科技进步奖励申报书基于办公桌面云的实践与应用优化项目

1、中国移动科技进步奖励申报书项目名称：基于办公桌面云的实践与应用优化项目申报单位：中国移动通信集团广东有限公司中国移动通信集团公司2011年 10月 28日一、项目基本情况项目名称中文基于办公桌面云的实践与应用优化项目英文based on cloud-desktops practice and application optimization project主要完成人主要完成单位中国移动通信集团广东有限公司主 题 词桌面云、虚拟桌面、虚拟机、虚拟化、vdi、应用发布、节能减排、瘦终端、绿色终端任务来源a.中国移动通信集团公司计划 b各省、自治区、直辖市公司计划 c申报单位自立项目 d.基金资助

2、e国际合作 项目起止时间 起始： 2009 年 4月 日 完成： 2010年 12月 日二、项目简介(不超过800个汉字)广东移动在2009年新全球通移动信息化大厦建设过程中，将云计算思想应用在办公终端中，将桌面虚拟化技术与瘦终端技术的结合，在新大厦内建设虚拟办公桌面系统，实现员工在大厦内能通过移动虚拟终端高效、安全、可控、便利的办公需求。在2010年和2011年通过2年的努力，对桌面云架构进行优化和完善，在基于虚拟机技术的虚拟办公桌面（vdi）基础上，利用应用虚拟化解决方案增加了对移动办公和业务应用系统的“应用云”快速访问服务。项目采用最新的信息化技术，突破传统的技术限制，实现以下的业务目标

3、：1. 建设办公桌面云，采用移动办公和自动化技术，实现员工随时、随地、随意设备地灵活、无缝办公，提高员工办公效率。2. 建设严格物理隔离的内外办公网络，同时实现办公高效、安全、可控、便利。3. 超瘦终端加统一虚拟机模版具有完全标准化、防病毒木马攻击、防止信息泄密，易于管理与维护、保护用户数据安全。4. 提供强大的综合管理手段，通过桌面云实现了桌面，数据，用户访问的集中统一管理，实现了流程自动化管理，提高了管理水平和效率。5. 桌面云明显降低电量和碳排放，这不仅降低了成本，还满足了国家对低碳和绿色it的要求。项目系统特色：1. 新全球通大厦内部全部用瘦终端替换原有传统台式电脑，转变传统的个人电脑

4、作为员工办公终端的方式，实现3个集中：桌面（应用）集中、信息数据集中、管理控制集中。2. 充分考虑信息安全和学习交流的需求，新大楼网络大幅提升网络安全等级，同时又基本满足员工学习和对外交流的需求。在新大楼建设内外分离的网络，内网为办公网络，不能访问互联网，保证内网不受终端病毒影响。访问互联网只能通过外网，从技术上较彻底解决内网的安全隐患。3. 基于“云计算”理念的构建saas与iaas混合的桌面云，巧妙将桌面虚拟化架构（vdi）与应用虚拟化结合。在保证安全的基础上，便利地实现了一个界面就能同时访问内、外网，既安全又灵活。4. 通过分析用户的办公习惯，监控虚拟机性能运行状态，建立用户行为与虚拟桌

5、面生命周期双因素模型，充分利用虚拟化带来资源自动分配、云的弹性伸缩特性，实现虚拟机的按需分配，实现按用户级别提供不同等级的服务。上述优化措施取得了很好的效果，节省大量系统资源、提高资源利用率的同时将资源最大程度的分配给需要用户。系统主机cpu利用率从50%下降的20%，相同资源承载用户提高25%。5. 全方位的安全保障，安全体系的建设关键在于完整性和减少短板，系统建设的时候已经充分考虑。从瘦终端、内外网网络物理隔离、网络接入、网络传输协议、互联网远程接入办公、u盘的单向控制、文件集中存储、内外网文件传输机制、终端安全管理、虚拟桌面防病毒等全方位提升系统安全等级。三、项目详细内容1、 立项背景（

6、不超过800个汉字）随着it技术的发展，信息安全面临日益严峻的挑战，通过终端泄密的途径复杂多样，传统终端的防护措施无法全面规避信息安全漏洞；且员工安全意思的薄弱都给终端安全管理带来很大的困难。总结传统办公电脑普遍存在以下五方面问题： 不便于管理，无法集中管控办公系统和信息数据。 信息安全难以保障，现有办公设备和系统分散，外接设备多，可以任意复制、转移信息数据；系统容易受病毒攻击。无法区分内外部人员不同访问策略，无法控制文件外传。 设备系统固定，不能灵活办公，安装维护系统和软件浪费时间。 现有办公设备耗电量大，辐射大。桌面终端的安全防护是公司信息安全体系的重要组成。桌面虚拟化后，用户数据、操作系

7、统、应用程序均储存在数据中心的虚拟机上。用户利用瘦终端或者普通电脑+应用虚拟化，通过安全认证后访问后台虚拟机和应用，本地不保留任何数据，根本解决“病从口入”的难题。同时，在旧全球通大楼内外网不分，对安全级别较高内部支撑系统难以有效保护，容易造成安全泄密和受攻击而瘫痪。随意访问互联网和安装软件的便利和容易感染病毒造成网络故障的安全矛盾日益尖锐。外部人员终端上内网情况大量存在，存在很大安全隐患。新全球通移动信息化大厦建设过程中，公司提出要在新全球通大厦内建设成信息化大厦，使员工能够在大厦内通过移动终端自由、安全、高效地利用最新发展的各种移动通信技术对信息的接收、传递、处理和反馈，满足办公的信息需求

8、。为此我部门在新全球通大楼将企业信息网划分为内、外网，并引入虚拟办公终端解决方案。2、 详细技术内容（不超过1000个汉字）虚拟办公方案总体架构虚拟办公终端系统以云计算技术架构为基础，由虚拟桌面架构（vdi）和应用虚拟化（sgd）两个核心功能，及一系列的配套基础功能服务组成。在保证安全的基础上，该方案便利地实现了一个界面就能同时访问内外网。用户在瘦终端登陆外网虚拟机，在自己的虚拟机，可以访问互联网、安装个人软件、如ims、飞信等。用户在外网虚拟机如需访问内网，必须通过sgd应用发布方式登陆内网，然后在内网虚拟桌面上访问oa、potal、office等应用1、 总体架构图2、虚拟机桌面架构（vd

9、i），建立一个高性能、高可靠并具备高度伸缩扩展能力的虚拟桌面架构作为一种新兴的计算机桌面办公技术，虚拟办公桌面是一种集合了虚拟化、应用发布、瘦终端、和各种安全技术在内的软件和硬件的综合解决方案。主要关键部分： 瘦终端设备：作为虚拟化桌面的用户操作界面。瘦终端设备一般比传统电脑使用更少的元器件和软件，所以更加轻便和运行稳定；也更加安全。 虚拟化平台：采用了云计算的技术，把标准的软硬件运算资源（已实现集中存储的云、计算资源的云、应用服务的云）集合成一个动态的大资源池，实现动态部署虚拟桌面和其他应用系统。通过资源整合，企业可以高效地集中管理用户的办公桌面，应用系统和运算资源。并能够根据企业经营的需要

10、，快速地调整信息化服务和各种运算资源。 虚拟办公桌面：基于虚拟化平台的虚拟桌面为用户提供了与传统pc的基本一致的使用体验，并具有部署和管理上的巨大灵活性，即可实现标准化管理（标准化虚拟机）与个性化（静态虚拟机）的有机结合。 虚拟化桌面连接管理工具：提供了灵活的用户虚拟桌面管理功能，包括桌面漫游功能，即通过智能卡认证，用户可在任意的地方访问自己当前的桌面；以及动态管理虚拟机运行状态等复杂功能和服务，3、应用虚拟化（sgd应用发布）：1）把移动内部办公应用系统作为服务发布给获得授权用户远程使用，用户无需在个人电脑上安装应用，实现在任何位置快速移动办公。2）应用虚拟化增强移动应用使用的安全保护水平：

11、 3层架构保证了严格的内外网隔离 授权访问的机制在用户层实现对业务应用的访问控制 完全隔离用户与内网应用的网络连接 应用层的精细安全控制（复制，粘贴，磁盘映射等）实现了应用级安全等级控制，共划分9个安全等级，兼顾安全访问和灵活访问 客户端到服务器使用ssl连接及加密和密码技术，用户及服务器内部通讯都被加密，使用pki证书进行服务器身份验证3、在新大楼建设内外分离的网络，内网为办公网络，不能访问互联网，保证内网不受终端病毒影响。访问互联网只能通过外网，从技术上较彻底解决内网的安全隐患。瘦终端私网外网虚机内网应用个人电脑外网应用应用发布vdi应用服务器外网内网3、主要技术创新点（不超过800个汉字

12、）1、实现了几个第一： 全国第一个实现三个集中的桌面办公系统：桌面（应用）集中、信息数据集中、管理控制集中。 全国第一个上千台的虚拟办公桌面系统。集中管理1844个虚机桌面，1711台瘦终端。 全国第一个实现移动办公的办公桌面系统。员工可以从任何地方（内网、外网、互联网）随时随地访问个人的虚拟办公桌面，解放了人对系统的依赖，实现系统和数据跟人走，体现了移动的特色。 全国第一个环保节能办公系统环境。采用瘦终端对比同等数量台式机节能超过85，更低的辐射和噪音的办公环境。并且实现按需经济，员工需要时分配虚拟办公桌面，不需要时虚拟办公桌面回收，降低能耗。2、桌面云基础安全服务技术广东移动在建设下一代桌

13、面云办公系统时，通过底层的基础安全服务技术把桌面云的各个关键服务功能组件有机地连接起来，并提供可靠和安全的保护。主要的基础安全服务技术包括： 通过应用发布的方式将局域网隔离为内、外网，核心系统和敏感数据被保护在内网，彻底杜绝终端病毒对核心系统的影响，杜绝通过终端外设信息泄密的风险。 用户可以在互联网上登陆公司内部虚拟机桌面、网盘、办公应用等，提供完整的桌面集中、数据集中、应用集中解决方案，用更为安全的应用虚拟化+vpn技术替换现有ssl vpn技术。 统一身份管理平台结合单点登录功能，通过在虚拟办公桌面与web应用之间实现单点登录，使用户只需在桌面云登录一次，就能够无缝访问所有具备访问权限的内

14、外网资源，保证员工的使用体验。 客户端到服务器使用ssl连接及加密和密码技术，用户及服务器内部通讯都被加密，使用pki证书进行服务器身份验证以及智能卡技术。3、“随身走动”办公体验 跨终端、跨网络无缝访问内外网桌面，数据和业务应用。无论用户是在瘦终端私网、企业信息网外网、vpn远程接入；无论是通过瘦终端、电脑、手机终端都能获得相同的虚拟桌面，保证用户体验的一致性。支持笔记本电脑、ipad、iphone、android智能手机多类型终端。 员工通过员工卡刷卡方式在集成打印系统进行身份识别后，在任意楼层的打印机上取出打印材料。为员工提供巨大的本地使用便利性，提高对员工的移动办公支持，同时加强企业信

15、息的安全保护功能。4、建立基于网盘可控的内外网传输系统 一个基于web和桌面客户端的“桌面网盘”为员工提供了一个在内外网进行文件交换的便利途径，保证员工在内外网络隔离的情况下仍然能够高效工作； 基于“桌面网盘”建立内外网文件传输机制，确保内外网文件交互安全，文件从内网传出需要经过审批或审计。 同时移动“桌面云”架构提供了对本地硬盘的支持，也使用户能够方便地在本地接入终端和虚拟办公桌面之间进行快速的文件交换和文书处理。4、应用情况（不超过800个汉字）l广东移动新办公楼部署1711台瘦终端，替代了传统的pc作为员工的统一桌面办公终端 。桌面云vdi平台使用11个在用虚拟机模板，1844个虚拟机分

16、配给员工；每日在线率76，并发率58 。虚拟化平台使用vmware，esx服务器58台，实现在2路4核cpu、16g内存pc服务器上承载用户高达35个，cpu利用率5070 。使用存储： 38tb光纤存储（虚拟机）、90tb sata存储（存放用户文件）。外网应用发布用户规模：1540人。应用发布系统服务器使用4路6核pc服务器7台，每日在线率65%，最高并发50%。vpn远程接入应用发布用户规模：1797人，应用发布系统服务器使用2路4核pc服务器2台，vpn ag网关2台，每日在线率用户150人，cpu利用率70%-80%。2010-2013年，广东公司桌面云开展情况，2010年建设vdi

17、用户1711人，2011年建设vdi用户5600人，应用发布用户1540人。预计2012年建设桌面云总规模超过25000用户。最终广东公司桌面云总规模超过4万。经济效益（单位：人民币万元）6、社会效益 通过成功的桌面云系统实施，给其它云计算项目起到示范和指导作用。 桌面云可以给广东移动的数据中心等的云计算业务带来示范标杆作用，有力推动广东移动的云计算业务的发展。2011年营业厅、客服、网管监控项目纷纷开展桌面云建设，建设规模5598用户。预计2012年建设办公、营业、网管桌面云总规模超过18000。最终广东公司桌面云总规模约40000。 桌面云可以明显降低电量和碳排放，这不仅降低了成本，还满足

18、了国家对低碳和绿色it的要求。 管理部门通过桌面云实现了桌面，数据，用户访问的集中统一管理，实现了流程，自动化管理，提高了管理水平和效率。 为社会企业提供桌面云服务。近期中标中国外运广州公司项目，其中包含未其建设超过1000个点的虚拟桌面。 为手机终端提供桌面云服务。四、本项目曾获奖励情况获奖时间奖 项 名 称奖励等级授奖部门（单位）本表所填奖励是指： 1.国家设立的科技奖励；2.各省、自治区、直辖市公司设立的奖励3.各省、自治区、直辖市政府设立的奖励；4.经科技部批准的社会力量设立的奖励。 五、申请、获得专利情况表国 别申 请 号专 利 号项 目 名 称中国2011101153477用户信息的更新方法、服务器以及系统中国201110101220x基于云计算的身份认证的方法、系统及云端服务器中国2011100942038一种电子设备及其usb通信模块的控制方法六、主要完成人情况表七、主要完成单位情况八、申报单位意见 九、用户使用证明 十、证明材料一、 项目专利的证明文件1、 已获授权的发明专利应当提交专利证书，刚刚获得授权且尚未取得专利证书的应提交授权通知书。核心发明专利必须提交专利文献授权文本（包括说明书摘要、摘要附图、权利要求书、说明书、说明书附图