烟草行业云计算技术的运用

由于公司对办公的及时性需求较高，包括领导、客户经理等人员因出差等原因不在公司办公电脑前或者外出时没有携带笔记本等设备时，很难查询相关业务的信息和批阅相关的工作，从而影响工作效率。同时，当数据中心出现故障，而IT管理员或相关人员下班回家或者因为公务不在公司时，系统的障碍排除将会变得非常麻烦，相关人员会花费大量的时间在来回的路上，及耽误时间也会极度影响效率。为了方便办公，提高工作效率，我们寻求一种能满足无论何时何地，只要有一台任意的智能终端，即可通过Internet网络（不论是有线网络或者3G甚至2G网络），登陆相关应用，或内网的桌面，从而对系统进行查询，维护或者批阅文件，进而实现远程办公，大大提高工作效率。如图中所示，我们利用Citrix的XenApp及XenDesktopTM虚拟化软件，为需要外出办公人员提供XenApp及XenDesktop服务，通过ICA协议进行加密封装，通过网络（无论是Internet高速网络还是3G甚至是2G网络），以流的形式，最终用户就可以安全高效的访问该虚拟应用或者桌面，与此同时Citrix的这套虚拟化系统不仅可以在办公室、在家里办公，而且还可以随时随地的通过智能手机、移动电话、掌上电脑等设备接入，让移动办公成为可能。由于CitrixICA交付技术带来的安全特性，移动办公系统还能够有效避免联通互联网所带来的安全隐患。同时还可以大幅减低成本。这样就解决了移动办公的难题，同时相比较以往的其他方式，这样的成本更低，安全性上对更高，还大大提高了工作效率。

1技术工作原理

Citrix虚拟计算构架通过在后台应用系统前端部署一台专门执行应用程序或者Windows桌面的服务器，利用Citrix桌面及应用虚拟化的ICA协议将虚拟的应用或者桌面像投影机一般“投影”在我们的PC机或者各种各样的智能终端上。由于在传输过程中采用的是ICA专用协议，最终用户只有键盘、鼠标的操作会被映射到虚拟桌面上，虚拟桌面或者应用也只有屏幕的变量会被发送给最终用户，在实际过程中上，没有真实的应用数据的交换，这样就做到了用户操作和内部网络的彻底隔离。在用户使用他们的虚拟应用或者桌面的时候，谁可以访问什么，如何访问都可以通过Citrix针对单个用户或用户组设置高度细化的策略，以限制在用户会话期间是否可以访问硬盘、打印机、串口和剪贴板功能（即复制和粘贴），防止从数据中心下载和复制数据。并且在用户登录的时候系统还可以实现集成端点设备扫描。根据管理员定义的标准对客户端系统进行评估，以执行经过审核的安全配置，比如拥有最新的安全性和操作系统软件。然后，就可以将其结果用作决定是否允许访问以及可以访问多大范围的因素。例如，如果用户使用的系统能够满足企业的完全访问标准，而且能够访问所有资源并进行互动，则可以在这一场景中进行配置；反之，如果该用户从安全性较低的位置、连接或设备访问应用和数据，则可以为其提供访问相同应用的权限，但是仅限于在企业网络内打印和保存文件。

2技术优势

集中式的数据保持和管理。Citrix虚拟化技术的最强大安全特性之一是其集中式架构，它能带来以下三大优势：减少数据丢失–同时由于桌面在集中化的数据中心上运行，而用户可以查看正在工作的实时屏幕更新或镜像并进行互动，但是不会有任何相关信息被实际交付到他们的设备上。这样即使实际使用的设备丢失也不会丢失任何数据。集中保护-托管的桌面也可以通过企业大多数中央办公室和数据中心的强大、集中安全性基础架构获得充分的保护。简化修补。由于所有应用都进行集中的管理和维护，因此可以对软件漏洞进行更彻底、更高效的修补。管理员只需要为每套应用打补丁和维护一个集中的镜像，而不需要在分散于全球的若干设备上维护数百个甚至数千个镜像。

安全访问、交付和限制。负责控制谁拥有访问虚拟化资源的权限，从而确保用户会话的保密性并保护离线操作可用的任何数据的XenApp安全性特点包括：用户认证-XenApp本身能够支持各种不同的认证机制，包括ActiveDirectory、ActiveDirectoryFederationServices、RADIUS、Kerberos、穿越认证（用户桌面密码被透明提交到服务器），和双因子验证的多个选项，比如RSASecurID标记和智能卡等。此外，还可以通过利用可用的SDK并使用现有的CitrixReady安全性解决方案来进行生物测定和其它形式的验证。单次登录-集成的单次登录技术可以实现具体的密码管理和控制。它可以支持自动应用登录、用于控制密码强度和期满的策略、自助密码重新设定（一种能强化密码规则而不增加用户和系统管理员负担的基本功能）。用户只需要一组登录信息，就能够安全地启动多个由XenApp交付的受密码保护的应用。会话加密-可以使用诸如传输层安全性（TLS）、安全套接层（SSL）和高级加密标准（AES）等多个标准协议和高性能算法，对会话进行加密。这可以为XenApp交付的应用实现，或通过能够支持对XenApp托管的应用和企业的所有其它集中计算服务进行安全远程访问的全功能SSLVPN设备得以实现。离线数据保护-EncryptedDataPlug-in中集成了CitrixReceiverTM，可以为用户端点设备上的应用数据提供加密的办公场所或安全区域，以支持离线访问。可以设置相关策略，限制仅通过批准的企业应用方可读取和写入AES-256加密的空间，这样，存储的数据可以在管理员指定的失效期之后自动清除。此外，如果端点设备丢失或被盗，还可以使用远程消灭功能来删除受保护的数据。

业务系统高可用。Citrix服务器间可以做负载均衡，系统会根据管理员制订的策略或每台机器的负载情况自动将用户负载到不同的机器上。任何一台服务器宕机，都不影响其他服务器的使用。XenDesktop依靠应用和会话虚拟化的组合来克服传统应用部署解决方案所面临的诸多挑战。桌面虚拟化通过与下层的操作系统和其它应用相隔离，提高了应用的安全性、兼容性和可管理性。采用应用虚拟化方式，不需要将应用安装在端点设备上。相反，它们经过封装后可以为每个应用提供属于自己的隔离运行时环境，而这些应用则可以使用自己必需的系统服务、设置和数据的虚拟化（即镜像）实例来运行。如果某位授权用户要求某个应用，对应的封装包将被流传输到该用户的端点设备上。此外，应用虚拟化还可以实现用户离线时对应用的访问，使企业可以更充分地利用分散端点设备的计算能力。

综合监控。系统中丰富的监控、跟踪和审核功能可以帮助管理员识别因恶意目的、未检测到的妥协、策略缺口、错误或疏忽而发生的误用，并采取相应措施。此外，它们还为符合企业政策以及相关安全性和隐私规定提供广泛的支持。会话重影功能支持在管理员的工作站上实时复制并显示指定用户会话。此功能可用于故障排除或监视用户的活动，以确定是否有值得怀疑的误用。活动记录功能对用户在访问在线应用时在屏幕上的活动创建一条视频记录，并将其作为一个视频文件存储在安全服务器内。比如说，当监视组中的某位用户连接到特定应用时，可以根据触发规格启动会话记录。这种技术可用于帮助符合相关法规、降低风险和故障排除。配置记录功能支持与活动记录功能相似的目的，但是此功能是针对管理员，而不是用户的。对Citrix服务器站的每次配置更改都得到跟踪，以记录谁、何时进行了该更改。报告功能提供一套用于揭示用户活动本质及其趋势的长期机制。在得到汇总并有选择性地显示时，这些详情不仅可用于帮助改进访问和使用策略，而且可用于支持法医检定，比如说，通过拼凑一条用户活动的时间线，并将其与其它系统的日志数据进行关联。

任何设备随时随地。今天的数字化员工队伍需要极大的灵活性，来通过他们选择的任何设备随时随地开展工作。利用CitrixReceiver?———一种轻量通用客户端，Citrix用户可以通过任何PC机、苹果机、瘦客户端或智能电话访问他们的桌面和企业应用。这样就可以实现全面的工作空间灵活性、业务连续性和用户移动性。

XenApp交付的按需应用。为了降低桌面管理成本和复杂性，XenDesktop包括了全面的思杰应用虚拟化技术，可通过Citrix?XenApp?按需交付应用。借助应用虚拟化，IT部门就可以控制数据访问，管理更少的桌面镜像，避免系统冲突并减少应用回归测试，因此成了桌面虚拟化成功的关键。现在，应用的添加、更新和删除变得非常简单，因为Citrix包括一个自服务应用库，使用户可以随时随地立即访问各种应用。

项目实施风险低。由于Citrix应用虚拟化方案的部署不需要改造和重建现有系统，现有系统也不需要任何的宕机时间来切换到新系统，在网络增加新的服务器层就能构建新系统。原有的操作界面和使用方式被完整保留，不需要额外的用户操作培训。

通过Citrix云计算的相关技术，六安烟草可以在如下方面带来便利：轻松实现移动办公，提高工作效率。通过笔记本电脑、MacBook、iPad平板电脑、iPhone、Andriod、WindowsPhone手机等各种终端，高层管理人员和业务销售骨干在外出时也能够方便快捷地登录企业内部系统，工作效率大大提高。大大降低了3G上网卡的流量，减少了相应的开销应用系统的集中部署和管理安全高效，杜绝了信息流失隐患。新方案部署对原有系统架构没有任何影响，终端用户原有的操作界面和使用方式被完整保留,不需要额外的用户操作培训。系统管理的工作量大幅降低。纵观整个社会，各大企业以及公司都纷纷建立了自己的的基础网络与服务架构，我们已经从网络以及系统大建设的时代进入了一个相对平稳的时期。在不断提高的业务需求，以及各种可怕的安全问题的包夹下。我们逐渐提升了对信息系统的认识水平。我们的目光应该提高到应用交付的优化和如何使业务系统更加完善的安全的层面之上来作为今后一段时期IT发展的方向。IT即是服务，我们应该更好的去了解业务以及信息系统使用人员的需求。将企业的信息建设推向更灵活、更安全、更高效的层面。因此在未来我们希望通过Citrix的相关技术带动生产率的提高，建立了一套较为完善的IT基础信息系统并最终建立成一个智能化的六安烟草信息中心。（本文作者：薛绍松、吴金安、陈浩 单位：六安市烟草专卖局 ）