数据不落地、移动新应用、安全更可靠---格力电器山东省分公司业务系统改造案例

时间:2014-06-24 14:40:26

一、背景

1、公司背景

格力电 器是成立于1991年的目前全球最大的集研发、设计、生产、销售、服务于一体的国有控股专业化空调企业,格力电器的营销网络遍布全球,在国内市场尤为突 出,在全国各省市都设立直属分公司。格力电器山东省分公司(以下简称:山东格力)成立于2000年,借助格力电器技术和品牌优势,凭借全新的经营理念,先 进的管理方法飞速向前发展。

山东格力成立初始就致力于全新的经营理念和科学的管理方法,对公司信息化使用高度重视,通过多年的发展 和积累,目前已经拥有多套核心业务系统,分别有用友NC财务系统、浪潮GS金融系统、金力供应链系统、捷德物流系统、金和OA办公系统。如何管理好这些信 息系统,发挥它的最大价值,提高对移动终端的支持,做到“集中式管理和用户数据不落地”将是重中之重。

2、业务背景

山东格力应用了多套核心业务系统,解决信息汇总、贯通和远程访问方面基本上全部采用的是VPN(MPSL)方案,以高于2Mbps的网络带宽支撑着信息交互。表面上看来,VPN方案能够解决信息交互的问题,实际上它并不是最经济的和最佳解决方案,问题集中体现在:

业务数据、应用较为分散,都分别部署在不同的PC之上,容易造成数据泄漏,而且对客户机的配置有一定要求,硬件设备成本较高。

分散的业务系统想要集中部署在服务器上,但部分应用信息系统需要USB设备支持(例如加密卡和CA认证),也就是说,终端机使用加密卡或CA认证等USB设备需要在服务器端进行识别。

VPN技术虽然采取了加密算法来伪装保护敏感信息,但黑客可以利用VPN的安全漏洞,利用这些设备来绕过身份认证或进行其它类型的网络攻击。

业务扩张建设成本高,每增加一个业务应用或者增加一个终端都需要增加一定的经济成本。

由于在网络中传输的都是实时数据,因为对带宽要求非常高,带宽占用相当高,当并发用户量增加的时候,传输速度就会受到影响和制约。

系统和数据部署于各终端机器上,导致IT管理人员经常奔走于各个部门进行维护、升级等工作,工作效率相对较低。

无法支撑移动互联网环境下的移动办公问题,外出办公经常因无法便捷的登录使用各个信息系统而导致信息不畅。

二、系统改造目的

所有业务系统及应用程序集中部署,统一管理,所有业务及办公软件统一部署于服务器上,升级维护只针对服务器上部署的应用统一操作无需针对终端维护。

对业务系统进行集中管控,保障业务数据不落地(不分散存储于各终端机器)。

各业务单元(部门间)的业务数据按用户和要求不同进行隔离(相互不能访问),防止数据泄露,但需要实现横向文件的交互。

对终端用户账户权限分级管理,不同的用户访问各自所需的业务系统和应用数据;

在不改变现有网络状况的前提下,提高访问速度,实现加速功能。

员工在非办公场所通过VPN登录服务器访问应用,实现远程异地办公。

通过平板电脑、手机等移动终端机访问服务器应用,实现移动办公。

三、改造方案

1、方案简介

经 过前期测试、验证、评估,通过部署实施瑞友天翼应用虚拟化系统(简称瑞友天翼GWT系统)可以完全实现本次系统改造的全部要求,该系统是基于服务器计算的 应用接入平台。它将山东格力核心业务系统及应用软件集中部署在应用虚拟化服务器(群)上,通过RAP协议(Remote Application Protocol),即可让终端快速安全的执行服务器上的业务系统及应用软件,天翼RAP协议对网络的带宽要求非常低,而且优化了屏幕传输,平均一个终端 机连接仅占用20kbps的带宽,也无需在终端上安装业务软件,从而使的用户不再受终端和连接性能的限制,可以在任何时间、任何地点、使用任何设备、采用 任何网络连接方式,都可高效、安全的访问服务器(群)上的应用程序和关键资源,方案中独有的虚拟磁盘和外设重定向功能,可以完美的解决数据不落地、安全存 储以及服务器对终端外设的使用。

2、方案实施

部署集中应用模式,将山东格力所有业务系统及应用软件的终端机(包括OA、NC等所需的插件加载项)部署到数据中心的服务器(群)上。

 

 

在应用服务器(群)上分别部署瑞友天翼应用虚拟化系统的主副集群服务器,主副集群服务器分配同步的用户账户,并做服务器负载均衡策略,保障每台服务器都均衡利用,以免造成单台服务器负载过大而影响用户体验。

 

在应用服务器(群)前搭建应用防火墙,在防火墙上只需开通5872和80端口即可,其它通讯端口全部关闭,加强服务器(群)的安全性。

设置虚拟磁盘访问策略,赋予不同用户权限,包括数据访问、文件传输、数据隔离等。

 

设置好各种安全访问策略与操作系统安全策略,将不同用户的相同应用隔离,让用户只访问经过授权的应用程序,同时对需要控制的终端机也可以进行录屏监控。

 

设置数据库服务器安全策略,让数据库服务器只对天翼服务器上的应用程序提供服务,用户不能直接访问数据库服务器,有效保护数据库服务器安全。

终端机器通过访问瑞友天翼服务器对外发布的地址进行终端机访问,安装远程接入所需的终端机插件,通过瑞友天翼系统终端机的资源映映射将USB外接设备直接虚拟重定向至服务端,保障加密卡正常使用。

 

调试移动终端机(Android、iOS等)的用户在手机、平板上安装瑞友天翼系统移动终端机,随时随地访问。

 

各分支机构、外出人员的计算机上不在安装应用程序,可以通过任何线路,只需20kbps的带宽,通过瑞友天翼系统的终端机即可快速接入到总部天翼服务器上进行用友NC、浪潮GS、金力等业务系统的操作。

 

局域网内部用户可设置通过天翼服务器进行业务系统的操作,不得直接连接访问数据库服务器。

3.实施效果

通过瑞友天翼GWT系统服务端发布山东格力的业务系统,终端机不需安装任何业务应用软件,只要在有网络接入的情况下,就可以快速应用业务系统,实现了集中部署,统一管理。

通过瑞友天翼GWT系统的各种安全策略,使业务数据不落地,均保存在服务器上,通过发布虚拟磁盘,使用户自定义数据相互隔离,也可使用公共磁盘实现数据共享。

通过设置USB重定向策略,将终端机的加密卡和CA认证等USB设备虚拟连接到服务器,使业务应用能够正常访问插在终端机计算机上的USB设备。

RAP协议只传输鼠标、键盘及屏幕变化的矢量数据,最低仅需20kbps的带宽,满足了在低带宽下快速访问业务系统。

将瑞友天翼GWT系统终端机部署在Android、iOS等智能移动设备,通过智能移动设备随时随地访问服务器上发布的应用程序,实现移动办公。

所有终端机用户可以通过web浏览器或天翼GWT系统终端机访问服务器上经授权的应用,实现了不同的用户访问各自所需的业务系统和应用数据,增强了数据安全性。