以下文章來源于公眾號金融電子化 ，作者金融電子化

文 / 國家開發銀行信息科技局 衛劍釩 夏曉峰

當前數字金融蓬勃發展，作為數字化轉型的重要基礎性保障，網絡安全及信息科技風險管控顯得尤為重要。桌面云作為外包風險管控的有力工具，一方面可以使外包人員的操作都在技術管控范圍之內，避免數據泄漏事件發生；另一方面通過錄像追蹤、日志記錄等方式，進而審計并規范外包服務人員的合規操作。國家開發銀行通過部署桌面云產品，保障數據安全，提高交付效率，降低運維成本，取得了較好成效。本文就桌面云平臺的實踐經驗與應用成效與同業分享。

桌面云平臺的需求分析

國家開發銀行最早于2010年開始桌面虛擬化和應用虛擬化部署與實踐。經過多年的使用經驗積累，并考慮安全的發展戰略要求，自2019年開始，計劃部署一套新的、安全穩定、高性能、功能全面，且具備同業案例的軟硬件一體化產品，實現1000點并發的桌面云交付。

具體來講，新部署的桌面云平臺需要滿足如下功能和性能要求。

數據安全管控：平臺通過虛擬化桌面技術，可以防止代碼、開發文檔、開發工具的泄漏外發，能夠通過策略靈活的對終端磁盤、USB設備、打印機設備、剪切板操作等設備進行映射控制，并能夠對數據的流動進行雙向控制與審計。同時具備安全水印、截屏控制、流程管理等可提高平臺安全合規性的輔助功能?？刂茖ο罂梢允亲烂娼M或用戶組，用戶信息可與行內現有的AD認證環境良好結合。

用戶流暢訪問：該平臺應當滿足1000人的并發使用需求，提供并發的編碼、編譯、檢索能力支持，能夠承載銀行多人并行的大型軟件開發測試，并保障高并發場景下用戶流暢高速的訪問體驗。

高可靠要求：平臺應從硬件部署、架構設計、平臺自身備份與容災、操作系統數據存放、用戶數據存放、數據庫數據存放、軟件鏡像與安裝包存放等方面，均提供高可用機制以及災難恢復策略。

管理便捷性：平臺要能夠實現應用軟件、驅動程序的批量更新與增量更新，并保障秒級完成，無需過多占用開發者的工作時間，程序分發后不會覆蓋原虛擬機的個性化配置和自主安裝的軟件。平臺還應能實現文件統一發放、通知統一推送、管理員遠程協助、用戶自助維護通道等功能以降低運維管理壓力。

終端兼容性：外包人員可以自帶電腦終端登錄行內的桌面云平臺，并在桌面云安全環境中進行代碼編譯。平臺應能夠良好兼容外包人員的各類筆記本電腦、外設、多類型多版本多語言開發軟件。

其他功能：為保障開發人員日常工作的順利、安全進行，平臺自身應具備輕代理殺毒、病毒庫更新、終端微隔離、云盤文件共享、數據安全流轉、DHCP等能力。

▲國家開發銀行通過部署桌面云產品，保障數據安全，提高交付效率，降低運維成本，取得了較好成效。

桌面云部署及實現價值

在滿足以上需求的要求下，通過對桌面云平臺產品的測試和采購，本項目最終部署了40臺深信服桌面云一體機，組建了兩套VMP集群，并通過一套VDC對兩個VMP集群進行統一管控，實現賬戶體系統一納管、降低虛擬化平臺故障域、雙集群物理隔離等價值（見圖1）。平臺具備移動辦公設備接入能力，但本項目暫未啟用。

▲圖1 桌面云一體機的部署

 

在部署設計階段，需要將桌面云平臺資源需求拆解為計算資源需求、存儲資源需求和終端軟件資源需求，然后以用戶模板配置方式，供多部門多項目組靈活選擇。

在投入使用階段，如遇用戶組織架構變動、開發資源不足的情況，可通過工單系統向桌面云平臺管理員發起桌面變更申請、桌面擴容申請等，經過流程審批后，動態變更桌面資源。

通過桌面云平臺部署，我們在以下幾方面取得了實質性效果。

在數據安全防護方面，通過桌面云提供的安全機制，實現數據導出審計控制、外設管控、水印等安全防護策略；在流暢訪問體驗方面，基于桌面云底層超融合計算虛擬化和存儲虛擬化技術，提供流暢的訪問體驗和計算性能，保障了與原有PC訪問的一致體驗；在管理便捷高效方面，提供虛擬機和用戶的集中運維，分級分權管理，實現安全策略、管理策略、用戶模板、資源配置、管理要求等一致的管理特性，大幅降低了管理上千臺用戶主機的運維工作量和難度。

桌面云前沿發展方向探索

1.ECC場景安全增強。企業總控中心(ECC)是以監控和管理為手段，以控制和優化為目標，對信息系統健康程度進行全面和準確監控的先進管理方案。傳統的ECC總控中心的工作特點是現場化、集中化，快速發現信息系統的風險和問題，但在特殊情況下如果運維人員無法正常到崗，可通過遠程登入虛擬桌面或虛擬應用完成工作任務。這對桌面云產品的安全功能提出很高要求，應能夠通過用戶人臉識別認證技術實現身份安全、靜默式監控；通過分布式技術實現操作終端微隔離、權限與身份綁定、靈活安全編排等能力；通過桌面云平臺聯合安全組件實現全方位的運維安全審計。

2.信息技術應用創新探索。現階段，從整個生態上講，國內軟硬件的兼容性尚存不足，且缺乏與之適應的行業技術標準，主流技術路線仍有較大的不確定性，各類軟硬件適配測試的工作量大，這些都是信息技術應用創新實踐所面臨的挑戰。針對此類情況，可采用桌面云和虛擬應用技術予以緩解或兼容，比如，對于部分辦公軟件與國產操作系統不兼容情況，可通過“虛擬應用”方式，屏蔽底層操作系統差異，實現非兼容應用的平滑過渡，確保對業務的影響降到最低。