摘要：為了解決南瑞集團(tuán)研發(fā)環(huán)節(jié)的安全問題及資源的集中管理，開展研發(fā)業(yè)務(wù)場(chǎng)景需求分析和云桌面系統(tǒng)構(gòu)架設(shè)計(jì)，整合并合理配置系統(tǒng)前后端資源，建立相關(guān)管理配套制度和運(yùn)行機(jī)制，構(gòu)建統(tǒng)一規(guī)范的研發(fā)桌面云環(huán)境，實(shí)現(xiàn)研發(fā)成果的集中存儲(chǔ)和管理。關(guān)鍵詞：桌面云；私有云；虛擬化；信息安全1. 引言云計(jì)算技術(shù)作為新興技術(shù)代表，完全符合現(xiàn)代技術(shù)發(fā)展趨勢(shì)，日益得到更加廣泛的應(yīng)用。國內(nèi)外如華為等大型企業(yè)正在建設(shè)桌面云、研發(fā)云與應(yīng)用云的云計(jì)算應(yīng)用基礎(chǔ)架構(gòu)，通過云終端系統(tǒng)和虛擬化技術(shù)，采用“集中計(jì)算，分布顯示”的架構(gòu)，將所有辦公PC的運(yùn)算合為一體，在服務(wù)器端進(jìn)行集中處理，用戶數(shù)據(jù)集中存放在數(shù)據(jù)中心內(nèi)，員工采用云終端設(shè)備，僅負(fù)責(zé)輸入輸出與界面顯示，不參與任何計(jì)算和應(yīng)用，為用戶提供綠色、環(huán)保、安全的辦公環(huán)境。目前南瑞集團(tuán)及下屬產(chǎn)業(yè)單位從事研發(fā)相關(guān)工作人員約6000余人，研發(fā)成果很大一部分是關(guān)系到電力系統(tǒng)穩(wěn)定安全生產(chǎn)的核心技術(shù)或產(chǎn)品等，且部分技術(shù)或產(chǎn)品已達(dá)到國內(nèi)領(lǐng)先水平乃至國際先進(jìn)水平，但研發(fā)工作方式還是采用傳統(tǒng)的桌面PC，在當(dāng)前日益嚴(yán)峻的信息安全形勢(shì)下風(fēng)險(xiǎn)較大，且隨著員工規(guī)模不斷的擴(kuò)大，在員工終端管理、資源調(diào)度、運(yùn)維成本和能耗方面的問題明顯增多，如何建設(shè)滿足研發(fā)業(yè)務(wù)需求的工作環(huán)境也逐漸成為集團(tuán)各層面關(guān)心的議題。 2. 需求調(diào)研分析集團(tuán)公司現(xiàn)有的軟硬件架構(gòu)無法難以滿足集團(tuán)公司業(yè)務(wù)日益擴(kuò)展的需求，經(jīng)過對(duì)集團(tuán)公司現(xiàn)有應(yīng)用系統(tǒng)架構(gòu)與實(shí)際應(yīng)用進(jìn)行調(diào)研分析，主要存在如下問題：(1)、桌面應(yīng)用管控難度較大問題，桌面分布分散，硬件種類多，桌面系統(tǒng)、補(bǔ)丁版本多，存在桌面應(yīng)用管理難維護(hù)難，難以做到統(tǒng)一管控。 (2)、桌面資源未能充分利用，由于PC具有資源獨(dú)占特性，難以共享提高利用率降低成本，PC以資產(chǎn)形式歸屬各集團(tuán)下屬單位，難以做到集團(tuán)內(nèi)資源優(yōu)化調(diào)配，提供資源有效利用率。(3)、研發(fā)環(huán)境問題，集團(tuán)現(xiàn)有研發(fā)環(huán)境缺少有效集中管理與安全保障的平臺(tái)與工具。3. 系統(tǒng)架構(gòu)設(shè)計(jì)3.1 技術(shù)路線 目前使用傳統(tǒng)PC機(jī)進(jìn)行研發(fā)工作的辦公模式存在信息安全性隱患，解決該隱患的方式主要有：傳統(tǒng)物理硬件保護(hù)措施、基于本地計(jì)算資源的桌面虛擬化技術(shù)以及基于VDI架構(gòu)桌面虛擬化技術(shù)。傳統(tǒng)物理硬件保護(hù)：通過對(duì)傳統(tǒng)PC機(jī)進(jìn)行物理硬件上的保護(hù)，進(jìn)行關(guān)鍵數(shù)據(jù)的保護(hù)，包括PC機(jī)無USB口、PC機(jī)進(jìn)行主機(jī)上鎖、PC機(jī)結(jié)合桌面管控系統(tǒng)等方式進(jìn)行關(guān)鍵數(shù)據(jù)的保護(hù)。這種方法比較傳統(tǒng)，保護(hù)手段比較單一，數(shù)據(jù)保護(hù)機(jī)制較少，效果不明顯。基于本地計(jì)算資源的桌面虛擬化技術(shù)：通過對(duì)PC及或筆記本進(jìn)行系統(tǒng)改造，可以通過后臺(tái)管理服務(wù)器對(duì)改造后的PC機(jī)進(jìn)行統(tǒng)一管理，用戶研發(fā)時(shí)消耗本地系統(tǒng)資源。這種方法對(duì)USB等外設(shè)的管控能力較強(qiáng)，用戶數(shù)據(jù)存在本地通過加密進(jìn)行存儲(chǔ)。但這類方法會(huì)造成系統(tǒng)資源的浪費(fèi)，而且數(shù)據(jù)存在本地，存在數(shù)據(jù)丟失的風(fēng)險(xiǎn)。基于VDI架構(gòu)桌面虛擬化技術(shù)：基于VDI架構(gòu)桌面虛擬化技術(shù)采用“集中計(jì)算，分布顯示”的架構(gòu)，通過虛擬化技術(shù)，將所有辦公PC的運(yùn)算合為一體，在服務(wù)器端進(jìn)行集中處理，用戶數(shù)據(jù)集中存放在數(shù)據(jù)中心內(nèi)，員工采用云終端設(shè)備，僅負(fù)責(zé)輸入輸出與界面顯示，不參與任何計(jì)算和應(yīng)用，具有高效、綠色、安全、靈活等特點(diǎn)。相比于傳統(tǒng)物理硬件保護(hù)措施和基于本地計(jì)算資源的桌面虛擬化技術(shù)，基于VDI架構(gòu)桌面虛擬化技術(shù)的安全性、靈活性、高效性更加明顯，目前世界500強(qiáng)企業(yè)80%的研發(fā)團(tuán)隊(duì)都選擇基于VDI架構(gòu)桌面虛擬化技術(shù)進(jìn)行關(guān)鍵數(shù)據(jù)的管控。針對(duì)南瑞集團(tuán)的研發(fā)云的項(xiàng)目將采用基于VDI架構(gòu)桌面虛擬化技術(shù)路線進(jìn)行規(guī)劃建設(shè)。3.2 集成架構(gòu)云終端系統(tǒng)不會(huì)對(duì)其他信息系統(tǒng)進(jìn)行功能上的改變，云終端系統(tǒng)將辦公資源集中到數(shù)據(jù)中心，用戶和業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)流完全在數(shù)據(jù)中心內(nèi)部進(jìn)行交換完成，提升了其他信息系統(tǒng)的安全性，增加了對(duì)其他業(yè)務(wù)系統(tǒng)訪問速度。與傳統(tǒng)辦公類似，僅需要在云終端系統(tǒng)上集成各業(yè)務(wù)系統(tǒng)的插件或客戶端，即可完成對(duì)應(yīng)用軟件的集成建設(shè)。針對(duì)現(xiàn)有研發(fā)場(chǎng)景，云終端系統(tǒng)預(yù)先在模板上集中安裝研發(fā)工具及研發(fā)所需插件，統(tǒng)一研發(fā)工具版本，根據(jù)用戶研發(fā)場(chǎng)景及數(shù)量按需的通過模板統(tǒng)一生成，保證研發(fā)場(chǎng)景軟件標(biāo)準(zhǔn)化建設(shè)。對(duì)于特殊研發(fā)用戶，允許個(gè)性化更改研發(fā)工具及插件版本。3.3 物理部署 云終端系統(tǒng)建設(shè)方案充分考慮現(xiàn)有信息化系統(tǒng)架構(gòu)、研發(fā)用戶需求、設(shè)備利舊等方面因素進(jìn)行設(shè)計(jì)，系統(tǒng)架構(gòu)主要分為用戶側(cè)、數(shù)據(jù)中心側(cè)兩部分。用戶側(cè)能夠利用傳統(tǒng)PC、瘦客戶機(jī)多種方式接入系統(tǒng)進(jìn)行辦公，最大限度的利舊，避免資產(chǎn)浪費(fèi)。 數(shù)據(jù)中心側(cè)建立云終端系統(tǒng)虛擬資源池，在資源池中建立虛擬機(jī)為云終端系統(tǒng)的連接服務(wù)、桌面發(fā)布、身份驗(yàn)證、系統(tǒng)管理等服務(wù)提供硬件資源，并通過關(guān)鍵傳輸協(xié)議，保證了系統(tǒng)能夠在局域網(wǎng)內(nèi)提供服務(wù)，并提供海量的個(gè)人存儲(chǔ)空間（見圖1）。 圖1 云終端系統(tǒng)物理邏輯圖根據(jù)實(shí)際情況確認(rèn)部署方式，建議采用分布部署，集中管理的方式進(jìn)行云終端系統(tǒng)的部署，部署位置分散在各產(chǎn)業(yè)單位數(shù)據(jù)中心，建立標(biāo)準(zhǔn)的研發(fā)云終端系統(tǒng)的典型設(shè)計(jì)，統(tǒng)一服務(wù)器配置，形成研發(fā)云的系統(tǒng)標(biāo)準(zhǔn)規(guī)范。4. 運(yùn)行機(jī)制公司桌面云項(xiàng)目實(shí)質(zhì)是對(duì)公司現(xiàn)有辦公模式和IT流程及運(yùn)營的一次變革，涉及范圍廣、影響大，需要一個(gè)重量級(jí)的變革聯(lián)合項(xiàng)目組和端到端的解決方案。建立分層次協(xié)同運(yùn)作的維護(hù)組織，實(shí)現(xiàn)桌面云的集中運(yùn)維管理，桌面云維護(hù)組織納入原有IT維護(hù)體系。運(yùn)維人員構(gòu)成可分為：業(yè)務(wù)軟件運(yùn)維人員，基礎(chǔ)網(wǎng)絡(luò)維護(hù)人員，云平臺(tái)運(yùn)維人員，和日常IT維護(hù)人員（見圖2）。 圖2 桌面云運(yùn)維維護(hù)組織架構(gòu)基于ITIL運(yùn)維管理流程建立桌面云的服務(wù)流程，保證問題的快速處理和業(yè)務(wù)的連續(xù)可用（1）業(yè)務(wù)發(fā)放 新員工與新調(diào)入研發(fā)員工可通過業(yè)務(wù)部門接口人提交相應(yīng)規(guī)格的虛擬機(jī)申請(qǐng)。 資產(chǎn)管理員審批合理申請(qǐng)后10分鐘內(nèi)用戶可用。 資產(chǎn)管理員定期創(chuàng)建備件池（30個(gè)VM）。 運(yùn)營自動(dòng)化支撐—自助資產(chǎn)申請(qǐng)和回收 實(shí)現(xiàn)資產(chǎn)申請(qǐng)和回收完全自動(dòng)化。 （2）業(yè)務(wù)回收 離職工作確認(rèn)表中增加云安全終端銷戶環(huán)節(jié)。 員工辦理離職時(shí)到項(xiàng)目組進(jìn)行銷戶，并由項(xiàng)目組負(fù)責(zé)人簽字確認(rèn)。（3） 瘦終端維修流程庫房定期將故障瘦終端列表反饋并把瘦終端返廠，定期與廠家分析瘦終端質(zhì)量問題，持續(xù)改進(jìn)質(zhì)量。（4）數(shù)據(jù)遷移  業(yè)務(wù)部門、IT部門、搬遷工作組聯(lián)合運(yùn)作。 小規(guī)模遷移演練，從方案設(shè)計(jì)、測(cè)試驗(yàn)證每個(gè)環(huán)節(jié)進(jìn)行演練，確保數(shù)據(jù)遷移安全快捷。  使用自動(dòng)化用戶數(shù)據(jù)遷移工具：用于windows用戶從物理機(jī)遷移到虛擬桌面時(shí)，輔助用戶批量遷移大規(guī)模數(shù)據(jù)的工具。（5）完善的維護(hù)計(jì)劃日維護(hù)計(jì)劃  登陸檢測(cè)：每天對(duì)客服、安全生產(chǎn)、研發(fā)辦公場(chǎng)景在早上上班前維護(hù)人員使用測(cè)試虛擬機(jī)進(jìn)行登錄測(cè)試；  重要用戶保障：每天早上上班前檢查重要用戶虛擬機(jī)狀態(tài)； 告警處理：每天查看告警以及事件，針對(duì)異常情況進(jìn)行處理；  健康檢查：每天進(jìn)行系統(tǒng)健康檢查，及時(shí)處理異常問題 。周維護(hù)計(jì)劃  系統(tǒng)優(yōu)化：每雙周對(duì)系統(tǒng)中產(chǎn)生的垃圾數(shù)據(jù)進(jìn)行清理； 核心重要數(shù)據(jù)進(jìn)行手動(dòng)或自動(dòng)備份。月維護(hù)計(jì)劃  備件庫存檢查：每月查詢備件情況； 預(yù)警整改：每月末對(duì)一個(gè)月以來發(fā)布的預(yù)警進(jìn)行擇機(jī)處理。5. 結(jié)束語通過桌面云環(huán)境的實(shí)施，將建立基于企業(yè)“私有云” 架構(gòu)下的數(shù)據(jù)集中管控體系．使用戶可以擺脫繁瑣的操作，為用戶提供一個(gè)符合標(biāo)準(zhǔn)、安全高效、靈活易用的桌面系統(tǒng)，從而提升用戶感受。同時(shí)，可以從管理上提高可用性，實(shí)現(xiàn)安全訪問和靈活部署．建立可伸縮的虛擬基礎(chǔ)架構(gòu)，從數(shù)據(jù)中心到用戶桌面可實(shí)現(xiàn)全面可控的可用性、安全性和可管理性參考文獻(xiàn)：[1] 胡海飛.“私有云”架構(gòu)下終端安防體系的變革.信息安全與通信保密,2013.[2] 鐘博.安全桌面云計(jì)算架構(gòu)解決方案.信息安全與通信保密,2012. [3] 王勝杰.基于桌面云技術(shù)的規(guī)劃設(shè)計(jì)與應(yīng)用企業(yè)應(yīng)用集成. 科協(xié)論壇,2012. [4]朱玉珩 李微巍.企業(yè)桌面云計(jì)算應(yīng)用淺析.中國管理信息化，2012.撰稿人（執(zhí)筆人）：張海全 南瑞集團(tuán)信息化建設(shè)運(yùn)維中心