云终端企业方案

1、 云桌面安全管理解决方案2012-10-10目 录第一章需求分析31、现状分析31.1电脑情况31.2电脑存在的问题32、虚拟安全管理终端建设的必要性53、需求分析5第二章思路原则61、思路61.1通过服务器可实现统一的管理61.2确保系统的性价比性和耐用性61.3管理维护方便快捷61.4数据安全可靠61.5应用平台管理62、原则6第三章建设方案说明71、主要特点71.1保密性强71.2便于管理71.3成熟稳定72、SMS虚拟化技术部分介绍72.1总体结构82.2客户端硬盘数据结构82.3主要功能82.3.1所有计算机零病毒和零维护82.3.2自动化部署和加入新电脑零工作量92.3.3支持分组

2、管理92.3.4数据安全保证，禁用USB移动存储设备92.3.5通知、广播功能92.3.6远程呼叫功能92.4创新领先技术应用92.4.1共用镜像技术92.4.2还原技术102.4.3P2P网络技术102.4.4应用虚拟化技术102.5客户端更新原理102.6服务器离线认证模式102.7集中存储102.8客户端启动113、硬件构成11第四章建设方案支持111、公司简介112、服务支持112.1服务期内112.1服务期外123、我公司售后制度123.1初级服务 (快速)123.2中级服务（便捷）123.3高级服务（定制）12第五章建设投入预算报价12第一章 需求分析1、 现状分析1.1 电脑情况

3、公司为外籍员工统一配备了联想A7000一体机，有的一体机安装英文系统，有的一体机安装法文系统，所有一体机都接入了外网（Internet），方便员工工作的同时，也能通过相应通讯软件与家人朋友联系。1.2 电脑存在的问题1.2.1 安装操作系统和应用软件工作量大由于外籍员工来自不同的国家，每位员工对电脑系统的语言和软件应用需求不同，因此有些一体机需要安装英文系统，有些一体机需要安装法文系统，还要安装不同语言的驱动程序和不同语言版本的软件，这导致首次安装操作系统和软件的工作量巨大。1.2.2 使用电脑自由度过高，无法统一管理电脑分散在各个员工手中，员工使用电脑自由度过高，基本只能通过制度管理，而无法

4、从技术上进行统一有效的管理。1.2.3 USB等数据端口无法统一管控，数据容易泄露无法通过技术手段统一禁用一体机的USB端口，员工可以随便使用USB移动存储设备传播数据，无法做到数据保密，数据很容易泄露。1.2.4 后期维护成本和工作量大外籍员工IT知识欠佳，对个人电脑维护意识薄弱，日积月累，一体机系统出问题是早晚的事情。一旦出问题，就需要负责人去逐一排查或者重新安装系统，工作量非常大。而员工用机大致有100台的数量，若考虑未来扩容，维护会相当困难。1.2.5 电脑频繁中毒，解决麻烦现如今，各种木马病毒无孔不入，而且员工电脑都统一接入了互联网（Internet），更加容易感染病毒，给数据安全造

5、成隐患，而且病毒无法彻底查杀，重装系统则增加工作量。2、 虚拟安全管理终端建设的必要性通过虚拟安全管理终端系统，能够统一管理员工的电脑，从技术方面有效管理并监控员工使用电脑的行为，大大减少相关负责人的工作量，在确保维护便捷性的同时提高管理效率和安全性。3、 需求分析我们总结归纳了此次员工电脑的虚拟安全管理终端系统配备的几点关键需求为：禁用USB移动存储设备，安装操作系统和软件的便捷性，不同语言操作系统分组管理，统一管理电脑并降低维护工作量，电脑免受病毒侵扰。1233.1 禁用USB移动存储设备通过技术手段统一禁用电脑的USB移动存储设备，比如U盘，移动硬盘，USB摄像头等，保证数据的安全，并不

6、影响USB鼠标、键盘和打印机等设备正常使用。 3.2 安装操作系统和软件的便捷性一台或多台安装操作系统快捷、方便，能够统一、大批量的安装操作系统和软件。3.3 不同语言操作系统分组管理针对安装不同语言操作系统的电脑，能够分组管理。3.4 统一管理电脑并降低维护工作量建立统一的平台，让所有电脑加入此平台，实现统一管理，从而降低维护的工作量。3.5 电脑免受病毒侵扰电脑的系统不受病毒侵扰，做到病毒感染为零，完全实现电脑不安装防病毒软件也不会感染病毒。第二章 思路原则1、 思路1.1 通过服务器可实现统一的管理单人负责管理一台服务器，即可管理所有员工的一体机。无论是系统的安装、更改，还是软件的更新，

7、都实现了统一性，便捷性。并且今天是英文版和法文版系统，明天或许还有其他国家语言的系统需求，根据新需求重新对数百台员工机器再次安装系统颇为浪费人力，而通过服务器即可只在服务器上新增一个新语言系统镜像即可。1.2 确保系统的性价比性和耐用性充分利用现有技术资源，寻找稳定的技术设备和解决方案，减少人力的同时最大限度地满足系统现在和未来发展的需要，具有可扩展性和易扩展性，确保建设顺利实施和设备经久耐用。1.3 管理维护方便快捷具备完善的系统管理，清晰易用的操作软件，使网络管理人员能够快捷高效地维护和管理系统。1.4 数据安全可靠通过软件策略限制员工使用电脑的USB移动存储设备，一方面能够限制数据的流传

8、，一方面也能遏制病毒传播。1.5 应用平台管理通过应用虚拟化，应用与系统分离，实现终端应用的高效，统一的管理，整合企业业务环境 应用分组管理、应用权限设置、终端用户根据需要选择相应的应用 。2、 原则建设一套管理方便和高可靠性，并能将终端电脑用户尽可能在服务器进行统一管理的系统。第三章 建设方案说明为此我们建议使用 “云桌面建设方案”。SMS（Security Manager System）解决方案，是一套桌面虚拟化的安全管理终端系统。其系统通过一台服务器则能管理成百上千台计算机终端，是第一个彻底解决病毒和维护的计算机的先进技术解决方案，最终实现计算机业务零中断、安全零风险。让管理者不再为这些

9、问题发愁，病毒爆发中断业务；数据安全隐患；重装系统；系统、软件升级；部署新计算机，维护占用大量时间，紧急维护处理等。蓝云云桌面建设方案，只需一台服务器，以上问题可以轻松解决。1、 主要特点该解决方案主要特点为以下三个方面：1.1 保密性强员工电脑硬盘不留存任何工作数据，工作数据集中存储在IT中心的服务器。网络管理员可以控制电脑终端I/O端口，包括USB口、SATA口、COM口、打印口、音频口等，防止非授权数据拷贝、数据泄漏和病毒带入、拷出。1.2 便于管理该方案使管理员只需在网络中心管理好服务器和镜像，无需逐个管理众多的员工终端和操作系统，管好一台服务器，即可以管好成百上千台员工终端，如果员工

10、因误操作或病毒造成系统崩溃，只需要重启机器就能回到正常状态，员工终端不会因为软件问题异常宕机，高效地解决了病毒问题和提高维护和管理员工终端的工作效率，真正做到病毒0扩散、业务0中断、0工作量。单位增加数百台员工终端，网络中心不用为此专门增加人员。此外，员工终端的使用和普通的电脑没有任何区别，不需要对员工进行专门的培训，使员工可以快速上手使用机器。1.3 成熟稳定虚拟化技术，是近年非常流行的技术，有着广泛的应用。SMS目前已在军队多所院校内布署。2、 SMS虚拟化技术部分介绍“SMS虚拟安全管理终端建设方案”是基于虚拟化技术思想、依照“数据分布式计算、可集中存储管理”的设计思路进行设计和规划的。

11、22.1 总体结构方案由服务器，服务器软件，一定数量客户端组成。122.12.2 客户端硬盘数据结构客户端硬盘C盘对系统起到缓冲作用（可以认为本地是含最小镜像系统），一般情况下通过服务器管理，其他盘符是不可写状态，保证数据安全。及时客户端硬盘丢掉，硬盘数据也无价值。2.3 主要功能22.12.22.22.32.3.1 所有计算机零病毒和零维护和传统在每台电脑上安装杀毒软件意义不同，SMS解决方案，无需安装杀毒软件即可防毒，即使感染病毒，病毒只能停留在内存中，断电后消失，并且系统自动还原。2.3.2 自动化部署和加入新电脑零工作量传统新机器加入，需要大致安装系统、安装软件、调试正常等约数小时工作

12、量。依据国家大力建设信息化思想，提高全军高效率，新电脑部署，无需传统模式，实现自动化部署。2.3.3 支持分组管理不同使用者，根据需求类别和电脑系统语言不同，放入不同组内，获得不同的使用权限。解释：每个计算机都属于一个组（没有分入具体的组的计算机是属于默认组other组）。每个组都有自己的属性（一个镜像名称，数据区（是否支持本地D盘存储数据），USB端口封闭）2.3.4 数据安全保证，禁用USB移动存储设备USB移动存储设备全部禁用，包括移动硬盘，U盘，光驱等。完全封掉数据出口，确保数据安全。根据需要可指定某负责人电脑开放数据出口，统一流出数据。可实现本地无任何数据保留，集中存储到远端服务器存

13、储，无账号密码，无法访问远端个人存储数据；即使本地计算机被盗，也毫无价值。可实现本地开放可写数据，应对特别的需求。2.3.5 通知、广播功能通过管理端可强行推送文件和广播信息到每一台在线客户端。2.3.6 远程呼叫功能客户端可点击远程协助，请求管理员协助。管理员同意后可远程控制客户端电脑，而舍去了传统的一对一，现场支持。2.4 创新领先技术应用122.12.22.32.42.42.4.1 共用镜像技术不同批次型号的计算机，可共用一个镜像。解释：所有电脑的操作系统，都需要向服务器里制定的镜像看齐，镜像更新，则所有计算更新。镜像越少，服务器和网络的压力就越小。案例：某军区使用非单一镜像系统部署，导

14、致目前网络堵塞，客户端电脑启动速度越来越慢，严重影响正常办公、业务等。2.4.2 还原技术根据SMS核心思想，业务零中断。在服务器在线的时候，客户端崩溃，能够对照服务器镜像，重启后还原。同时能够做到，服务器离线，客户端仍然有自我恢复，自我还原能力。案例：某医院，因机房网络问题，服务器离线，各病房、药房、办公室电脑均正常使用。2.4.3 P2P网络技术传统的类似解决方案，所有带宽压力全在服务器主干网络上，数据全部来自服务器上、下传。领先大胆加入P2P技术后，使得客户端需要更新的时候，不再只找服务器寻要资源，而是去寻找网络中其他计算机索取资源。形成一个穿插的蜘蛛网络，大大降低了网络负债。案例：某特

15、种军区约300台客户端同时部署时，因为加入P2P技术，使得系统推送时间从20多小时，变成约1小时。2.4.4 应用虚拟化技术§ 应用虚拟化，应用与系统分离，实现终端应用的高效，统一的管理，整合企业业务环境 § 应用分组管理，应用权限设置 § 终端用户根据需要选择相应的应用 2.5 客户端更新原理通过某台客户端（服务器绑定MAC认证），进入更新模式更新。更新时，网络是P2P模式。2.6 服务器离线认证模式开启服务器认证模式后，服务器离线状态下，客户端无法进入操作系统。即必须保证客户端到服务器端网络通畅才可进入系统。关闭该功能，服务器离线，不会影响客户端的正常运行。2

16、.7 集中存储一人一号，一人一独立空间。通过前期部署，确定账号命名规则，对应分配空间。客户端可以任意在本地修改自己的密码。2.8 客户端启动客户端首次部署，通过PXE模式得到系统。第二次无须PXE启动。3、 硬件构成主要由存储数据的磁盘阵列、系统管理服务器、存储管理服务器和学员电脑和方案软件等四部分组成： 备份服务器B登录A登录1 GB 交换机/路由器千兆或百兆网千兆网或百兆网千兆网终端存储阵列 基于iSCSI SAN 为虚拟终端特别优化设计 适用机架放置 可组成阵列群管理套件 SMS管理 存储管理管理服务器第四章 建设方案支持1、 公司简介2、 服务支持2.1服务期内按厂家承诺对其商品保修；

17、在保修期间免费提供维修等；在验收合格之前，出现问题可以直接退换。A、 在质保期内，我公司可根据客户需求，定期安排人员进行巡访周期小于1月/次，并做到及时交流，解决不同问题。B、 在质保期内，服务内容包括，7*24小时电话技术支持；24小时响应上门服务；定期上门巡检。2.1服务期外我公司承诺提供终生服务，在保修期外出现问题故障，硬件按出厂成本价供应，服务亦按最低优惠价。3、 我公司售后制度我公司有完善技术服务制度，进行快速的解决不同的层次的问题，凡我公司的客户都享有如下级别服务。3.1初级服务(快速)通过电话、邮件等，可以及时的解决日常立即能解决的问题；响应时间为：1个小时内。3.2中级服务（便捷）通过即时通讯、远程桌面、视频会议，迅速的做出响应，在对方允许情况下，进行远程桌面操作来解决次级技术需求问题；在需