XX企业300点办公桌面云解决方案2018

XX企业办公桌面云解决方案文档编号VE-C-B-20180410A3密级商业机密版本编号V3.2日期2018-04-10版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属和 信创天所有，受到有关产权及版权法保护。任何个人、机构未经和信创天的书面授权许可，不得以任何方 式复制或引用本文的任何片断。版本变更记录时间版本说明修改人2015-11-06V1.0创建解决方案中心2016-09-14V2.0修改解决方案中心2017-10-18V3.0修改解决方案中心2018-04-10V3.2修改解决方案中心目录一、概述4二、现状与需求分析42.1数据安全52.2用户行为无法监督错误！未定义书签。2.3病毒木马破坏52.4系统运维困难5三、总体设计63.1设计目标63.2设计原则73.3参考标准8四、和信下一代云桌面系统解决方案84.1下一代云桌面系统结构与部署84.2系统部署方案184.3项目投资规模22五、公司简介24O Vsystem一、概述随着信息网络的迅速发展，在当今的信息时代，信息技术已经彻底改变我们 的生活和工作方式，也改变着现行企业单位的管理模式。作为信息的管理部门， 必须考虑当前技术的发展给我们的工作所带来的利益和威胁。如何更好的利用信 息网络及终端进行安全的工作和通信，同时保护计算机自身的信息安全，成为当 前终端管理和信息安全迫在眉睫的问题。目前企业单位都对IT建设和管理提出了更高的要求，各企业单位开始意识 到在IT系统建设和管理中，必须有一套规范、可管理的IT服务管理流程，同时 要从不断发展的新技术中寻求真正满足和适合企业信息化需求的IT产品，加强 IT系统的建设和管理。确保系统的正常运转，保证企业工作的开展，促进企业 工作的和谐发展。然而建设和管理很重要，科学有效的管理理念更加重要。二、现状与需求分析信息化社会的今天，信息化建设已经得到了极大地发展，各种信息数据已经 成为企业单位最重要的资产之一，重要应用系统、涉密的内部数据更是一个机构 组织核心技术、核心竞争力和核心秘密的载体,往往关系到组织机构的生死存亡。 如何控制这些重要数据，防止其失、泄密，已经成为企业单位今天最为关注的问 题。系统崩溃、蓝屏死机、病毒木马、数据泄密、误删除系统文件等，使得企业 信息网络及终端的管理和安全问题变得格外紧迫，而且加重了信息中心技术人员 的日常工作量，也为各企业工作人员的日常工作带来诸多不便。XX公司目前需要新购180-250台信息终端，用账户密码模式统一管理用户权 限，每个用户分配2T存储空间在服务器上，将所有在用办公系统整合进新系统， 支持高清显卡，支持后续设备数量的扩容，不允许使用USB设备，不允许接入互 联网，部分员工可以控制上传和下载。由于业务的重要性，XX企业在终端安全与信息数据管理依然存在较多的风险 和问题，具体如下：21数据安全目前企业内网的很多涉密数据是非加密存储在本地硬盘，如果电脑或硬盘被 盗，将导致数据泄密问题。内部人员也可能通过U盘、邮件、网盘或者QQ等多种途径将数据资料进行 泄漏。2.2病毒木马破坏由于网络隔离及还原卡等原因，导致病毒库得不到有效升级，无法有效防护 新病毒。而杀毒软件本身主要以规则检测为主，稍微经过变异处理的病毒木马都 很难有效检测出来，往往落后于病毒的发展，无法真正保障系统安全。再加上内 部工作人员进行内外网的网线相互拔插，不但外网，连内网都很可能感染病毒木 马。近年来木马技术越来越先进，通常只在盗取资料时进行连接，用户很难发觉, 往往以后自己电脑还处于安全环境之中。2.3权限没有统一管理企业计算机一般没有统一规划，入职后直接配发一台计算机给员工，员工随 意创建帐号密码，甚至很多计算机没有密码，加大了企业机密数据泄露的可能性。 员工离职后其他员工不知道计算机帐号密码而无法登陆该计算机。员工随意在计算机中安装各类软件，也增加了运维管理难度，私自下载软件 安装还容易携带木马。很多企业会创建文件共享目录方便文件共享，在没有权限管理的情况下只能 靠控制共享密码来限制用户访问。2.4系统运维困难企业终端多、分散、维护人员不足，出现无法及时更新系统补丁和应用软件。 而80%的电脑故障都是软件故障，而绝大多数的软件故障均与误操作和文件损坏 有关，信息中心经常需要为各部门的同事重新安装系统与应用软件，也需要根据虚拟改变世界，和信成就未来 工作与业务需求变化，不定期地为大量的计算机更新操作系统与应用软件，而这 些维护工作都需要占用计算机，会严重影响企业日常工作的顺利进行。因此，通过对企业网络和应用问题的实际分析，我们认为通过在企业内外网 部署下一代云桌面系统平台，能切实解决目前企业内外网终端管理所存在的问 题。下一代云桌面系统是以桌面虚拟化技术为基础实现动态的应用交付，将服务 和应用集中于服务器端，不需要改变原有网络结构，只需部署和配置服务器，客 户端便可通过网络得到自己的虚拟桌面，并运行工作业务所需要的各种应用程 序。完全避免了传统IT架构下，终端管理软件部署和运维复杂的问题。它不仅 可以集中部署、统一管理、而且支持个性化设置。从安全角度讲，集中的管理也 避免了传统分散、庞大的终端管理体系中，因少数终端脱离管理而使企业整个网 络的安全出现短板的情况。三、总体设计3.1设计目标根据企业信息化办公环境要求，对终端实现统一、集中的管理，并最大可能 的保护其企业各网络和系统资源与数据的安全性，获得良好的管理。同时，无缝 的整合企业现有安全保密产品，且保持终端用户自由、灵活的使用习惯，保证良 好的用户体验。在达到良好的管理和安全的前提下实现深入的成本控制。总体设计目标是在不影响企业信息化办公环境网络正常工作的前提下，从虚 拟防护、合规高效、桌面管理、现有安全保密产品无缝整合等多个角度构建一套 完整的下一代云桌面系统管理体系，实现对企业中终端及数据的安全管理，最终 达到企业信息化建设的相关要求。主要达到以下目标：实现对企业终端信息系统的安全和有效管理保护企业终端的可用性及企业系统服务的业务连续性使企业满足等级保护和分级保护的合规性要求保护企业信息的机密性、完整性和规范性建立统一帐户权限管理机制从驱动级杜绝一切USB设备连接终端所有数据统一存储于服务器上无缝对接现有所有办公软件防范企业终端受病毒和木马的侵害减少企业运维成本保持良好的用户体验完全兼容企业内部已部署的各类安全保密产品支持横向扩容3.2设计原则为保证方案的能够最终达到企业信息化建设的相关要求，在设计方案时遵循 如下的设计原则：方案先进原则：信息化办公环境的桌面虚拟化系统平台要求功能完善、 技术先进、安全可靠、服务领先；系统安全原则：管理系统自身安全包括物理安全、系统安全、数据安全 和运行安全等；可扩展原则：统一规划，兼顾长远，既要满足现有的需求，又要兼顾系 统的可扩展性，保证分布实施的延续性。系统在结构、规模、应用能力等各个方 面都必须具备很强的扩展能力；可靠性原则。执行IS09002质量认证体系要求，确保安全保密设备的高 可靠性和稳定性；经济性原则。桌面虚拟化系统平台的建设、运行维护以及将来的扩展建 设，必须符合经济性原则；易操作原则。桌面虚拟化系统平台的使用、维护、管理、发行等方面要 易操作；高效原则。桌面虚拟化系统平台的处理能力要求能满足现阶段的实际需 求，保证系统的高效运行，并能根据系统的发展进行不断提升；功能完整原则。桌面虚拟化系统平台的功能完整，应用安全扩展系统功VGsystem能完整；灵活性原则。桌面虚拟化系统平台的系统扩展、应用安全建设方面都必须满足灵活性要求。规范性原则。桌面虚拟化系统平台必须满足国家各种相关规定和标准。3.3参考标准信息安全等级保护管理办法(公通字200743号)信息系统安全等级保护基本要求(GB/T 22239-2008)信息安全技术信息系统通用安全技术要求(GB/T 20271-2006) 信息安全技术信息系统安全管理要求(GB/T 20269-2006) 信息安全技术信息系统安全工程管理要求(GB/T 20282-2006)信息安全技术操作系统安全技术要求(GB/T 20272-2006) 电子计算机场地设计规范GB50174-2000 计算站场安全要求GB9361-1998用户终端设备耐过压和过电流能力要求和试验方法YD/T870-906信息技术设备包括电气设备的安全GB4943-9541下一代云桌面系统结构与部署我们采用“和信”下一代云桌面系统(VENGD )产品部署，“和信”下一代 云桌面系统通过集中在数据中心的操作系统镜像来实现对终端PC桌面的统一管 理和交付，管理企业成千上万台PC等同于管理一台PC。部署之后，企业终端PC 遇到任何木马病毒只需重启系统就能够自动恢复到安全状态，对系统应用程序、 软件补丁、策略配置可以实现统一升级、分发与加固。它的部署可以充分发挥企 业部门现有的本地硬盘的存储功能，启本地缓存后能将服务端分配给自己的标准 镜像，全盘缓存到本地，这样即使是断开了服务器，不仅也能从虚拟系统启动并 应用，有效的保障了业务连续性。当重新连接上服务器后，可以立即校验脱离服VEsystem虚拟改变世界，和信成就未来务器期间的数据变化更新数据，且完全不需要改变原来的网络结构和PC硬件，更 不会影响原有业务应用，能够在短时间内平滑升级，且可对本地硬盘进行加密, 脱离环境无法打开本地硬盘读取数据，保证安全性。4.1.1 VENGD系统结构基于VOI(Virtual OS Infrastructure)的VENGD是指将传统PC计算机分 散的终端软资源(含操作系统、客户应用策略、应用软件、客户数据)集中在数据 中心统一管理，进行有效地组织、安全地存储、按需地分配，并充分利用原有本 地硬件资源，提升安全性和可用性，具体架构图如下图所示：客户端服务器/数据中心通过网络传输的 虛拟操作系统映像合式机和笔记本电脑网络基于VOI的VENGD虚拟就绪映像1应用应用桌面操件系统启动加载器虛拟就绪映像2桌面操作系统虛拟映像服务器服务器操柞系统IIIIInillNIlimilH:jRiirnn川即hh服务器负载均衡412 VENGD系统功能和信下一代云桌面系统主要功能如下:虚拟防护：-远程虚拟化管理-网关控制-病毒库同步-防ARP欺骗桌面管理：-资产管理-USB屏蔽-补丁管理-软件群发行为控制：-设备控制-应用软件控制-上网监控-行为监控413 VENGD系统特点集中、统一化管理桌面虚拟化在终端管理方面的优势体现在可集中、统一的对终端进行管理， 可完全改变传统分散的终端管理模式；终端以远程启动的方式，根据部门或应用 访问相应的，经过统一配置的操作系统镜像。因终端使用统一的操作系统镜像， 所以管理员可以通过对一台终端的管理而实现对全部门的管理，这将会大大改变 传统分散终端管理模式的复杂性，使终端管理变得简捷。保障数据和硬件资产安全从数据安全来看，“和信”下一代云桌面系统能够实现对终端硬盘的全面加 密，即使有非法人员将硬盘窃走也无法访问里面的数据。下一代云桌面系统还能 够实现对U盘等移动存储介质、光驱、打印机等各种外接设备的限制，杜绝外接 设备成为泄密通道。可以实现数据与系统、应用隔离，将所有数据都直接集中在 服务器上，保障数据安全。从硬件资产安全来看，非法用户非法拆卸终端内部硬件，“和信”下一代云 桌面系统管理控制台发出报警提示管理员。建立合规基线企业信息化的快速发展既带来了便利也带来了风险。按照相关规定，企业建 设必须符合等级保护和分级保护的规范要求。而目前国家等级保护和分级保护的 管理规范都对终端PC提出了更加细粒度的合规性要求。传统PC桌面的管理方式 松散无序，且停留在应用程序层面，很难实现细致的合规配置，并长期维持更新。“和信”下一代云桌面系统从硬件底层起全面接管操作系统，任何的合规性要求 均可以直接在数据中心的单一镜像中实现，无需逐一配置PC，真正形成了终端 桌面的统一化合规基线，任何时刻都能够迅速满足等保、分保等各类国家规范的 标准。任何时候都可以轻松应对相关部门的合规性检查。全面保障终端安全通过部署“和信”下一代云桌面系统，企业信息技术人员可以对所有终端桌 面操作系统进行统一安全加固，达到C级操作系统安全水平。终端桌面在每次重 启后将自动重新加载操作系统镜像，任何写入到操作系统注册表、后台服务、系 统进程、关联文件的木马病毒都被彻底清除，完全不依赖病毒木马数据库检测方 式，确保终端桌面的安全可靠。而任何由于误操作或者软件冲突等常见行为导致 的运行缓慢、系统崩溃、蓝屏死机等问题也无需管理员介入，重启终端桌面后将 自动恢复到正常工作状态。同时，“和信”下一代云桌面系统本身采用了灰度更 新、数据校验、驱动守护、进程监控、负载均衡等十多项核心技术全面保证桌面 系统的稳定可靠“和信”下一代云桌面系统还提供了流量控制、arp防护、时间控制等众多 管理功能，能够防止工作人员对终端和网络资源的滥用，避免一些不恰当的用户 行为。降低运维成本采用传统分布式计算模式，IT必须对企业内的数百台或数千台桌面进行逐 一管理：员工人数越多，IT支持负担就越重，因为每个应用和操作系统的实例 会增多，每台桌面的复杂度也越高。采用“和信”下一代云桌面系统后，企业信 息管理员只需要维护数据中心的操作系统镜像，各自补丁、软件的安装升级维护 只需要在一台PC上进行部署，其他终端桌面在下一次重启后自动拥有了该补丁 和软件，无需再次安装维护。根据IDC调查数据表明，部署了下一代云桌面系统 的企业机构，配置和管理成本减少了 93%；技术支持电话的数量也减少了 72%。 大型设计及应用极佳体验VENGD从桌面应用交付提升到了 OS （操作系统）的标准化与即时分发，终端 对PC本地资源的充分利用，不再依靠于GPU虚拟化与CPU虚拟化技术，而是直 接在I/O层实现对物理存储介质的数据重定向，以达到虚拟化的操作系统完全工 作于本机物理硬件之上，从驱动程序、应用程序到各种设备均不存在远程端口映 射关系，因此杜绝了传统VDI桌面虚拟化软硬件兼容性问题，能够近乎完美的支 持计算密集型和图形密集型应用以及视频、Adobe Flash和流媒体的良好运行， 使得企业设计部门在大型应用（如AutoCAD/3Dmax/UG/ProE等大型工业软件） 具备极佳体验。快速灵活的部署方式VENGD的部署不需要改变企业现有的网络环境和PC硬件，也不会影响企业原 有业务应用系统，同时保留了用户的个性化设置要求，能够平滑地从传统桌面 管理过渡到基于VOI桌面虚拟化体系中。VENGD安装步骤非常简单方便，只需要 在服务器上安装好服务器端程序，建立用户定制的操作系统镜像文件，然后将 所有客户机的开机启动顺序改为从网络启动即可管理，不需要逐一安装客户端 代理软件。与企业现有安全保密产品整合在企业安全保密部门往往部署了各大厂商的安全保密产品，和信下一代云桌 面管理系统完全兼容各大厂商安全保密产品，如文档加密、终端认证、终端 审计产品等，可以通过授权统一部署下发客户端，对安全软件授权进行统一 的迁移，保留安全保密厂商的认证与运行方式。4.1.3 VECloud 云存储在信息化建设的过程中，随着应用的不断丰富以及数据的大量增长，之前的 存储设备和存储方式已经不能满足数据在增长、保护和性能上的需求。尤其对数 据安全和数据保护要求严格的业务系统需求更为明显，所以需要寻求更加可靠、 有效的数据存储方案来解决单位内部多种文件的存储、共享、安全等问题。和信云存储平台可实现数据跨平台实时存取，以及数据分类、分权限共享等 功能，保障数据的灵活存取和应用，打破原有因技术因素导致的信息隔离，实现 数据信息资源的良好管理，提高工作效率。云平台的搭建要以实现数据的云端存储为基础，进而实现数据的实时同步、 共享及在线浏览等，在保障数据安全的前提下实现资源利用的最大化。和信 VEcloud系统是一套通过集群应用、网格技术及分布式文件系统功能，将网络中 大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数 据存储和业务访问功能的一个系统。和信云存储系统的结构模型由4层组成。存 储层、基础管理层、应用接口层、访问层。存储层是云存储最基础的部分。存储 设备可以是FC光纤通道存储设备，可以是NAS和iSCS I等IP存储设备，也可以是 SCSI或SAS等DAS存储设备。基础管理层通过集群、分布式文件系统和网格计算等 技术，实现云存储中多个存储设备之间的协同工作，使多个的存储设备可以对外 提供同一种服务，并提供更大更强更好的数据访问性能。和信云存储平台能够提供安全、可靠、高效的数据存储系统，同时针对单位 内部数据管理特征制定一套标准的数据管理应用解决方案。和信云存储系统包 括：后端数据存储中心和前端应用客户端。数据中心支持集群部署以及同第三方存储设备的兼容，前端客户端支持包括web网页访问、windows客户端访问、移 动客户端访问等。能够很好地满足用户跨平台存储的需求。和信云存储技术特点如下：1）多终端文件同步技术（网页端、Windows客户端、手机PAD移动端）;2）文件秒传技术，存在系统中的文件，第二次只需比较即可上传成功；3）超大文件存储技术，支持超4G文件存储；4）支持文件夹分享、外链下载和文件权限控制；5）文件历史记录及版本恢复；6）在线浏览文档、视频文件等；Windows 谕 免费下载Android 口 iPhone/iPad 免護下载App Store欢迎登录和信云存储帐号：密码:两周内自劫登录忘密码？文件夹自动同步电 脑与服务器文件自 动比对，保持一致共辜协同！让成员之间更方便 分辜文件.包括： iPhone/Android手 机，多款浏览器支持頁冬访问方式,因客户需求为每个用户2TB个人云存储空间，250人需要500TB存储空间，本 项目建议采用GS9124 v2存储设备加JBOD扩展柜提供相应存储物理空间。GS9124 v2云存储4U24 盘位 2.5/3.5 寸 N AS-SAN（1）存储功能： NAS承载在千兆，万兆，25G, 40G以太网光口或电口之上 iSCSI承载在千兆，万兆，25G，40G以太网光口或电口之上 FC-SAN承载在8G、16G，32G FC网络之上 Infiniband 承载在 40G/56G/100G HCA 卡网络之上注:本次建议采用标配，只有2个千兆网口用于NAS、iSCSI，可以扩展 其他接口（2）产品定位：GS9124 v2是一款NAS-SAN集中存储，具有存储业务方式灵活，大容量，高 性能，高可靠性和最高性价比的云存储产品。为部门：提供10-500人的统一 NAS文件共享；为企业：提供1000-2000+邮箱的数据存储；为监控：提供1000+以上摄像头的集中云存储或分布式云存储支持纠删 或多副本；为企业：提供200TB以上的单台云盘，备份归档系统离线或近线存储系 统（3）产品性能： GS9124 v2支持3个PCI-E 3.0插槽（1个默认被12G SAS HBA卡占用， 还可以额外扩展2个PCI-E 3.0） GS9124 v2默认2个千兆，整机可以实现180-200MB带宽 GS9124 v2在2块 双端口 8G/16 FC-SAN模式下，可以达到2.5GB带宽， IOPS全随机4K SSD，不少于15万 GS9124 v2在2块 双端口 10G iSCSI模式下，可以达到1.8GB带宽，IOPS全随机4K SSD，不少于10万VGsystem（4）硬件规格:项目描述机架式存储4U 19英寸标准架式FC-SAN/NAS云存储处理器默认Intel 64位多核处理器内存默认4G内存，最大64 GB （单条16G）硬盘规格2.5/3.5 寸 企业级 SATA,SAS,SSD硬盘容量单柜支持288 TB （单碟12TB）,根据需要可以接JBOD扩展柜接口默认2个千兆接口，可以额外选配1-2块相冋或者不冋类型的 千兆网卡、万兆网卡或光纤HBA卡管理接口1个管理接口，实现WEB图形界面管理RAIDRAID 0,1,5,6,10,50,60, NRAID, JBOD电源标配1+1冗余电源运彳丁环境运行时10C至35C非运行时-40C至+55C周围环境（5）软件功能:模块功能标准版基础系统IP设置支持多网卡，支持静态IP和DHCP网卡绑定支持负载均衡（load-balance）和失效保护（failover）路由管理用于多网段情况下设置静态路由MAC地址绑定绑定允许访问的客户端的IP地址和MAC地址，拒绝伪造IP访问本地帐户管理本地用户、组的创建、删除、修改卷组管理多个物理卷形成虚拟的存储池，支持在线扩容逻辑卷管理在虚拟存储池中进行逻辑卷划分和管理，支持 在线扩容磁盘监控磁盘SMART功能，坏道过多或者温度过高的 时候主动报警，硬盘位置图形显示（需定制）RAID管理RAID控制卡管理以及软RAID管理，软RAID 支持 RAID0,1,10,5,6增强 RAID 2.0支持局部重建以及磁盘坏块二次映射UPS设置支持APC/MGE/SANTAK品牌的UPS通知，通过SP100支持所有厂家所有型号UPS事件通知对设定类型的事件进行 Email报警，内置SNMP Agent，支持 SNMP TRAP掉电保护通过SP100检测UPS掉电，在设定的时间内正常关闭存储，并可以通知其他服务器事件日志详细的操作和运行日志，支持系统日志下载性能监控实时监控CPU/网络/内存的使用情况，通过曲线图显示环境监控实时监控CPU核的温度，以及某些主板上的风扇转速，可设置报警（需定制）集中管理在一台设备中添加其他设备的登录信息后，只要登录这台设备即可管理其他设备磁盘测速对多个硬盘冋时测试访问速度，通过曲线图实时查看，可用于烤机或者检测低性能硬盘系统配置管理导入和导出系统配置，可以从阵列中恢复系统 配置NAS多协议文件共享支持CIFS/NFS/FTP文件共享协议为SAN逻辑卷设置iSCSI Target,支持CHAP,iSCSI Target 管理多种缓存策略，可设置可访问IP4.1.3基于AD的域管理基于AD的域是Microsoft公司为了方便，最大的优点是实现了集中式管理。 以前在无数客户端要重复多次的设置，只要在域控制器上做一次设置就可以了。 减少了管理员的工作量，减少了维护企业计算机终端维护的开支，降低了总体拥 有成本。原来每个人都是本地计算机的管理员，有安装QQ、迅雷、视频播放器、炒 股软件的权限，每个人都能完全控制自己的计算机，而公司IT管理人员无法对 公司内计算机设置权限，这导致了每台计算机系统都完全不同，随时因为员工安 装卸载软件导致系统崩溃。在域模式后。普通的域用户对于客户机的权限是管理 员分配的，按照级别、职务、对计算机了解程度而分配不同的权限。对于公司内 部的共享文档管理也可以按照部门、职能、职务划分，减少数据误看、误拷、泄 露、误删除的可能性，所有人只能看到他权限以内的文档，而且可定义增删改查 权限。AD是一个大的安全边界，用户只要在登录时验证了身份，这个域林中所有 允许访问资源都可以直接访问，不用再做身份验证，也提高的效率减少了维护成 本。对于公司内部的共享文档管理也可以按照部门、职能、职务划分，减少数据 误看、误拷、泄露、误删除的可能性，所有人只能看到他权限以内的文档，而且 可定义增删改查权限。还通过文件夹的重定向将所有用户桌面的“我的文档”重定向到文件服务器 上。一来可以集中备份，不用担心客户端重装和故障造成用户数据丢失；而来不 管用户在域中哪台计算机登录都可以找到自己的“我的文档”，实现文档跟随用 户走。事 VEsystem4.2系统部署方案421系统拓扑图针对企业部门实际情况分析，北京和信创天科技有限公司为了有效的满足企 业部门终端管理实现的要求，采用VENGD作为终端管理系统的架构,从管理运维、 安全及应用等方面为各终端提供全面的桌面虚拟化解决方案。在VENGD部署过程中，采用集群服务器、负载均衡方案，确保系统高可靠性 与数据库的高可用性，具体拓扑结构如下：企业虚拟终端管理系统拓扑图422部署方式将“和信”下一代云桌面系统服务器无缝嵌入到企业部门现有业务、安全保 密产品服务器群里。在安装部署前保证企业各个VLAN下终端与业务服务器群互 联互通，系统支持跨网段、跨VLAN部署。（1）和信下一代云桌面系统部署方式VENGD服务器集群部署方式：VENGD可通过多台服务器构建服务器集群实现冗余、负载均衡，无缝嵌入到企业现有业务、安全保密产品服务器 群，当单台服务器出现故障，依然保证企业各个部门终端正常工作，保 证业务的连续性。 Web控制台部署方式：控制台主要用于信息管理人员对企业部门各终端 管理，在企业网内任何终端通过浏览器可实现对终端的便捷性管理。客户端部署方式：环境下分别任选一台终端机器上进行安装，并将系统 封装上传到服务器上。其他所有终端机器只需要将系统启动改为从网络 启动即可，无须逐一安装。安全保密产品兼容部署：在和信终端管理系统受控终端下任选一台终端 统一安装下发、安全保密产品客户端，通过和信下一代云桌面系统迁移 功能保留安全保密产品软件授权机制。根据企业部门的实际情况，采用“和信”下一代云桌面系统部署如下：根据企业实际情况，为各组织结构建立相应的操作系统镜像、应用及数 据存储平台，按照组织架构方式的实现从操作系统、应用、策略配置以 及数据的按需交互。 对于重要保密部门，为防止资料外泄，可以通过磁盘加密功能加密企业 计算机物理硬盘，同时下发限制使用USB等外置接口的管理策略，当硬 盘被非法获取后，非法用户也无法访问磁盘数据，且无法通过外设任意 拷贝数据导致泄密问题。通过屏幕截屏功能，可以有效威慑用户私下窃取拷贝公司数据的行为。企业部门工作人员在使用终端时遇到系统崩溃、感染病毒木马或者其他 软件冲突，只需重启机器即可完全恢复正常，无需系统管理员协助处理。通过进程白名单，可以控制用户使用的应用程序。和信下一代云桌面系统工作流程如下：1、管理员根据企业需要，分别制作操作系统镜像，根据部门需要在各个操 作系统镜像里部署应用程序及制定终端管理策略；2、部署VENGD后，企业部门员工终端一旦发生软件冲突、系统蓝屏、系统 运行缓慢、病毒感染等问题，终端使用者只需要重启电脑，操作系统自动恢复到初始正常工作状态，而之前各种终端数据将依然保存下来，包 括桌面文件、壁纸、IE收藏夹、cookie、office保留文件等；3、企业员工在络新增终端接入后自动获得相应的工作环境，无需花费大量 时间安装符合办公所需要的操作系统。4、当安全审计产品、系统补丁、应用软件需要升级或者安装新的软件时， 管理员只需在选择任意一台工作终端以管理员身份登录，进行升级或者 安装，保存重启后所有的工作终端都将获得升级和更新。423应用效果通过在企业部门里部署“和信”下一代云桌面系统（VENGD）将完全满足其 需求，部署效果如下：提高企业终端高可用性与连续性在企业部署VENGD后，企业网络内所有终端系统及应用可实现重启恢复，无 论因误操作还是病毒木马造成的系统及应用问题都会在重启后瞬间得到恢复。所 有的终端计算机的安全补丁和系统补丁都能够及时得到更新，系统管理可以快速 实现所有终端操作系统的安全加固工作。所有的终端计算机从此告别了系统反复 重装，实现了 100%的操作系统可用性，提高了企业工作人员的工作效率。提高企业数据与资产安全VENGD通过外设控制、数据集中存储、屏幕截屏、进程白名单等多种功能对 企业内网商业数据进行进行保护。即使机器或硬盘被盗，非法人员也无法获取涉 密及商业数据，将减少数据泄密发生。同时还可以通过邮件系统进行邮件内容的 过滤监控，防止用户外发泄密邮件，使得企业数据与资产安全得到大大的提高。 提高企业用户行为监督VENGD通过ARP防护、进程管理、上网行为管理、带宽管理、外设控制等用 户监督行为，对企业资源、应用、用户上网行为、外设使用等进行监控，杜绝企 业员工不良或非法占用、泄密行为发生，当不良或非法行为发生后，及时追究非 法行为责任。实现服务器集群部署、冗余存储和备份恢复VENGD通过集群部署，负载均衡、冗余存储等技术，保证终端的高可用性虚拟改变世界，和信成就未来 与连续性，实现业务不中断；通过数据冗余、灾难备份，为企业部门提供高可靠、 高安全的终端管理平台。无缝兼容企业现有安全保密产品在企业部署安全保密产品，可以实现在VENGD环境下统一安全客户端程序 同时通过VENGD迁移功能，保留安全保密产品软件授权，实现安全保密产品在 VENGD环境下的无缝整合与稳定运行。424价值体现（1）保证企业业务连续性与高可用性，任何操作导致终端系统、应用崩溃，只 需一键重启，1分钟即可恢复到正常工作状态。（2）给企业带来极致安全，保证管理单一终端，即可完成成千上万台终端的系 统补丁、病毒库更新100%有效升级，全面提升安全防护能力；10分钟实现操作 系统安全加固，达到C级安全系统水平；（3）实现企业计算机终端的标准化，可加强软件正版化管理，提升企业终端安 全，完全符合国家相关要求和国际发展趋势的，属于目前国内各省市企业信息化 中最为先进的管理系统。（4）降低企业成本投入，一台部门级服务器和百兆网络即可支持至少300台PC 桌面；集中化管理平台，实现终端桌面“0”维护，成本下降73%；大大降低维 护人员要求，无需专业的系统管理员与存储管理员。（6）能够集中用户数据，防止用户私自使用非授权允许的软件，威慑用户窃取 资料的行为，定期记录用户操作行为，避免数据泄漏；（7）系统部署的网络环境最差可以低至1Mb,甚至网络故障或者中断，终端仍 然可以继续单机工作，避免IT事故。（8）全面无缝兼容市面上各类安全保密厂商的安全保密产品。4.3项目投资规模431方案配置推荐方案：办公终端电脑、软件平台安装承载所需的服务器及数据存储全部新购,虚拟改变世界，和信成就未来配合云桌面及云存储软件系统搭建全新的办公云平台。项目描述数量云桌面服 务器（硬件）硬件配置：CPU： 8 核内存：32GB网卡：4 块 1Gigabit/Full-Duplex硬盘：2*300GB 10,000 rpm 内置硬盘，RAID-1；存储：支持HBA或iSCSI连接，可以将所有的虚拟机镜像文件（Virtual Disk Image）、 云存储的文档资料都保存在远程共享存储中2台客户端（商用一体机）屏幕尺寸21.5英寸屏幕分辨率1920x1080CPU系列 英特尔 酷睿i5 6代6400TCPU 主频 2.2GHz最高睿频2.8GHz内存容量4GB DDR4最大内存容量16GB硬盘容量1TB光驱类型DVD刻录机无线网卡 支持802.11ac无线协议有线网卡1000Mbps以太网卡USB接口驱动级隔离蓝牙 蓝牙4.0模块鼠标键盘蓝牙鼠标+蓝牙键盘250台和信云桌 面系统 （软件）软件功能：250个使用授权管理端：云桌面策略管理中心接入授权：非OEM产品并支持管理界面LOGO自定义，具备同时发布VOI、VDI、IDV桌面系统；虚拟磁盘管理、软件分发、系统还原、个人安全磁盘、远程控制、 外设访问控制、客户端截屏、灰度更新、ARP防护、软件白名单、服务器集群等；1套云存储 服务器 （硬件）CPU： Intel Xeon E5 *2内存：64GB网卡：4个千兆网卡硬盘：100G以上1台存储系统（硬件）4U 19英寸标准架式FC-SAN/NAS云存储处理器：默认Intel 64位多核处理器内存：默认4G内存，最大64 GB （单条16G）硬盘规格：2.5/3.5寸企业级SATA,SAS,SSD硬盘容量：单柜支持288 TB （单碟12TB），根据需要可以接JBOD扩展柜接口：默认2个千兆接口，可以额外选配1-2块相同或者不同类型的千兆网卡、万1台兆网卡或光纤HBA卡管理接口 ： 1个管理接口，实现WEB图形界面管理RAID： RAID 0,1,5,6,10,50,60，NRAID，JBOD电源：标配1+1冗余电源和信云存 储系统 (软件)软件功能：250个使用授权1、必须同时支持web网页、PC客户端、移动客户端；2、系统服务端软件同时支持部署在windows系统和linux系统上3、支持用户数据在不冋系统和不冋设备的客户端进行数据冋步更新备份；4、支持用户上传、下载数据文件到服务器上，PC客户端、An droid客户 端和I0S客户端能够实现全自动的数据同步备份；5、云存储系统支持对共享文件夹和文件进行权限管理，包括创建、编辑、 重命名、删除等；6、云存储系统支持间体中文、繁体中文和央文多种言语；7、Web网页端支持文件夹文件打包下载，支持图片在线浏览，支持文本文 件的在线编辑&支持文件分享外链，并支持设置需要密码分享外链；9、支持集群部署，线性扩容，支持IP-SAN、OpenStack等第二方存储系 统；1套”VGsystem虚拟改变世界，和信成就未来五、公司简介北京和信创天科技有限公司(VEsystemlnc,.)成立于2009年,是国内虚拟化和 云计算产品服务的领导厂商，是国内第一家通过中国人民解放军虚拟终端类产品 认证的，是中国电信集团云计算战略合作伙伴，国家核高基项目虚拟化分课题任 务承接单位。作为领先的虚拟应用产品和服务提供商，和信创天拥有下一代云桌面系统等 系列产品，能够满足不同用户对终端控制管理的需求。目前，和信创天的产品和 服务已广泛应用于政府、金融、能源、教育、企业等众多行业。和信创天是业界最具技术创新和产品研发实力的企业之一，拥有国际一流的 虚拟应用技术研发团队一一虚拟应用研究实验室。同时，和信创天还与清华大学、 华中科技大学等国内著名高校建立了长期合作关系。雄厚的技术实力使得和信创 天在国内第一家推出基于VOI虚拟终端系统的“和信”下一代云桌面系统，并完xvesystem虚拟改变世界，和信成就未来全具有自主知识产权，处于业界领先水平。和信创天总部位于北京，在加拿大等国家设立了分支机构和代表处，在中国 建立了以京津冀、华北、华东、华南、华中、东北、西北、西南等八大平台为依 托，遍布全国的代理商体系以及销售与服务网络，为全国用户提供专业、快捷的 服务。未来，和信创天将继续秉承诚信和创新精神，继续致力于提供具有国际竞争 力的自主创新产品和服务，帮助客户全面提升信息化平台的工作效率和管理品 质，为打造国际一流的专业公司而不懈努力。