科技進(jìn)步獎勵申報書-基于辦公桌面云的實踐與應(yīng)用優(yōu)化項目.doc

中國移動科技進(jìn)步獎勵申報書項目名稱：基于辦公桌面云的實踐與應(yīng)用優(yōu)化項目申報單位：中國移動通信集團廣東有限公司中國移動通信集團公司2011年 10月 28日一、項目基本情況項目名稱中文基于辦公桌面云的實踐與應(yīng)用優(yōu)化項目英文based on cloud-desktops practice and application optimization project主要完成人主要完成單位中國移動通信集團廣東有限公司主 題 詞桌面云、虛擬桌面、虛擬機、虛擬化、vdi、應(yīng)用發(fā)布、節(jié)能減排、瘦終端、綠色終端任務(wù)來源a.中國移動通信集團公司計劃 b各省、自治區(qū)、直轄市公司計劃 c申報單位自立項目 d.基金資助 e國際合作 項目起止時間 起始： 2009 年 4月 日 完成： 2010年 12月 日二、項目簡介(不超過800個漢字)廣東移動在2009年新全球通移動信息化大廈建設(shè)過程中，將云計算思想應(yīng)用在辦公終端中，將桌面虛擬化技術(shù)與瘦終端技術(shù)的結(jié)合，在新大廈內(nèi)建設(shè)虛擬辦公桌面系統(tǒng)，實現(xiàn)員工在大廈內(nèi)能通過移動虛擬終端高效、安全、可控、便利的辦公需求。在2010年和2011年通過2年的努力，對桌面云架構(gòu)進(jìn)行優(yōu)化和完善，在基于虛擬機技術(shù)的虛擬辦公桌面（vdi）基礎(chǔ)上，利用應(yīng)用虛擬化解決方案增加了對移動辦公和業(yè)務(wù)應(yīng)用系統(tǒng)的“應(yīng)用云”快速訪問服務(wù)。項目采用最新的信息化技術(shù)，突破傳統(tǒng)的技術(shù)限制，實現(xiàn)以下的業(yè)務(wù)目標(biāo)：1. 建設(shè)辦公桌面云，采用移動辦公和自動化技術(shù)，實現(xiàn)員工隨時、隨地、隨意設(shè)備地靈活、無縫辦公，提高員工辦公效率。2. 建設(shè)嚴(yán)格物理隔離的內(nèi)外辦公網(wǎng)絡(luò)，同時實現(xiàn)辦公高效、安全、可控、便利。3. 超瘦終端加統(tǒng)一虛擬機模版具有完全標(biāo)準(zhǔn)化、防病毒木馬攻擊、防止信息泄密，易于管理與維護、保護用戶數(shù)據(jù)安全。4. 提供強大的綜合管理手段，通過桌面云實現(xiàn)了桌面，數(shù)據(jù)，用戶訪問的集中統(tǒng)一管理，實現(xiàn)了流程自動化管理，提高了管理水平和效率。5. 桌面云明顯降低電量和碳排放，這不僅降低了成本，還滿足了國家對低碳和綠色it的要求。項目系統(tǒng)特色：1. 新全球通大廈內(nèi)部全部用瘦終端替換原有傳統(tǒng)臺式電腦，轉(zhuǎn)變傳統(tǒng)的個人電腦作為員工辦公終端的方式，實現(xiàn)3個集中：桌面（應(yīng)用）集中、信息數(shù)據(jù)集中、管理控制集中。2. 充分考慮信息安全和學(xué)習(xí)交流的需求，新大樓網(wǎng)絡(luò)大幅提升網(wǎng)絡(luò)安全等級，同時又基本滿足員工學(xué)習(xí)和對外交流的需求。在新大樓建設(shè)內(nèi)外分離的網(wǎng)絡(luò)，內(nèi)網(wǎng)為辦公網(wǎng)絡(luò)，不能訪問互聯(lián)網(wǎng)，保證內(nèi)網(wǎng)不受終端病毒影響。訪問互聯(lián)網(wǎng)只能通過外網(wǎng)，從技術(shù)上較徹底解決內(nèi)網(wǎng)的安全隱患。3. 基于“云計算”理念的構(gòu)建saas與iaas混合的桌面云，巧妙將桌面虛擬化架構(gòu)（vdi）與應(yīng)用虛擬化結(jié)合。在保證安全的基礎(chǔ)上，便利地實現(xiàn)了一個界面就能同時訪問內(nèi)、外網(wǎng)，既安全又靈活。4. 通過分析用戶的辦公習(xí)慣，監(jiān)控虛擬機性能運行狀態(tài)，建立用戶行為與虛擬桌面生命周期雙因素模型，充分利用虛擬化帶來資源自動分配、云的彈性伸縮特性，實現(xiàn)虛擬機的按需分配，實現(xiàn)按用戶級別提供不同等級的服務(wù)。上述優(yōu)化措施取得了很好的效果，節(jié)省大量系統(tǒng)資源、提高資源利用率的同時將資源最大程度的分配給需要用戶。系統(tǒng)主機cpu利用率從50%下降的20%，相同資源承載用戶提高25%。5. 全方位的安全保障，安全體系的建設(shè)關(guān)鍵在于完整性和減少短板，系統(tǒng)建設(shè)的時候已經(jīng)充分考慮。從瘦終端、內(nèi)外網(wǎng)網(wǎng)絡(luò)物理隔離、網(wǎng)絡(luò)接入、網(wǎng)絡(luò)傳輸協(xié)議、互聯(lián)網(wǎng)遠(yuǎn)程接入辦公、u盤的單向控制、文件集中存儲、內(nèi)外網(wǎng)文件傳輸機制、終端安全管理、虛擬桌面防病毒等全方位提升系統(tǒng)安全等級。三、項目詳細(xì)內(nèi)容1、 立項背景（不超過800個漢字）隨著it技術(shù)的發(fā)展，信息安全面臨日益嚴(yán)峻的挑戰(zhàn)，通過終端泄密的途徑復(fù)雜多樣，傳統(tǒng)終端的防護措施無法全面規(guī)避信息安全漏洞；且員工安全意思的薄弱都給終端安全管理帶來很大的困難?？偨Y(jié)傳統(tǒng)辦公電腦普遍存在以下五方面問題： 不便于管理，無法集中管控辦公系統(tǒng)和信息數(shù)據(jù)。 信息安全難以保障，現(xiàn)有辦公設(shè)備和系統(tǒng)分散，外接設(shè)備多，可以任意復(fù)制、轉(zhuǎn)移信息數(shù)據(jù)；系統(tǒng)容易受病毒攻擊。無法區(qū)分內(nèi)外部人員不同訪問策略，無法控制文件外傳。 設(shè)備系統(tǒng)固定，不能靈活辦公，安裝維護系統(tǒng)和軟件浪費時間。 現(xiàn)有辦公設(shè)備耗電量大，輻射大。桌面終端的安全防護是公司信息安全體系的重要組成。桌面虛擬化后，用戶數(shù)據(jù)、操作系統(tǒng)、應(yīng)用程序均儲存在數(shù)據(jù)中心的虛擬機上。用戶利用瘦終端或者普通電腦+應(yīng)用虛擬化，通過安全認(rèn)證后訪問后臺虛擬機和應(yīng)用，本地不保留任何數(shù)據(jù)，根本解決“病從口入”的難題。同時，在舊全球通大樓內(nèi)外網(wǎng)不分，對安全級別較高內(nèi)部支撐系統(tǒng)難以有效保護，容易造成安全泄密和受攻擊而癱瘓。隨意訪問互聯(lián)網(wǎng)和安裝軟件的便利和容易感染病毒造成網(wǎng)絡(luò)故障的安全矛盾日益尖銳。外部人員終端上內(nèi)網(wǎng)情況大量存在，存在很大安全隱患。新全球通移動信息化大廈建設(shè)過程中，公司提出要在新全球通大廈內(nèi)建設(shè)成信息化大廈，使員工能夠在大廈內(nèi)通過移動終端自由、安全、高效地利用最新發(fā)展的各種移動通信技術(shù)對信息的接收、傳遞、處理和反饋，滿足辦公的信息需求。為此我部門在新全球通大樓將企業(yè)信息網(wǎng)劃分為內(nèi)、外網(wǎng)，并引入虛擬辦公終端解決方案。2、 詳細(xì)技術(shù)內(nèi)容（不超過1000個漢字）虛擬辦公方案總體架構(gòu)虛擬辦公終端系統(tǒng)以云計算技術(shù)架構(gòu)為基礎(chǔ)，由虛擬桌面架構(gòu)（vdi）和應(yīng)用虛擬化（sgd）兩個核心功能，及一系列的配套基礎(chǔ)功能服務(wù)組成。在保證安全的基礎(chǔ)上，該方案便利地實現(xiàn)了一個界面就能同時訪問內(nèi)外網(wǎng)。用戶在瘦終端登陸外網(wǎng)虛擬機，在自己的虛擬機，可以訪問互聯(lián)網(wǎng)、安裝個人軟件、如ims、飛信等。用戶在外網(wǎng)虛擬機如需訪問內(nèi)網(wǎng)，必須通過sgd應(yīng)用發(fā)布方式登陸內(nèi)網(wǎng)，然后在內(nèi)網(wǎng)虛擬桌面上訪問oa、potal、office等應(yīng)用1、 總體架構(gòu)圖2、虛擬機桌面架構(gòu)（vdi），建立一個高性能、高可靠并具備高度伸縮擴展能力的虛擬桌面架構(gòu)作為一種新興的計算機桌面辦公技術(shù)，虛擬辦公桌面是一種集合了虛擬化、應(yīng)用發(fā)布、瘦終端、和各種安全技術(shù)在內(nèi)的軟件和硬件的綜合解決方案。主要關(guān)鍵部分： 瘦終端設(shè)備：作為虛擬化桌面的用戶操作界面。瘦終端設(shè)備一般比傳統(tǒng)電腦使用更少的元器件和軟件，所以更加輕便和運行穩(wěn)定；也更加安全。 虛擬化平臺：采用了云計算的技術(shù)，把標(biāo)準(zhǔn)的軟硬件運算資源（已實現(xiàn)集中存儲的云、計算資源的云、應(yīng)用服務(wù)的云）集合成一個動態(tài)的大資源池，實現(xiàn)動態(tài)部署虛擬桌面和其他應(yīng)用系統(tǒng)。通過資源整合，企業(yè)可以高效地集中管理用戶的辦公桌面，應(yīng)用系統(tǒng)和運算資源。并能夠根據(jù)企業(yè)經(jīng)營的需要，快速地調(diào)整信息化服務(wù)和各種運算資源。 虛擬辦公桌面：基于虛擬化平臺的虛擬桌面為用戶提供了與傳統(tǒng)pc的基本一致的使用體驗，并具有部署和管理上的巨大靈活性，即可實現(xiàn)標(biāo)準(zhǔn)化管理（標(biāo)準(zhǔn)化虛擬機）與個性化（靜態(tài)虛擬機）的有機結(jié)合。 虛擬化桌面連接管理工具：提供了靈活的用戶虛擬桌面管理功能，包括桌面漫游功能，即通過智能卡認(rèn)證，用戶可在任意的地方訪問自己當(dāng)前的桌面；以及動態(tài)管理虛擬機運行狀態(tài)等復(fù)雜功能和服務(wù)，3、應(yīng)用虛擬化（sgd應(yīng)用發(fā)布）：1）把移動內(nèi)部辦公應(yīng)用系統(tǒng)作為服務(wù)發(fā)布給獲得授權(quán)用戶遠(yuǎn)程使用，用戶無需在個人電腦上安裝應(yīng)用，實現(xiàn)在任何位置快速移動辦公。2）應(yīng)用虛擬化增強移動應(yīng)用使用的安全保護水平： 3層架構(gòu)保證了嚴(yán)格的內(nèi)外網(wǎng)隔離 授權(quán)訪問的機制在用戶層實現(xiàn)對業(yè)務(wù)應(yīng)用的訪問控制 完全隔離用戶與內(nèi)網(wǎng)應(yīng)用的網(wǎng)絡(luò)連接 應(yīng)用層的精細(xì)安全控制（復(fù)制，粘貼，磁盤映射等）實現(xiàn)了應(yīng)用級安全等級控制，共劃分9個安全等級，兼顧安全訪問和靈活訪問 客戶端到服務(wù)器使用ssl連接及加密和密碼技術(shù)，用戶及服務(wù)器內(nèi)部通訊都被加密，使用pki證書進(jìn)行服務(wù)器身份驗證3、在新大樓建設(shè)內(nèi)外分離的網(wǎng)絡(luò)，內(nèi)網(wǎng)為辦公網(wǎng)絡(luò)，不能訪問互聯(lián)網(wǎng)，保證內(nèi)網(wǎng)不受終端病毒影響。訪問互聯(lián)網(wǎng)只能通過外網(wǎng)，從技術(shù)上較徹底解決內(nèi)網(wǎng)的安全隱患。瘦終端私網(wǎng)外網(wǎng)虛機內(nèi)網(wǎng)應(yīng)用個人電腦外網(wǎng)應(yīng)用應(yīng)用發(fā)布vdi應(yīng)用服務(wù)器外網(wǎng)內(nèi)網(wǎng)3、主要技術(shù)創(chuàng)新點（不超過800個漢字）1、實現(xiàn)了幾個第一： 全國第一個實現(xiàn)三個集中的桌面辦公系統(tǒng)：桌面（應(yīng)用）集中、信息數(shù)據(jù)集中、管理控制集中。 全國第一個上千臺的虛擬辦公桌面系統(tǒng)。集中管理1844個虛機桌面，1711臺瘦終端。 全國第一個實現(xiàn)移動辦公的辦公桌面系統(tǒng)。員工可以從任何地方（內(nèi)網(wǎng)、外網(wǎng)、互聯(lián)網(wǎng)）隨時隨地訪問個人的虛擬辦公桌面，解放了人對系統(tǒng)的依賴，實現(xiàn)系統(tǒng)和數(shù)據(jù)跟人走，體現(xiàn)了移動的特色。 全國第一個環(huán)保節(jié)能辦公系統(tǒng)環(huán)境。采用瘦終端對比同等數(shù)量臺式機節(jié)能超過85，更低的輻射和噪音的辦公環(huán)境。并且實現(xiàn)按需經(jīng)濟，員工需要時分配虛擬辦公桌面，不需要時虛擬辦公桌面回收，降低能耗。2、桌面云基礎(chǔ)安全服務(wù)技術(shù)廣東移動在建設(shè)下一代桌面云辦公系統(tǒng)時，通過底層的基礎(chǔ)安全服務(wù)技術(shù)把桌面云的各個關(guān)鍵服務(wù)功能組件有機地連接起來，并提供可靠和安全的保護。主要的基礎(chǔ)安全服務(wù)技術(shù)包括： 通過應(yīng)用發(fā)布的方式將局域網(wǎng)隔離為內(nèi)、外網(wǎng)，核心系統(tǒng)和敏感數(shù)據(jù)被保護在內(nèi)網(wǎng)，徹底杜絕終端病毒對核心系統(tǒng)的影響，杜絕通過終端外設(shè)信息泄密的風(fēng)險。 用戶可以在互聯(lián)網(wǎng)上登陸公司內(nèi)部虛擬機桌面、網(wǎng)盤、辦公應(yīng)用等，提供完整的桌面集中、數(shù)據(jù)集中、應(yīng)用集中解決方案，用更為安全的應(yīng)用虛擬化+vpn技術(shù)替換現(xiàn)有ssl vpn技術(shù)。 統(tǒng)一身份管理平臺結(jié)合單點登錄功能，通過在虛擬辦公桌面與web應(yīng)用之間實現(xiàn)單點登錄，使用戶只需在桌面云登錄一次，就能夠無縫訪問所有具備訪問權(quán)限的內(nèi)外網(wǎng)資源，保證員工的使用體驗。 客戶端到服務(wù)器使用ssl連接及加密和密碼技術(shù)，用戶及服務(wù)器內(nèi)部通訊都被加密，使用pki證書進(jìn)行服務(wù)器身份驗證以及智能卡技術(shù)。3、“隨身走動”辦公體驗 跨終端、跨網(wǎng)絡(luò)無縫訪問內(nèi)外網(wǎng)桌面，數(shù)據(jù)和業(yè)務(wù)應(yīng)用。無論用戶是在瘦終端私網(wǎng)、企業(yè)信息網(wǎng)外網(wǎng)、vpn遠(yuǎn)程接入；無論是通過瘦終端、電腦、手機終端都能獲得相同的虛擬桌面，保證用戶體驗的一致性。支持筆記本電腦、ipad、iphone、android智能手機多類型終端。 員工通過員工卡刷卡方式在集成打印系統(tǒng)進(jìn)行身份識別后，在任意樓層的打印機上取出打印材料。為員工提供巨大的本地使用便利性，提高對員工的移動辦公支持，同時加強企業(yè)信息的安全保護功能。4、建立基于網(wǎng)盤可控的內(nèi)外網(wǎng)傳輸系統(tǒng) 一個基于web和桌面客戶端的“桌面網(wǎng)盤”為員工提供了一個在內(nèi)外網(wǎng)進(jìn)行文件交換的便利途徑，保證員工在內(nèi)外網(wǎng)絡(luò)隔離的情況下仍然能夠高效工作； 基于“桌面網(wǎng)盤”建立內(nèi)外網(wǎng)文件傳輸機制，確保內(nèi)外網(wǎng)文件交互安全，文件從內(nèi)網(wǎng)傳出需要經(jīng)過審批或?qū)徲嫛?同時移動“桌面云”架構(gòu)提供了對本地硬盤的支持，也使用戶能夠方便地在本地接入終端和虛擬辦公桌面之間進(jìn)行快速的文件交換和文書處理。4、應(yīng)用情況（不超過800個漢字）l廣東移動新辦公樓部署1711臺瘦終端，替代了傳統(tǒng)的pc作為員工的統(tǒng)一桌面辦公終端 。桌面云vdi平臺使用11個在用虛擬機模板，1844個虛擬機分配給員工；每日在線率76，并發(fā)率58 。虛擬化平臺使用vmware，esx服務(wù)器58臺，實現(xiàn)在2路4核cpu、16g內(nèi)存pc服務(wù)器上承載用戶高達(dá)35個，cpu利用率5070 。使用存儲： 38tb光纖存儲（虛擬機）、90tb sata存儲（存放用戶文件）。外網(wǎng)應(yīng)用發(fā)布用戶規(guī)模：1540人。應(yīng)用發(fā)布系統(tǒng)服務(wù)器使用4路6核pc服務(wù)器7臺，每日在線率65%，最高并發(fā)50%。vpn遠(yuǎn)程接入應(yīng)用發(fā)布用戶規(guī)模：1797人，應(yīng)用發(fā)布系統(tǒng)服務(wù)器使用2路4核pc服務(wù)器2臺，vpn ag網(wǎng)關(guān)2臺，每日在線率用戶150人，cpu利用率70%-80%。2010-2013年，廣東公司桌面云開展情況，2010年建設(shè)vdi用戶1711人，2011年建設(shè)vdi用戶5600人，應(yīng)用發(fā)布用戶1540人。預(yù)計2012年建設(shè)桌面云總規(guī)模超過25000用戶。最終廣東公司桌面云總規(guī)模超過4萬。經(jīng)濟效益（單位：人民幣萬元）6、社會效益 通過成功的桌面云系統(tǒng)實施，給其它云計算項目起到示范和指導(dǎo)作用。 桌面云可以給廣東移動的數(shù)據(jù)中心等的云計算業(yè)務(wù)帶來示范標(biāo)桿作用，有力推動廣東移動的云計算業(yè)務(wù)的發(fā)展。2011年營業(yè)廳、客服、網(wǎng)管監(jiān)控項目紛紛開展桌面云建設(shè)，建設(shè)規(guī)模5598用戶。預(yù)計2012年建設(shè)辦公、營業(yè)、網(wǎng)管桌面云總規(guī)模超過18000。最終廣東公司桌面云總規(guī)模約40000。 桌面云可以明顯降低電量和碳排放，這不僅降低了成本，還滿足了國家對低碳和綠色it的要求。 管理部門通過桌面云實現(xiàn)了桌面，數(shù)據(jù)，用戶訪問的集中統(tǒng)一管理，實現(xiàn)了流程，自動化管理，提高了管理水平和效率。 為社會企業(yè)提供桌面云服務(wù)。近期中標(biāo)中國外運廣州公司項目，其中包含未其建設(shè)超過1000個點的虛擬桌面。 為手機終端提供桌面云服務(wù)。四、本項目曾獲獎勵情況獲獎時間獎 項 名 稱獎勵等級授獎部門（單位）本表所填獎勵是指： 1.國家設(shè)立的科技獎勵；2.各省、自治區(qū)、直轄市公司設(shè)立的獎勵3.各省、自治區(qū)、直轄市政府設(shè)立的獎勵；4.經(jīng)科技部批準(zhǔn)的社會力量設(shè)立的獎勵。 五、申請、獲得專利情況表國 別申 請 號專 利 號項 目 名 稱中國2011101153477用戶信息的更新方法、服務(wù)器以及系統(tǒng)中國201110101220x基于云計算的身份認(rèn)證的方法、系統(tǒng)及云端服務(wù)器中國2011100942038一種電子設(shè)備及其usb通信模塊的控制方法六、主要完成人情況表七、主要完成單位情況八、申報單位意見 九、用戶使用證明 十、證明材料一、 項目專利的證明文件1、 已獲授權(quán)的發(fā)明專利應(yīng)當(dāng)提交專利證書，剛剛獲得授權(quán)且尚未取得專利證書的應(yīng)提交授權(quán)通知書。核心發(fā)明專利必須提交專利文獻(xiàn)授權(quán)文本（包括說明書摘要、摘要附圖、權(quán)利要求書、說明書、說明書附圖