政企双网隔离虚拟桌面建设方案

大型央企

内外网隔离办公

虚拟桌面建设方案

2017年8月3日

目录

大型央企 (1)

内外网隔离办公 (1)

虚拟桌面建设方案 (1)

第1章央企办公桌面面临的挑战 (2)

1.1 需求概述 (2)

1.2 传统脱困之道问题分析 (2)

第2章央企办公虚拟桌面建设方案 (3)

2.1 虚拟桌面架构解析 (3)

2.2 央企办公桌面应用场景说明 (4)

2.3 多网隔离设计思路分析 (5)

第3章虚拟桌面可以解决央企办公桌面困境 (7)

第4章Acer一站式方案优势总结 (7)

第1章央企办公桌面面临的挑战

1.1需求概述

随着央企信息化工程的逐步深入，业务应用环境越来越复杂，而许多央企的桌面应用以传统PC模式为主，这种模式在桌面管理方面面临着如下挑战：

近些年央企加大对内部信息化的规划和建设，导致桌面计算机数量越来越庞大，用户分布也非常广泛，而且用户对访问桌面环境时的位置无关性要求越来越高。在这种情况下，桌面安全管理难度极大，很难形成标准化的管理，人力支持成本居高不下，且又无法产生对业务推动的实际效益。

根据国家信息主管部门相关要求，央企信息系统平台一般采用办公内网、办公外网的双网模式。其中内网与外网之间采用物理方式隔离。而传统PC模式需要采用多台计算机，不仅使办公桌面繁杂，而且PC的分散化导致很难建立和完善统一的内网安全机制。

传统PC模式将所有敏感文件都保存在桌面计算机上，但由于央企网络涉及面广，参与人员多，开放性强，技术水平不平衡，管理手段有差别，所以很容易出现安全方面的漏洞。在这种情况下，文件失密的风险非常大，特别是内网的机密信息容易暴露危险之中，一旦发生泄密事件便会有损央企的形象。

综上所述，为了支持央企信息化的桌面变革，需要一种新型的桌面管理模式来应对当前央企单位遇到的各种挑战，从而满足高效、多网隔离、高安全性的需求。

1.2传统脱困之道问题分析

针对以上办公桌面管理挑战，目前许多央企单位采用传统的方式来解决问题，比如为了应对安全管理难度大的问题，央企部门一般出台相关规定或通过桌面管理软件来控制桌面的使用行为，同时增加人手进行桌面管理工作，但往往发现部署难度高，也无法有效控制并解决问题；另外，为了应对多网隔离的问题，一般采用双网卡、双硬盘技术，这种方式让使用者觉得非常麻烦，每次都需要手动切换；而为了应对文件失密问题，则采用封光驱、封U 盘、封……。以上种种传统的技术手段都无法有效解决当前央企办公桌面遇到的问题。

第2章央企办公虚拟桌面建设方案

2.1虚拟桌面架构解析

如拓扑图所示，本方案通过Acer虚拟桌面技术将用户桌面系统全部迁移至数据中心的服务器上，对于大型分支可以单独架设数据中心服务器，在服务器上为办公大楼和分支机构的每个用户开辟一个独立的虚拟桌面系统和独立的存储空间。不同岗位的员工可以通过不同的终端设备接入到远程的桌面系统，在用户终端上只有显示和输入输出功能，不存文件，也不留数据。

Acer OVD是专为桌面而构建的端到端一站式虚拟桌面解决方案，该方案以桌面托管的方式实现统一的桌面虚拟化平台，可将任何桌面/应用交付给用户，并提供最佳的性能、最高的安全性、最低的成本和最强的灵活性。具体需要的方案组件如下：

2.2央企办公桌面应用场景说明

对于总部大楼、分支机构等职能办公用户，只需要使用瘦客户机设备通过局域网或广域网直接连接到央企办公数据中心的虚拟桌面平台，访问属于自己的虚拟桌面系统。由于央企行业中同一部门的员工所需的应用相近，因此可以利用这一特点为相同类型的用户创建标准的虚拟桌面模板，并利用模板链接技术为相同类型的用户分配虚拟桌面。日常管理维护时也只需对模板虚拟机进行维护即可，能降低管理维护工作量，而维护过程中用户仍然可以高效使用工作桌面。

通过精细的USB 权限控制，实现默认桌面和虚拟桌面的USB通道放行和禁止，达到终端防泄密的效果。

在Acer OVD桌面控制平台上，可以控制用户是否有权限使用USB，并可以区分使用哪种类型的USB（打印机、大容量存储设备等），每种类型可以单独控制。

如果用户设置了该登录用户的USB权限，例如禁止使用USB大容量存储设备，那么对该用户插上USB存储设备时，表现如下：

1．不进行自动重定向；

2．当用户点击虚拟桌面上方工具条选择USB设备时，如下图，禁止使用USB存储设

备情况下，但是列表和之前一样需要给出来，但是如果该用户手动去勾选“A-Data USB Flash Driver”时，需要给出错误提示“您的权限无法使用该设备，请联系管理员！”。

对于无法识别的USB设备类型，可以通过自定义USB类型的方式进行管控，从而从根本上做到USB访问权限的全面控制。

2.3多网隔离设计思路分析

一、双网卡PC+虚拟桌面客户端软件

架构说明：需要一台双网卡的PC，本机安装Windows操作系统直接访问外网，在本机启动虚拟桌面客户端软件，可由软件客户端来访问内网，并设定本机上的内外网数据不能交互，针对某些特定用户也可以设定内外网数据能够交互。

优势说明：只需要一台计算机就可以访问内外网，用户可以独享桌面和应用，并且重要的文件都存放在服务器上，保障数据安全，避免文件泄密。

二、瘦客户机+普通PC

架构说明：需要一台瘦客户机和一台普通PC，通过瘦客户机+虚拟桌面平台访问内网桌面，本地PC直接访问外网即可。

优势说明：内外网完全分开，内网文件只存放在虚拟桌面服务器上，而桌面统一在后台管理，可以加大对桌面的管控力度。

三、瘦客户机+双桌面逻辑隔离

架构说明：需要一台瘦客户机+虚拟桌面发布平台，分别给每台瘦客户机分配两个独立的虚拟桌面系统，一套用于访问内网，一套用于访问外网。

优势说明：实现一机多用，并且可以同时访问内外网桌面，可以做到无缝切换，而所有桌面