快快看电影网

Information 快快看电影网
重庆博斯特信息技术有限公司

政务应用程序虚拟化解决方案

l   项目简介

      为实现电子政务外网建设中,针对政务外网业务安全发布、安全管理等需求,实现针对政务外网和互联网的安全、便捷访问,保证政务外网数据和文件的安全性,防范数据和文件外泄。

l   项目方案

     整体方案拓扑设计如下:

图片 1.png

  通过部署虚拟桌面应用交付平台,实现针对业务系统的安全发布。整体虚拟桌面应用交付平台包含虚拟桌面应用交付系统软件、虚拟桌面应用交付与VPN系统网关、Web应用防护系统、虚拟桌面应用安全网关、虚拟桌面应用资源池。实现针对虚拟桌面应用交付平台的完整方案交付。

(1)虚拟桌面应用交付系统软件:虚拟桌面应用交付系统软件用户授权。实现低成本、安全、可靠的虚拟桌面应用交付。

(2)虚拟桌面应用交付与VPN系统网关:实现针对虚拟桌面应用的用户权限管理和虚拟桌面应用交付系统的资源分配和管理。实现不同虚拟桌面应用的配置管理,针对不同虚拟桌面应用资源池的管理。针对虚拟桌面应用交付平台的传输加密,实现针对公网传输访问环境下的数据加密。保障传输的安全性。

(3)Web应用防护系统:针对虚拟桌面应用交付平台,深入应用数据内容层面的全面透析防护,为用户可视化地呈现应用业务面临的攻击与潜在威胁,对应用威胁持续检测,构建web应用防护能力。

(4)虚拟桌面应用安全网关:实现针对虚拟桌面应用交付平台的四到七层防护,保障虚拟桌面应用交付平台的安全性。

(5)虚拟桌面应用资源池:基于虚拟化桌面应用平台构建虚拟桌面应用的交付底层,实现针对虚拟桌面应用计算和存储资源的分配、管理和高可用性。

虚拟桌面应用交付解决方案、

   虚拟桌面应用交付

图片 2.png

1、方案设计架构

PC+虚拟桌面应用交付软件

图片 3.png

  架构说明:需要一台PC,本机安装Windows操作系统作传统一般业务办公使用可访问外网,在本机启动虚拟桌面应用交付软件,可由软件客户端来访问电子政务等业务系统,并设定本机上的内外网数据不能交互,针对某些特定用户也可以设定内外网数据能够交互。

  操作流程:(给每个用户分配单独的用户名和密码)

  第一次登录:打开浏览器,输入虚拟桌面应用交付平台地址,输入账号和密码。(账号和密码设置用户名称和初始密码123456,要求用户首次登录必需修改密码)

图片 4.png

   输入成功后,浏览器会自动安装控件。

图片 5.png

  下载成功后,即可打开应用   

图片 6.png

第二次登录

  桌面会自动生成客户端,双击客户端即可达登录页面,登录页面会自动保存VDC地址,无需重复输入。

  输入用户名和密码即可登录

  用户名和密码可以在虚拟桌面应用交付控制台配置是否允许记住密码/自动登录。

2 权限分级管理

  针对于政务网不同级别的管理员和角色,可以采用授予不同的管辖权限范围,并保存操作日志。支持分级管理权限,包括上级管理员有权操作下级管理员的配置行为,相反则无权;支持上级单位的管理员将虚拟桌面应用交付资源授权给下级单位的管理员。

3   具体技术实现

(1)应用体系架构图

图片 7.png

  本方案涉及到的产品组件包括用户终端、虚拟桌面应用交付平台控制器、虚拟化软件、计算一体机及存储设备,用户采用传统PC利旧的方式访问虚拟桌面应用交付控制器地址,登录成功后,虚拟桌面应用交付平台会根据需要从后端虚拟化平台中分配和启动虚拟机,然后以图像的方式传送PC应用,这样用户就可以访问到电子政务等业务系统。

  本方案采用现有PC利旧的应该访问方式:

  可以有效利用现有PC,通过在PC上使用虚拟桌面应用交付平台,实现对虚拟桌面应用交付和业务系统的访问。最大程度利旧,节约PC更换成本。

  两种使用模式:

      PC本地桌面和虚拟桌面应用交付共用,比如本地桌面用于上网业务、虚拟桌面应用交付用于办公业务,实现业务安全隔离;

  开机直接跳转到虚拟桌面应用交付使用,不进入本地桌面,上网及办公业务都在虚拟桌面应用交付上完成,IT人员只需要集中管控虚拟桌面应用交付即可,本地桌面无需管理,节省工作量。

PAD/智能手机随时接入

可以采用基于ios和Android系统的平板电脑、智能手机,通过在appstore或安卓商城下载easyconnect客户端,即可实现对虚拟桌面应用交付的访问,实现移动化业务办公。

(2)服务器架构设计方案

部署方案

图片 8.png

    本项目采用虚拟桌面应用交付一体机,每台服务器预装服务器虚拟化和存储虚拟化软件,实现开机即用,不需要复杂的安装调试。

    部署时,将所有主机加入集群,形成统一资源池,方便资源分配及调用,以及实现集群主机的集中化管理、监控。

服务器集群设计方案

图片 9.png

  如图所示,IT人员只需要将主机选中并加入集群,即可快速完成HA架构配置,非常简单。这样,无论是计划外停机或者服务器出现故障,此架构都能提供最高级别的虚拟桌面应用交付服务可用性。

服务器集群架构无需第三方软件,通过服务器虚拟化平台内置的HA功能特性实现集群主机互为监控,一旦检测到服务器故障之后,自动在集群内的其他正常主机重启虚拟机,保证虚拟桌面应用交付业务正常运行。另外,如果某台虚拟桌面应用交付一体机需要维护,在无需中断服务的情况下,可将一体机之上的虚拟机迁移至其他服务器,管理员可以快速、完整地执行运维工作。

HA工作原理

      HA技术可以持续监控集群内的虚拟桌面应用交付一体机和虚拟机,一旦出现故障可快速恢复。恢复时,还会自动选择资源池中最佳的服务器来激活虚拟机,实现资源负载均衡。

  只要将主机加入集群,HA技术会时刻监控各主机是否有足够可用的资源以及服务器、虚拟机的状态,以便在发生故障时能快速在正常服务器上进行激活。由于所有的虚拟机镜像文件统一存放在共享存储或虚拟存储中,所以使得虚拟机在其他服务器能够快速重启。

功能概览

统一资源管理

  无需部署集中管理平台,通过Web方式接入集群控制台,实现对所有主机统一管理。

  支持虚拟机远程运维,无需安装任何插件,即可接入虚拟机操作系统界面,实现虚拟桌面应用交付管理。

支持模板克隆技术,IT管理员只需创建标准虚拟桌面应用交付模板,即可快速派生出N多个虚拟桌面应用交付系统,极大缩短虚拟桌面应用交付系统上线周期。

性化优化

  支持内存或SSD缓存技术,能够对重复硬盘数据进行IO加速,提升虚拟桌面应用交付启动速度和运行效率。

  支持内存页合并技术,能够有效消除多个虚拟机运行过程中重复只读内存数据,以节省内存使用,提升服务器部署密度。

备份与恢复

    支持快照技术,当系统故障时可实现故障回滚;同时支持增量保存快照数据,以节省存储空间。

    支持虚拟机集中备份与恢复,可按需选择多个虚拟机或全部虚拟机备份至外置服务器,并可设置备份策略,实现自动化备份。

存储架构设计方案

分布式虚拟存储架构

图片 10.png

  本方案建设采用分布式虚拟存储架构,将内部员工与电子政务等业务系统交互的数据艳情放在服务器端的磁盘上面,通过虚拟存储架构它可以将服务器直连硬盘整合起来,形成存储资源池(相当于一台独立存储设备),从而为虚拟桌面应用交付平台提供经济高效的存储服务,并且效果与独立存储一样。

  分布式虚拟存储主要通过磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘资源,最终提供统一存储空间用于虚拟机的保存、管理和读写。这样,在无需共享存储的情况下,依然可以实现虚机迁移及故障切换,不仅节省存储购买成本,而且利用分布式技术架构进一步确保数据的高可用性。

磁盘设计方案

  多副本数据存储机制

图片 11.png

  分布式虚拟存储架构采用多副本数据存储机制,以避免数据丢失风险。副本技术通过在多主机或多磁盘同时存储数据(即同一虚机文件在多台服务器并存),当主机或磁盘故障后,可以从其他磁盘的副本信息快速恢复数据。

  目前支持1~3份副本(跨主机存储),1副本,数据只保存1份,不具有容错能力;2副本,数据保存2份,能够容忍1个磁盘或者1台主机故障而虚拟桌面应用交付业务不受影响;3副本,数据保存3份,可以容忍2个磁盘或者2台主机故障而虚拟桌面应用交付业务不受影响。当采用2副本或者3副本时,如果某主机发生了故障,运行在该主机上的虚拟机会自动在其他主机上重启,这样可以保证用户虚拟桌面应用交付继续正常使用。

  由于副本数会影响到实际可用的硬盘空间,为了确保数据不丢失,并最大化可利用的空间,本项目采用双副本机制,即同一虚机文件在2台服务器有副本信息(相当于跨主机RAID1),这样可以确保集群内其中一台服务器宕机后,数据不丢失,虚拟桌面应用交付业务可以迁移到其他主机上继续使用。

(3)SSD+HDD磁盘混合设计

图片 12.png

  本方案建设采用SSD+HDD磁盘混合方案,包括1块SSD硬盘和多块SATA/SAS硬盘,其中SSD的IO性能较高,作为缓存盘,用于缓存用户经常访问的热点数据;机械硬盘的IO性能较低,作为数据盘,用于存储用户虚拟机和个人数据。目前,虚拟桌面应用交付一体机的缓存命中率高于60%,这样就可以实现以较低成本获得非常高的IO性能,保障云一体机用户体验。

功能概览

  基于高度可用的设计架构,其冗余机制可存储多个数据副本,从而确保磁盘、服务器的故障,不会影响虚拟桌面应用交付和数据可用性。

  支持SSD+机械硬盘混合设计模式,SSD用于缓存虚拟桌面应用交付热点数据,机械硬盘用于存储个人数据,为了保证使用效果,要求SSD缓存命中率不低于60%,以提升虚拟桌面应用交付IO性能,让用户获得最优用户体验。

为满足虚拟桌面应用交付扩容需求,要求支持无缝扩展技术,当工作负载变化或性能扩展时,只需将服务器加入集群,即可动态调整资源以实现负载均衡,让扩容更为轻松方便。

虚拟桌面应用交付平台安全性设计

      IT系统对安全性要求越来越高,虚拟桌面应用交付平台各环节要求体现安全控制的理念。因此,需要通过良好的安全控制手段,来保证正常本地业务运行,并规避安全风险。本项目采用的安全措施包括:传输协议安全加密、身份认证权限管理、区域安全隔离、业务数据加密存储。

传输协议安全加密

  员工利用虚拟桌面应用交付平台进行日常办公,瘦终端通过专有虚拟交付协议连接到数据中心,传输协议承载了图像传输、身份认证等关键信息,本方案采用SRAP通信协议,此协议仅传输客户端图像变化和鼠标、键盘等操作数据,本身并不直接传输应用数据,避免了数据在终端驻留泄露的可能性。

另外,为进一步提升传输安全性,传输协议采用SSL加密手段,保证所有信息都在安全通道内传输。

身份认证权限分级管理

  为了建立针对用户的访问权限,实现细粒度的管理平台策略,需要建立用户身份认证平台,建立统一的用户身份认证将给虚拟桌面应用交付平台的统一管理提供更高的安全性和便捷性。

  虚拟桌面应用交付平台可以通过本地数据库或基于LDAP实现平台的统一身份认证、权限分配和策略发布。并且具备良好的密码管理策略,可强制密码长度、密码生存期、密码更改最短有效期、密码复杂性要求、帐号锁定等各种密码安全策略,确保用户密码的安全性。

  此外,如果需要更高安全性,平台可同时支持使用U-key认证、短信认证、动态令牌、硬件特征码等多因子身份认证技术实现更加安全的身份认证。活动目录的规划与管理需考虑用户的组织架构和平台的管理需要,因此有必要针对平台的需求,统一规划活动目录的结构,创建不同的对象满足用户管理和平台授权维护的需要,并实现分级的策略化管理。

区域安全隔离

    单位内各部门都存在各自的业务系统、应用软件,而虚拟桌面应用交付平台将为会不同的业务部门提供服务,部门之间的业务信息以及数据信息都需要隔离保护,因此采用区域隔离技术,不同部门的业务应用可以根据不同的VLAN进行虚拟环境的网络逻辑隔离,保证员工访问的安全性。

业务数据加密存储

虚拟桌面应用交付平台上存放着各种业务数据,虚拟桌面应用交付平台将数据集中化存储,一旦平台受攻击,或者被恶意破坏,则面临较大的数据丢失和泄密风险。因此,需要对个人盘业务数据采用加密存储手段,以确保数据安全性。

(4)全网安全感知系统

全网业务资产可视化

     主动识别资产:通过安全检测探针可主动识别业务系统下属的所有业务资产,可主动发现新增资产,实现全网业务资产的有效识别;

     资产暴露面可视化:将已识别的资产进行安全评估,将资产的配置信息与暴露面进行呈现,包括开放的端口、可登录的web后台等。

全网业务访问关系可视化

     业务系统访问关系:通过访问关系学习展示用户、业务系统、互联网之间访问关系,通过颜色区分不同危险等级用户、业务系统,可视化的呈现以识别非法的访问;

     业务系统应用及流量可视化:业务系统的应用、流量、会话数进行可视化的呈现,并提供流量趋势分析。

内部攻击可视化

内部横向攻击行为检测:对越过边界防护,或以内部主机为跳板的横向攻击,进行实时检测与报警,包括对内扫描、对内利用漏洞进行病毒传播、对内进行L2-7的攻击行为等。

违规操作可视化

违规访问行为检测:结合全网的资产及访问关系可视,将违规访问业务系统的行为进行可视化的呈现,防止进一步可能存在的攻击,并向管理员预警。

异常行为可视化

     业务资产异常行为检测:包括业务资产在非正常时间主动发起的请求、业务主动向外发起非正常请求(如DNS请求)等异常行为预警可能存在的安全威胁;

     潜在风险的访问路径:将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端/服务器的访问路径进行预警,帮助管理员及时响应安全事件并进行安全策略调整。

全网安全态势感知

     整体安全态势:结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价,以业务系统的视角进行呈现,可有效的把握整体安全态势进行安全决策分析;

     全网态势感知:展示内网服务器被外网攻击的实时动态图,实现全网安全攻击态势大屏展示;

有效的攻击事件:通过旁路镜像的方式可将攻击回包状态进行完整的检测,结合业务系统的漏洞信息,可以识别攻击成功的有效安全事件;

     失陷业务系统/资产:通过外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击,并将资产存在的后门进行检测,并向管理员告知已失陷的安全事件;

     安全事件关联分析:将下一代防火墙及安全检测探针的安全事件进行关联分析,结合黑客攻击链进行关联分析,并确定更加高级的安全威胁。

基础部署清单

     针对政务外网和互联网安全建设的需求。建设基础部署清单如下:

序号

名称

介绍

数量

1

虚拟桌面应用交付系统软件

实现低成本、安全、可靠的虚拟桌面应用交付。

N

2

虚拟桌面应用交付与VPN系统网关

提供虚拟桌面应用用户认证管理、虚拟桌面应用资源访问控制、虚拟桌面应用创建及启动、虚拟桌面应用监控等功能。对虚拟桌面应用交付平台的传输加密,实现针对公网传输访问环境下的数据加密,保障传输的安全性。

2

3

Web应用防护系统

深入应用数据内容层面的全面透析防护,为用户可视化地呈现应用业务面临的攻击与潜在威胁,对应用威胁持续检测,构建web应用防护能力;

2

4

虚拟桌面应用安全网关

针对虚拟桌面应用交付平台提供二到七层整体应用安全防护,实现可视化平台的安全态势感知、易用的应用安全管理和应用安全智能防护等,提供基于全攻击链的持续应用防护;

2

5

虚拟桌面应用资源池

基于虚拟化桌面应用平台构建虚拟桌面应用的交付底层,实现针对虚拟桌面应用计算和存储资源的分配、管理和高可用性。

10

       采用VDC进行集群模式部署,进行虚拟桌面应用交付平台的建设,实现用户权限管理、用户分组管理、VPN系统安全接入。

  通过部署虚拟化aServer一体机实现桌面应用虚拟化功能,打造虚拟桌面应用资源池,同时实现针对虚拟化应用交付平台的虚拟应用安全网关系统进行应用级安全防护。

方案价值

1、简单易用的方案交付:通过虚拟桌面应用交付平台,通过在传统PC简单的安装VDI客户端进行调用虚拟桌面应用,这个接入过程快速高效。保障用户良好的使用体验。

2、管理的便捷性:针对虚拟化平台可实现针对桌面应用的统一更新和安装。管理过程中可实现模板机制,实现基于模板的虚拟桌面应用快新。减轻运维压力。

3、终端及传输的安全性:实现政务外网与互联网隔离,保障用户在访问政务外网时,无法将文件进行本地存储,所有访问的数据均存储到虚拟桌面中,实现在用户端访问政务外网和互联网的过程中完全隔离,保障数据的安全性。同时在传输过程中,采用专业VPN加密技术,可以实现在传输链路中的传输加密,同时可以实现针对用户接入的多种认证方式组合,保证用户在接入党政外网时的身份认证的安全。

4、动态资源调整:通过虚拟化技术,实现打通物理服务器之间的隔阂,采用计算和存储虚拟化,将物理服务器中的存储、计算资源通过池化的技术进行交付,采用多副本技术,实现针对虚拟桌面应用系统的数据保障,同时,采用虚拟化计算和存储技术,可对本平台实现动态扩容。实现计算存储资源的最大使用效率和高可用性。

5、多重应用级安全防护系统:通过部署虚拟桌面应用交付平台中的虚拟应用安全网关系统以及Web应用防护系统,实现针对虚拟化平台的整体二到七层应用级安全防护,安全交付、部署快捷。


关于公司         业务运营         新闻动态         联系我们————————————————————————
地址:重庆市江北区龙湖源著天街商务大厦21栋35楼
投诉建议:023-67070301  
400-856-8980
zbpaxx.cn
重庆博斯特信息技术有限公司
website qrcode