EASTED应用虚拟化解决方案

1、北京易讯通信息技术股份有限公司虚拟应用解决方案杨科2016-5目 录1.项目概述21.1.项目背景21.2.现状分析31.3.需求分析41.3.1.项目目标41.3.2.平台功能要求52.易讯通解决方案设计62.1.应用发布72.2.资源监控72.3.平台管理72.4.集中化应用管理82.5.会话可靠性92.6.本地打印机访问102.7.无缝Windows102.8.高效传输协议，提高工作效率112.9.数据安全和存储112.10.丰富的管理模式及外设支持123.易讯通解决方案优势143.1.流畅的用户体验143.2.安全体系143.2.1.服务端安全性143.2.2.客户端安全性153.2.

2、3.数据传输安全性163.3.动态集群163.4.虚拟打印163.5.本地输入183.6.简化部署183.7.提高数据保护能力183.8.提高资源利用率193.9.安全性193.9.1.技术层面193.9.2.管理层面193.10.易管理性203.10.1.提升运维效率203.10.2.改善服务等级203.11.灵活扩展203.12.节约成本213.12.1.硬件成本213.12.2.软件部署213.12.3.软件维护224.易讯通公司简介231. 项目概述1.1. 项目背景随着业务项目的数量增加与规模扩大，与外部公司的合作日益密切，项目业务环境的管理更加复杂，针对移动办公无法实现，且安全管理

3、的要求也日益提升。为此，需要建立一个简单、易用能提供移动办公并能将安全合为一体的统一接入平台，以有效进行业务环境的规范管理，为内部员工提供移动办公的接入后访问后台多个业务系统的统一的安全接口，同时保护重要数据与代码的安全，并能对重要系统操作进行跟踪和审计。 易讯通将结合自身在虚拟化技术的优势和统一业务接入平台环境建设方面的经验，帮助用户采用虚拟化的技术实现业务系统的移动办公和统一接入平台端的集中管理维护，实现维护简单、业务系统安全的同时节省更多的能源消耗。1.2. 现状分析近年来，随着IT信息化技术不断发展和壮大，企业内部部门员工较多，集团企业在不同的地点还分设了多个办事处，管理难度加大。异地

4、办公、移动办公的需求凸现，企业迫切需要简单的部署来实现员工的移动办公，让各分公司之间的信息资源稳定、安全地互联。 办公移动性随时处理公司应用，实现4A级（任何时间、地点、人员、设备）办公。真正实现BYOD（Bring Your Own Device）。 提高审批处理效率领导或办公人员外出时，需要审批和处理的工作流程及时处理，可以通过移动网络和移动设备进行实时处理。 丰富沟通渠道：外出员工或外地分支机构可以获取公司的最新情况和业务审批的执行情况。 提高安全性： 加密传输，数据不落地。为此，我们采用易讯通Easted ThinAPP应用虚拟化产品来满足集团BYOD办公需求，通过应用虚拟化产品，实现

5、员工随时随地访问公司应用，同时保障传输数据安全。介于目前通过传统的VPN访问的模式有以下个问题：1、 数据无法集中安全的保存2、 传统的VPN访问模式，不具有用户操作审计3、 用户不能实现移动办公，即用IPAD、IPHONE等移动设备进行访问4、 用户在访问业务系统的时候，需要登录多个页面进行登录，而且需要记住每个业务系统登录密码5、 传统的VPN访问模式，不能实现按需交付用户应用6、 移动端的访问需要进行而开发，费用昂贵因此需要一套可以提供统一接入平台，并能提供数据统一存储及操作审计的平台来替代传统的VPN访问模式。1.3. 需求分析1.3.1. 项目目标通过将业务系统客户端部署到应用交付平

6、台，通过应用交付平台实现安全访问控制，同时实现最为完整的集中管理，便于全方位了了解客户端人员的行为，保障了业务应用环境服务器高效、安全可靠地运行，最终达到如下效果： 远程用户使用账户和密码结合RADIUS安全认证，通过公网访问到虚拟访问平台； 用户通过虚拟访问平台登录访问内部业务系统，虚拟访问平台可以提供按需交付业务系统； 在该过程中，虚拟访问平台和远程用户之间仅传递图片及键盘 操作信息，并且用户的所有操作都会有相应的审计； 满足对Iphone、Ipad、Android、WM、Symbian等手机 系统的支持 应用虚拟化技术：整合应用和数据，将虚拟化后的内容交付给用户，期间，只有屏幕显示，键盘

7、输入和鼠标操作等数据经过网络传输，最大化IT控制能力。 集中化桌面应用管理，同时对应用进行隔离，不会造成不同用户之间的数据干扰及系统冲突。 支持虚拟IP，支持特定应用必须有独立IP地址的 应用； 压缩管理：只能压缩经网络传输的数据，以尽可能获取最好的性能； 会话可靠性：在网络连接断开时保持工作项目的开放状态，重新连接后自动无缝恢复； 无缝Windows：在windows终端侧，集成本地和远程应用，用户可以在任务栏上选择本地和远程应用，不必了解应用所在位置； 本地打印机访问：可以选择配置仅允许使用远程打印机或配置实用本地打印机的访问能力 连接策略：提供综合策略子系统，根据用户/用户组/服务器 组

8、/ip地址和客户端名称来控制对资源的访问，实现对带宽、打印等 的细化控制； 账户验证：支持微软活动目录； 负载均衡能力：内建负载均衡能力，管理员根据用户负载、上下文切换，CPU利用 率、IP地址等来配置负载均衡规则。 可扩展性：在并发扩大的情况下，能够平滑的过渡并进行升级；1.3.2. 平台功能要求虚拟访问平台（以下简称平台）集中部署各类应用软件，用户可以通过平台以WEB的方式 同时访问多个应用（应用类型包含B/S与C/S应 用）。平台提供性能监控工具。用户可以方便地监控服务器、访问客户端、网络等全方面的使用情况。具备事件报错、告警能力。具备系统性能监控功能。具 备软硬件变更、硬件资源情况、软

9、件使用情况、以及许可管理等功能。通过性能监控工具，管理人员不仅可以追踪用户对应用软件的使用情况，提前预知系统的性能问题，并且保存数据，提供分析报表。平台要求具有良好的界面风格，可以通过灵活的系统平台进行资源管理、发布，包括对资源的添加、修改、删除等操作，以及基于资源属性（资源命 名、连接方式(例如 ldap)）等的 查询、检索。同时资源应能够按部门、类型进行树状管理。便于大量资源管理、维护时，快速检索，修改用户配置。同时在安全方面提供RADIUS认证的访问模式。2. 易讯通解决方案设计业务应用系统虚拟化交付平台采用Easted Thinapp虚拟应用服务产品，实现业务应用系统客户端的集中发布。

10、通过应用交付平台实现各专业维护工具的集中发布和管控，合法授权的访问用户通过基于Web技术的浏览器（如Internet Exploer，IE），登陆系统门户后，就可以对业务应用系统客户端进行方便、快速、安全的业务操作，实现对业务应用系统的统一使用。通过Easted Thinapp集中部署和发布应用客户端软件，整个的后台应用服务器架构没有变化，客户端可以通过Thinapp来访问集中发布的各种企业应用和业务工具。其整体构架如下图所示： 业务应用系统客户端软件安装在Thinapp服务器之上，而所有访问用户使用终端设备均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统（第一次访问时需

11、下载安装Easted Thinapp Client），多用户同时访问时，由Thinapp管理和运行应用客户端软件的多进程访问，并控制向不同用户发布的权限。Thinapp可整合现有的活动目录中的用户账户来进行用户身份认证，并可以选择结合RADIUS验证，提供更高的账户安全保护。图中的文件服务器，提供了用户的个人数据存储功能。通过使用Windows的目录权限控制，及文件夹重定向功能，可以做到用户数据的安全保存及漫游访问。通过Thinapp服务器视频审计功能，客户端的操作不仅可以被管理员实时监控，还可以进行屏幕录像并长期保存，以实现行为审计。2.1. 应用发布虚拟化业务应用访问平台将传统的应用程序管

12、理由分布式部署改变成集中部署模式，因而带来了应用访问、性能及安全等各个方面的提升。针对各客户端软件不同类型的发布方法：1) B/S应用，直接在Thinapp管理控制台上发布IE浏览器，设置访问URL地址，可以对IE 进行定制以增强其安全性（如隐藏地址栏，禁止用户访问其他地址等）。2) C/S应用如果无须安装，直接拷贝到服务器，发布其可执行文件。3) C/S应用如果需要安装，在服务器上安装后，发布其可执行文件。4) C/S应用如果需要额外安装数据库中间件等，正常情况安装后可以运行，则发布可执行程序即可。2.2. 资源监控Thinapp的性能监控工具可以方便地监控服务器、访问客户端、网络等全方面的

13、使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及许可管理等等。通过性能监控工具，管理人员不仅可以追踪用户对应用软件的使用情况，提前预知系统的性能问题，并且保存数据，以供分析和产生报表。2.3. 平台管理Easted Thinapp的应用交付平台和Windows的域控制器结合实现对用户权限的管理，访问应用交付平台的用户都在域控制器上增加、修改和删除，用户的操作系统权限是通过域控制器来实现，用户能够访问哪些应用程序通过Thinapp来授权。在部署应用交付平台时，要考虑各级用户对后台系统的访问权限，因此需要建立用户信任域关系，基于统一的域机构和信任关系，系统需要细化如下定义： 域

14、结构的细化 DC的定义和同步关系 所有服务器的统一命名 DNS服务器的同步和域名解析 用户名称和用户组的定义 依据实际需要建设组织单元对于已经建立域结构的组织，需要考虑其已有的域结构与新建域或子域的兼容和平滑迁移。2.4. 集中化应用管理传统模式应用分布在企业的所有客户端上，其安全要考虑各个环节：服务器、客户机和端到端的网络；其维护和安全管理范围需要涵盖企业的每一台终端设备和跨广域网段。因为客户端直接访问后台时，之间传输的数据是真实的企业应用数据，该数据会被缓存在用户本地或在传输中被截获，这些都是不安全因素；而用户访问Thinapp服务器时，之间传输的是屏幕增量变化信息和鼠标键盘变化信息，用户

15、端无任何应用数据缓存在本地，同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因而可以说数据总是存放在最安全的地方。Thinapp带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。对于远程用户从公网访问内网，Thinapp通过严格的用户认证进行安全权限控制。由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分，业务数据和代码的并不下载到客户端本地；数据、缓存、Cookie等等全部在中央受限的环境中控制；另外VAP协议还含有多种加密技术，保证显示界面和用户操作数据的安全传输；客户端的操作感觉虽然就像在本机操作一样，但未经权限许可，不得擅

16、自修改、备份、拷盘、打印等。通过应用发布的方式，内部员工和外部合作公司的员工只能使用本岗位的应用程序，而不能打开其他的应用软件或数据信息。2.5. 会话可靠性会话可靠性使会话在网络连接中断时保持活动状态并显示在用户的屏幕上。 用户仍然可以看到他们正在使用的应用程序，直至网络连接恢复。此功能对于使用无线连接的移动用户尤为有用。 例如，使用无线连接的用户进入铁路隧道后将暂时失去连接。 通常，会话会断开连接并从用户屏幕上消失，然后该用户必须重新连接到已断开连接的会话。会话可靠性可使会话在服务器上保持活动状态。 为指示连接已断开，用户的显示内容将冻结，且光标变成一个旋转的沙漏，直至用户到达隧道的另一端

17、后恢复连接。 用户在连接中断期间可继续访问显示内容，在网络连接恢复后可继续与应用程序交互。 会话可靠性可重新连接用户而不提示进行重新身份验证。会话可靠性超时设置的默认值为 180 秒（3 分钟）。 您可以延长通过会话可靠性使会话保持打开状态的时间长度，此功能的主要目标是为用户提供方便，因此，它不会提示用户重新进行身份验证。 但是，如果您不加思索地延长会话保持打开状态的时间长度，则可能导致用户感到不耐烦而离开客户端设备，从而使未经授权的用户有机会访问该会话。如果您不希望用户无需重新进行身份验证即可重新连接到已中断的会话，请使用客户端自动重新连接功能。 可以将Thinapp计算机策略客户端自动重新

18、连接身份验证设置配置为在用户重新连接到中断的会话时提示用户重新进行身份验证。2.6. 本地打印机访问在虚拟化业务系统的日常访问中，不可避免的需要实现客户端的打印，原有的架构中，打印通过客户端本地应用调用本地打印设备实现。通过虚拟化业务系统的建设，应用客户端集中运行在数据中心的服务器中，而打印机还将部署在用户的客户端上，因此不可避免的需要通过网络实现远程的打印数据的传输和设备调用。系统支持各种打印方式，包括客户端连接的打印机，服务器端打印机和网络打印机。同时打印管理支持：在服务器之间复制打印机驱动程序，指定所用打印机驱动程序，限制打印数据流占用带宽。简化在整个服务器群内管理和复制打印驱动程序的任

19、务。确保打印任务不会阻塞网络。通用打印机驱动程序：将对不同打印机的驱动要求统一为一种通用的打印机驱动程序，降低了对打印机驱动程序管理。2.7. 无缝Windows发布应用程序时，该应用程序的配置信息将存储在服务器场的数据存储中。 配置信息包括与应用程序关联的文件类型、可连接到应用程序的用户、优先负载平衡的重要性级别以及客户端会话属性（包括窗口大小、颜色数量、加密级别和音频设置）。交付给用户时，已发布应用程序与在客户端设备上本地运行的应用程序看起来非常相似。用户启动应用程序的方式取决于在发布向导中选择的交付选项，在快捷方式显示页面上，选择应用程序的图标，并选择应用程序在用户设备上的放置位置，如桌

20、面或者开始菜单。2.8. 高效传输协议，提高工作效率易讯通Thinapp在终端和虚拟化平台之间数据的传输，采用高效的VAP，只传输屏幕变化量，VAP协议易讯通拥有完全自主知识产权。VAP协议采用128位的SSL加密，保证数据在传输过程中的安全性。2.9. 数据安全和存储 集中统一存储Thinapp应用虚拟化将企业内所有应用软件集中部署在集团的服务器（或集群）上，根据需求给相应的部门发布应用如：行政部发布普通office办公软件、OA系统、ERP，财务部发布财务管理软件，给销售部发布CRM系统，给技术部发布VC+、Visual Studio、PCB等开发的软件。 快速应用部署通过部署应用虚拟化后

21、可以将相应的应用发布给不同地方的子公司职工。客户端通过局域网或者通过安全的VPN，使用虚拟化的应用软件，无需再额外一一安装。根据公司需求，如需新增应用系统或者进行系统升级，IT管理人员也只需要在服务器端统一安装、升级，就可以让所有用户的应用安装、升级，真正实现应用软件的一处部署、随处运行。 安全规范的办公管理集团在搭建企业自己的应用和数据中心后，能提高信息管理的安全性，机密信息仅供少数高管可用，保障企业数据的同时，简化管理工作，无需一一对员工电脑的应用和数据做限制或维护。应用虚拟化可以解决集团总公司和各分支机构的信息共享，实现协同工作，为新增的办事处或机构快速建立信息管理系统，降低企业扩张成本

22、。而且，同一软件一处部署、随处运行，能降低企业部署正版办公软件的费用。在使用应用虚拟化后，终端与服务器之间通讯不传输真实数据，只传输鼠标、键盘的点击动作和图像的矢量信息，同时对传输数据进行加密，最大限度确保传输过程的安全性。2.10. 丰富的管理模式及外设支持 定制化界面，提升企业形象易讯通Thinapp可根据用户的需求，提供Portal的定制，以提高企业的形象 灵活多样的用户管理模式通过应用虚拟化的部署可以与集团现有域控（AD）相结合，无需额外增加用户，员工只需一个账户可以登录所有权限划分的应用，同时原有的用户策略保持不变。 保护企业知识产权对集团办公资源集中管理，可有效保护企业知识产权，有

23、效避免商业机密泄露，从而保障企业知识产权和提高信息安全。 丰富的移动端支持Android、IOS、Ipad移动端APP。将提升员工的办公效率，不需在特定的办公空间内办公，允许员工们使用他们自己喜欢的设备完成工作，提高生产率，改进协作并增强移动性。因软件运行和数据存储在服务器上，如果客户端设备出现丢失也不会导致数据丢失，实现了安全、又高效的办公模式。 终端设备支持虚拟应用的客户端支持最新的的智能手机，以及其他客户端操作系统。Thinapp支持的智能手机/PDA如下： Apple iPhone/iPod Touch/iPad Android GPhone BlackBerry Window Mob

24、ile/PocketPCThinapp支持的其他客户端类型如下： Windows: 32-bit: 95, 98, NT and 2000/XP/2003/Vista 16-bit: 3.1, 3.11, WFWG CE DOS: 32-bit, 16-bit Real Mode Version Macintosh: iMAC, 68k & PowerPC Unix: HP-UX IBM AIX Solaris Sparc Solaris x86 SunOS SGI IRIX Compaq Tru64 SCO - UnixWare, OpenServer Linux: Red Hat, Cal

25、dera, SuSE, Slackware3. 易讯通解决方案优势采用应用虚拟化软件可以有效的解决我集团公司所面临的IT管理、多种办公应用及资源集中管理等问题，可以实现将集团总部、分支机构和移动办公用户等所需的应用与资源集中到集团自己的服务器上，同时，数据的集中存放，能有效进行IT管理和运维，保证企业信息安全。应用虚拟化部署后具体功能特点如下：3.1. 流畅的用户体验EASTEDThinAPP应用虚拟化平台，终端用户访问应用程序时，只需要不到50Kbps的带宽支持，在支持100名并发用户过程中，数据中心只占有不到5Mbps的公网带宽即可，用户在访问的过程中，相当于访问本地已安装的软件，使用过程

26、流畅无延迟。3.2. 安全体系3.2.1. 服务端安全性服务端安全又细分为服务系统安全性和服务应用安全性2个部分。3.2.1.1. 服务系统安全服务系统的安全性是指EASTED ThinApp应用虚拟化系统平台中的各个服务系统，为保障系统自身的运行安全，而作的特殊操作或处理。系统中只有WEB服务（Apache + PHP）和数据库服务（Firebird）使用了第三方的服务系统，其它服务均为自行开发。为最大减少由于第三方系统的安全漏洞导致本系统安全性降低的风险，第三方的系统经过裁减，把功能和服务减少到仅仅满足本系统应用的最低要求。u PHP代码对用户输入作了防SQL注入处理。u 网页使用Ajax

27、技术，在客户端浏览器中动态生成。u 数据库严格使用数据库安全技术，对角色、用户的数据访问做了特殊处理。u 自行开发的服务系统使用可执行文件DNA校验技术，防止恶意篡改，并在运行中监控进程，防止代码注入。3.2.1.2. 服务应用安全服务应用的安全性是指EASTED THINAPP应用虚拟化系统平台为保证用户应用在授权下正常运行而使用的安全措施。分为2个方面：事前措施为安全策略，事后措施为安全日志。通过安全策略的相互搭配使用，最终可以控制用户在预期的时间使用预期的设备以预期的权限使用预期的应用程序，同时以日志方式展现给管理员。系统为保障用户应用安全，做了多方面的安全策略，这些策略理论上可以无限组

28、合，作出非常复杂的安全策略。在实际使用中，用户应该根据企业管理情况灵活运用。以下策略的具体使用可参考用户操作手册。u 访问控制策略：通过对客户端的机器名称，MAC地址，机器特征码，IP地址等信息的过滤，来控制用户在固定的地点或计算机上使用EASTED ThinApp应用虚拟化系统。u 访问安全策略：以Windows组策略为基础，灵活控制用户在使用应用程序时的权限，例如：隐藏服务器磁盘，禁止使用某个应用等。u 访问时间策略：以时间为判据，控制用户在固定的时间内使用EASTED ThinApp应用虚拟化系统中发布的应用。u 应用配置策略：控制客户端设备在服务端的映射，可根据不同的应用及不同的安全需

29、求灵活控制使用不同的客户端设备。u 用户密码策略：可根据不同用户的安全需求，灵活设置用户密码的复杂度，更改周期，及历史密码重复次数，最大程度地保证用户密码的安全。u 安全日志：EASTED ThinApp应用虚拟化系统可为用户提供所有用户及网络访问活动监控，可记录所有用户的全部访问与应用事件信息，可通过用户日志，应用日志，服务器报警日志等多角度去监控与管理整个系统的应用安全状态，做到可记录、可追溯、动态报警的安全管理，从而帮助系统管理员及时发现及解决安全应用问题。3.2.2. 客户端安全性客户端安全性是指保障用户应用的安全，主要针对登录过程。EASTED ThinAPP应用虚拟化系统支持多种登

30、录模式，可在服务端控制当前系统使用何种模式，某些模式可能需要定制开发接口。图形验证码：在使用标准的用户名/密码登录模式下，通过服务端随机生成的图形验证码，来防止入侵者通过穷举法暴力破解密码。UsbKey认证：通过硬件芯片内置算法将用户密码用随机数加密后，将加密结果和随机数一起传送到服务端，服务端通过其提供的组件校验密码，即使在密码传输过程中被截获，因其是以随机数为加密因子，故在下次登录时也不能使用。动态密码认证：由动态密码卡生成在一定时间内有效的动态密码，传送到服务端验证，由于动态密码的实效性，即使在密码传输过程中被截获，在一定时间后该密码也将实效。3.2.3. 数据传输安全性客户端与服务端通

31、讯不传输真实数据，只传输基于SSL加密的鼠标、键盘指令及图像的矢量信息。即使这些数据被截获，解密也需要巨大的计算成本；即使被解密了，要想从图像的矢量信息中还原出用户的实际数据也基本上不太可能。3.3. 动态集群EASTED ThinApp应用虚拟化系统可以以应用程序为单位，根据对应服务器上的综合负载信息包括CPU、内存、硬盘及网络等服务器资源的综合使用情况实现负载均衡。在EASTED 服务器集群中，各个应用服务器的资源监控子系统定时将当前负载信息汇报给服务主控子系统，当用户发出应用程序访问请求时，服务主控子系统根据负载均衡策略，把合适的服务器信息发送给客户端，使得客户端能够访问最空闲的服务器上

32、的应用程序。在EASTED服务器集群中，所有的服务器都部署了服务主控子系统，但在同一时刻只有一个服务主控子系统在运行，各个服务主控子系统采用了竞选机制来选择集群控制器，以避免由于集群控制器所在的服务器失效而导致的负载均衡无法正常工作的现象。3.4. 虚拟打印在传统的远程接入环境中，当应用程序在服务器端运行时，如果用户需要打印文档到本地连接的打印机上时，一般有两种处理方法：原生打印驱动和通用打印驱动。原生打印驱动是指在服务端安装客户端使用的打印驱动，当用户提出打印需求时，调用服务端的Spooler服务，使用服务端安装的驱动程序生成EMF文档传送到客户端，再由客户端的Spooler服务调用本地安装

33、的驱动程序打印EMF文档，这种方案的优点是打印效果等同于客户端本地打印的效果，但是也有很多的问题：u 原生打印要求服务器端安装所有客户端需要使用的打印驱动程序，这将消耗服务器端的大量资源，而且在实际应用中不太现实；u EMF文档会占用服务端大量的磁盘空间，在通过网络传送到客户端时，会占用大量的网络带宽；u EMF文件和驱动程序对应，只能在特定的打印机上打印，兼容性较差；u 多用户调用服务端Spooler服务时易死锁，当一个用户的打印作业没有响应时，所有的打印作业都将停止；u 多用户调用服务端Spooler服务时易窜打，因为传统的打印机映射是基于用户的，当多人使用同一用户帐号执行打印时，经常会把

34、文档打印到其他用户的打印机上，这种现象在Power Users等特权用户组成员打印时发生的机率更高。 为了解决这些问题，有些远程接入厂商尝试使用通用打印驱动，在服务端不再安装客户端使用的打印驱动，而是使用兼容性高的通用打印驱动，如用HP 6L驱动程序来代替原生打印驱动，使用通用打印驱动生成EMF文档传送给客户端，此方案解决了部分兼容性和服务器端无需安装大量驱动的问题，但是对于原生驱动打印的EMF文件占用大量磁盘空间和网络带宽、Spooler服务易死锁及易窜打的现象没有解决，同时还产生了新的缺点：打印质量差，特别容易出现打印错位、字体出错的现象，而且由于通用驱动的缺点，不能使用打印机提供的其他特

35、性，如不能支持有些打印机设备的高dpi设置。为了解决上述问题，EASTED中采用了虚拟打印技术，在服务器端不再安装原生打印驱动或通用驱动，而是安装虚拟打印机，虚拟打印机在用户提交打印作业时，将虚拟打印机的打印设置与客户端的打印设置一致化，再把打印的文档生成GPF文件，并传送到客户端打印，其优点如下：u 不要求服务端安装大量打印机驱动程序；u GPF文件可以直接打印，不存在兼容性问题，打印质量好，打印结果等同于客户端本地打印结果；u 无需产生和传送EMF文件，生成的GPF文件大小仅为EMF文件的1/5，节约网络带宽；u GPF文档生成在内存中，不再像EMF文件一样占用服务器硬盘空间；u 虚拟打印

36、机与会话关联，解决了多人使用同一帐户打印易死锁、易窜打的问题。3.5. 本地输入在传统的远程接入环境中，如果用户需要输入中文，只能使用服务端安装的输入法。由于用户有着不同的输入习惯，需要管理员在服务端安装大量的输入法。输入法字库属于文字型数据库，检索较慢，当多个用户使用服务器端的输入法时，会导致响应慢，同时增加服务端的压力。在输入法习惯保留方面，由于同一输入法会有多用户使用，用户的输入习惯无法在服务器上得到很好的保留。同时服务端输入法也不支持手写和语音等高级输入法。本系统支持使用客户端输入法进行文字输入。用户在输入文字时，使用本地输入法录入文字，由VAP协议把输入文字的编码传送到服务端，再在服

37、务端进行解码显示，有效解决了服务端输入法响应慢的问题，同时还可以保留客户端的输入法习惯，更无须在服务端安装大量的输入法。由于文字输入工作完全在本地进行，即使是手写、语音等输入方法都可以继续使用。由于采用了独特的编码、解码技术，可以实现不同文字类型的自动切换，如繁简字的切换等。3.6. 简化部署借助于模板，管理员只需几分钟的时间即可部署出新的、与硬件无关的标准化办公软件环境，并且可在部署过程中使用更多的自动化操作。3.7. 提高数据保护能力管理员可采用现有的数据中心备份系统对核心办公文档进行备份。虚拟机的硬件无关性大幅度简化了应用办公软件和文件的恢复。而且所有数据都驻留在数据中心，这样数据安全保

38、障也得到了简化。3.8. 提高资源利用率通过在一台服务器上运行多个桌面环境，客户可有效地实现硬件资源的归集共享，并且可灵活地实现计算资源的重用以及桌面环境计算资源的动态分配。3.9. 安全性EASTED ThinApp应用虚拟化平台在提高应用安全性的保障上分为2个层面：技术层面和管理层面。3.9.1. 技术层面由于企业管理信息系统的客户端部署在企业职员的个人计算机上，而个人计算机的安全水平取决于企业职员的计算机安全常识和安全意识。在病毒软件、木马软件和流氓软件肆虐的今天，企业职员一方面要使用管理信息系统处理业务问题，还要处理计算机本身的问题，以便管理信息系统能够正常使用，还要防止企业的商业机密

39、不被非法获取，这些问题使得企业职员力不从心，还降低了企业对人力资源的投入产出比。使用应用虚拟化技术后，企业管理信息系统的服务端和客户端等应用软件都集中部署在服务器上，服务器都是由专业的IT人员进行维护，其被病毒软件、木马软件或流氓软件感染的几率比个人计算机小很多；而企业职员的个人计算机只安装操作系统和应用虚拟化客户端，即使系统被病毒软件、木马软件或流氓软件感染，只要应用虚拟化客户端能够使用，就可以使用所有被虚拟化的应用软件。当然，最好使用快速恢复工具恢复到系统的原始安装状态，由于只安装操作系统和应用虚拟化客户端，所以恢复效率和恢复后的可用性大大提高。3.9.2. 管理层面由于企业管理信息系统的

40、客户端广泛散布于企业职员的个人计算机上，职员可以随意导出、复制、打印管理信息系统中的信息，造成信息管理的安全隐患。虽然可以通过管理信息系统中的权限功能加以避免，但对于拥有权限的人由于工作疏忽，将包含重要信息的文件遗留在个人计算机上的安全漏洞也无能为力。使用应用虚拟化技术后，企业管理信息系统的服务端和客户端等应用软件都集中部署在服务器上，从管理信息系统中导出和复制的文件都保留在服务器上，而打印也可以通过制定安全策略重定向到固定的打印机上，杜绝恶意的或无意的企业信息泄露事故。除此之外，还可以通过记录和回放用户操作过程来调查、取证恶意操作行为。3.10. 易管理性EASTED ThinApp应用虚拟

41、化平台易于管理主要体现在两个方面：提升运维效率和改善服务等级。3.10.1. 提升运维效率由于虚拟机都是基于文件特性的，其标准化的作业环境和改进的安全特性，使得维护工作更加简单和高效；而在添加、移动、变更、预制和重置等服务器管理方面也有极强的灵活性，能够快速部署新的系统来满足商业运行的需要；通过零宕机硬件维护和升级，包括热添加、热插拔和热扩展，更有效的适应动态商业的需求。3.10.2. 改善服务等级通过零宕机维护， IT基础应用将变得更强壮，提高灾难抵御能力；而在灾难状态下，避免系统和备份代理的安装，用虚拟机模板来缩短恢复周期。3.11. 灵活扩展通过整合空闲服务器和存储资源， IT部门可以为

42、新项目快速重新部署这些资源，使IT基础构架能实现按需动态预制。由于EASTED ThinApp应用虚拟化平台将应用计算集中在服务端，对应用终端的计算能力需求很小，仅仅是处理输入和输出。所以一些硬件计算能力较差的瘦客户端，如终端机、移动电话等也可以使用较重型的应用软件。3.12. 节约成本EASTED ThinApp应用虚拟化平台能从硬件成本、运行成本和知识成本3个方面降低IT系统的总体拥有成本（TCO）。应用虚拟化则能在企业的应用实施阶段（软件购买、软件部署和软件维护）节约成本。3.12.1. 硬件成本首先，由于提高了硬件的资源利用率，可以使用更少或更便宜的硬件满足当前业务应用系统的计算需求，

43、而且还能够保护原有的硬件投资，而不需担心其兼容性、维护、升级等一系列问题。其次，IT系统都有较高的冗余，以满足业务高峰时的服务性能或关键业务的服务连续性，服务器虚拟化通过空闲系统资源的整合，IT管理员能在运行重要应用的实体机和同等配置的虚拟机上创建集群。在待机状态下，虚拟机并不消耗计算资源，并且能以非常高的比例整合到一个或几个实体平台上去。在实现相同高可用性的前提条件下，冗余的方式将由对称模式中的“2N”变为“N+1”即可。研究报告显示，EASTED ThinApp应用虚拟化平台能够减少2853的硬件成本。3.12.2. 软件部署对于基于客户端/服务器(C/S)架构体系的应用软件，必须在每个使

44、用此应用软件的员工的个人计算机上安装应用软件的客户端。如果有100名员工要使用此应用软件，意味着必须要在100台个人计算机上，一共安装100遍此应用软件的客户端，如果软件升级，也必须要在100台个人计算机上，再一共运行100遍升级程序。这样的部署工作费时费力。使用EASTED ThinApp应用虚拟化平台后，基于客户端/服务器(C/S)架构体系的应用软件都只在服务器上安装一遍，则所有安装过EASTED ThinApp应用虚拟化平台客户端的个人计算机就都可以使用此应用软件，升级一遍服务器上的应用软件，就相当于所有的客户端都升级。这样的部署方式随着客户应用数量的增多，其优势和节省的成本愈发明显。3

45、.12.3. 软件维护显然，维护1台服务器上的应用软件比维护100台个人计算机上应用软件，所消耗的人力资源成本少得多。而100台个人计算机上，由于只安装操作系统和EASTED ThinApp应用虚拟化平台客户端，完全可以由具备基础计算机常识的员工代劳，维护成本几乎为零。易讯通科技专注于虚拟化领域的产品研发、设计、咨询以及实施。提供拥有自主知识产权的端到端（服务器虚拟化、桌面虚拟化、应用虚拟化）产品解决方案。易讯通科技以服务为主，通过自主研发的产品帮助企业进行IT计算资源整合，实现虚拟化基础架构，同时免费提供数据备份、迁移服务，免费帮助虚拟化环境升级扩展。 提供API开发接口，协助企业进行特定功能的定制开发。易讯通为客户提供最高性价比的虚拟化产品解决方案。具有更加灵活、最贴近用户需求的系统化、经过验证的营销模式和实施方法，有效降低运营和实施