桌面云助力银行构建安全管理之路

近年来随着银行金融业的迅速扩张，国内越来越多的银行金融机构开始接触，部署，构建符合自有需求的私有云系统。面对数据量，业务量的扩张以及冲击，高效运维，管理对银行金融业显得尤为重要。

桌面云技术的发展把信息，业务，服务多方面进行整合给用户，在很大程度上可以使客户的信息化更好的运作起来。作为桌面云解决方案的优质厂商，云思创想认为桌面云解决方案可以有效改善银行现有数据运维方式。

传统银行金融行业面临以下问题

1. 业务系统功能种类繁多，IT生态系统复杂，管理难度大

银行每个主要应用业务系统之下，又各自有少至几个，多至上百个子系统提供支撑服务。每个应用系统通常开发商不同，接口需要整合，对支撑的网络，服务器等等各种设备的可靠性，性能要求也各不相同，所以这就形成了一个非常复杂的IT生态系统 。

2. 以网络连通为核心，金字塔式网络布局，层级多，信息化滞后

传统银行在信息化建设中，根据其自身的特点以及涉及区域大小，在前期规划中均采用以网络连通性为核心的规划理念。整体规划中采用由两个或多个数据中心和省行网络构成核心一级网，由省行到各支行构成二级网络，这样的信息化并不连贯。

3. 本地数据无法备份容灾，且数据分散设备管理无法完全掌控

“本地数据安全”在银行金融行业来说，一直是颇具风险。把所有本地数据一一进行备份既困难，耗费的时间金钱也是巨大的。如果重要文件都保存在网络存储中，要恢复整个桌面，即使是利用本地备份副本进行恢复也非常耗时。分散于各个终端里的数据，是可以自行修改，删除，拷贝的。这种情况下，黑空攻击，病毒感染，非法接入都会造成数据泄露，损坏。况且分散的数据，在设备更替，移动时都无法保障其数据安全。

4. 日新月异的认证手段让信息化管理更复杂

随着身份认证的手段越来越多，数据量大，业务繁杂，信息敏感，高额利益...等问题正使银行数据的存储管理变的越来越具有挑战性。

5. 复杂的系统导致运维管理具有难度

银行的系统架构导致了运维难度的增加。数据中心需要专人规划，层级式的网络连通又导致了手工维护效率低，成本高。

“智能，安全，管控”

——这都是银行金融业急需解决的问题

办公桌面虚拟化

传统pc桌面设备具有越用越慢,设备维护工作量大等问题。通过简化个体软件部署升级，以管理平台自动部署，备份，恢复来管控所有桌面设备，简化IT管理，提高运维效率。

柜台业务桌面虚拟化

柜台业务具有外设多，使用频繁，安全性高，移动化办公等需求。软件的即时更新，高标准的安全级别，可以整体提升场景的效率与安全。

网络监控虚拟化

避免大量的外部维护人员，避免敏感数据被外维人员接触到，以防数据泄露。

多网融合虚拟化

用户具有多套PC及网络管理起来是比较困难，容易引发信息事故。

公用上网机虚拟化

银行公共计算机环境，系统慢，管理难，设备寿命低。

呼叫中心虚拟化

银行的呼叫中心应用单一，流动性大，工位不固定，数据具有外泄风险。

云思创想桌面云解决方案

1. 原理

数据中心提供虚拟运行环境，数据处理过程在服务器上进行，由服务端将桌面图像推送到客户端，客户端接收信息和进行鼠标键盘等操作。

2. 双网隔离

生产网中的用户需要访问办公网中的系统时，如生产网用户需要访问办公网中的OA系统时，首先为该生产网用户分配一台托管在办公网中的虚拟桌面。用户在生产网中除能访问生产网中的业务系统外，还能通过防火墙上打开的固定端口(如4217)访问为其分配的办公网中的虚拟桌面，逻辑结构如下图所示：

通过将办公网中的应用系统的客户端程序与服务端程序部署在同一个网络，如上图所示，OA系统服务端部署在OA网中，则同样将OA系统客户端部署在OA网中的虚拟桌面上，办公网及生产网之间传输的只是屏幕变化及键盘鼠标消息，这能避免生产网中的敏感数据传输到办公网，同理，在生产网与办公网之间只需开通固定的端口，而无需根据应用系统开通应用端口，这也能提供网络与系统的抗攻击能力。

3. UKEY认证

如果用UKEY做桌面云登录，那么TC上必须安装UKEY驱动。因为在PC/SC映射方式下，在用户虚拟机中对智能卡信号做了特殊处理，所以导致很多智能卡无法在虚拟机中被识别。因此这种方式下云思创想使用USB重定向方式使用UKEY。对于某些特殊UKEY，即便是使用USB重定向方式也无法在虚拟机中使用,云思创想通过提供定制版驱动，以方便用户正常使用。

4. 远程接入

远程客户端经SSL加密隧道访问连接代理，认证通过后，接入到个人专属的虚拟桌面，再通过虚拟桌面访问后台银行业务系统。

5. 集中访问外网

云思创想集中上网解决方案从本质上解决了安全问题，用户不能直接访问互联网，所有的互联网访问都必须通过集中虚拟桌面，管理员可以根据用户的帐号对用户上网行为进行集中管控。

6.云思创想桌面云收益分析