数据不落地、移动新应用、安全更可靠

一、背景

1、公司背景

格力电器是成立于1991年的目前全球最大的集研发、设计、生产、销售、服务于一体的国有控股专业化空调企业，格力电器的营销网络遍布全球，在国内市场尤为突出，在全国各省市都设立直属分公司。格力电器山东省分公司（以下简称：山东格力）成立于2000年，借助格力电器技术和品牌优势，凭借全新的经营理念，先进的管理方法飞速向前发展。

山东格力成立初始就致力于全新的经营理念和科学的管理方法，对公司信息化使用高度重视，通过多年的发展和积累，目前已经拥有多套核心业务系统，分别有用友NC财务系统、浪潮GS金融系统、金力供应链系统、捷德物流系统、金和OA办公系统。如何管理好这些信息系统，发挥它的最大价值，提高对移动终端的支持，做到“集中式管理和用户数据不落地”将是重中之重。

2、业务背景

山东格力应用了多套核心业务系统，解决信息汇总、贯通和远程访问方面基本上全部采用的是VPN(MPSL)方案，以高于2Mbps的网络带宽支撑着信息交互。表面上看来，VPN方案能够解决信息交互的问题，实际上它并不是最经济的和最佳解决方案，问题集中体现在：

业务数据、应用较为分散，都分别部署在不同的PC之上，容易造成数据泄漏，而且对客户机的配置有一定要求，硬件设备成本较高。

分散的业务系统想要集中部署在服务器上，但部分应用信息系统需要USB设备支持（例如加密卡和CA认证），也就是说，终端机使用加密卡或CA认证等USB设备需要在服务器端进行识别。

VPN技术虽然采取了加密算法来伪装保护敏感信息，但黑客可以利用VPN的安全漏洞，利用这些设备来绕过身份认证或进行其它类型的网络攻击。

业务扩张建设成本高，每增加一个业务应用或者增加一个终端都需要增加一定的经济成本。

由于在网络中传输的都是实时数据，因为对带宽要求非常高，带宽占用相当高，当并发用户量增加的时候，传输速度就会受到影响和制约。

系统和数据部署于各终端机器上，导致IT管理人员经常奔走于各个部门进行维护、升级等工作，工作效率相对较低。

无法支撑移动互联网环境下的移动办公问题，外出办公经常因无法便捷的登录使用各个信息系统而导致信息不畅。

二、系统改造目的

所有业务系统及应用程序集中部署，统一管理，所有业务及办公软件统一部署于服务器上，升级维护只针对服务器上部署的应用统一操作无需针对终端维护。

对业务系统进行集中管控，保障业务数据不落地（不分散存储于各终端机器）。

各业务单元（部门间）的业务数据按用户和要求不同进行隔离（相互不能访问），防止数据泄露，但需要实现横向文件的交互。

对终端用户账户权限分级管理，不同的用户访问各自所需的业务系统和应用数据；

在不改变现有网络状况的前提下，提高访问速度，实现加速功能。

员工在非办公场所通过VPN登录服务器访问应用，实现远程异地办公。

通过平板电脑、手机等移动终端机访问服务器应用，实现移动办公。

三、改造方案

1、方案简介

经过前期测试、验证、评估，通过部署实施瑞友天翼应用虚拟化系统（简称瑞友天翼GWT系统）可以完全实现本次系统改造的全部要求，该系统是基于服务器计算的应用接入平台。它将山东格力核心业务系统及应用软件集中部署在应用虚拟化服务器（群）上，通过RAP协议（Remote Application Protocol），即可让终端快速安全的执行服务器上的业务系统及应用软件，天翼RAP协议对网络的带宽要求非常低，而且优化了屏幕传输，平均一个终端机连接仅占用20kbps的带宽，也无需在终端上安装业务软件，从而使的用户不再受终端和连接性能的限制，可以在任何时间、任何地点、使用任何设备、采用任何网络连接方式，都可高效、安全的访问服务器（群）上的应用程序和关键资源，方案中独有的虚拟磁盘和外设重定向功能，可以完美的解决数据不落地、安全存储以及服务器对终端外设的使用。

2、方案实施

部署集中应用模式，将山东格力所有业务系统及应用软件的终端机（包括OA、NC等所需的插件加载项）部署到数据中心的服务器（群）上。

在应用服务器（群）上分别部署瑞友天翼应用虚拟化系统的主副集群服务器，主副集群服务器分配同步的用户账户，并做服务器负载均衡策略，保障每台服务器都均衡利用，以免造成单台服务器负载过大而影响用户体验。

在应用服务器（群）前搭建应用防火墙，在防火墙上只需开通5872和80端口即可，其它通讯端口全部关闭，加强服务器（群）的安全性。

设置虚拟磁盘访问策略，赋予不同用户权限，包括数据访问、文件传输、数据隔离等。

设置好各种安全访问策略与操作系统安全策略，将不同用户的相同应用隔离，让用户只访问经过授权的应用程序，同时对需要控制的终端机也可以进行录屏监控。

设置数据库服务器安全策略，让数据库服务器只对天翼服务器上的应用程序提供服务，用户不能直接访问数据库服务器，有效保护数据库服务器安全。

终端机器通过访问瑞友天翼服务器对外发布的地址进行终端机访问，安装远程接入所需的终端机插件，通过瑞友天翼系统终端机的资源映映射将USB外接设备直接虚拟重定向至服务端，保障加密卡正常使用。

调试移动终端机（Android、iOS等）的用户在手机、平板上安装瑞友天翼系统移动终端机，随时随地访问。

各分支机构、外出人员的计算机上不在安装应用程序，可以通过任何线路，只需20kbps的带宽，通过瑞友天翼系统的终端机即可快速接入到总部天翼服务器上进行用友NC、浪潮GS、金力等业务系统的操作。

局域网内部用户可设置通过天翼服务器进行业务系统的操作，不得直接连接访问数据库服务器。

3.实施效果

通过瑞友天翼GWT系统服务端发布山东格力的业务系统，终端机不需安装任何业务应用软件，只要在有网络接入的情况下，就可以快速应用业务系统，实现了集中部署，统一管理。

通过瑞友天翼GWT系统的各种安全策略，使业务数据不落地，均保存在服务器上，通过发布虚拟磁盘，使用户自定义数据相互隔离，也可使用公共磁盘实现数据共享。

通过设置USB重定向策略，将终端机的加密卡和CA认证等USB设备虚拟连接到服务器，使业务应用能够正常访问插在终端机计算机上的USB设备。

RAP协议只传输鼠标、键盘及屏幕变化的矢量数据，最低仅需20kbps的带宽，满足了在低带宽下快速访问业务系统。

将瑞友天翼GWT系统终端机部署在Android、iOS等智能移动设备，通过智能移动设备随时随地访问服务器上发布的应用程序，实现移动办公。

所有终端机用户可以通过web浏览器或天翼GWT系统终端机访问服务器上经授权的应用，实现了不同的用户访问各自所需的业务系统和应用数据，增强了数据安全性。

数据不落地、移动新应用、安全更可靠相关推荐

有计划地开放数据促进大数据法规落地
5月1日起,<贵阳市政府数据共享开放条例>正式实施. <条例>的出台,仅仅是我市大数据发展步入法治轨道的开始.如何更好地让<条例>实现落地,成为新的课题. 2017 ...
用诸葛孔明的智慧，读懂新型数据中心的“四新”机遇与产业逻辑
成都人最熟悉的历史人物,应该是诸葛孔明他老人家无疑了.从武侯祠到草堂茶馆,这座城市处处都有关于丞相的古迹供人凭吊,甚至传说中四川人最爱的火锅也是他发明的. 而诸葛先生最被大众称道的一点,应该就是他的智 ...
云原生实时数仓首次在2020双11核心数据场景落地
简介: 这是史上数据量.计算量最大的一年,是实时处理要求最高.与机器智能结合性最强的一次双11,也是全球最大规模的一次云原生实践.背后作为数据核心支撑的大数据平台更是创下新的世界纪录. 刚刚结束的20 ...
华为超大云数据中心落地贵州，这些硬核技术有利支撑“东数西算”
摘要:在贵州建设的数据中心又该如何最大化利用算力资源,从而有效提高资源分配率,降低云资源的使用成本. 本文分享自华为云社区<华为全球最大数据中心落地贵州,这些硬核技术有利支撑"东数西算 ...
保千里智联宝机器人图_保千里打令小宝机器人落地机器人+ 新模式
原标题:保千里打令小宝机器人落地机器人+ 新模式 9月上旬,保千里打令服饰行业大客户尚流她生活相继开展了2场服饰类大型活动,并成功入驻知名男装品牌卡尔丹顿在中国的数百家连锁店铺.这是尚流她生活继第十六 ...
开源|AAAI2021杰出论文-三维重建新探索：让自监督信号更可靠！
点击上方"3D视觉工坊",选择"星标" 干货第一时间送达作者丨许鸿斌来源丨极市平台编辑丨极市平台导读现有的方法都是假设不同视图之间的对应点具有相同的颜 ...
论企业大数据的落地路径
相信大家都知道工业4.0理念,即利用物联网技术将生产中的供应.制造.销售信息数据化.智慧化,但推行效果并不是很理想,其中很大一部分原因是企业忽略了自身内部信息系统仍有冗余的现象而盲目跟风,过程中由于缺 ...
最详细大数据项目落地路线图实践总结
今天,来谈一谈"大数据项目如何落地?"这个话题.从事过多个大数据项目的规划方案及项目落地工作,在这里与大家分享一些心得,主要是关于大数据项目如何成功落地并取得预期目标,也可以说这些 ...
数据中台落地实施之法
让数据中台真正落地是实现数字化转型的重中之重.企业做好数据治理.体系建设及人才配备等前期工作后,接下来要做的是数据中台实施落地的关键. 企业首先要掌握数据中台建设的三大核心要素:选对数据建设方式.厘清 ...
【金猿投融展】观远数据——让业务用起来让决策更智能
‍ 投融资项目·观远数据本项目由观远数据投递并参与"数据猿年度金猿策划活动--<2022大数据产业最具投资价值企业>榜单/奖项"评选. ‍数据智能产业创新服务媒体 - ...

数据不落地、移动新应用、安全更可靠

数据不落地、移动新应用、安全更可靠相关推荐

最新文章

热门文章