银河麒麟安全云桌面解决方案

一、概述

随着网信领域的软件生态建设不断地发展壮大，用户实际的应用需求和亟待解决的业务连续问题却暴露出不少问题，例如在应用的迁移过程中仍有大量软件无法迁移使用的问题；异构服务器资源的统一调度的问题；不同平台终端和操作系统版本的交叉使用；基于不同的CPU平台和操作系统版本，灵活扩展外设驱动的问题；基于以上，银河麒麟云桌面凭借十余年在CPU领域的云计算领域的深耕，不断更新迭代产品，很好的解决了以上问题。

银河麒麟安全云桌面采用虚拟化、协议优化、组播加速等关键技术，解决传统单机维护模式下数据易丢失、运维管理困难、资源利用率低等问题，能满足终端连接异构桌面，一终端多桌面切换使用，提供混合管理、模板管理、桌面发布等众多便捷功能，通过外设重定向即可支持众多外设，无需安装本地驱动。目前已在金融、交通等行业有广泛的应用。

二、方案背景

传统办公系统是基于传统PC方式，需要在每台PC上安装业务所需的软件程序及客户端，同时可能存在重要的数据分散在各PC上，在传统的维护方式下面临着诸多的安全以及管理上的难题：

1、数据泄漏难以防范：重要的数据保存在传统PC终端上，因此泄密途径多，很容易受到各种网络攻击，如何有效的解决数据防泄漏的问题日益困扰着终端用户。

2、维护成本不断上升：PC终端数量多且分散，随着应用种类的增多，应用场景越来越复杂，IT运维人员不仅对PC机进行维护，还需要对操作系统环境、应用软件的安装配置更新进行管理维护，维护工作量呈上升趋势。

3、总拥有成本高：随着软硬件设备的更新迭代，需要定期采购新的PC设备，淘汰老的PC设备，导致IT设备成本日趋增长，老设备堆放在库房占用空间且毫无使用价值。

三、适配平台

服务器芯片：飞腾、鲲鹏、海光、X86 等平台

服务器操作系统：KylinOS、Redhat、CentOS等

S640-H35A（2x32核）\长城 EF860 (S2500 64核*2)

桌面芯片：飞腾、鲲鹏、龙芯、兆芯、X86 等 CPU

桌面：麒麟

四、方案介绍

（一）方案的架构

本方案通过部署麒麟安全云桌面管理软件v1.0，构建用户基础桌面资源池来部署用户的云桌面办公环境。所有的用户办公数据均采用集中运算和集中存储，实现了办公桌面环境和数据的物理隔离，有效保障了数据的安全；通过分布式存储架构为用户提供海量数据存储空间，多副本机制可保证在服务器发生故障时用户数据不会丢失，最大化保障用户数据安全；通过高性能的远程显示协议，终端用户可访问各自专属的虚拟办公桌面，而且虚拟桌面完全继承了传统桌面的功能和特性，不改变员工的使用习惯，提供良好的用户体验；同时通过全中文的集中管理平台，可快速批量部署办公环境，实现对虚拟桌面的资源弹性分配、管理维护、会话管理和USB接口管理，有效管理桌面终端外接设备和用户行为等，可有效和企事业单位办公桌面的管理性和安全性。终端支持各种异构设备，如笔记本、PC、一体机、瘦客户机、涉密专用机、平板电脑、智能手机等，用户可随时随地访问云桌面，同时支持利旧方案，降低桌面环境建设成本，保障用户办公环境逐步稳健上云。

（二）应用场景

1、单中心办公云桌面

银河麒麟安全云桌面将办公数据以及桌面计算能力都放到服务器端，通过专 有传输协议将数据传到客户端展示给用户。用户可采用利旧的 x86 服务器，客户 端以及银河麒麟操作系统搭建云桌面的使用环境。同时为了满足更新的需 求，云桌面标准方案支持多种混合架构的统一纳管，采用负载均衡和高可用服务 确保云桌面运行的稳定性。安全方面，云桌面采用 Web 管理端进行外设管控和策 略绑定。为了满足用户移动办公的场景，云桌面标准方案支持 Android 设备接入 桌面。单中心模式主要为用户自建数据中心，按需采购物理服务器资源和终端资 源。单中心适合于小规模日常办公设备管理，例如在某办公室场景、学习室场景、 呼叫中心场景、银行网点场景、政务办公中心场景等等。

2、多分支机构办公云桌面

异地办公的场景在实际办公环境中很是常见，由于办公位置分散，导致设备 维护成本高，维护较为复杂，不能及时解决出现的故障；同时无法满足大量核心 资料的集中存储，不能保证数据的安全性。银河麒麟云桌面分支机构解决方案将在总部搭建数据中心，并承载桌面、数据的统一运维和管理职能，分支机构员工 通过专线或 VPN 使用现有 PC 或瘦客户机访问位于总部的桌面办公环境。多分支 机构模式适用于大型跨地域企业，依托各地数据中心构建一体化办公环境，例如 某部队的私有涉密体系内、某集团的统一办公平台等等。

3、融合云应用的云桌面

在更新过程中，存在原先运行在 windows 的应用无法在终端运行 的问题，但为了保证业务连续性又必须寻求解决方案。银河麒麟云应用方案可在 云桌面资源池中配置一定数量的 win7 桌面作为云应用资源池，将在其中运行的 Windows 应用以云应用的方式分发绑定至权限用户，用户可以在麒麟系统中直接 使用 Windows 软件。该方案支持用户之间的严格隔离和外设隔离，保证用户 使用应用时的私密性和数据安全。配置云应用模式多用在时间紧、更新任务严重 的工作单位，通过云应用的方案，可以为应用迁移适配预留充足时间，又保障业 务生产的连续性。

（三）技术特点

银河麒麟安全云桌面产品提供云桌面管理、模板管理、终端管理、资源状态 监控、策略管理、用户管理等基本服务，并为用户提供计算、存储、云桌面一体 化服务。其重要特性在于通过桌面虚拟化，将服务器物理资源抽象成逻辑资源， 让一台服务器变成几台甚至上百台相互隔离的虚拟 PC，不再受限于物理上的界 限，让 CPU、内存、磁盘等硬件变成可以动态管理的“资源池”，从而提高资源 的利用率，简化系统管理，实现服务器资源整合，让 IT 设备管理对业务的变化 更具适应力。实现灵活高效的资源整合及分配策略为多方向业务提供定制化解决 方案，提高全系统管理效率，降低管理成本。

1、支持平台

银河麒麟云安全桌面依托银河麒麟系统的广泛生态，可以运行在搭载芯 片（飞腾、鲲鹏、海光等）和通用芯片（intel、AMD 等）的各种服务器上，并且 可以对不同架构的芯片进行异构统一纳管，同时支持终端设备。

2、易操作、灵活

l 以 Web 界面的形式直观展示资源使用，精简的客户端操作使用流程和灵活的资源分配方式，可按需使用资源。

l 将线下工作转移至线上，管理员可以通过远程的方式接入终端用户的云桌面 进行远程协助问题的解决，提升了运维工作的时效性。 l

l 自研高性能协议最大程度上降低了带宽的消耗，满足低带宽的环境下办公和 视频播放的需求；

l 为终端用户提供图形化桌面展示，易上手，流畅度可媲美本地 PC。

l 云桌面支持多种终端类型接入，用户只需通过身份验证，即可访问位于云端的办公桌面，办公不再受时间、地点的限制。

3、高安全性

l 基于银河麒麟服务器操作系统定制开发，确保核心安全；

l 产品架构特性实现数据不落地，集中存储于数据中心；

l 提供灵活的外设管控、权限划分和接入认证，无法私自对桌面内数据进行访 问和拷贝；

l 采用多冗余、多副本的部署方案，最大程度确保数据可靠性；

l 多重身份认证方式，满足不同各类用户的安全接入需求；

l 自研的高性能协议实现加密机制，确保数据传输安全；

l 对登录用户、登录时间、登录终端进行严格规定，以防非法用户或在非办公时间登录桌面。

4、高效管理

l 云桌面管理模块为管理员提供了对系统内虚拟资源的全面管理，可以执行启停、重启、迁移、调整配置等操作，满足用户在使用过程对云桌面的各种操作需求；

l 线上管理：提供统一 web 管理平台，简单易用，可对所有桌面进行远程运维，包括故障查看、桌面修复、升级调试等。不需要到现场，故障恢复时间大幅缩短；

l 快速交付：利用模板功能，可实现数分钟发布超百台云桌面，降低了桌面上线时间；

l 按需调配：云桌面可根据业务需要随时进行配置调整，按需分配。

5、高性能低成本

云桌面自研高性能协议主要通过高效流式压缩算法、智能压缩、图像缓存匹 配等优化技术提升传输效率，具备高效传输性能控制特性，能够良好满足低 带宽的传输需求，最大程度保障用户桌面体验；

针对重点特殊领域组播应用需求，支持任意源、指定源组播发送和接收；支持云桌面上的多平面组播数据收发。通过对底层麒麟操作系统、虚拟化驱动 的深度定制优化，组播性能几乎可以达到实际物理网卡性能。

（四）核心优势

1、自研高效专有远程协议

银河麒麟云桌面远程协议采用自研专有的远程协议，通过高效流式压缩算法、智能压缩、图像缓存匹配等优化技术，能够实现在2M带宽接入下的正常办公以及高清视频播放。

2、组播支持及优化能力

在重点特殊领域组播的应用需求上，银河麒麟云桌面可以支持任意源、指定源组播发送和接收，多平面组播数据收发等。通过以往对底层麒麟操作系统、虚拟化驱动的深度定制优化的经验积累，目前实测在带宽占用70%的情况下，丢包率小于10e-7，几乎可以达到实际物理网卡性能。

3、全面的安全策略机制

银河麒麟云桌面在权限安全方面采用三员分立的管理策略，系统管理员、安全管理员和安全审计员，保障系统管理的安全性；在接入认证方面通过弱口令策略、超时策略、认证失败策略、访问控制策略等保障接入认证安全；云桌面管理界面访问采用https协议方式，保障管理数据访问传输安全性。

4、丰富的网信技术经验积累