企业桌面虚拟化建设项目解决方案

1、企业桌面虚拟化建设项目解决方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc54802034 一、项目背景 PAGEREF _Toc54802034 h 3 HYPERLINK l _Toc54802035 1.1.虚拟化技术趋势 PAGEREF _Toc54802035 h 3 HYPERLINK l _Toc54802036 1.2.虚拟化应用前景 PAGEREF _Toc54802036 h 4 HYPERLINK l _Toc54802037 1.3.项目建设意义 PAGEREF _Toc54802037 h 5 HYPERLINK l _Toc5480203

2、8 二、现状和需求分析 PAGEREF _Toc54802038 h 6 HYPERLINK l _Toc54802041 2.1.需求分析 PAGEREF _Toc54802041 h 6 HYPERLINK l _Toc54802045 三、总体设计 PAGEREF _Toc54802045 h 7 HYPERLINK l _Toc54802050 3.1.建设目标 PAGEREF _Toc54802050 h 7 HYPERLINK l _Toc54802051 3.2.建设内容 PAGEREF _Toc54802051 h 8 HYPERLINK l _Toc54802052 四、解决

3、方案 PAGEREF _Toc54802052 h 8 HYPERLINK l _Toc54802057 4.1.桌面虚拟化系统结构和部署 PAGEREF _Toc54802057 h 9 HYPERLINK l _Toc54802060 4.1.1 虚拟终端云平台系统架构 PAGEREF _Toc54802060 h 9 HYPERLINK l _Toc54802061 4.1.2 系统功能 PAGEREF _Toc54802061 h 10 HYPERLINK l _Toc54802062 4.1.3 部署方式 PAGEREF _Toc54802062 h 10 HYPERLINK l _

4、Toc54802063 4.2桌面虚拟化系统的应用特点 PAGEREF _Toc54802063 h 12 HYPERLINK l _Toc54802069 4.2.1.集中、统一化管理 PAGEREF _Toc54802069 h 12 HYPERLINK l _Toc54802070 4.2.2.保障数据和硬件资产安全 PAGEREF _Toc54802070 h 12 HYPERLINK l _Toc54802071 4.2.3.全面保障终端安全 PAGEREF _Toc54802071 h 12 HYPERLINK l _Toc54802072 4.2.4.降低运维成本 PAGEREF

5、 _Toc54802072 h 13 HYPERLINK l _Toc54802073 4.2.5.减少投资，节能增效 PAGEREF _Toc54802073 h 13 HYPERLINK l _Toc54802074 4.2.6.灵活、多样化的应用 PAGEREF _Toc54802074 h 14 HYPERLINK l _Toc54802075 五、配置清单 PAGEREF _Toc54802075 h 14 HYPERLINK l _Toc54802076 六、技术支持与培训 PAGEREF _Toc54802076 h 14项目背景随着信息网络的迅速发展,在当今的信息时代，信息技术

6、已经彻底改变我们的生活和工作方式，也改变着现行企业单位的管理模式。作为信息的管理部门，必须考虑当前技术的发展给我们的工作所带来的利益和威胁。如何更好的利用信息网络及终端进行安全的工作和通信，同时保护计算机自身信息的安全性，成为当前终端管理和信息安全迫在眉睫的问题。目前各企业单位都对IT建设和管理提出了更高的要求，各企业单位开始意识到在IT系统建设和管理中，必须有一套规范、可管理的IT服务管理流程，同时要从不断发展的新技术中寻求真正满足和适合企业信息化需求的IT产品，加强IT系统的建设和管理。确保系统的正常运转，保证企业工作的开展，促进企业工作的和谐发展。然而建设和管理很重要，科学有效的管理理念

7、更加重要。企业移动办公的需求日益加大，也为企业信息化应用提出了新的要求。而另一方面，最终用户日益要求各种应用尽可能快速便捷地运行，并希望能够随时随地从终端设备中获得完整的用户体验。传统终端管理是基于操作系统平台之上的应用程序，操作系统及其他应用程序的不稳定，使传统的终端管理工具无法从根本上解决企业单位对网络、系统及信息安全的高需求，目前如何从根本上解决企业信息网络及终端的管理和安全问题变得格外紧迫，企业信息网络运行中出现的各种问题可能造成难以估量的损失，因此，确保其安全、稳定、高效的运行是十分重要的。虚拟化技术趋势虚拟化技术在管理便捷、易于交付以及节约成本方面的优势突现，已经成为目前企业信息化

8、管理技术的主流技术方案。在过去的两年中被广大的院校机房、金融能源、企业部队、企事业单位办公网络、行政服务机构所采用。目前虚拟化技术从广义上可以理解为，在一台或一个集群的高性能计算机上模拟出许多台计算机，这些模拟出来的计算机根据不同的物理资源分配方式以及应用的需要，可以放置到各种不同的场景中，我们将其称之为虚拟计算机。这些虚拟出来的计算机根据需求的不同可以扮演各自的角色：1.承载系统服务作为后台服务器（如数据库、OA、WEB 、MIS等）；2.也可以为以太网或广域网中其他的客户机快速的交付桌面应用、或操作系统。3. 虚拟计算机之间与物理计算机之间也可以进行网络通讯，组成一个虚拟的网络或混合的集群

9、。4. 各个行业根据自己需求发挥其更多的功效。从应用场景上划分，虚拟化技术主要分为：“服务器虚拟化”、“桌面虚拟化”、“应用虚拟化”等。虚拟化应用前景从企业信息系统整体建设和管理的角度分析，终端客户机的管理才是最薄弱的环节，因为传统的管理模式更注重对服务器与网络安全的管控，而忽略了直接开放于工作人员的个人电脑，不仅成为数据泄密、外部入侵的源头，而且终端客户机的系统崩溃、软件维护与升级工作往往会占用信息中心技术人员大量的时间，无形中消耗了企业资源，降低了各部门的工作效率，信息安全也得不到有效的保障。因此，目前安全行业通常将终端问题列为企业信息化安全防护中的最大短板。而基于“桌面虚拟化”的技术应用

10、，却能真正的实现对终端客户机桌面及系统的有效管控，消除该薄弱环境对信息安全的隐患、降低终端管理的难度，广义上讲“桌面”泛指“客户机”，而不仅限于现今任何一款图形化操作系统的窗口界面，“桌面虚拟化”的概念是将远端的“操作系统及应用”通过网络推送给“客户机”，客户机无需真实的安装该操作系统或应用软件到本地存储中，就能快速的在虚拟系统中完成各种应用工作；而且终端用户也无法损坏虚拟系统的数据。通过部署桌面虚拟化，XXX的IT管理部门能够通过服务器中心统一管控全公司所有终端客户机的操作系统与应用软件，按需对客户机进行部署与维护各版本的操作系统、安装或升级应用软件、同步分发共享资源。终端客户机工作于虚拟操

11、作系统之上，不再受病毒木马侵害的危害。项目建设意义虚拟化项目建设努力推动XXX信息化建设进程，先进的信息技术对企业信息资源的深度挖掘和充分应用，使得上述这一切成为可能。通过信息技术的广泛应用，使得：业务信息的传输和处理速度大幅提高，综合有效应用各类信息资源的手段日益丰富，能力迅速增强，从而使得过去只存在于头脑中的种种方案和设想有了实现的可能；部门之间的沟通协调效率大幅提升，从而使得管理结构和管理流程的更加高效和合理化成为可能；大规模甚至超大规模系统的运营维护成本大幅降低，并使得这些系统在功能及流程等方面的持续优化改进成为可能；定制产品的快速设计和制作成为可能；而对用户信息的及时获取和有效分析，

12、可使得企业部门能够及时了解用户的各种需求，并通过各种常规和定制方式制作出符合用户需求的产品，从而满足企业及社会对不断更新和增加的服务需求。近年来国家一直推动云计算的发展建设，在云计算十二五规划中，发改委也预计加大对云计算的资金扶持。虚拟终端技术正是云计算平台中的一个重要环节。虚拟终端管理系统是以桌面虚拟化技术为基础实现动态的应用交付，将服务和应用集中于服务器端，不需要改变原有网络结构，只需部署和配置服务器，客户端便可通过网络得到自己的虚拟桌面，并抓取自己所需的服务。完全避免了传统IT架构下，终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理、而且支持个性化设置。从安全角度讲，集中的

13、管理也避免了传统分散、庞大的终端管理体系中，因少数终端脱离管理而使整个网络的安全出现短板的情况。 桌面虚拟化的优势在于提高单位计算机资源利用率和工作效率、高可靠性保证业务连续、降低运维及软硬件成本、良好的兼容性和便于管理的特性。虚拟终端管理系统利用桌面虚拟化平台搭建出一个安全、高效易于管理的系统平台。它更贴近目前网络和企业的需求，从安全、管理和成本等多方面为企业提供良好的服务和深度的控制。 此外，虚拟终端管理系统完全摆脱了传统终端管理软件基于操作系统应用管理的模式；操作系统本身的不稳定和不安全，使得传统终端管理系统搭建在一个不坚实的基础之上，基础薄弱就会有大厦将倾的危险，操作系统平台的安全和稳

14、定性问题，靠终端管理系统的修修补补根本无法满足用户对安全管理的需求。改变思路才能找到真正解决问题的方法。 虚拟终端管理系统不仅可以为我们带来桌面虚拟化技术的优越性；比如易于管理、节约成本以及可靠的安全性，同时，它也集成了很多传统终端管理的功能；在虚拟防护、桌面管理以及行为控制等方面进一步加强对终端的管理，从操作系统、网络、应用程序及硬件等多方面提供综合、有效的管理。可以说，在应用了虚拟终端管理系统后，我们只需要专注于服务器端的安全加固和系统管理，不会再为了每一个终端的安全和管理问题提心吊胆、殚精竭虑，这些“细枝末节”的问题将不复存在。 终端是信息化的应用平台，信息化管理的目标主要为：建设一个可

15、保障性的网络平台、真正提高工作效率、促进工作效果，管理规范化以及减少办公开支、降低管理成本以及最大化地利用现有资源。如何管理好终端，与企业信息化管理能否成功有着直接的关系。而想要真正完成信息化管理的目标，仅靠传统的终端管理技术难以满足企业信息化需求。虚拟化终端管理系统将使终端管理从根本上改变现有状态；它用虚拟化、云计算的理念同传统终端管理方法相结合的方式来解决终端管理的问题，是一种化繁为简，且可以从根本入手的终端管理之道，它必将成为企业信息终端管理的发展趋势。二、现状和需求分析需求分析通过对XXX网络和应用问题的实际分析，我们认为通过在XXX企业内网部署虚拟终端管理系统平台，能切实解决目前XX

16、X企业信息网存在的问题。虚拟终端管理系统是以桌面虚拟化技术为基础实现动态的应用交付，将服务和应用集中于服务器端，不需要改变原有网络结构，只需部署和配置服务器，客户端便可通过网络得到自己的虚拟桌面，并运行工作业务所需要的各种应用程序。完全避免了传统IT架构下，终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理、而且支持个性化设置。从安全角度讲，集中的管理也避免了传统分散、庞大的终端管理体系中，因少数终端脱离管理而使整个网络的安全出现短板的情况。而IT管理部门也只需管理服务器、终端操作系统、应用和用户配置文件的单个实例或者管理模板，从而大大简化了信息化管理过程。三、总体设计建设目标根据

17、XXX企业内网信息化办公环境要求，对终端实现统一、集中的管理，并最大可能的保护其办公网络和系统资源与数据的安全性，获得良好的管理。同时，要保持终端用户自由、灵活的使用习惯，保证良好的用户体验。在达到良好的管理和安全的前提下实现深入的成本控制。企业能够灵活地向任何用户、任何设备交付任何类型的应用，并在任何时间改变用户、设备和应用的组合。这种灵活性使用户能够用自己选择的任何设备工作，自助选择自己需要的服务以及何时需要这些服务。同时，IT部门获得了集中式管理和控制的所带来的好处，可以更加确保企业资源的安全，并显著地降低管理成本。这种统一管理、成本优化、全面用户体验的特点也正代表着未来IT发展的趋势。

18、本项目的总体目标是在不影响XXX企业内网信息化办公环境网络正常工作的前提下，从虚拟防护、合规高效、节能减排、桌面管理等多个角度构建一套完整的虚拟终端系统管理体系，实现对XXX企业信息网络的全面和有效管理，最终达到XXX企业内网信息化建设的相关要求。主要达到以下目标：实现对终端信息系统的安全和有效管理保护系统的可用性及企业系统服务的业务连续性 保护企业内网信息的机密性、完整性和规范性 防范病毒和木马的侵害 减少运维成本，降低终端计算机的能耗保持良好的用户体验建设内容在本次项目中，我们建议XXX采用北京和信创天有限公司的“和信”虚拟终端管理系统产品来搭建XXX企业内网的桌面虚拟化平台系统，来切实解

19、决目前XXX企业信息网络终端存在的问题。和信创天是国内领先的虚拟化应用技术提供商，是中国第一家推出基于VOI桌面虚拟化的产品“和信”虚拟终端管理系统。该虚拟终端管理系统是以桌面虚拟化技术为基础实现动态的应用交付，将服务和应用集中于服务器端，不需要改变原有网络结构，只需部署和配置服务器，客户端便可通过网络得到自己的虚拟桌面，并抓取自己所需的服务。部署“和信”虚拟终端管理系统后可完全避免了传统IT架构下，终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理、而且支持个性化设置。从安全角度讲，集中的管理也避免了传统分散、庞大的终端管理体系中，因少数终端脱离管理而使整个网络的安全出现短板的情

20、况。而IT管理部门也只需管理服务器、终端操作系统、应用和用户配置文件的单个实例或者管理模板，从而大大简化了信息化管理过程。四、解决方案本次桌面虚拟化平台建设项目我们建议选择“和信”虚拟终端管理系统。“和信”虚拟终端管理系统是北京和信创天科技有限公司基于云计算环境下全国首家推出的全新终端管理系统，其整合最新的VOI桌面虚拟化技术，以终端系统管理为中心出发点，从虚拟防护、合规高效、行为控制等多个角度构建一套完整的终端系统管理体系，防御各种终端异常事件，通过技术手段全面贯彻落实各单位的终端管理策略。桌面虚拟化系统结构和部署针对XXX企业网络对终端管理及安全提出的功能和性能要求，北京和信创天科技有限公

21、司为了有效的满足局域网环境下实现的要求，故提出以“和信”虚拟终端管理产品作为基础建设安全管理系统的构想，从管理运维、安全及应用等方面为XXX企业信息网提供全面的桌面虚拟化解决方案。虚拟终端云平台系统架构“和信”虚拟终端管理系统通过集中在数据中心的操作系统镜像来实现对终端PC桌面的统一管理和交付，管理数千台PC等同于管理一台PC桌面。部署之后，终端PC遇到任何木马病毒只需重启系统就能够自动恢复到安全状态，还能够实现对应用程序、软件补丁、策略配置的实时分发和数据集中管理。它能够在离线环境下正常运行，并保证PC桌面系统快速符合等保、分保等国家规范对终端管理的细粒度配置要求。同时，它的部署完全不需要改

22、变原来的网络结构和PC硬件，更不会影响原有业务应用，能够在短时间内平滑升级。从根本上看，“和信”虚拟终端管理系统采用先进的桌面虚拟化技术一种是可以帮助IT部门搭建更高效的桌面基础架构。目前，许多经济发达城市的企业机构都开始采用桌面虚拟化技术的集中化管理方式，将IT 从传统的分布式桌面管理模式中解脱出来，企业IT运营部门无需逐一维护终端硬件设备，操作系统、应用和数据管理以集中化的方式实现，这使得桌面管理更合规、软件迁移更简单、备份可靠性更高、数据信息更安全。系统功能虚拟防护:远程虚拟化管理、网关控制、病毒库同步、防ARP欺骗、驱动防火墙、个性化安全磁盘桌面管理:资产管理、补丁管理、软件群发行为控

23、制:外设控制、应用软件控制、上网监控、行为监控部署方式“和信”虚拟终端管理系统主要包括策略管理中心与策略代理两大组件。在产品安装部署前保证所有终端与策略管理中心通过TCP/IP协议互联互通。策略管理中心部署方式：策略管理中心安装在独立服务器上，部署在业务系统的管理区域。网络线路建议采用全千兆部署，并通过集群服务器实现负载均衡；策略代理部署方式：选择一台新的终端机器上进行安装，并将系统封装上传到服务器上。其他所有终端机器只需要将系统启动改为从网络启动即可，无须逐一安装。根据XXX企业信息网的实际情况，采用类似以下的“和信”虚拟终端管理系统的策略：根据XXX的实际情况，可以为多个部门制作多个不同操

24、作系统镜像文件，并分别安装不同的相关应用程序。针对高密级的部门，为防止资料外泄，限制使用USB等外置接口的管理策略。针对所有部门，下发流量控制和ARP防护策略，防止用户滥用网络资源和产生对网络造成影响的异常流量。普通用户在使用工作终端时遇到系统崩溃、感染病毒木马或者其他软件冲突，只需重启机器即可完全恢复正常，无需系统管理员协助处理。系统工作流程如下：管理员设置不同部门操作系统镜像，并部署不同的终端管理策略；各部门工作人员根据所在部门分别读取适用于工作需要的操作系统和管理策略；一旦发生软件冲突、系统蓝屏、系统运行缓慢、病毒感染等问题，终端使用者只需要重启电脑，操作系统自动恢复到初始正常工作状态，

25、而之前各种个人终端数据将依然保存下来，包括桌面文件、壁纸、IE收藏夹、cookie、office保留文件等；新的工作终端接入网络后自动获得工作环境，无需花费大量时间安装符合企业员工办公所需要的操作系统。当有补丁、软件需要升级或者安装新的软件，管理员只需选择任意一台工作终端以超级管理员身份登录，进行升级或者安装，保存重启后所有的工作终端都将获得升级和更新。4.2桌面虚拟化系统的应用特点集中、统一化管理桌面虚拟化在终端管理方面的优势体现在可集中、统一的对终端进行管理，可完全改变传统分散的终端管理模式；终端以远程启动的方式，根据部门或应用访问相应的，经过统一配置的操作系统镜像。因终端使用统一的操作系

26、统镜像，所以管理员可以通过对一台终端的管理而实现对全部门的管理，这将会大大改变传统分散终端管理模式的复杂性，使终端管理变得简捷。终端只用于内网，原有PC用于外网，工作人员可以一并使用，无需开关机切换，大大提高了工作便利性，减少因贪图方便而随意拔插内外网线。同时“和信”虚拟终端管理系统也可以实现一旦内网终端被插入外网网线时自动停止工作，有效阻止涉密内网机器通过外网网线向外传输数据信息的行为。保障数据和硬件资产安全“和信”虚拟终端管理系统和终端硬件的系统建设将全面提升XXX企业信息网的数据安全和硬件资产安全水平。从数据安全来看，“和信”虚拟终端管理系统能够实现对终端硬盘的全面加密，即使有工作人员将

27、硬盘窃走也无法访问里面的数据。虚拟终端还能够实现对U盘等移动存储介质、光驱、打印机等各种外接设备的限制，杜绝外接设备成为泄密通道。同时，如果在网络条件许可的情况下（全千兆网络环境），甚至可以直接取消终端机器的本地硬盘，将所有数据都直接集中在服务器上，保障数据安全。从硬件资产安全来看，即使用户打开PC机箱更换内部硬件，“和信”虚拟终端管理系统也会在终端开机时报警提示管理员。全面保障终端安全通过部署“和信”虚拟终端管理系统，XXX信息技术人员可以对所有终端桌面操作系统进行统一安全加固，达到C级操作系统安全水平。终端桌面在每次重启后将自动重新加载操作系统镜像，任何写入到操作系统注册表、后台服务、系统

28、进程、关联文件的木马病毒都被彻底清除，完全不依赖病毒木马数据库检测方式，确保终端桌面的安全可靠。而任何由于误操作或者软件冲突等常见行为导致的运行缓慢、系统崩溃、蓝屏死机等问题也无需管理员介入，重启终端桌面后将自动恢复到正常工作状态。同时，“和信”虚拟终端管理系统本身采用了灰度更新、数据校验、驱动守护、进程监控、负载均衡等十多项核心技术全面保证桌面系统的稳定可靠“和信”虚拟终端管理系统还提供了流量控制、arp防护、时间控制等众多管理功能，能够防止工作人员对终端和网络资源的滥用，避免一些不恰当的用户行为。降低运维成本采用传统分布式计算模式，IT 必须对企业内的数百台或数千台桌面进行逐一管理：员工人数越多，IT 支持负担就越重，因为每个应用和操作系统的实例会增多，每台桌面的复杂度也越高。采用“和信”虚拟终端管理系统后，XXX的管理员只需要维护数据中心的操作系统镜像，各自补丁、软件的安装升级维护只需要在一台PC上进行部署，其他终端桌面在下一次重启后自动拥有了该补丁和软件，无需再次安装维护。根据IDC调查数据表明，部署了虚拟终端管理系统的企业机构，配置和管理成本减少了93%；技术支持电话的数量也减少了72%