數(shù)據(jù)不落地���、移動新應用�����、安全更可靠---格力電器山東省分公司業(yè)務系統(tǒng)改造案例
時間:2014-06-24 14:40:26 來源:瑞友天翼 點擊:
一、背景
1����、公司背景
格力電 器是成立于1991年的目前全球最大的集研發(fā)、設計、生產(chǎn)��、銷售�����、服務于一體的國有控股專業(yè)化空調(diào)企業(yè)���,格力電器的營銷網(wǎng)絡遍布全球����,在國內(nèi)市場尤為突 出,在全國各省市都設立直屬分公司。格力電器山東省分公司(以下簡稱:山東格力)成立于2000年�����,借助格力電器技術和品牌優(yōu)勢���,憑借全新的經(jīng)營理念��,先 進的管理方法飛速向前發(fā)展�。
山東格力成立初始就致力于全新的經(jīng)營理念和科學的管理方法���,對公司信息化使用高度重視�,通過多年的發(fā)展 和積累,目前已經(jīng)擁有多套核心業(yè)務系統(tǒng)���,分別有用友NC財務系統(tǒng)、浪潮GS金融系統(tǒng)��、金力供應鏈系統(tǒng)���、捷德物流系統(tǒng)�、金和OA辦公系統(tǒng)����。如何管理好這些信 息系統(tǒng),發(fā)揮它的最大價值�,提高對移動終端的支持���,做到“集中式管理和用戶數(shù)據(jù)不落地”將是重中之重。
2、業(yè)務背景
山東格力應用了多套核心業(yè)務系統(tǒng)�����,解決信息匯總、貫通和遠程訪問方面基本上全部采用的是VPN(MPSL)方案�,以高于2Mbps的網(wǎng)絡帶寬支撐著信息交互���。表面上看來��,VPN方案能夠解決信息交互的問題����,實際上它并不是最經(jīng)濟的和最佳解決方案,問題集中體現(xiàn)在:
業(yè)務數(shù)據(jù)��、應用較為分散,都分別部署在不同的PC之上�,容易造成數(shù)據(jù)泄漏�����,而且對客戶機的配置有一定要求�����,硬件設備成本較高����。
分散的業(yè)務系統(tǒng)想要集中部署在服務器上���,但部分應用信息系統(tǒng)需要USB設備支持(例如加密卡和CA認證)�����,也就是說,終端機使用加密卡或CA認證等USB設備需要在服務器端進行識別。
VPN技術雖然采取了加密算法來偽裝保護敏感信息,但黑客可以利用VPN的安全漏洞�,利用這些設備來繞過身份認證或進行其它類型的網(wǎng)絡攻擊����。
業(yè)務擴張建設成本高����,每增加一個業(yè)務應用或者增加一個終端都需要增加一定的經(jīng)濟成本。
由于在網(wǎng)絡中傳輸?shù)亩际菍崟r數(shù)據(jù),因為對帶寬要求非常高,帶寬占用相當高,當并發(fā)用戶量增加的時候�����,傳輸速度就會受到影響和制約。
系統(tǒng)和數(shù)據(jù)部署于各終端機器上,導致IT管理人員經(jīng)常奔走于各個部門進行維護���、升級等工作�����,工作效率相對較低。
無法支撐移動互聯(lián)網(wǎng)環(huán)境下的移動辦公問題���,外出辦公經(jīng)常因無法便捷的登錄使用各個信息系統(tǒng)而導致信息不暢。
二、系統(tǒng)改造目的
所有業(yè)務系統(tǒng)及應用程序集中部署����,統(tǒng)一管理����,所有業(yè)務及辦公軟件統(tǒng)一部署于服務器上��,升級維護只針對服務器上部署的應用統(tǒng)一操作無需針對終端維護。
對業(yè)務系統(tǒng)進行集中管控,保障業(yè)務數(shù)據(jù)不落地(不分散存儲于各終端機器)����。
各業(yè)務單元(部門間)的業(yè)務數(shù)據(jù)按用戶和要求不同進行隔離(相互不能訪問)��,防止數(shù)據(jù)泄露���,但需要實現(xiàn)橫向文件的交互���。
對終端用戶賬戶權限分級管理�,不同的用戶訪問各自所需的業(yè)務系統(tǒng)和應用數(shù)據(jù);
在不改變現(xiàn)有網(wǎng)絡狀況的前提下,提高訪問速度,實現(xiàn)加速功能�����。
員工在非辦公場所通過VPN登錄服務器訪問應用,實現(xiàn)遠程異地辦公�����。
通過平板電腦�����、手機等移動終端機訪問服務器應用����,實現(xiàn)移動辦公。
三���、改造方案
1、方案簡介
經(jīng) 過前期測試�、驗證���、評估���,通過部署實施瑞友天翼應用虛擬化系統(tǒng)(簡稱瑞友天翼GWT系統(tǒng))可以完全實現(xiàn)本次系統(tǒng)改造的全部要求,該系統(tǒng)是基于服務器計算的 應用接入平臺����。它將山東格力核心業(yè)務系統(tǒng)及應用軟件集中部署在應用虛擬化服務器(群)上��,通過RAP協(xié)議(Remote Application Protocol)���,即可讓終端快速安全的執(zhí)行服務器上的業(yè)務系統(tǒng)及應用軟件��,天翼RAP協(xié)議對網(wǎng)絡的帶寬要求非常低�,而且優(yōu)化了屏幕傳輸��,平均一個終端 機連接僅占用20kbps的帶寬�����,也無需在終端上安裝業(yè)務軟件,從而使的用戶不再受終端和連接性能的限制�,可以在任何時間��、任何地點�����、使用任何設備�、采用 任何網(wǎng)絡連接方式,都可高效���、安全的訪問服務器(群)上的應用程序和關鍵資源����,方案中獨有的虛擬磁盤和外設重定向功能����,可以完美的解決數(shù)據(jù)不落地、安全存 儲以及服務器對終端外設的使用。
2����、方案實施
部署集中應用模式,將山東格力所有業(yè)務系統(tǒng)及應用軟件的終端機(包括OA、NC等所需的插件加載項)部署到數(shù)據(jù)中心的服務器(群)上���。
在應用服務器(群)上分別部署瑞友天翼應用虛擬化系統(tǒng)的主副集群服務器����,主副集群服務器分配同步的用戶賬戶,并做服務器負載均衡策略��,保障每臺服務器都均衡利用���,以免造成單臺服務器負載過大而影響用戶體驗����。
在應用服務器(群)前搭建應用防火墻����,在防火墻上只需開通5872和80端口即可���,其它通訊端口全部關閉�,加強服務器(群)的安全性����。
設置虛擬磁盤訪問策略�����,賦予不同用戶權限�,包括數(shù)據(jù)訪問、文件傳輸����、數(shù)據(jù)隔離等。
設置好各種安全訪問策略與操作系統(tǒng)安全策略,將不同用戶的相同應用隔離�����,讓用戶只訪問經(jīng)過授權的應用程序����,同時對需要控制的終端機也可以進行錄屏監(jiān)控���。
設置數(shù)據(jù)庫服務器安全策略,讓數(shù)據(jù)庫服務器只對天翼服務器上的應用程序提供服務,用戶不能直接訪問數(shù)據(jù)庫服務器���,有效保護數(shù)據(jù)庫服務器安全。
終端機器通過訪問瑞友天翼服務器對外發(fā)布的地址進行終端機訪問����,安裝遠程接入所需的終端機插件����,通過瑞友天翼系統(tǒng)終端機的資源映映射將USB外接設備直接虛擬重定向至服務端�,保障加密卡正常使用。
調(diào)試移動終端機(Android�����、iOS等)的用戶在手機��、平板上安裝瑞友天翼系統(tǒng)移動終端機����,隨時隨地訪問�。
各分支機構、外出人員的計算機上不在安裝應用程序�,可以通過任何線路��,只需20kbps的帶寬�����,通過瑞友天翼系統(tǒng)的終端機即可快速接入到總部天翼服務器上進行用友NC、浪潮GS�、金力等業(yè)務系統(tǒng)的操作。
局域網(wǎng)內(nèi)部用戶可設置通過天翼服務器進行業(yè)務系統(tǒng)的操作,不得直接連接訪問數(shù)據(jù)庫服務器。
3.實施效果
通過瑞友天翼GWT系統(tǒng)服務端發(fā)布山東格力的業(yè)務系統(tǒng)�,終端機不需安裝任何業(yè)務應用軟件�����,只要在有網(wǎng)絡接入的情況下�,就可以快速應用業(yè)務系統(tǒng)�,實現(xiàn)了集中部署,統(tǒng)一管理�����。
通過瑞友天翼GWT系統(tǒng)的各種安全策略�,使業(yè)務數(shù)據(jù)不落地,均保存在服務器上�����,通過發(fā)布虛擬磁盤����,使用戶自定義數(shù)據(jù)相互隔離���,也可使用公共磁盤實現(xiàn)數(shù)據(jù)共享�。
通過設置USB重定向策略�����,將終端機的加密卡和CA認證等USB設備虛擬連接到服務器,使業(yè)務應用能夠正常訪問插在終端機計算機上的USB設備。
RAP協(xié)議只傳輸鼠標、鍵盤及屏幕變化的矢量數(shù)據(jù)�����,最低僅需20kbps的帶寬�����,滿足了在低帶寬下快速訪問業(yè)務系統(tǒng)�。
將瑞友天翼GWT系統(tǒng)終端機部署在Android、iOS等智能移動設備,通過智能移動設備隨時隨地訪問服務器上發(fā)布的應用程序,實現(xiàn)移動辦公��。
所有終端機用戶可以通過web瀏覽器或天翼GWT系統(tǒng)終端機訪問服務器上經(jīng)授權的應用,實現(xiàn)了不同的用戶訪問各自所需的業(yè)務系統(tǒng)和應用數(shù)據(jù),增強了數(shù)據(jù)安全性���。
TAG 標簽:虛擬化
