XXXX应用虚拟化解决方案.doc

XXXX 统一接入平台项目 解决方案建议书 2009/9/21  第1章 概述 4 1.1 项目背景和目的 4 第2章 项目需求 5 2.1 功能需求 5 2.2 技术需求 5 2.3 实施要求 6 2.4 其他要求 7 第3章 解决方案及对应项目需求的实现 8 3.1 对应功能需求的实现 10 3.1.1 集中管理 10 3.1.2 应用发布 10 3.1.3 存储隔离 11 3.1.4 数据保护 11 3.1.5 远程接入 12 3.1.6 访问控制 14 3.1.7 访问日志 14 3.1.8 操作录像 14 3.2 技术需求的实现 16 3.2.1 水平扩展 16 3.2.2 负载均衡 16 3.2.3 本地输入法 16 3.2.4 资源监控 16 3.3 对于实施要求的回应 17 3.3.1 Citrix XenApp应用环境服务器安全防护建议 17 3.3.2 文件服务器安全 20 3.3.3 设备部署方案 24 3.3.4 阶段实施计划 24 第4章 系统配置 25 4.1 配置要求 25 1）客户端配置 25 2）服务器配置 26 3）安全访问要求 28 4.2 软硬件配置列表 28 附录1 32 附录 2 XenApp各版本功能比较 34 附录 3 AirZip FileSECURE产品简介 35 附录 4 AirZip FileSECURE 动态水印样本及审计报表 40 概述 项目背景和目的 随着XXXXIT业务项目的数量增加与规模扩大，与外部公司的合作日益密切，项目业务环境的管理更加复杂，安全管理的要求也日益提升。为此，需要建立一个简单、易用、安全的统一接入平台，以有效进行业务环境的规范管理，支持可控的外部合作公司的远程访问模式，同时保护重要数据与代码的安全，并能对重要系统操作进行跟踪和审计。 项目需求 功能需求 集中管理：可将业务环境中的应用软件进行集中管理，可以根据需要随时调整业务环境的应用部署，简化业务人员客户端的业务环境配置及部署要求。 应用发布：具有包括各类业务工具在内的应用软件发布功能和Web网页发布功能，要求支持发布的应用软件列表参见附录。 存储隔离：每个用户能建立各自的文件系统或存储空间，相互之间不能访问。但授权用户可以访问特定用户组的存储空间，可以通过FTP或者其它方式获取用户存储空间的数据。 数据保护：所有的代码及业务数据只在服务器端传递，提高系统数据访问的安全性。 远程接入：支持外部合作公司远程接入的项目业务模式，能有效控制用户的剪贴板、本地硬盘、打印机、端口等操作，做到合作公司人员未经授权无法从任何渠道获取项目的代码、文档和业务数据。 访问控制：对于合作公司的远程访问要求能有效控制，包括登录时间段、登录用户的监控。要求能穿越防火墙（能够NET转换）访问到服务器。 访问日志：用户登录及对业务工具和应用软件的访问，应该有日志记录。 操作录像：对于应用软件的操作需要有屏幕录像功能。用户和应用可以分别控制是否需要录像，录像时间段范围可配置。能快速根据指定条件查询录像文件，录像文件可以自动清理，并能设置录像文件保留期限。 技术需求 水平扩展：服务器端支持水平扩展，能通过水平增加服务器来适应业务需求的扩大。 负载均衡：可根据用户访问量和资源使用情况，动态分配到到负载量最低的服务器上。可支持手动负载均衡操作。 本地输入法：用户接入要求支持中文界面，可以使用本地输入法。 资源监控：能监控系统应用、访问用户和对应资源的占用情况，并形成报表。 实施要求 应用场景描述 公司人员受控使用统一接入平台访问业务环境进行工作。 分支机构人员受控访问总部业务环境进行远程业务。 特定合作公司专线接入统一接入平台进行远程业务。 系统管理人员受控访问统一接入平台对后台系统进行维护操作。 总部管理人员受控访问特定应用系统。 设备部署方案 因特定应用系统、用户与业务系统所在的网段可能不同，统一接入平台可能需要做多网段或多区域的部署考虑。如应用场景e)中的业务管理人员及其访问的特定应用，可能部署在非业务环境所在的办公或业务生产网段上，需要考虑管理平台及相关设备的多重部署问题。 阶段实施计划 统一接入平台计划分为两期推广。 阶段 一期需求 二期需求 时间预计 一年内 一到二年 预计命名用户数 峰值并发用户数 正常并发用户数 录像功能使用用户数 其他要求 考虑到功能需求8的实施范围仅限于总部业务管理人员、系统管理人员及部分分支机构业务人员，并非所有用户操作都需要启用录像功能，故要求产品供应商提供包含录像功能和不包含录像功能两个安装包组合，并在财务报价单中分别报价。 XXXX保留针对产品是否包含录像功能及商务报价情况，而选择不同厂商的产品组合的权利。 解决方案及对应项目需求的实现 总体方案构架 通