionSphere主机2防病毒应用部署策略集中配置发起扫描定时扫描在一个非工作时间段内随机启动，避免杀毒风暴。扫描结果缓存：使用共享的Insight Cache优化扫描，避免不同的VM扫描相同的文件。提升扫描效率、降低对用户VM的资源占用，提升用户体验。支持的产品：Symantec SEP12.01及以上。其它产品如瑞星可参照策略，360杀毒不能做到模板中。有代理桌面杀毒管理分权分域和三员分立分权分域：支持设备和业务 “分权分域管理模式”，使得管理员不能越权管理；管理

15、支持集群和跨集群授权，粒度可具体到虚拟机。三员分立: 1.系统安装时，生成系统管理员、安全管理员、安全审计员；2.系统中的不同用户相互监督、相互制约，每个管理员各司其职；举例：系统管理员创建管理员账号，此时账号处于非激活状态，需由安全管理员授与相应的操作权限，并审批后才能生效。安全管理员安全审计员系统管理员日志审计安全管理用户管理权限管理安全策略管理.系统管理虚拟机管理存储管理网络管理.超级管理员可信终端可信接入安全审计可信计算环境税务桌面云解决方案相关安全认证国家信息安全测评中心云计算安全测评报告公安部销售许可证公安三所安全检测报告华为云计算软件著作证书华为桌面云是国内唯一一家获得JFJ安全

16、测评中心B级认证资格的云计算产品JFJ测评中心安全认证普通OA办公场景卓越体验，敏捷高效，系统可靠从终端到云端的用户办公体验感受保障显示声音&视频高清制图友好界面 虚拟化性能业界最佳 虚拟桌面的密度和规模 办公体验保障 安全和效率保障高性能虚拟化平台桌面控制协议关键技术HDPMedia高保真Music压缩算法：人声优化：低延时：高采样率：关键技术 GPU硬件虚拟化32路云图形工作站/显卡百兆码率高清视频，图像智能识别技术HDP协议硬件加速压缩图像至毫秒级关键技术HDPMedia视频场景智能识别：帧率动态调整：视频数据动态自适应多媒体重定向：Flash重定向：关键技术HDPDisplay非自然图

17、像采用无损压缩：重复图像数据不传输：支持多种图像压缩算法：系统可靠敏捷高效卓越体验自动化运维管理工具资源高效利用简易安装统一运维高效办公，高效运维，高效资源利用物理、虚拟资源统一管理桌面云业务及统一故障管理简化安装包，优化安装流程一体机形态支持预安装 及快速交付软件/外设兼容性测试工具健康检查及日志收集工具连接检修工具用户体验优化工具一键式恢复工具性能收集和分析工具用户自助维护工具决策者.成本管理员.高效用户.体验管理员.高效资源复用存储精简配置移动办公虚拟桌面企业总部异地出差在家办公系统可靠敏捷高效卓越体验管理平台内容终端虚机业务可靠性虚机管理可靠性平台可靠性客户端连接保障全方位可靠性保障网

18、络网络闪断自动重连网络状态自动侦测关键部件HA资源预留应对物理故障虚拟机快照应对VM故障分支站点本地接入应对网络中断桌面协议端口协商自动切换应对应用软件冲突桌面代理软件防误删桌面代理软件防误杀VM蓝屏自动重启管理节点内存，CPU，硬盘状态自动监控业务层状态监测故障自动恢复 & 故障自动隔离分布式数据一致性检查业务容灾时钟自动同步系统可靠敏捷高效卓越体验办税大厅场景统一管控，业务连续性税务办公在云端办税大厅场景公众自助服务区柜台服务区服务等候区TV业务运行高效稳定、可靠故障可快速恢复支持自助服务支持多种外设 -简单易用 -安全防护单一业务服务视频播放流畅远端可控有限交互多媒体更好的税务大厅外设兼

19、容性桌面接入网关FusionSphereVM1VM2VM3虚拟桌面接入网络键盘、鼠标打印机PCServer二代身份证识别使用场景技术方案税务卡发卡/读卡器（又称税控盘）；USBKey/安全U盘驱动程序安装在虚拟机：客户端“不认识”设备，只是转发端口数据。客户端只是简单地将端口数据完整地映射到虚拟机中，由虚拟机的驱动程序去识别具体的设备。（蓝色实线）二代身份证读卡器网络访问远端外设：桌面终端不接设备，通过浏览器将数据加载到桌面；完全不依赖于桌面协议，数据流不需要经过桌面接入网关。（红色实线）键盘、鼠标、打印机驱动程序安装在客户端：客户端“认识”设备，并直接控制设备；可以在桌面管理系统中对设备进行

20、高级控制，比如：打印机映射可以设置打印质量、图形压缩级别、纸张、颜色、单双面。（黄色虚线）税务卡发卡/读卡器（又称税控盘）USBKey安全U盘桌面云TC本地解码虚拟机解码接入网络丰富的多媒体播放支持方案管理系统会自动选择最佳解码模式模式一：虚拟机侧解码视频在虚拟侧解码后，视频画面作为桌面的一部分，一起投射到客户端最高支持1080P视频播放器窗口越大、带宽要求越高，适合原始尺寸窗口模式播放模式二：TC侧本地解码启用重定向技术，视频重定向到本地硬解码带宽要求与播放窗口尺寸无关，可全屏流畅播放最高支持1080P视频支持DXVA重定向, 可以支持更多文件类型和视频格式关键技术内存去重压缩和复用技术，桌

21、面VM的系统盘放到内存中，重启还原初始状态全内存VDI存储。突破内存介质专用的实时在线重删技术、在线压缩技术；提供高速IO能力和高速克隆能力，提供超过300 IOPS每桌面VM磁盘读写操作，转化为内存操作，批量创建分发等管理效率大幅提升办税大厅服务自助区场景：全内存桌面方案NAS或SANVMHypervisor存储资源系统母盘(共用只读)差分盘用户盘VM用户盘VM计算资源系统母盘(压缩去重)差分盘差分盘内存资源客户价值提高批操作效率，提供系统还原能力，提升管理体验提升部署等工程效率。降低磁盘采购成本消除虚拟机对存储的IO性能瓶颈，提升用户使用体方案限制仅适用于不需要用户数据备份、不保存用户数据

22、，且有自动还原的安全需求，如政务大厅用户自助场景等办税大厅场景-业务容灾方案GSLB (global server load balancing)业务冗余容灾方案在容灾站点构建一套与生产中心相当的灾备中心 (可负荷分担)针对关键业务用户，在两个数据中心内分别为其分配桌面资源TC主动探测业务容灾方案没部署GSLB情况下，由TC上软件进行生产和灾备中心的健康检查灾难发生时，客户端软件自动切换到灾备站点客户价值保障灾难发生后的业务继续运行减少整个站点故障时业务中断时间和用户数据丢失量FusionSphereVM1VM2VMFusionSphereVM1VM2VM生产局容灾局全局负载均衡器全局负载均衡

23、器瘦客户端接入网络主AD备ADFusionSphereVM1VM2VMFusionSphereVM1VM2VM生产局容灾局瘦客户端接入网络主AD备AD容灾Agent方案限制仅适用于不需要用户数据备份、只需要业务容灾的场景，如政务大厅、热线等如果需要对虚拟机的数据盘数据进行备份，需要再增加NAS设备，通过NAS设备的远程复制功能，实现虚拟机数据盘数据备份税务分支机构场景安全接入，自动化统一管理，业务连续性政府工作在云端：分支机构场景税务专网区县局办税大厅20-40终端自动化管理Internet3G网络桌面云终端侧行政管理人员办税大厅服务人员移动行政办公人员安全增强业务数据桌面虚拟机市国税局数据中

24、心车购税办理点3-5窗口分局办税大厅10终端左右安全增强100M30M政府办公分支机构桌面云解决方案FusionCloud桌面云中心站点市分支站点县/局分支站点基层分支站点业务系统本地资源本地资源本地资源广域网分支站点支持多达255个人数50msCompactVDI人数50ms桌面云一体机(VX)人数500时延50ms桌面云 (VR/标准)业务需求市县各级政府大厅资源分散，业务能力不一致分建多机房，运维管理消耗大，资源得不到充分利用基层办公网络情况比较差方案设计总部集中大平台，资源集中，削减带宽成本；根据规模及网络状况采取远程接入或资源下放到分支，保证体验和业务连续性；统一快速部署，统一运维管

25、理；如果有专线时延50ms有足够带宽建议在市级部署中心站点桌面云采用SSLVPN加密技术，在方便接入同时，保证传输数据的安全可靠。政府远程接入挑战及解决方案县县县 数据中心县 分支机构出差办公边远村镇政务外网事业单位互联网分支机构县县县 数据中心县 分支机构出差办公边远村镇政务外网桌面云事业单位互联网分支机构华为远程接入安全解决方案政府远程接入挑战边远村镇、事业单位铺设专线成本高，周期长，但通过互联网接入安全性低，存在数据泄漏风险；出差办公人员通过互联网接入政务网络办公，数据被窃听篡改风险；解决之道SSL VPNIPSEC VPNSVNContent2税务桌面云解决方案1行业趋势分析3客户成功

26、案例提高管理维护效率，降低PC故障率及办公中断时间改造办公环境，每个用户仅使用一台终端设备同时满足内网及外网办公需求不影响用户原有使用习惯，兼容国税原有应用系统及外设业务挑战部署总共500用户桌面云系统， 其中内网300用户，外围200用户采用刀片服务器E6000和S5800T IPSAN存储，部署两套物理隔离的桌面云系统每个员工只有一套显示器、云终端和键盘鼠标，云终端通过KVM切换器进行内外网切换解决方案保护核心数据的安全，无需复杂的IT系统即可实现严格的安全管控，满足国家的合规性要求客户端零管理，病毒、误操作都不会对系统产生太大影响，有效减少由于用户桌面故障导致的业务中断工作环境更加整洁舒适，噪音小，同时启动速度更快，享受更强大的桌面性能客户收益济南国税通过桌面云畅享安全高效的云端办公“华为技术方案完整，冗余度高，可靠性强；产品过硬，统一度高；施工周密，交付服务专业规范。桌面云经多次测试及上线使用，目前已经达到预期设计目标，在提高行政办公效率，减轻运维难度，提升信息安全水平，节能减排等方面综合效益显著。”- 济南市国税局华为云成就江西省委高效政务信息化通过FusionSphere搭建虚拟化资源池，将客户新建业务系统全部部署到云平台之上，并预留扩容空间；基于虚拟化部署FusionAccess