乔司监狱桌面云与在线教育门户综合解决方案分布式

年4月19日乔司监狱桌面云与在线教育门户综合解决方案分布式文档仅供参考，不当之处，请联系改正。乔司监狱桌面云与在线教育门户综合解决方案

目录第一章项目概述 4第二章整体建设方案 42.1整体部署拓扑图 42.2部署方案说明 52.2.1深信服一站式桌面云部署 52.2.2在线教育门户系统部署 5第三章深信服一站式桌面云解决方案 63.1深信服桌面云整体架构 63.2多种桌面交付类型 73.3模块介绍 83.3.1AD/DHCP服务器 83.3.2桌面服务器和磁盘阵列（VMS） 83.3.3虚拟桌面控制VDC 83.3.4终端设备 93.4服务器群集设计思路 93.5深信服SRAP协议技术详解 103.6如何实际应用aDesk方案 123.8深信服一站式方案优势总结 123.8.1方案价值总结 123.9产品精彩亮点解析 143.9.1良好用户体验 143.9.2最优的灵活性 163.9.3端到端安全设计 183.9.4最低的IT总体成本 20第四章在线教育门户系统 234.1门户子系统 244.1.1信息发布 244.1.2狱务公开 244.1.3在线服务 244.1.4信息检索 254.1.5交流互动 254.2在线教育子系统 254.2.1学习任务 264.2.2 课件管理（管理员功能） 274.2.3用户管理（管理员功能） 284.2.4. 消息推送 294.2.5 个人资料 294.3内容管理子系统 304.3.1内容管理 304.3.2 编排管理 314.3.3转码管理 314.3.3系统管理 324.4转码子系统 324.4.1系统功能 324.4.2支持的源文件视频格式 334.4.3支持的源文件音频格式 334.4.4转码时效性保证 334.4.5转码成功率保证 344.5流媒体子系统 354.5.1流媒体子系统功能 354.5.2点播工作流程 364.5.3系统特征及优势 36第五章设备配置清单 385.1桌面虚拟化部分 385.1.2单监区 385.1.3中心机房配置 395.2在线教育门户系统部分 40

第一章项目概述浙江省乔司监狱位于浙江省杭州市经济技术开发区，由1950年成立的乔司农场改为现名是新中国第一批成立的监狱之一，5月被司法部授予“现代化文明监狱”称号，是杭州市绿色蔬菜生产基地。为实现数字点播、狱务公开、电化教育、视频会见、远程医疗等教育子网功能；确保监狱对罪犯上网行为的安全可控，实时监控掌握罪犯动向；减少各类因软硬件问题产生的维护工作,降低运维和支持成本；降低硬件、系统等故障和安全策略等问题导致数据丢失和自由拷贝等风险,提高数据安全和业务安全；提高终端的集成度，减少连接线缆,实现设备的统一管理、统一维护、统一调度,保障教育活动的有序进行和监管安全,结合教育改造需求,依托监狱综合布线和教育改造专网部署应用,采用虚拟化技术,建设教育平台，乔司监狱现计划根据《教育专网及计算机终端配置建设指导意见》建设电算化教室与视频点播系统。第二章整体建设方案2.1整体部署拓扑图2.2部署方案说明2.2.1深信服一站式桌面云部署中心机房部署说明：此方案采用分布式部署，中心机房只需部署一套桌面虚拟化服务器与控制器（为两个监区的量级，用于灾备接入）。另外，中心机房部署基础架构，AD域控制器和DHCP服务器（如果已有现成域控制器DC/DNS/DHCP，能够利用现有服务器），AD域控主要作联动认证之用，也能够采用本地认证（在VDC上直接添加用户名密码），而DHCP服务器主要为瘦终端和虚拟桌面自动化分配IP地址。各监区部署：各监区经过裸光纤直接接入到中心机房，并分别部署桌面虚拟化系统。各监区服务端各集群部署2台独享桌面服务器（X86服务器），同时各部署1台虚拟桌面控制器VDC，VDC以单臂模式部署于交换机中（如图所示），各监区电算化教室需部署相应数量瘦客户机adesk，经过认证后，虚拟机以图像方式将对应桌面发布到瘦终端。2.2.2在线教育门户系统部署在线教育门户系统包括门户子系统、在线教育子系统、内容管理子系统、流媒体子系统和视频转码子系统组成，五个子系统集中部署到中心机房，另外需要部署一套存储用于媒体资产的存储使用。另外，由于门户子系统、在线教育子系统、流媒体子系统是对外服务功能部件，考虑冗余备份，采用服务器集群的部署模式，需部署负载均衡设备做服务器负载（如图所示）。运用多台服务器集群的机制，深信服负载均衡AD设备能将所有真实服务器配置成虚拟服务来实现负载均衡，对外直接发布一个虚拟服务IP。当用户请求到达应用交付设备的时候，根据预先设定的基于多重四、七层负载均衡算法的调度策略，能够合理的将每个连接快速的分配到相应的服务器，从而合理利用服务器资源。不但在减少硬件投资成本情况下解决单台服务器性能瓶颈，同时方便后续扩容，为大并发访问量的系统提供性能保障。经过对服务器健康状况的全面监控，深信服负载均衡AD设备能实时地发现故障服务器，并及时将用户的访问请求切换到其它正常服务器之上，实现多台服务器之间冗余。从而保证关键应用系统的稳定性，不会由于某台服务器故障，造成应用系统的局部访问中断。第三章深信服一站式桌面云解决方案3.1深信服桌面云整体架构深信服桌面云产品最重要的一个特点就是“一站式”，由深信服向客户提供包含服务器虚拟化软件（VMS）、桌面云虚拟化（VDC）以及瘦终端（aDesk）在内的整体解决方案，从而能够帮助用户降低投资和运维成本，更快速的实现虚拟桌面的部署。瘦终端aDesk：外观小巧精致，采用ARM架构（A9芯片）和Android系统，性能强劲，处理速度快。相比于X86架构的瘦终端，其能耗更低、长期运行稳定性更高（无需散热）、且操作系统精简化，可实现零维护。同时，利用外设重定向技术，可兼容桌面应用中的各类外设。虚拟桌面控制器VDC：主要实现用户接入认证、细粒度策略控制、虚拟桌面及瘦终端的统一监控、管理等，以更低成本、更安全、更可靠地交付Windows桌面，支持硬件VDC和软件VDC（部署于虚拟机）两种部署模式。服务器虚拟化软件（VMS）：祼金属架构，直接安装于物理服务器上，提供性能强劲、高可靠性的虚拟化计算平台，实现虚拟机快速部署、资源管理和监控、动态在线迁移、数据备份及恢复等，可为云桌面工作负载提供先进功能，支持大规模部署且易于操作。3.2多种桌面交付类型独享式桌面：基于服务器虚拟化技术在服务器为每个用户分配独立的虚拟机（安装WindowsXP、Windows7等桌面操作系统），每用户桌面都拥有独立、完全的桌面使用和控制权限，用户可远程访问属于自己的虚拟机（桌面）。适用场景：对于允许自主安装软件、应用环境相对复杂的用户（例如：研发、销售、营销、领导层等），独享桌面能够提供个性化Windows桌面体验，经过为用户单独设置一个虚拟操作系统，满足日常个性化办公需求。共享式桌面：多个用户会话共享服务器上运行的WindowsServer桌面环境，每用户桌面都是被锁定的、标准化的，能够访问预安装的一组核心应用程序，但无法自主安装软件或更改桌面配置。适用场景：对于需要使用桌面、不允许自主安装软件（例如：柜台业务、数据录入、流程操作、生产线等）的用户，共享桌面能够提供标准化办公桌面，满足标准型办公需求。虚拟化应用：基于服务器操作系统（如WindowsServer，WindowsServer，WindowsServer）的用户会话共享和应用程序多实例功能，允许多个用户同时远程连接到同一个应用程序，用户可拥有个人应用数据，并共享使用同一套互相隔离的应用程序。适用场景：对于不需要使用桌面、应用数量较少的用户（例如：公共查询机等），虚拟应用技术能够把所需要的应用直接交付给用户，经过各类设备访问以满足任务型办公需求。3.3模块介绍3.3.1AD/DHCP服务器活动目录（AD）服务器提供标准的LDAP目录服务，VDC支持与AD联动，负责用户的身份认证和权限自动导入。DHCP是DynamicHostConfigurationProtocol（动态主机配置协议）的缩写，它的作用是给瘦终端和虚拟桌面用户自动分配IP地址。3.3.2桌面服务器和磁盘阵列（VMS）在每台桌面服务器上安装服务器虚拟化软件（VMS），VMS为祼金属架构，无需宿主操作系统，向导式安装过程、操作简单。可为云桌面方案构建一个功能强大、高可靠性、高可扩展性的虚拟机运行和管理平台，实现物理资源动态调配、虚拟机快速部署、监控及管理等。由于后端部署了独立存储设备，虚拟机和用户数据存储于磁盘阵列上，能够经过HA和迁移技术保障服务端的高可用性。3.3.3虚拟桌面控制VDC硬件VDC（如VDC-2500）以单臂模式部署于网络中，或软件VDC（镜像导入虚拟机）部署于VMS虚拟机平台上。主要提供用户创立和认证、资源访问控制、桌面监控和管理等功能，VDC能简化云桌面的管理、调配和部署，用户能够经过VDC安全而方便地访问云桌面，IT管理员能有效地管理数百甚至数千个桌面，从而节约时间和资源。3.3.4终端设备支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面；支持Windows7（32位和64位）、WindowsXP（32位）、Windows8（32位和64位）、WindowsXPE、iOS、Android等客户端操作系统。3.4服务器群集设计思路如上图所示，在每台X86服务器上安装服务器虚拟化软件（VMS），经过VMS软件可为云桌面平台提供最高的可用性，不但配置方法简单，也无需采用第三方集群软件，因此成本更低。VMS的HA配置采用一键化模式，在控制台界面中快速开启HA功能后，便能够将所有或部分服务器组成高可用性架构，无论是计划外停机或者服务器出现故障，此架构都能提供最高级别的服务可用性。VMSHA机制经过以下方式保障服务的可用性：持续监控虚拟机和服务器的运行状态，无需在虚拟机内安装其它软件；检测到故障后，经过在集群内的其它正常主机重启虚拟机，防止服务器故障；结合VMS资源自动调度功能以防止出现故障，以及在群集内的主机之间提供负载平衡。当然，如果某台物理服务器需要维护，在无需中断服务的情况下，可将服务器之上的虚拟机动态迁移至其它服务器，管理员能够快速、完整地执行透明的运维工作。3.5深信服SRAP协议技术详解深信服推出针对aDesk桌面云方案设计的SRAP高效交付协议，向用户快速提供“高清桌面体验”，SRAP（SangforRemoteAccessProtocol）即Sangfor远程接入协议，是专为虚拟桌面而开发的虚拟化技术协议框架，相对传统RDP协议可提升6倍以上传输效率。SRAP采用自适应调节、高效算法、智能优化等技术手段，可实时动态优化端到端的交付性能，以适应各种应用场景，不论是普通办公应用还是语音、视频等多媒体应用，经过深信服自主研发的创新技术都能够全面改进用户体验。SRAP作为全新的虚拟交付协议，其实质是在服务端增加SRAP模块实现协议代理，SRAP客户端与其交付过程中进行各项速度、体验方面的优化。深信服SRAP协议面向多种虚拟桌面和应用类型，经过数据转发控制，数据压缩、缓存与过滤等方式提供能够与传统PC软件相媲美甚至更卓越的使用体验，而且针对不同用户环境、不同使用场景的独特情况，都能够采用最佳优化手段来适应环境变化，进一步改进用户体验。高效、智能的优化手段SRAP虚拟协议技术框架主要经过高效流压缩、智能缓存优化、动态图像过滤、多媒体重定向总共4种优化手段协同工作，此4类技术点分别涵盖丰富的优化特性，且经过相互之间的融合，在各种用户场景进行手动和自动化适应以提供最佳的桌面使用体验，可支持1080P高清视频流畅播放。普通办公效果对比对于营业厅、内网办公、外派分支、生产车间等普通办公环境，用户经过桌面云需要访问各种OA、ERP等应用，打开PDF、Office等文档。经过在不同的办公环境（局域网和互联网）下进行实际测试，我们发现未采用优化手段时，在虚拟桌面进行PPT切换的操作会存在显示速度慢、图像不全等问题。（PPT切换效果对比图）开启SRAP协议优化功能之后，在网络延迟较高、丢包较为严重的情况下，依然能够保障较为流畅的桌面操作体验，用户基本感觉不出有卡顿的现象，且对带宽占用极低，让用户在局域网环境和互联网环境下都能够高效办公。（SRAP优化数据分析）网络延迟丢包情况响应速度局域网环境非常流畅，接近于本地体验50ms2%比较流畅，基本无卡顿现象200ms5%一般流畅，用户感觉可接受数据总量SRAP优化压缩倍数1802291096.2注：1.流量单位Byte；2.压缩倍数=数据总量/SRAP优化后的数据量。高清视频播放效果对比除了普通的办公场景外，对于呼叫中心、多媒体培训室/教室、上网浏览等应用场景，用户还需桌面云能够提供语音、高清视频的流畅体验。（视频播放效果对比图） 传统采用服务端解码的播放方式如上图优化前的效果，会存在视频模糊、视频帧缺失、音视频不同步、带宽占用高等问题，基本无法正常观看视频。深信服创新性地提出多媒体重定向技术，采用先进的编码和流媒体技术，在服务器将经过压缩和编码的流媒体发送至终端，经过基于软件和硬件的处理能力实现本地播放，提升多媒体播放性能，可流畅播放1080P的高清视频。总体来说，深信服自主设计的SRAP框架以智能、自适应模式持续为用户提供高清桌面体验，我们也将不断优化SRAP协议，以全面强化与云桌面技术的结合，确保能够创造丰富、高清的桌面操作体验，满足终端用户的访问要求，推动桌面云技术方案在企业级用户中实际落地。3.6如何实际应用aDesk方案电算化教室多用途化：传统PC如果要满足不同业务教学需求，需要安装N多种教学软件或进行复杂的桌面更换。当采用了aDesk方案之后，能够根据授课内容、团队培训目的等实际需求，利用桌面模板化技术快速满足多种教学用途，随时随地完成教学桌面切换，提升了教学质量。个性化教学：所有教学环境虚拟化后，桌面环境能够随需选择，比如实现单一化业务培训时，则能够选择仅发布标准化、涵盖所需软件的桌面系统，让她们只能接触到和教学相关的软件，精力集中，实现高效培训或教学，且节省硬件资源。或者为学员发布个性化上机桌面，保证学生能够自由实验，实现个性化学习，提供了一个完全开放式的教学实验新平台。教学桌面高效管理：强大的桌面还原模式让操作系统重启即可恢复正常，无需担忧软故障或故意破坏行为对系统造成的影响，实现对分散化IT的集中式管理和安全控制能力，无论是重装系统、更新软件、甚至是灾难恢复，都能在不影响教学的前提下，在办公室里远程、在线轻松地完成。3.8深信服一站式方案优势总结3.8.1方案价值总结1. 运维成本大幅降低桌面云的应用将极大的减少后期的运维成本，采用模板化的部署方式后，一个新的桌面用户能够在10分钟左右就完成交付使用，而故障的排查和修复时间更是大幅度减少，原来只能管理100台终端的IT管理员现在能够轻松的管理上千台的虚拟桌面。保守估计，算上设备更替和运维的成本，5年的IT总成本能够节省40%以上。2. 节能降噪，绿色办公传统PC每小时耗电量大概在190W左右，而瘦终端的能耗只有10W。以1000台的部署规模为例，按一天开机10小时、每年240个工作日、每度电按0.75元的工商业用电价格来折算，即使算上数据中心新增服务器的电力成本，把1000台PC换成瘦终端每年至少可节省25万元电费。能耗/台部署规模开机时间/天工作日/年总能耗/年电费/千瓦时总电费/年传统PC190W1,000台10小时240天456,000千瓦时0.75元*342,000元瘦终端10W1,000台10小时240天24,000千瓦时0.75元*18,000元数据中心新增服务器（1000台瘦终端的承载量）的电力成本70,000元每年可节省电费254,000元*中国工商业用电平均费用以0.75元/千瓦时计算。3. 保护信息资产安全桌面云将所有的数据集中存储在数据中心，笔记本、瘦终端等前端设备只接收图像，整个业务过程里数据不落地，确保安全。而集中化的部署方式也更有利于IT部门对信息资产进行统一管理。不但如此，桌面云还能够轻易的在组织内部建立起相互逻辑隔离的多张网络、来满足不同类型业务的使用需求。4. 桌面随身行办公模式适应移动信息化建设趋势，在策略许可的情况下，用户能够实现在任意时间、任意地点、经过任意终端访问自己的个人桌面，真正做到桌面随身行，在任一终端上的桌面操作能够在另一个终端中继续开展，工作不会因为场所变化而中断，从而提升员工的工作效率。3.2 方案优势介绍完善的全系列云方案：涵盖瘦终端、虚拟桌面控制器VDC、虚拟机管理软件VMS三大环节，业界方案最全面，兼容性最好，性价比最高，为IT提供了一种更加精简和安全的方法来管理用户和提供可按需访问的敏捷桌面服务。卓越的用户体验：针对各种应用场景进行性能调优，高效传输协议SRAP提升6倍以上的速度，将访问带宽降至最低，达到与传统PC一致的访问体验。而且利用瘦终端ARM架构内置的高清视频协议处理器可流畅播放1080P高清视频。更全面的安全保护机制：高达8种身份认证方式自由组合以保障用户接入安全，全方位的加密算法保障传输安全，灵活访问控制进行集中鉴权，数据存储加密保障个人数据安全，最终实现端到端桌面云安全保护。集中式WEB管理模式：整套方案的搭建仅需两大组件（VDC和VMS），相对业界其它厂商其部署组件最少，并可提供集中式、单一化的远程运维模式，提高了虚拟桌面部署的易用性和可维护性。专业的本地化服务模式：国内唯一具备自主研发整套虚拟化产品体系的厂商，在中国拥有大规模的开发团队，可快速响应用户的需求；全国40多个办事处提供本地化技术支持，售后服务体系完善。3.9产品精彩亮点解析3.9.1良好用户体验高清视频体验深信服桌面云方案允许在虚拟桌面中查看或编辑图像和多媒体信息，且能够支持1980*1200分辨率和32位彩色桌面显示。另外，传统桌面虚拟化方案在播放高清视频时主要采用服务器解码和播放，然后将变化中的图像按帧传输给前端显示设备，但这种方式对服务器性能要求高，且非常占用带宽资源，往往效果不好。而深信服提出音视频重定向技术，将1080P高清视频流在服务器上进行编码和压缩，然后直接传输到前端设备，利用基于高清视频处理器和本地解码技术流畅地播放高清视频，给客户带来极佳的视频观看体验。高效SRAP协议云桌面需要经过网络交付给前端设备，其中最重要的组成部分就是桌面交付协议。SANGFORSRAP协议发展于，是专门为虚拟桌面或远程应用程序的高效交付而设计的，能够满足低带宽的传输需求，同时具有最佳的外设兼容性。SRAP协议主要经过高效流式压缩算法、有损压缩、图像缓存匹配、动态内容识别过滤、文字图像识别智能压缩等优化技术提升6倍以上的传输效率。最低带宽要求仅需20~30K/s，在丢包和延迟都比较高的网络环境下依然能够正常使用，最大程度保障用户桌面体验。单点登录技术客户有可能使用多个虚拟应用程序或Windows虚拟桌面，而每套应用系统或桌面系统都会有单独的身份认证措施，一般情况下是需要多次认证才能正常办公，这种工作非常繁琐且容易出错，影响工作效率。为了提升终端用户的满意度，深信服引入单点登录技术，在经过VDC严格认证之后，无需再次进行虚拟应用和虚拟桌面的认证，采用“一键化”模式开启桌面和应用的操作界面。当前支持BS和CS类型的远程应用和Windows虚拟桌面的单点登录功能，实现多系统和多桌面整合，避免用户重复输入账号或口令的繁琐操作，提升员工工作效率和操作满意度。同时，对已经开启了单点登录的虚拟应用程序，用户可在登录成功后在个人设置中对这些应用进行单点登录帐号、密码自设定，所设置的数据将以加密的方式进行传递，并对管理员不可见，保证用户帐号的安全性。自动化桌面部署在DHCP环境下，用户使用瘦终端，可在无人指导的情况下，快速接入云桌面，实现即插即用的终端操作体验。另外，相对传统PC上线前需要经过硬件采购、系统安装、桌面运维等一系列的繁琐、复杂的过程，在部署好桌面云平台之后，管理员能够经过虚拟机模板来快速、自动地为新用户派生虚拟桌面，同时管理员不但可在控制台查看用户虚拟机的CPU、内存、磁盘的详细情况，还能够对用户虚拟机进行开机、关机、挂起、重启等电源级别操作。当用户虚拟机出现故障后，管理员既能够经过新的虚拟机模板进行快速替换，也能够在控制台远程接入用户虚拟桌面，协助处理系统故障问题。3.9.2最优的灵活性广泛终端支持用户能够经过任意终端设备来访问属于自己的个人虚拟桌面，而且能够实现终端迁移功能，在多个终端间切换，不会影响原先的桌面操作行为，真正做到桌面随身行。当前支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面；支持Windows7（32位和64位）、WindowsXP（32位）、Windows8（32位和64位）、WindowsXPE、iOS、Android等客户端操作系统。丰富的桌面类型不同的场景、不同的岗位上的员工需要不同类型的桌面，深信服经过SRAP交付技术提供多种不同类型的虚拟桌面，来满足用户多样化的桌面需求，具体如下：共享桌面：利用服务器操作系统的多用户会话共享功能，允许多个用户同时远程连接到同一个操作系统，并为每个用户提供不同的桌面，用户可拥有自己的桌面配置和个人数据，并共享同一套完整的桌面系统；标准化的桌面办公环境，能够提供一组核心应用，适用于不需要（不允许）个性化安装软件或无自主桌面控制权限的任务型员工，比如办事大厅、职能办公、生产线、培训中心等。远程应用：利用服务器操作系统的用户会话共享和应用程序多实例功能，允许多个用户同时远程连接到同一个应用程序，用户可拥有自己的应用配置和个人数据，并共享同一套应用程序；特定的应用程序交付，适合于应用数量较少，日常办公时仅需操作某几类软件，或需要移动办公的员工，如营业厅、生产线、销售部门及管理层移动办公等。独享桌面：基于服务器虚拟化提供的可远程访问的桌面，即服务器能够根据模板自动为每用户分配一个虚拟机（安装WindowsXP、Windows7等桌面操作系统，而且每个独享桌面相互隔离），用户远程访问自己的虚拟机，并可拥有独立、完全的桌面使用和控制权限。适用于有系统个性化需求、对性能要求高的桌面用户，当然部署独享桌面对服务器和存储资源的要求比较高。无论企业内的各种用户应用场景以及用户的需求如何多样化，经过SRAP交付技术，总能找出一种适合的技术来满足各种场景和用户的需求。IT部门能够交付各种虚拟桌面–每种桌面都经过专门定制，可满足每位用户的性能、安全性和灵活性要求。外设的总线映射技术 深信服桌面云方案允许将外设连接到终端上，外设驱动安装于服务器上，然后能够如本地桌面一样使用各种外设，尽管虚拟桌面是在服务器上运行的。经过总线映射技术在终端连接外设的接口如USB或串口与服务器上的虚拟桌面构建一条专有的隧道，用于传输各种外设的控制指令，能够支持包括扫描枪、扫描仪、摄像头、密码小键盘、二代身份证读卡器、手写板、打印机映射、USB-key等常见总线办公设备，而且保持会话间的隔离。另外，深信服推出专有的虚拟打印技术，经过在服务端选择SANGFOR虚拟打印机，在客户端本地打印机即可打印文件，且服务器端的虚拟机上无需安装本地打印机驱动。智能开关机智能开关机能够真正实现对用户虚拟桌面开、关机进行自动控制。即使瘦终端已经关闭，用户可能会忘记关闭位于服务器上的虚拟机，此时便能够实现对虚拟机的自动关闭功能，从而能够节省服务器的硬件资源。同时，经过软件内置的定时开机功能，能够指定在任意时间开启个人的虚拟机，且开机时可将用户虚拟机自动调度至资源充分的服务器上，一方面经过此技术能够避免IO风暴，加快系统登录时间，另一方面，经过自动化技术来简化用户访问虚拟桌面的操作步骤，让用户体验到简约、便捷的桌面操作。3.9.3端到端安全设计虚拟桌面从防范非法用户和恶意系统管理员的角度进行全方位的安全防范，保证接入虚拟桌面的用户和数据高度安全性，深信服aDesk桌面云方案集成了丰富的VPN安全特性，针对各分层采用安全措施具体如下：终端安全采用精简加固基于AndroidOS，瘦客户机无本地存储，能够说数据总是存放在最安全的地方。用户接入虚拟桌面资源时经过合法性认证、USB灵活可控策略、应用策略化控制、还原模式等方式保证终端安全。− 集成本地认证、短信认证、动态令牌、数字证书、第三方认证等身份认证机制，而且多种身份认证方式能够自由组合，以确保接入用户的身份唯一性；− 基于灵活策略设置USB端口使用权限，比如是否允许使用USB设备（包括打印机、扫描仪等），还能够灵活控制USB硬盘的单向使用权限（比如仅允许访问终端往虚拟桌面拷贝数据，而不允许桌面到终端的数据拷贝）；− 基于策略的访问控制：能够根据用户、网络、服务、设备、系统等，经过关联的策略为她们分配合适的访问权限。支持客户端安全检查功能，能够根据客户接入终端的系统版本、接入IP，接入时间，杀毒软件的安装更新情况等，指定用户的访问控制策略；− 桌面注销时还原至原始状态，该模式下，除了指定的一些目录外，用户所做的操作都会在重启后被还原。模板升级后，用户重新打开的虚拟机包含模板升级的内容，能够降低终端中毒风险。传输安全经过VLAN隔离，并内置企业级防火墙模块进行状态化ACL访问控制，管理员登录时采用HTTPS加密传输、用户访问虚拟桌面采用传输加密等手段，保证业务运行和维护安全。终端到虚拟桌面之间仅传输图像变化和指令信息，不直接传输实际数据，也即是说，“瘦终端+云桌面”让数据不落地，保障传输安全性；可对传输加密通道进行基于IP、服务的访问控制策略，减少异常流量的传输，且支持同一传输通道不同会话的隔离控制，包括存储会话、虚拟打印会话、总线映射会话等等，从而提升传输通道的灵活度；经过对终端到虚拟桌面进行全程流量加密，杜绝中间人攻击行为，当前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，而且支持扩展国密办SCB2（SM1）等其它加密算法，确保通信的安全性；在桌面云接入平台上内置了企业级防火墙模块，经过灵活的ACL访问控制策略和DDoS设置，为整个平台提供状态包过滤和基本安全保护。平台安全虚拟化基础架构（VMS）的安全性关系到整个虚拟桌面访问的稳定性和数据安全性，本方案首先经过高可用性设计满足业务稳定性需求，然后再经过虚拟机隔离、数据盘加密控制、管理员权限细化等安全机制保证用户数据的安全。在独享桌面的情况下，每用户独占一个虚拟机，经过VMS底层机制实现CPU调度、内存、网络访问、磁盘IO、存储空间的隔离，用户虚拟机的故障和安全问题不会影响到其它用户，保证虚拟机之间的隔离安全；每用户都会分配个人数据盘来存放文档，当用户迁移至虚拟桌面的使用模式后，所有数据都集中存储于数据中心。因此，经过为个人数据盘进行加密存储，让其它用户包括管理员都无法访问，能够保证用户个人稳私安全；不同管理员角色，授予合适的管辖权限范围，并保存操作日志。支持分级管理权限，包括上级管理员有权操作下级管理员的配置行为，相反则无权；支持上级管理员将虚拟桌面资源授权给下级管理员。经过终端安全、传输安全、平台安全三大层次的端到端、多方位安全机制，能够完善保障用户接入安全、数据安全、管理安全、虚拟化安全、基础设施安全等多个建设环节，轻松应对虚拟桌面在建设过程中所面临的安全威胁及挑战。3.9.4最低的IT总体成本高效率、低能耗瘦终端深信服aDesk瘦终端是一种理想的桌面设备，它外形小巧，无噪音运行，日常耗电量仅需10瓦，经济环保。aDesk允许随时随地连接SANGFOR虚拟桌面平台，不但可获得与传统PC一致的访问体验，而且提供了可靠的安全性；同时经过虚拟桌面控制器VDC进行中央管控，极大简化aDesk瘦终端管理工作。深信服aDesk瘦终端适用于金融、运营商、企业、政府、教育、医疗等行业的多种办公场景，故障排除、软件安装和系统升级都在服务器端完成，提高了安全性和管理的便捷性，并为企业节约了大量的IT投资。内存页合并技术在桌面云的建设方案中，服务器的投资占较大比例，硬件资源的节省可降低整套方案的投资成本，更好地推动云桌面应用模式的落地。因此，深信服创新性地提出内存页合并技术，因为我们发现，一台服务器承载了几十台甚至上百台用户虚拟机，但这些虚拟机都有相同的只读内存页面，比如操作系统执行代码等，针对相同的页面，深信服内存页合并技术实现内存区域的共享，从而发挥内存的最大效率，节省服务器的物理内存空间，提升用户虚拟机的部署密度。经过实际测试数据表明，此技术至少能够节省20%服务端成本。镜像分离和IO加速 一般情况下，每个用户的虚拟桌面和个人数据都是独占一份存储空间，其实大家都可能使用的是同一套Windows操作系统，无非就是应用程序和个人数据不同而已。因此，深信服aDesk桌面云方案将操作系统镜像和个人数据（包含应用程序）进行分离，经过模板化系统镜像技术实现集中化、快速的桌面交付，此技术不但可节省存储空间，而且管理员只需维护同一操作系统镜像，日常系统升级、软件更新将会非常高效，工作量较少。另外，由于多用户共享同一套模板镜像，能够利用服务器的内存或缓存卡进行重复数据IO加速，能够消除相同OS类型的桌面同时启动时的重复IO，以提升虚拟桌面启动速度和运行效率。桌面服务器群集设计如上图所示，在每台X86服务器上安装虚拟机管理软件VMS，经过VMS软件可为虚拟桌面平台提供最高的可用性，不但配置方法简单，也无需采用第三方集群软件，因此成本更低。VMS的HA配置采用一键化模式，在控制台界面中快速开启HA功能后，便能够将所有或部分服务器组成高可用性架构，无论是计划外停机或者服务器出现故障，此架构都能提供最高级别的服务可用性。VMSHA机制经过以下方式保障服务的可用性：持续监控虚拟机和服务器的运行状态，无需在虚拟机内安装其它软件；检测到故障后，经过在集群内的其它正常主机重启虚拟机，防止服务器故障；结合VMS资源自动调度功能以防止出现故障，以及在群集内的主机之间提供负载平衡。当然，如果某台物理服务器需要维护，在无需中断服务的情况下，可将服务器之上的虚拟机动态迁移至其它服务器，管理员能够快速、完整地执行透明的运维工作。

第四章在线教育门户系统在线教育门户系统是集资讯发布与在线教育为一体的综合性门户系统，由门户子系统、在线教育子系统、内容管理子系统、流媒体子系统和视频转码子系统组成。门户子系统用户信息发布，丰富服刑人员监区文化生活，包括信息发布、狱务公开、信息检索、在线服务和交流互动几大功能模块在线教育子系统根据用户身份不同展现不同的功能模块，管理员身份登陆包括首页、学习任务、课件管理、用户管理、消息推送、数据统计、个人资料等功能模块，主要用于展示管理员身份信息，给普通用户设计学习任务，查看用户学习情况等。普通用户登陆后包括首页、学习任务、消息推送、个人资料四个功能模块，主要用于普通用户学习管理员设计的学习任务、查看个人资料及接收管理员推送的消息。内容管理子系统用于内容资产的录入，包括门户子信息需要发布的各种图文、视频信息，及在线教育子系统需要录入的课件内容。内容管理子系统提供WEB管理页面供管理员登陆后操作。流媒体子系统提供为门户系统提供视频播放能力，转码子系统对内容管理子系统录入的视频资产进行视频格式转码。4.1门户子系统门户子系统是丰富服刑人员监区文化生活，创新文件教育感化人的一种手段，是服刑人员实时感受社会气息，使用监区在线服务的平台。门户子系统包括信息发布、狱务公开、在线服务、信息检索和交流互动几大功能模块。4.1.1信息发布信息发布包括如下功能模块：时事新闻：国内资讯、国际资讯、政法资讯、重点热点、社会观点、浙江监狱。法律法规：国法法律、监狱法规以及监狱相关的主要规章制度；监所警察：监所塑造人物及一线展示。大墙心声：大墙警示、人情冷暧、新生之路、改造成果以及文件作品及感悟。通知公告：公示公示、服务信息等大众信息就业指导：用工需求、技术培训电子期刊：内部发行的各类刊物电子版，可包括其它可订阅的电子期刊专题策划：针对内部专题活动、报道等4.1.2狱务公开狱务公开包括如下功能模块：制度公开：对涉及监狱执法工作的法律法规以予公示执法工作：显示狱政管理、生活卫生、教育改造相关公告、公示信息考核奖惩：显示百分考核、减刑假释信息4.1.3在线服务综合数据查询：对服刑人员的指定改造数据进行查询的浏览卫生申请：包括大帐申请、采购申请会见申请：包括远程视频会见申请、亲情电话、会见申请等4.1.4信息检索信息检索：经过关键字对全部信息进行模糊检索4.1.5交流互动执行服务：制度解答、执法指导等狱政监督：主要采集监狱政务和狱务工作中的监督信息的举报信息以及相关工作的调查的反馈信息采集局长信箱：省局接受有关执法、行政等方面的投诉和监督，对其中可能需要督促有关部门管理的事项进入相关业务流程处理监察信箱：接受有关执法、行政等方面的投诉和监督，对其中可能需要督促有关部门管理的事项进入相关业务流程办理监狱长信箱：监狱接受有关执法、行政等方面的投诉和监督，对其中可能需要督促有关部门管理的事项进入相关业务流程办理驻监检察组信箱：驻监检察组授受有关执法投诉，并对需要联合办案事项进入监狱相关业务流程办理，对需要移交的案件事项进入检察办案流程意见建议：监区授受有关执法、行政等方面意见的建议互动邮箱的业务流转采用基于业务支撑的数据同步以数据主动推送的方法实现，并同时触发事件提醒，与OA系统、警察职工管理系统、罪犯管理律法信息系统、公检法司数据交互平台有机整合。在线调查：如出监调查等视频点播在线投稿4.2在线教育子系统在线教育子系统是针对服刑人员进行网上在线教育的综合性平台，它集信息发布、学习任务设计、教学管理、消息推送等功能，数字化地实现服刑人员的三课教育、满足服刑人员的精神需求，提高服刑人员的文化素养的技术技能。4.2.1学习任务管理员界面新建学习任务管理员创立学习任务的步骤：1) 设置任务名称、有效期、备注（选填）2) 组织课件，经过课件名称搜索内容管理平台上传的课件，添加到学习任务中。3) 对课件设置学分和类型，课件类型分为必修和选修。4) 选择接收学习任务的监区和分组。（支持多选）任务发布列表管理员查看已发布任务的名称、学习对象、创立人、学分、创立时间。点击学习任务名称可查看任务内容。支持经过日期和任务名称进行检索查找。管理员可删除已发布的学习任务。学习任务情况学习任务情况界面可查看学习任务名称、学习对象、应参加人数、实际参加人数；点击任务名称，可查看每个用户的名称、应学习课程时长、已学习课程时长、习进度，并支持按用户名称检索查找。 普通用户界面学习任务列表展现用户接收到的所有学习任务，列表项包括任务名称、课程学分、已获得学分、创立人、创立时间、状态。用户点击“开始”，即以弹窗展开该任务内容。支持用户按照任务名称进行检索。学习进度用户学习进度可查看每个学习任务的名称、课件总时长、已学习时长、完成进度。用户点击“开始”，即以弹窗展开该任务内容。支持用户按照任务名称进行检索。课件管理（管理员功能）课件上传1) 支持监区各级管理员上传课件，上级进行审核，审核经过则进入转码并发布到课件资源中心，审核不经过则驳回。2) 课件上传者能够查看所有上传过的课件，课件列表分为已发布、待审核、未经过三个列表，表单项包括课件名称、审核进度、转码状态等。3) 课件上传者在上传课件的同时，需要填写视频标题、归属栏目、视频简介，才能提交审核。4) 如果需要对审核中或审核经过的课件信息进行修改或删除课件，需要填写原因后，提交上级审核，审核经过后，才能完成修改或删除。课件审核1) 能够查看待审核和已审核的课件列表。2) 管理员能够查看所辖地区所有课件审核情况，并按时间、课件名称、区域划分搜索，课件审核及待审核数量一并呈现。3) 待审核列表中展示上传时间、上传来源地区、栏目归属、视频时长，审核者能够对列表中的课件进行预览、经过、驳回等操作。如需驳回课件，必须填写原因，操作才能成功，而且课件上传者能够查看。4) 已审核列表中展示审核时间、上传来源地区、栏目归属、视频时长、审核状态（经过或驳回），审核者能够对列表中的课件进行预览、撤回审批等操作。撤回审批必须填写原因，操作才能成功，而且课件上传者能够查看。5) 审核者对课件审核经过后，即进入转码，完成后发布到对应站点的对应栏目。课件下载1) 支持管理员在课件下载界面中查找平台的课件资源库。分为图文类和视频类下载。实现全网模糊搜索。资源库课件按照树状目录展现。课件列表可查看课件名称、视频时长、上传者。预览界面可查看课件名称和课件简介。2) 支持管理员预览和下载课件。3) 支持按名称检索资源库中的课件。4) 与数据统计模块相通，统计课件下载量和点击量。4.2.3用户管理（管理员功能）分组管理1） 管理员用户能够根据普通用户刑期自定义分组2） 支持管理员对辖区内的用户进行分组调整，并支持批量操作。3） 支持管理员对用户进行筛选。a. 个人用户筛选项：年龄、文化程度、地区、入监时间、政治面貌。4） 提供排序功能，支持按照姓名首字母、学习次数（月）、学习时长（月）进行正序和倒序排列。5） 支持用户名称搜索。6） 分组列表中，点击用户名称，可查看用户资料、学习记录。用户管理1) 支持管理员创立、删除、修改辖区内的用户账号。2) 支持在账号管理界面进行用户名搜索和地区筛选。4.2.4. 消息推送 管理员界面1) 各级管理员能够对所辖不同分组或全员推送消息2) 推送消息前，需填写标题、内容、推送时间、推送群组3) 支持查看推送消息记录4) 支持取消未推送的消息 普通用户界面1) 用户能够在个人中心的“消息推送”栏目，查看管理员推送的消息列表，列表项包括内容标题、日期、状态（已读/未读），点击标题，可查看消息详情。2) 支持按内容标题检索消息。3) 支持用户删除消息。4.2.5 个人资料账号信息1) 用户能够查看和修改账户信息。2) 普通用户账户信息包括：姓名、性别、出生日期、文化程度等3) 管理员用户账户信息包括：管理员姓名、管理员电话、管理员邮箱、电子邮箱等修改密码支持用户修改账户密码。我的收藏展现用户收藏的内容，收藏列表包括栏目、内容标题、收藏时间等。节目推荐向用户推荐指定内容，推荐列表项包括栏目、内容标题、更新时间等。4.3内容管理子系统 内容管理子系统用于门户与在线学习子线系统的内容录入与编排。管理员经过登陆内容管理子系统WEB管理页面对系统内的全部内容进行管理，包括音频、视频、文字类、图片类的各种内容。并协助门户编辑人员，利用模板、栏目预设等技术，快速实现将内容展现成为门户页面，并能够动态进行调整。同时向管理员提供对系统的管控支持。4.3.1内容管理本模块的主要功能是对基础数据管理、节目审核和节目管理，能够实现对节目的初审、终审，节目的录入、删除管理，节目分类的管理等。同时支持不同资产内容的预览。录入：节目的录入支持单条节目的手动录入，也支持经过EXCEL文件批量导入。资产类型能够包括文字资产、图文资产、视频资产及图文、视频混合资产。初审：录入后的节目，即进入初审流程。初审不经过的节目，录入操作员必须重新修改节目，然后才会再次进入初审流程。终审：初审经过的节目，将进入到终审流程。终审经过的节目将自动进入上线状态。终审不经过的节目，录入操作员必须重新修改节目，然后才会再次进入初审流程。上线：终审经过的节目，将自动进入上线状态，这时编排操作员可挑选编排这些节目在WEB页面展现。下线：上线的节目如果要修改或删除只能经过下线操作，下线后的节目可修改删除，修改后节目将进入初审流程。编排管理经过编排系统能够对门户展现内容进行编辑管理。包括栏目的添加、修改、删除。栏目内容的挑选、排序、编排。根据门户模板，在相应的推荐位上线指定内容。4.3.3转码管理转码管理模块经过转码子系统接口，提供视频转码管理功能。包括新增转码任务、转码任务查询、转码进度查询、转码结果查询等。同时也能够配置转码策略，实现按特定的转码需求对源文件进行转码。4.3.3系统管理系统管理向管理员提供对系统的管控支持，包括操作员新增、删除、权限配置等。4.4转码子系统转码子系统包括配置管理、FTP服务和转码等模块，系统经过开放API接口，提供云编码能力和运营服务能力。4.4.1系统功能功能大类功能小类子功能客户功能视频转码文件转文件转码（可批量）源文件上传本地视频文件FTP上传任务管理创立转码任务转码任务启动转码任务查询转码任务优先级调整计划管理新建转码计划管理转码计划运营功能系统资源管理计算资源管理模板管理新建转码参数模板转码参数管理新建转码任务模板转码任务模板管理权限管理创立帐号管理帐号信息角色管理开放接口业务系统接口云转码系统与平台其它系统接口能力模块接口云转码系统与第三方系统接口4.4.2支持的源文件视频格式容器类型文件扩展名WindowMedia*.wmv;*.avi;*.asfMPEG-1SystemSteam*.mpg;*.mpegMPEG-2ElementaryStream*.m2v/m1vMPEG-2TransportStream*.m2t2;*.m2t;*.mts;*.ts;*.trp;*.tpMPEG-4*.mp4;*.m4v3GP*.3gp;*.3g2DVDvideoobject*.vobRealMedia*.rm;*.rmvbAppleQuickTimemedia*.mov;*.qtFlashMedia*.flv;*.f4v;*.swfMatroskaMedia*.mkvOthers*.divx4.4.3支持的源文件音频格式视频编码音频编码MPEG1/2/4AC3H.264high/main/baseDTSRealVideoRealAudio4.4.4转码时效性保证 功能说明传统转码系统由于没有调度策略或调度策略过于简单导致在后面提交转码任务长时间等待，表现为必须等到前面提交的任务转码完毕后才能执行后面提交的任务；另外传统的转码系统由于未使用流媒体分布式计算技术，导致单个转码任务耗时过长，严重影响内容的运营效率。针对以上问题云编码系统经过智能调度算法、任务优先级设置和流媒体分布式计算技术解决了以上难题，在最大化利用转码资源的基础上保障转码任务有序、有效的执行，保障转码任务的时效性同时又可实现转码计算资源偏向某些级别较高的用户提交的转码任务。智能调度模块不为某一用户的某一转码任务设计独立的时效性保障机制，如要保障某一转码任务在指定时间内完成则需分配独占的转码资源。 任务智能调度机制实现方式智能调度机制指的是系统经过某种任务调度策略选择某用户提交的转码任务并经过转码器调度策略把任务安排给若干转码器完成执行的过程。系统支持如下任务调度策略：简单轮询策略，权重随机策略，权重轮询策略。简单轮询策略：各用户轮流分配，每次只分配一个任务；权重随机策略：根据各用户的权重值，划分一些用户段，然后随机取一整数，判断该数位于哪个用户段，则取那个用户中的任务；理想情况下取到某个用户的概率为其权重占总权重的百分比；系统默认使用该策略。权重轮询策略：根据各用户的权重值，设置用户的当前权重值为当前权重值加上用户权重值，依次轮询取当前权重值最大的用户队列，并将该用户队列的当前权重值置为当前权重值减去总权重值。系统支持如下转码器调度策略：公平调度算法，计算能力优先算法。公平调度算法：根据当前集群可用资源（空闲转码服务器）平均地分配任务，这样每个任务都能平均地共享到转码资源；系统默认使用该策略。计算能力优先算法：根据当前任务提交时间和优先级进行排序，依次比较任务所需转码计算资源和当前集群可用转码计算资源，若满足该任务执行需要，则分配该任务执行。4.4.5转码成功率保证功能说明转码子系统经过目标校验和三级容错保证转码成功率。目标校验可保障95%转码成功率，而三级容错则保障剩余5%有解决方案，不对用户造成任何不利影响。 实现方式目标校验是对视频源文件以及转码输出文件做有效性校验，当发生视频源错误时无法启动转码任务，并向用户侧发出报错信息，当发生转码输出文件错误时系统将自检错误而且对发生错误的分片进行重新转码，直至目标校验经过。三级容错是根据系统规则进行系统容错和人工容错。转码子系统设计有三级容错，系统容错分二级，第一级容错为视频源预处理机制，系统具备判断某一视频源是否具备转码条件的能力，并能即时反馈消息至用户侧，使其能第一时间更换视频源文件；第二级容错在视频切片模块，该级容错确认该视频源是否具备切片条件，如无法切片则将完整视频源作为1段切片执行转码；第三级容错为人工容错，对目标校验失败3次以上的转码任务进行人工容错，经过人工异步处理该转码任务，如人工处理成功则继续系统流程，如人工处理失败则向用户侧发出详细的报错信息4.5流媒体子系统4.5.1流媒体子系统功能支持直播流注入支持对客户端基于