數(shù)據(jù)不落地、移動(dòng)新應(yīng)用、安全更可靠---格力電器山東省分公司業(yè)務(wù)系統(tǒng)改造案例
時(shí)間:2014-06-24 14:40:26 來(lái)源:瑞友天翼 點(diǎn)擊:
一��、背景
1、公司背景
格力電 器是成立于1991年的目前全球最大的集研發(fā)�、設(shè)計(jì)�、生產(chǎn)�����、銷售����、服務(wù)于一體的國(guó)有控股專業(yè)化空調(diào)企業(yè),格力電器的營(yíng)銷網(wǎng)絡(luò)遍布全球�,在國(guó)內(nèi)市場(chǎng)尤為突 出�,在全國(guó)各省市都設(shè)立直屬分公司。格力電器山東省分公司(以下簡(jiǎn)稱:山東格力)成立于2000年���,借助格力電器技術(shù)和品牌優(yōu)勢(shì),憑借全新的經(jīng)營(yíng)理念���,先 進(jìn)的管理方法飛速向前發(fā)展。
山東格力成立初始就致力于全新的經(jīng)營(yíng)理念和科學(xué)的管理方法�����,對(duì)公司信息化使用高度重視����,通過(guò)多年的發(fā)展 和積累,目前已經(jīng)擁有多套核心業(yè)務(wù)系統(tǒng)���,分別有用友NC財(cái)務(wù)系統(tǒng)�����、浪潮GS金融系統(tǒng)�����、金力供應(yīng)鏈系統(tǒng)�����、捷德物流系統(tǒng)�����、金和OA辦公系統(tǒng)。如何管理好這些信 息系統(tǒng)�,發(fā)揮它的最大價(jià)值,提高對(duì)移動(dòng)終端的支持���,做到“集中式管理和用戶數(shù)據(jù)不落地”將是重中之重。
2���、業(yè)務(wù)背景
山東格力應(yīng)用了多套核心業(yè)務(wù)系統(tǒng)�����,解決信息匯總、貫通和遠(yuǎn)程訪問(wèn)方面基本上全部采用的是VPN(MPSL)方案��,以高于2Mbps的網(wǎng)絡(luò)帶寬支撐著信息交互�。表面上看來(lái),VPN方案能夠解決信息交互的問(wèn)題�����,實(shí)際上它并不是最經(jīng)濟(jì)的和最佳解決方案�,問(wèn)題集中體現(xiàn)在:
業(yè)務(wù)數(shù)據(jù)���、應(yīng)用較為分散���,都分別部署在不同的PC之上,容易造成數(shù)據(jù)泄漏�,而且對(duì)客戶機(jī)的配置有一定要求��,硬件設(shè)備成本較高���。
分散的業(yè)務(wù)系統(tǒng)想要集中部署在服務(wù)器上����,但部分應(yīng)用信息系統(tǒng)需要USB設(shè)備支持(例如加密卡和CA認(rèn)證)��,也就是說(shuō)�,終端機(jī)使用加密卡或CA認(rèn)證等USB設(shè)備需要在服務(wù)器端進(jìn)行識(shí)別。
VPN技術(shù)雖然采取了加密算法來(lái)偽裝保護(hù)敏感信息��,但黑客可以利用VPN的安全漏洞����,利用這些設(shè)備來(lái)繞過(guò)身份認(rèn)證或進(jìn)行其它類型的網(wǎng)絡(luò)攻擊�。
業(yè)務(wù)擴(kuò)張建設(shè)成本高,每增加一個(gè)業(yè)務(wù)應(yīng)用或者增加一個(gè)終端都需要增加一定的經(jīng)濟(jì)成本����。
由于在網(wǎng)絡(luò)中傳輸?shù)亩际菍?shí)時(shí)數(shù)據(jù),因?yàn)閷?duì)帶寬要求非常高,帶寬占用相當(dāng)高��,當(dāng)并發(fā)用戶量增加的時(shí)候�����,傳輸速度就會(huì)受到影響和制約��。
系統(tǒng)和數(shù)據(jù)部署于各終端機(jī)器上��,導(dǎo)致IT管理人員經(jīng)常奔走于各個(gè)部門進(jìn)行維護(hù)����、升級(jí)等工作�����,工作效率相對(duì)較低�。
無(wú)法支撐移動(dòng)互聯(lián)網(wǎng)環(huán)境下的移動(dòng)辦公問(wèn)題����,外出辦公經(jīng)常因無(wú)法便捷的登錄使用各個(gè)信息系統(tǒng)而導(dǎo)致信息不暢。
二���、系統(tǒng)改造目的
所有業(yè)務(wù)系統(tǒng)及應(yīng)用程序集中部署,統(tǒng)一管理����,所有業(yè)務(wù)及辦公軟件統(tǒng)一部署于服務(wù)器上,升級(jí)維護(hù)只針對(duì)服務(wù)器上部署的應(yīng)用統(tǒng)一操作無(wú)需針對(duì)終端維護(hù)�。
對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行集中管控����,保障業(yè)務(wù)數(shù)據(jù)不落地(不分散存儲(chǔ)于各終端機(jī)器)。
各業(yè)務(wù)單元(部門間)的業(yè)務(wù)數(shù)據(jù)按用戶和要求不同進(jìn)行隔離(相互不能訪問(wèn))��,防止數(shù)據(jù)泄露,但需要實(shí)現(xiàn)橫向文件的交互����。
對(duì)終端用戶賬戶權(quán)限分級(jí)管理,不同的用戶訪問(wèn)各自所需的業(yè)務(wù)系統(tǒng)和應(yīng)用數(shù)據(jù)���;
在不改變現(xiàn)有網(wǎng)絡(luò)狀況的前提下,提高訪問(wèn)速度���,實(shí)現(xiàn)加速功能���。
員工在非辦公場(chǎng)所通過(guò)VPN登錄服務(wù)器訪問(wèn)應(yīng)用,實(shí)現(xiàn)遠(yuǎn)程異地辦公�。
通過(guò)平板電腦�����、手機(jī)等移動(dòng)終端機(jī)訪問(wèn)服務(wù)器應(yīng)用,實(shí)現(xiàn)移動(dòng)辦公��。
三、改造方案
1�����、方案簡(jiǎn)介
經(jīng) 過(guò)前期測(cè)試�����、驗(yàn)證�、評(píng)估���,通過(guò)部署實(shí)施瑞友天翼應(yīng)用虛擬化系統(tǒng)(簡(jiǎn)稱瑞友天翼GWT系統(tǒng))可以完全實(shí)現(xiàn)本次系統(tǒng)改造的全部要求�,該系統(tǒng)是基于服務(wù)器計(jì)算的 應(yīng)用接入平臺(tái)���。它將山東格力核心業(yè)務(wù)系統(tǒng)及應(yīng)用軟件集中部署在應(yīng)用虛擬化服務(wù)器(群)上�����,通過(guò)RAP協(xié)議(Remote Application Protocol)�����,即可讓終端快速安全的執(zhí)行服務(wù)器上的業(yè)務(wù)系統(tǒng)及應(yīng)用軟件����,天翼RAP協(xié)議對(duì)網(wǎng)絡(luò)的帶寬要求非常低����,而且優(yōu)化了屏幕傳輸��,平均一個(gè)終端 機(jī)連接僅占用20kbps的帶寬����,也無(wú)需在終端上安裝業(yè)務(wù)軟件�,從而使的用戶不再受終端和連接性能的限制,可以在任何時(shí)間���、任何地點(diǎn)���、使用任何設(shè)備、采用 任何網(wǎng)絡(luò)連接方式����,都可高效、安全的訪問(wèn)服務(wù)器(群)上的應(yīng)用程序和關(guān)鍵資源�����,方案中獨(dú)有的虛擬磁盤和外設(shè)重定向功能�,可以完美的解決數(shù)據(jù)不落地����、安全存 儲(chǔ)以及服務(wù)器對(duì)終端外設(shè)的使用。
2�����、方案實(shí)施
部署集中應(yīng)用模式�,將山東格力所有業(yè)務(wù)系統(tǒng)及應(yīng)用軟件的終端機(jī)(包括OA��、NC等所需的插件加載項(xiàng))部署到數(shù)據(jù)中心的服務(wù)器(群)上。
在應(yīng)用服務(wù)器(群)上分別部署瑞友天翼應(yīng)用虛擬化系統(tǒng)的主副集群服務(wù)器��,主副集群服務(wù)器分配同步的用戶賬戶����,并做服務(wù)器負(fù)載均衡策略,保障每臺(tái)服務(wù)器都均衡利用��,以免造成單臺(tái)服務(wù)器負(fù)載過(guò)大而影響用戶體驗(yàn)。
在應(yīng)用服務(wù)器(群)前搭建應(yīng)用防火墻��,在防火墻上只需開(kāi)通5872和80端口即可��,其它通訊端口全部關(guān)閉�,加強(qiáng)服務(wù)器(群)的安全性。
設(shè)置虛擬磁盤訪問(wèn)策略����,賦予不同用戶權(quán)限,包括數(shù)據(jù)訪問(wèn)�、文件傳輸、數(shù)據(jù)隔離等���。
設(shè)置好各種安全訪問(wèn)策略與操作系統(tǒng)安全策略,將不同用戶的相同應(yīng)用隔離�����,讓用戶只訪問(wèn)經(jīng)過(guò)授權(quán)的應(yīng)用程序��,同時(shí)對(duì)需要控制的終端機(jī)也可以進(jìn)行錄屏監(jiān)控����。
設(shè)置數(shù)據(jù)庫(kù)服務(wù)器安全策略�,讓數(shù)據(jù)庫(kù)服務(wù)器只對(duì)天翼服務(wù)器上的應(yīng)用程序提供服務(wù)�����,用戶不能直接訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器���,有效保護(hù)數(shù)據(jù)庫(kù)服務(wù)器安全。
終端機(jī)器通過(guò)訪問(wèn)瑞友天翼服務(wù)器對(duì)外發(fā)布的地址進(jìn)行終端機(jī)訪問(wèn)�����,安裝遠(yuǎn)程接入所需的終端機(jī)插件����,通過(guò)瑞友天翼系統(tǒng)終端機(jī)的資源映映射將USB外接設(shè)備直接虛擬重定向至服務(wù)端,保障加密卡正常使用�。
調(diào)試移動(dòng)終端機(jī)(Android�����、iOS等)的用戶在手機(jī)、平板上安裝瑞友天翼系統(tǒng)移動(dòng)終端機(jī)��,隨時(shí)隨地訪問(wèn)�����。
各分支機(jī)構(gòu)�、外出人員的計(jì)算機(jī)上不在安裝應(yīng)用程序,可以通過(guò)任何線路����,只需20kbps的帶寬���,通過(guò)瑞友天翼系統(tǒng)的終端機(jī)即可快速接入到總部天翼服務(wù)器上進(jìn)行用友NC��、浪潮GS、金力等業(yè)務(wù)系統(tǒng)的操作��。
局域網(wǎng)內(nèi)部用戶可設(shè)置通過(guò)天翼服務(wù)器進(jìn)行業(yè)務(wù)系統(tǒng)的操作�����,不得直接連接訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。
3.實(shí)施效果
通過(guò)瑞友天翼GWT系統(tǒng)服務(wù)端發(fā)布山東格力的業(yè)務(wù)系統(tǒng)���,終端機(jī)不需安裝任何業(yè)務(wù)應(yīng)用軟件,只要在有網(wǎng)絡(luò)接入的情況下����,就可以快速應(yīng)用業(yè)務(wù)系統(tǒng),實(shí)現(xiàn)了集中部署��,統(tǒng)一管理��。
通過(guò)瑞友天翼GWT系統(tǒng)的各種安全策略��,使業(yè)務(wù)數(shù)據(jù)不落地����,均保存在服務(wù)器上,通過(guò)發(fā)布虛擬磁盤��,使用戶自定義數(shù)據(jù)相互隔離��,也可使用公共磁盤實(shí)現(xiàn)數(shù)據(jù)共享����。
通過(guò)設(shè)置USB重定向策略����,將終端機(jī)的加密卡和CA認(rèn)證等USB設(shè)備虛擬連接到服務(wù)器���,使業(yè)務(wù)應(yīng)用能夠正常訪問(wèn)插在終端機(jī)計(jì)算機(jī)上的USB設(shè)備。
RAP協(xié)議只傳輸鼠標(biāo)��、鍵盤及屏幕變化的矢量數(shù)據(jù)�,最低僅需20kbps的帶寬����,滿足了在低帶寬下快速訪問(wèn)業(yè)務(wù)系統(tǒng)�����。
將瑞友天翼GWT系統(tǒng)終端機(jī)部署在Android����、iOS等智能移動(dòng)設(shè)備��,通過(guò)智能移動(dòng)設(shè)備隨時(shí)隨地訪問(wèn)服務(wù)器上發(fā)布的應(yīng)用程序,實(shí)現(xiàn)移動(dòng)辦公����。
所有終端機(jī)用戶可以通過(guò)web瀏覽器或天翼GWT系統(tǒng)終端機(jī)訪問(wèn)服務(wù)器上經(jīng)授權(quán)的應(yīng)用,實(shí)現(xiàn)了不同的用戶訪問(wèn)各自所需的業(yè)務(wù)系統(tǒng)和應(yīng)用數(shù)據(jù)��,增強(qiáng)了數(shù)據(jù)安全性�。
TAG 標(biāo)簽:虛擬化
