制造行業(yè)數(shù)據(jù)中心資源整合及桌面虛擬化解決方案

制造行業(yè)數(shù)據(jù)中心資源整合及桌面虛擬化

解決方案

目錄

1前言-1-

2虛擬化交付中心的概念-1-

2.1虛擬化提高系統(tǒng)高可用性-4-

2.2應(yīng)用優(yōu)化提高客戶體驗(yàn)-6-

2.3應(yīng)用安全降低系統(tǒng)風(fēng)險(xiǎn)-8-

3EASTED制造行業(yè)解決方案一覽-10-

3.1SAP集中部署解決方案-10-

3.1.1需求分析-10-

3.1.2項(xiàng)目目標(biāo)-12-

3.1.3技術(shù)方案-12-

3.1.4項(xiàng)目收益-13-

3.2企業(yè)分支機(jī)構(gòu)快速擴(kuò)張和部署解決方案-15-

3.2.1背景-15-

3.2.2需求-15-

3.2.3問(wèn)題分析-16-

3.3企業(yè)集中開(kāi)發(fā)管理平臺(tái)解決方案-19-

3.3.1功能需求-19-

3.3.2技術(shù)需求-20-

3.3.3解決方案及對(duì)應(yīng)項(xiàng)目需求的實(shí)現(xiàn)-20-

3.4企業(yè)文檔和源代碼集中管理以及桌面虛擬化解決方案-26-

3.4.1企業(yè)的文檔管理平臺(tái)-27-

3.4.2集中部署的虛擬化應(yīng)用，實(shí)現(xiàn)安全、集中的應(yīng)用和文檔訪問(wèn)-27-

3.4.3Easted安全的，集中部署的虛擬桌面架構(gòu)解決方案-27-

3.4.4開(kāi)發(fā)中心虛擬桌面解決方案-27-

3.4.5可靠的桌面訪問(wèn)管理-30-

3.4.6廣泛的桌面交付生態(tài)系統(tǒng)-30-

3.4.7業(yè)務(wù)系統(tǒng)的發(fā)布-31-

3.4.8桌面和應(yīng)用集中發(fā)布平臺(tái)的優(yōu)勢(shì)-31-

3.5圖紙安全控制解決方案-33-

3.5.1應(yīng)用虛擬化-33-

3.5.2標(biāo)準(zhǔn)桌面虛擬化-34-

3.5.3總結(jié)-34-

3.6企業(yè)辦公網(wǎng)統(tǒng)一對(duì)外訪問(wèn)解決方案-34-

3.6.1需求分析-34-

3.6.2Easted解決方案-35-

3.7企業(yè)應(yīng)用統(tǒng)一發(fā)布管理平臺(tái)方案-36-

3.7.1需求分析-36-

3.7.2Easted解決方案-37-

3.8企業(yè)安全遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)解決方案-38-

3.8.1用戶現(xiàn)狀及面臨的挑戰(zhàn)-38-

3.8.2Easted解決方案-39-

3.8.3主要效益-39-

4EASTED解決方案目標(biāo)-40-

4.1低帶寬下的遠(yuǎn)程應(yīng)用軟件訪問(wèn)-40-

4.2徹底解決基于互聯(lián)網(wǎng)的遠(yuǎn)程應(yīng)用安全問(wèn)題-40-

4.3服務(wù)器集群及負(fù)載均衡能力-41-

4.4易操作性-41-

4.5穩(wěn)定性-41-

4.6服務(wù)器與客戶機(jī)資源共享-41-

4.7優(yōu)秀的打印功能-41-

4.8減少軟件投資成本-41-

4.9快速部署實(shí)施，集中管理和維護(hù)-42-

5EASTED解決方案優(yōu)勢(shì)-42-

5.1提高可管理性-42-

5.2簡(jiǎn)化部署-42-

5.3更高的靈活性-42-

5.4提高數(shù)據(jù)保護(hù)能力-43-

5.5提高資源利用率-43-

5.6降低成本-43-

5.7安全性-43-

5.7.1技術(shù)層面-43-

5.7.2管理層面-43-

5.7.3易管理性-44-

5.7.4提升運(yùn)維效率-44-

5.7.5改善服務(wù)等級(jí)-44-

5.8靈活擴(kuò)展-44-

5.9節(jié)約成本-45-

5.9.1硬件成本-45-

5.9.2運(yùn)行成本-45-

5.9.3知識(shí)成本-45-

6EASTED產(chǎn)品解決方案價(jià)值和收益-45-

6.1決策層-46-

6.2H"運(yùn)維管理部門-47-

7EASTED競(jìng)爭(zhēng)優(yōu)勢(shì)-47-

8EASTED技術(shù)服務(wù)體系-48-

8.1編寫目的-48-

8.2技術(shù)服務(wù)概覽-48-

8.3技術(shù)服務(wù)總則-49-

8.3.1電話服務(wù)-49-

8.3.2在線服務(wù)-49-

8.3.3標(biāo)準(zhǔn)服務(wù)包括-49-

8.3.4特殊技術(shù)服務(wù)包括-49-

8.3.5培訓(xùn)服務(wù)包括-49-

8.3.6服務(wù)意見(jiàn)與投訴包括-49-

8.4技術(shù)服務(wù)詳細(xì)內(nèi)容、流程及要求說(shuō)明-50-

8.4.1電話服務(wù)-50-

8.4.2在線服務(wù)-51-

8.4.3標(biāo)準(zhǔn)服務(wù)-51-

8.5特殊技術(shù)服務(wù)-52-

8.5.1現(xiàn)場(chǎng)緊急故障救援服務(wù)-52-

8.5.2EASTED標(biāo)準(zhǔn)技術(shù)服務(wù)-52-

8.5.3專題技術(shù)方案交流-52-

8.5.4維護(hù)經(jīng)驗(yàn)技術(shù)交流-52-

8.5.5培訓(xùn)服務(wù)-52-

8.5.6服務(wù)意見(jiàn)與投訴服務(wù)-53-

9EASTED公司簡(jiǎn)介錯(cuò)誤!未定義書簽。

10EASTED產(chǎn)品簡(jiǎn)介錯(cuò)誤!未定義書簽。

10.1云計(jì)算簡(jiǎn)介錯(cuò)誤!未定義書簽。

10.1.1基礎(chǔ)架構(gòu)虛擬化錯(cuò)誤!未定義書簽。

10.1.2桌面虛擬化錯(cuò)誤!未定義書簽。

10.2EASTEDVSERVER虛擬數(shù)據(jù)中心系統(tǒng)錯(cuò)誤!未定義書簽。

10.2.1系統(tǒng)結(jié)構(gòu)圖錯(cuò)誤!未定義書簽。

10.2.2產(chǎn)品簡(jiǎn)介錯(cuò)誤!未定義書簽。

10.2.3產(chǎn)品功能簡(jiǎn)介錯(cuò)誤!未定義書簽。

10.3EASTEDECENTERSERVER云數(shù)據(jù)中心管理系統(tǒng)錯(cuò)誤!未定義書簽。

10.3.1產(chǎn)品簡(jiǎn)介錯(cuò)誤!未定義書簽。

10.3.2功能和優(yōu)勢(shì)錯(cuò)誤!未定義書簽。

10.4EASTEDVIEW桌面虛擬化系統(tǒng)錯(cuò)誤!未定義書簽。

10.4.1產(chǎn)品簡(jiǎn)介錯(cuò)誤!未定義書簽。

10.4.2功能和優(yōu)勢(shì)錯(cuò)誤!未定義書簽。

10.4.3高清視頻播放錯(cuò)誤!未定義書簽。

1前言

制造業(yè)在我國(guó)國(guó)民經(jīng)濟(jì)中處于主體地位。

目前幾乎所有的制造業(yè)企業(yè)都己經(jīng)或正在把企業(yè)信息化作為企業(yè)發(fā)展的戰(zhàn)略之一。企業(yè)

信息化規(guī)劃則是實(shí)施這一戰(zhàn)略的藍(lán)圖。信息化規(guī)劃以整個(gè)企業(yè)的發(fā)展目標(biāo)，發(fā)展戰(zhàn)略，和各

部門的目標(biāo)與功能為基礎(chǔ)，結(jié)合行業(yè)信息化方面的實(shí)踐和對(duì)信息技術(shù)發(fā)展趨勢(shì)的掌握，提出

企業(yè)的信息化遠(yuǎn)景，目標(biāo)，和戰(zhàn)略，全面系統(tǒng)地指導(dǎo)企業(yè)信息化的進(jìn)程，協(xié)調(diào)發(fā)展地進(jìn)行信

息技術(shù)的應(yīng)用，及時(shí)地滿足企業(yè)發(fā)展的需要，以及有效充分地利用企業(yè)的資源。

不斷提升并完善企業(yè)信息化的價(jià)值是一項(xiàng)復(fù)雜的系統(tǒng)工程，它既需要軟件和硬件設(shè)備的

大量投資，又需要人力、物力、智力的投入。近年來(lái)，很多制造企業(yè)都加快了信息化建設(shè)的

步伐，通過(guò)互聯(lián)網(wǎng)及企業(yè)內(nèi)部網(wǎng)（專網(wǎng)），宣傳企業(yè)或開(kāi)展電子商務(wù)；使用辦公0A系統(tǒng)、

ERP、CRM等信息管理系統(tǒng)；建立自己的門戶網(wǎng)站等，以此提高企業(yè)核心競(jìng)爭(zhēng)力。

因此，在網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的今天，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)是否高效、暢通、安全在很

大程度上影響企業(yè)的生產(chǎn)、銷售、管理等各個(gè)環(huán)節(jié)。對(duì)于現(xiàn)代化的制造企業(yè)來(lái)說(shuō)，及時(shí)了解

客戶的需求和市場(chǎng)動(dòng)態(tài)非常重要，建立一個(gè)高效、可靠、靈活的企業(yè)信息網(wǎng)絡(luò)架構(gòu)就顯得尤

為迫切。

借助Easted公司多年的制造行業(yè)合作經(jīng)驗(yàn)，結(jié)合Easted公司為制造行業(yè)提供的優(yōu)秀高

科技產(chǎn)品，能夠共同幫助中國(guó)制造行業(yè)實(shí)現(xiàn)成長(zhǎng)企業(yè)戰(zhàn)略，使得企業(yè)就能夠在變化降臨的各

個(gè)階段快速實(shí)現(xiàn)業(yè)務(wù)決策，化被動(dòng)為主動(dòng)。使得企業(yè)隨市場(chǎng)而變，隨用戶而動(dòng)，而企業(yè)核心

業(yè)務(wù)系統(tǒng)隨企業(yè)而動(dòng)；幫助中國(guó)制造業(yè)的創(chuàng)新模式就能夠隨時(shí)隨地轉(zhuǎn)化為滿足用戶需求的競(jìng)

爭(zhēng)力、滿足市場(chǎng)變化的競(jìng)爭(zhēng)力。使得業(yè)務(wù)系統(tǒng)不斷創(chuàng)新，永續(xù)成長(zhǎng)，成為企業(yè)的卓越典范。

2虛擬化交付中心的概念

虛擬化交付中心，首先的一個(gè)問(wèn)題就是應(yīng)用的發(fā)布問(wèn)題。下面我們從一個(gè)典型的應(yīng)用發(fā)

布流程中間所經(jīng)歷的環(huán)節(jié)進(jìn)行分析:

任何應(yīng)用系統(tǒng)都離不開(kāi)物理的數(shù)據(jù)存放。數(shù)據(jù)最終都是以二進(jìn)制編碼方式存放在物理設(shè)

備上，通常，這些都是存放在存儲(chǔ)設(shè)備上，比如常見(jiàn)的硬盤、磁盤陣列等存儲(chǔ)系統(tǒng)上。通過(guò)

服務(wù)器操作系統(tǒng)，可以將這些數(shù)據(jù)按照應(yīng)用系統(tǒng)所要求的格式進(jìn)行讀取和寫入。服務(wù)器在

這中間起到了一個(gè)橋梁性作用，一方面，服務(wù)器從物理存儲(chǔ)設(shè)備上讀取和寫入數(shù)據(jù)，另一方

面，服務(wù)器對(duì)外提供網(wǎng)絡(luò)的接口，通過(guò)網(wǎng)絡(luò)將數(shù)據(jù)進(jìn)行發(fā)布。應(yīng)用系統(tǒng)則是安裝在服務(wù)器

上的軟件應(yīng)用，對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步處理，應(yīng)用系統(tǒng)包括常見(jiàn)的數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等。

應(yīng)用系統(tǒng)主要完成商務(wù)邏輯運(yùn)算、數(shù)據(jù)加工整理等功能。最后，通過(guò)門戶系統(tǒng)對(duì)外呈現(xiàn)一

個(gè)統(tǒng)一的界面和接口，如Apache、IIS等Web服務(wù)器，對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步格式化，轉(zhuǎn)變成用

戶端可見(jiàn)的界面，并提供服務(wù)端口，供用戶端進(jìn)行訪問(wèn)。所有的存儲(chǔ)、服務(wù)器、應(yīng)用系統(tǒng)

和門戶系統(tǒng)都部署在數(shù)據(jù)中心里。ISP則是連接用戶端和數(shù)據(jù)中心的橋梁。最終用戶通過(guò)ISP

提供的鏈路資源訪問(wèn)到數(shù)據(jù)中心，并最終通過(guò)門戶系統(tǒng)、應(yīng)用系統(tǒng)和服務(wù)器系統(tǒng)來(lái)讀取和寫

入應(yīng)用數(shù)據(jù)。這樣，就完成了整個(gè)應(yīng)用的發(fā)布過(guò)程。交付中心中所有中間環(huán)節(jié)就是讓最終

用戶可以輸入和使用位于數(shù)據(jù)中心的數(shù)據(jù)。應(yīng)用則通過(guò)不同的展現(xiàn)手段，提供給終端用戶不

同的內(nèi)容。

在應(yīng)用發(fā)布的整個(gè)過(guò)程中，直接性的，信息主管面臨以下問(wèn)題：

?應(yīng)用整合隨著企業(yè)自身的發(fā)展，對(duì)IT信息化建提出了更高的要求，因此應(yīng)用系統(tǒng)

的整合度越來(lái)越高，所以對(duì)服務(wù)器的性能、高可用性方面的要求也隨之提高。

?服務(wù)器整合在應(yīng)用整合后，服務(wù)器的整合隨即變得非常的重要，如何使位于數(shù)據(jù)

中心的服務(wù)器資源得到合理的共享、動(dòng)態(tài)調(diào)配，降低能源消耗，已經(jīng)現(xiàn)實(shí)的將問(wèn)題擺在了信

息主管的面前。

?安全攻擊從DDOS到SQLInjection,各種類型不同的攻擊手段，都在影響著交付中

心的順暢，輕則導(dǎo)致應(yīng)用變慢、不順暢，重則導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)癱瘓。

?用戶分散加劇目前大部分企業(yè)的業(yè)務(wù)系統(tǒng)都從最初僅面向一個(gè)分支機(jī)構(gòu)或者一個(gè)

小范圍的客戶群體，發(fā)展到面向全國(guó)甚至全球的使用者。用戶分散加劇也導(dǎo)致了交付中心的

環(huán)境變得越來(lái)越惡劣。

?SOA建設(shè)企業(yè)業(yè)務(wù)的復(fù)雜性，需要SOA架構(gòu)來(lái)進(jìn)行多應(yīng)用，多協(xié)議的整合，信息

主管需要有完善的架構(gòu)設(shè)計(jì)理念和實(shí)施部署方案，實(shí)現(xiàn)這些不同種類的應(yīng)用的最佳部署結(jié)

構(gòu)。

針對(duì)交付中心的各個(gè)環(huán)節(jié)中的薄弱點(diǎn)，Easted交付中心方案提供了端到端的解決方案。

應(yīng)用整合：通過(guò)對(duì)應(yīng)用系統(tǒng)的深層次識(shí)別和各種應(yīng)用加速技術(shù)，提高應(yīng)用系統(tǒng)的訪問(wèn)效

率和響應(yīng)速度。

服務(wù)器整合：通過(guò)使用本地負(fù)載均衡、應(yīng)用優(yōu)化設(shè)備，實(shí)現(xiàn)服務(wù)器的高可用性、高安全

性和可擴(kuò)充性。

安全攻擊：通過(guò)網(wǎng)絡(luò)層安全防護(hù)、應(yīng)用層安全防護(hù)和傳輸通道加密技術(shù)，提高系統(tǒng)的整

體安全性。

用戶分散加?。和ㄟ^(guò)將數(shù)據(jù)，應(yīng)用和桌面完全集中放到數(shù)據(jù)中心，然后通過(guò)高效顯示傳

輸協(xié)議交付給最終用戶，最大程度地減少傳統(tǒng)應(yīng)用的客戶端管理和本地操作系統(tǒng)依賴，真正

實(shí)現(xiàn)應(yīng)用發(fā)布的客戶端獨(dú)立性。另外一個(gè)層面，通過(guò)廣域網(wǎng)用戶引導(dǎo)、多鏈路用戶引導(dǎo)等技

術(shù)，引導(dǎo)用戶選擇最佳的數(shù)據(jù)中心，通過(guò)最佳的鏈路到達(dá)應(yīng)用服務(wù)器。

SOA建設(shè)：通過(guò)多協(xié)議、多平臺(tái)的支持，對(duì)應(yīng)用中的各種協(xié)議流量進(jìn)行分析，實(shí)現(xiàn)精確

引導(dǎo)和應(yīng)用發(fā)布。

傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)主要關(guān)注的是網(wǎng)絡(luò)的互連互通，而各種新興繁雜的網(wǎng)絡(luò)應(yīng)用，關(guān)注的則

是業(yè)務(wù)邏輯和功能。應(yīng)用虛擬化交付中心(DeliveryCenter)的理念則將重點(diǎn)放在了這兩者

之間的地帶，在現(xiàn)有架構(gòu)的基礎(chǔ)上，實(shí)現(xiàn)應(yīng)用交付的快速、安全和高可用.

Easted通過(guò)對(duì)網(wǎng)絡(luò)和應(yīng)用之間存在的問(wèn)題進(jìn)行分析，提出了以持續(xù)，高效，安全、快速

為核心的應(yīng)用虛擬化交付中心概念，通過(guò)集中式管理模式，并從虛擬化、及應(yīng)用加速優(yōu)化,

應(yīng)用安全等幾個(gè)方面入手，幫助企業(yè)構(gòu)架交付中心，提高系統(tǒng)的高可用性、利用率和客戶體

驗(yàn)，并降低應(yīng)用安全風(fēng)險(xiǎn)

2.1虛擬化提高系統(tǒng)高可用性

企業(yè)現(xiàn)有應(yīng)用系統(tǒng)中常用的0A系統(tǒng)，Mail系統(tǒng)，ERP,CRM等眾多的應(yīng)用已成為企業(yè)

日常運(yùn)作的重要組成部分，任何一個(gè)系統(tǒng)的訪問(wèn)失敗都會(huì)影響企業(yè)運(yùn)營(yíng)的進(jìn)行。目前的企業(yè)

數(shù)據(jù)中心內(nèi)都包含上千個(gè)內(nèi)部/外部的業(yè)務(wù)應(yīng)用系統(tǒng)，其關(guān)系錯(cuò)綜復(fù)雜。

然而，用戶在通過(guò)網(wǎng)絡(luò)訪問(wèn)到企業(yè)所發(fā)布的應(yīng)用所經(jīng)過(guò)的處理環(huán)節(jié)中，造成應(yīng)用訪問(wèn)失

敗的原因有很多，比如：?jiǎn)我坏腎nternet或?qū)＞€接入鏈路出現(xiàn)的單點(diǎn)故障，各網(wǎng)絡(luò)設(shè)備或安

全網(wǎng)關(guān)類設(shè)備的異常中斷，后臺(tái)服務(wù)器軟硬件系統(tǒng)的失效或日常維護(hù)時(shí)的停機(jī)重啟等操作，

都無(wú)法有效保證企業(yè)關(guān)鍵應(yīng)用系統(tǒng)可以7*24小時(shí)不間斷運(yùn)行。

處于業(yè)務(wù)系統(tǒng)的部署需求和成本管理控制，沒(méi)有任何一個(gè)企業(yè)可以采用單一的操作系統(tǒng)

和單一廠商硬件設(shè)備來(lái)構(gòu)建整個(gè)的數(shù)據(jù)中心，用戶接入端的種類越來(lái)越豐富，對(duì)交付中心需

求的時(shí)間要求越來(lái)越高，也帶來(lái)了對(duì)系統(tǒng)高可用性越來(lái)越高的要求。

虛擬化技術(shù)(Virtualization)可以有效的提高系統(tǒng)的整體高可用性。虛擬化技術(shù)實(shí)際上

在業(yè)界已經(jīng)存在很長(zhǎng)的時(shí)間，只是目前在開(kāi)始逐漸清晰，并將其作為一個(gè)主流的技術(shù)進(jìn)行展

現(xiàn)。按照不同的用戶接入和應(yīng)用服務(wù)層面，虛擬化可以分為很多個(gè)層次。

服務(wù)器虛擬化在目前主流的服務(wù)器硬件設(shè)備和操作系統(tǒng)級(jí)別上，均提供了不同程度

的虛擬化功能。包括基于CPU的硬件虛擬化功能的系統(tǒng)如Easted的EastedVServer,Windows

Hyper-V等技術(shù)，也包含了基于軟件的服務(wù)器虛擬化系統(tǒng)如VMware。在主流的CPU如Intel.

AMD、PowerPC和SPARC等CPU上，也實(shí)現(xiàn)了硬件的虛擬化技術(shù)，使單臺(tái)服務(wù)器可以被切

分為多臺(tái)服務(wù)器系統(tǒng)。從而使操作系統(tǒng)認(rèn)為其使用的是一個(gè)完整的硬件平臺(tái)。然后在后臺(tái)進(jìn)

行資源的統(tǒng)一調(diào)度和管理。

應(yīng)用虛擬化應(yīng)用虛擬化可以簡(jiǎn)單描述為“以IT應(yīng)用客戶端集中部署平臺(tái)為核心，以

對(duì)最終用戶透明的方式完全使用戶的應(yīng)用和數(shù)據(jù)在平臺(tái)上統(tǒng)一計(jì)算和運(yùn)行，并最終讓用戶獲

得與本地訪問(wèn)應(yīng)用同樣的應(yīng)用感受和計(jì)算結(jié)果?！?/p>

虛擬化背后的主要推動(dòng)力是基礎(chǔ)設(shè)施各方面的猛烈增長(zhǎng)，同時(shí)伴隨著IT硬件和應(yīng)用的

大量增加。而且，n■系統(tǒng)正在變得越來(lái)越大，分布越來(lái)越廣，并且更加復(fù)雜，因而難以管理，

但要求加強(qiáng)IT控制的業(yè)務(wù)和監(jiān)管壓力卻在繼續(xù)增大。而應(yīng)用虛擬化正在幫助解決當(dāng)今機(jī)構(gòu)

所面臨的很多推動(dòng)力方面的問(wèn)題一一提高業(yè)務(wù)效率、增強(qiáng)員工移動(dòng)性、遵守安全與監(jiān)管規(guī)定、

向新興市場(chǎng)拓展、業(yè)務(wù)外包、以及業(yè)務(wù)連續(xù)性等等。

桌面虛擬化桌面虛擬化是使用軟件從用戶的PC中抽象操作系統(tǒng)、應(yīng)用程序和相關(guān)的

數(shù)據(jù)。桌面須擬化使管理用戶PC、配置新的桌面、使用補(bǔ)丁和強(qiáng)制執(zhí)行安全政策更加方便。

根據(jù)軟件和硬件的選擇，桌面虛擬化能夠減少擁有總成本。一般說(shuō)來(lái)，桌面虛擬化產(chǎn)品有兩

種類型：本地桌面虛擬化和托管的桌面虛擬化。前者在用戶PC上的一個(gè)受保護(hù)的隔離環(huán)境

中運(yùn)行整個(gè)桌面環(huán)境。后者將用戶的桌面存儲(chǔ)在數(shù)據(jù)中心的服務(wù)器或者刀片式PC上，要求

用戶通過(guò)網(wǎng)絡(luò)連接訪問(wèn)自己的桌面鏡像。

只有通過(guò)虛擬化、共享的系統(tǒng)建設(shè)，并通過(guò)完善的系統(tǒng)資源監(jiān)控和自動(dòng)化的調(diào)配體系，

才能實(shí)現(xiàn)真正的系統(tǒng)高可用性。為此，在考慮新一代的企業(yè)信息系統(tǒng)建設(shè)時(shí)，還必須考慮以

下幾個(gè)方面：

系統(tǒng)的監(jiān)控除了傳統(tǒng)的數(shù)據(jù)收集類的監(jiān)控體系外，新的系統(tǒng)監(jiān)控體系還必須加入快

速反應(yīng)系統(tǒng)。在事件發(fā)生的時(shí)候，監(jiān)控系統(tǒng)還可以根據(jù)預(yù)先設(shè)置的條件進(jìn)行快速反應(yīng)，對(duì)資

源進(jìn)行動(dòng)態(tài)調(diào)配，將可能發(fā)生的問(wèn)題消于無(wú)形。

系統(tǒng)的智能化在數(shù)據(jù)中心中，存在有各個(gè)廠家、各個(gè)層面上的網(wǎng)絡(luò)設(shè)備、服務(wù)器、存

儲(chǔ)等，智能化的系統(tǒng)可以與其他的廠商相關(guān)聯(lián)產(chǎn)品進(jìn)行緊密配合，相互了解資源使用狀況。

并通過(guò)開(kāi)放的應(yīng)用開(kāi)發(fā)接口，可以靈活的定制動(dòng)態(tài)資源調(diào)配策略。

虛擬化對(duì)應(yīng)用系統(tǒng)的影響在實(shí)現(xiàn)虛擬化以后，必然會(huì)涉及到應(yīng)用運(yùn)行環(huán)境的改變，嚴(yán)

重的時(shí)候甚至將導(dǎo)致系統(tǒng)不能運(yùn)行。通過(guò)兩種手段可以化解這個(gè)問(wèn)題:一是選用靈活度最大

的產(chǎn)品，以增強(qiáng)相互之間的適應(yīng)性；二是制訂規(guī)范化的部署方案、開(kāi)發(fā)方案，使開(kāi)發(fā)和部署

能無(wú)縫的在虛擬化環(huán)境中進(jìn)行。

在一個(gè)完善的虛擬化應(yīng)用系統(tǒng)中，所有的應(yīng)用系統(tǒng)均要求有最大的通用性、跨平臺(tái)性和

各廠商的協(xié)作性。通過(guò)與相關(guān)廠商的緊密合作，實(shí)現(xiàn)不同系統(tǒng)之間的相互監(jiān)控和相互操作，

實(shí)現(xiàn)資源的動(dòng)態(tài)調(diào)配從而實(shí)現(xiàn)真正的應(yīng)用系統(tǒng)高可用性。

2.2應(yīng)用優(yōu)化提高客戶體驗(yàn)

隨著技術(shù)的進(jìn)步、產(chǎn)品標(biāo)準(zhǔn)化的加速推進(jìn)，整個(gè)社會(huì)正在走向產(chǎn)品無(wú)差異時(shí)代，特別是

在主流市場(chǎng)上，核心產(chǎn)品創(chuàng)新的難度越來(lái)越大，很多行業(yè)實(shí)際上成了加工或組裝業(yè)，大家所

使用的零部件大同小異.甚至完全一樣。在這種情況下，一些優(yōu)秀的企業(yè)開(kāi)始把目光轉(zhuǎn)到另

外一個(gè)地方，并深入研究、實(shí)施相關(guān)策略，即全面客戶體驗(yàn)，也即消費(fèi)者得到產(chǎn)品（或服務(wù)）

的全過(guò)程。也就是說(shuō)，一個(gè)基本事實(shí)是消費(fèi)者在整個(gè)消費(fèi)過(guò)程中所體驗(yàn)到的一切會(huì)使他得出

某些結(jié)論，從而喜歡或不喜歡某個(gè)品牌，喜歡或不喜歡某個(gè)企業(yè)，而產(chǎn)品本身卻成了次要的

選擇因素。這個(gè)趨勢(shì)終將成為未來(lái)幾年主流市場(chǎng)上企業(yè)之間競(jìng)爭(zhēng)的焦點(diǎn)。

對(duì)于制造業(yè)而言，除了產(chǎn)品創(chuàng)新外，完善、優(yōu)化的IT架構(gòu)也成為提高客戶體驗(yàn)的一個(gè)

最重要的環(huán)節(jié)。

作為企業(yè)的客戶，可能通過(guò)各個(gè)渠道使用業(yè)務(wù)，在這些系統(tǒng)的后臺(tái)，都是由企業(yè)的n■架

構(gòu)在進(jìn)行支撐。IT系統(tǒng)建設(shè)的狀態(tài)直接影響到前臺(tái)的渠道客戶體驗(yàn)。

業(yè)務(wù)大集中后，所有關(guān)鍵應(yīng)用都將以數(shù)據(jù)中心為中心，各分支機(jī)構(gòu)、合作伙伴和客戶通

過(guò)Internet或?qū)＞€訪問(wèn)的方式進(jìn)行發(fā)布，然而：

數(shù)據(jù)中心Internet/lntranet鏈路接入的帶寬不斷擴(kuò)大，但訪問(wèn)速度仍然很慢

?大量非關(guān)鍵應(yīng)用的流量在網(wǎng)絡(luò)進(jìn)行傳播，使得無(wú)限擴(kuò)充的鏈路帶寬始終無(wú)法得到有

效利用。

企業(yè)內(nèi)部用戶訪問(wèn)Internet資源時(shí)，或外部用戶訪問(wèn)企業(yè)發(fā)布外部站點(diǎn)時(shí)，會(huì)受到

ISP提供商網(wǎng)間互通的瓶頸，造成訪問(wèn)快慢不一的現(xiàn)像。例如：如果采用的ISP是通過(guò)網(wǎng)通

接入的，在訪問(wèn)處于電信的資源時(shí)，會(huì)由于不同ISP之間互連互通的問(wèn)題造成訪問(wèn)變慢，而

訪問(wèn)網(wǎng)通資源時(shí)，就不會(huì)存在問(wèn)題。

如何向遍布在全國(guó)范圍的服務(wù)網(wǎng)絡(luò)提供相同的快速訪問(wèn)途徑

各分支機(jī)構(gòu)或合作伙伴采用的網(wǎng)絡(luò)接入方式，帶寬的接入質(zhì)量存在差異性，造成了訪問(wèn)

企業(yè)總部應(yīng)用時(shí)的快慢不一。大數(shù)量的應(yīng)用數(shù)據(jù)傳輸時(shí)出現(xiàn)的延時(shí)或丟包等現(xiàn)象，嚴(yán)重影響

了企業(yè)的關(guān)鍵信息數(shù)據(jù)發(fā)布或收集。

，如何加快WEB應(yīng)用的訪問(wèn)速度

當(dāng)前，許多企業(yè)在實(shí)施了價(jià)值數(shù)百萬(wàn)、千萬(wàn)的Web應(yīng)用部署之后，卻發(fā)現(xiàn)與原有的客

戶端服務(wù)器應(yīng)用相比，新部署的性能不能讓用戶感到滿意。同時(shí)，企業(yè)出于監(jiān)管和數(shù)據(jù)安全

性要求需要將服務(wù)器集中管理，而Web應(yīng)用的用戶卻作為遠(yuǎn)程分支辦事處和移動(dòng)用戶而分

布得更加分散。

與此同時(shí)，不幸的是，廣域網(wǎng)延遲、錯(cuò)誤和其它問(wèn)題使得Web應(yīng)用無(wú)法快速交付。在

門戶應(yīng)用、CRM應(yīng)用、協(xié)作應(yīng)用及其它企業(yè)應(yīng)用情形中，Web應(yīng)用架構(gòu)師和管理員發(fā)現(xiàn)其

交付性能難以滿足用戶的期望。

通過(guò)交付中心建設(shè)，可以通過(guò)多種技術(shù)手段對(duì)應(yīng)用進(jìn)行優(yōu)化，提高客戶體驗(yàn)。在實(shí)際應(yīng)

用中，通常使用的優(yōu)化手段有：

TCP優(yōu)化：對(duì)TCP堆棧進(jìn)行優(yōu)化處理，提高TCP傳輸效率

負(fù)載均衡：通過(guò)將用戶請(qǐng)求分配到多臺(tái)服務(wù)器，降低單臺(tái)服務(wù)器的壓力，提高服務(wù)器的

響應(yīng)速度

連接復(fù)用：將大量的用戶端短連接進(jìn)行聚合，變成長(zhǎng)連接與服務(wù)器進(jìn)行交互，減小服務(wù)

器由于頻繁建立和關(guān)閉TCP連接帶來(lái)的消耗

SSL卸載：通過(guò)硬件處理SSL加解密流量，減輕服務(wù)器端壓力

內(nèi)存Cache:將大量的靜態(tài)內(nèi)容緩存在交付中心設(shè)備的內(nèi)存里，減小服務(wù)器端壓力

HTTP壓縮：對(duì)HTTP傳輸中的可壓縮內(nèi)容進(jìn)行壓縮傳輸，減小廣域網(wǎng)帶寬占用，提高客

戶端打開(kāi)頁(yè)面的速度

動(dòng)態(tài)靜態(tài)分離：通過(guò)技術(shù)手段，將頁(yè)面中的動(dòng)態(tài)內(nèi)容和靜態(tài)內(nèi)容進(jìn)行分離，使變化不大

的靜態(tài)內(nèi)容盡量留在客戶端瀏覽器，以減少?gòu)V域網(wǎng)數(shù)據(jù)傳輸量

應(yīng)用優(yōu)化技術(shù)與高可用性技術(shù)進(jìn)行配合，就可以極大的提高客戶體驗(yàn)，使企業(yè)得以留住

并吸引更多的優(yōu)質(zhì)客戶群體，提高自身的競(jìng)爭(zhēng)力。

2.3應(yīng)用安全降低系統(tǒng)風(fēng)險(xiǎn)

變化多樣的網(wǎng)絡(luò)攻擊及蠕蟲病毒在企業(yè)的網(wǎng)絡(luò)中大量泛濫，促使企業(yè)不得不想盡一切辦

法來(lái)提升“木桶”的高度，以此來(lái)抵擋各種類型的攻擊.提到網(wǎng)絡(luò)安全，以前人們想到的是

防火墻、入侵檢測(cè)、加密、認(rèn)證、VPN等等一系列產(chǎn)品的名字。在現(xiàn)有的企業(yè)數(shù)據(jù)中心里,

對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全都進(jìn)行了非常嚴(yán)密的部署，比如通過(guò)防火墻分割安全區(qū)域，使各個(gè)分區(qū)之

間的相互訪問(wèn)都要通過(guò)防火墻進(jìn)行，在防火墻上設(shè)置非常細(xì)化的安全策略，限定源和目的地

IP和端口等。另外，在同一條數(shù)據(jù)通路的不同區(qū)域中，采用不同品牌，不同形式的防火墻進(jìn)

行安全防護(hù)。在對(duì)外的公共通路上，再部署IDS、IPS等進(jìn)行進(jìn)一步的安全審計(jì)和防護(hù)。以期

望獲得最大的安全性。對(duì)于傳統(tǒng)的網(wǎng)絡(luò)安全概念，這些措施有效防地防范了基于網(wǎng)絡(luò)層面

的攻擊，但基本上在現(xiàn)在企業(yè)的安全體系中，都忽略了一個(gè)重點(diǎn)，就是應(yīng)用層面的安全。

企業(yè)帳號(hào)，電子定單，財(cái)務(wù)數(shù)據(jù)等關(guān)鍵的應(yīng)用數(shù)據(jù)通過(guò)基于WEB應(yīng)用的方式進(jìn)行傳輸

時(shí)，默認(rèn)都采用HTTP明文方式進(jìn)行傳輸?，F(xiàn)在的企業(yè)系統(tǒng)中存在越來(lái)越多的開(kāi)放運(yùn)行環(huán)境

的系統(tǒng)，因此，數(shù)據(jù)的安全傳輸是一個(gè)非常重要的問(wèn)題。尤其當(dāng)應(yīng)用部署在內(nèi)網(wǎng)時(shí)，傳輸?shù)?/p>

安全問(wèn)題是最容易被忽略的一個(gè)環(huán)節(jié)。一旦被非法人員獲取，將使企業(yè)或合作伙伴造成重大

的經(jīng)濟(jì)損失。

另外，據(jù)一個(gè)國(guó)外的安全組織調(diào)查分析結(jié)果，目前網(wǎng)絡(luò)中的攻擊手段，有85%都是在應(yīng)

用層面上的攻擊手段。也就是說(shuō)，在所有的攻擊手段中，只有15%屬于傳統(tǒng)的網(wǎng)絡(luò)層面攻擊

手段，比如常見(jiàn)的拒絕服務(wù)、碎片等攻擊手段。余下85%均發(fā)生在應(yīng)用層，如SQLInjection、

跨站攻擊、CC攻擊等手段。

目前企業(yè)的安全系統(tǒng)構(gòu)建，基本上都是基于網(wǎng)絡(luò)安全層面進(jìn)行構(gòu)建，實(shí)際上可以防護(hù)的

攻擊手段只占所有攻擊手段的15%,可以說(shuō)，現(xiàn)有大部分企業(yè)的開(kāi)放運(yùn)行環(huán)境系統(tǒng)是非常脆

弱的。這還不包括基本沒(méi)有防火墻防護(hù)的封閉運(yùn)行環(huán)境中的系統(tǒng)。

為什么會(huì)造成這種情況，我們可以從目前產(chǎn)品的安全技術(shù)特色上進(jìn)行分析，目前企業(yè)數(shù)

據(jù)中心內(nèi)主要有以下三類安全產(chǎn)品部署：

1、基礎(chǔ)防火墻類，主要是可實(shí)現(xiàn)基本包過(guò)濾策略的防火墻，這類是有硬件處理、軟件

處理等，其主要功能實(shí)現(xiàn)是限制對(duì)IP:P。代的訪問(wèn)?；旧系膶?shí)現(xiàn)都是默認(rèn)情況下關(guān)閉所有

的通過(guò)型訪問(wèn)，只開(kāi)放允許訪問(wèn)的策略。

2、IDS類，此類產(chǎn)品基本上以旁路為主，特點(diǎn)是不阻斷任何網(wǎng)絡(luò)訪問(wèn)，主要以提供報(bào)告

和事后監(jiān)督為主，少量的類似產(chǎn)品還提供TCP阻斷等功能，但少有使用。

3、IPS類，解決了IDS無(wú)法阻斷的問(wèn)題，基本上以在線模式為主，系統(tǒng)提供多個(gè)端口，

以透明模式工作。在一些傳統(tǒng)防火墻的新產(chǎn)品中也提供了類似功能，其特點(diǎn)是可以分析到數(shù)

據(jù)包的內(nèi)容，解決傳統(tǒng)防火墻只能工作在4層以下的問(wèn)題。和IDS一樣，IPS也要像防病毒

系統(tǒng)定義N種已知的攻擊模式，并主要通過(guò)模式匹配去阻斷非法訪問(wèn)。

在這幾類產(chǎn)品中，通過(guò)如何定制控制策略，就可以分辨出什么是主動(dòng)安全，什么是被動(dòng)

安全。從安全的最基本概念來(lái)說(shuō)，首先是關(guān)閉所有的通路，然后再開(kāi)放允許的訪問(wèn)。因此,

傳統(tǒng)防火墻可以說(shuō)是主動(dòng)安全的概念，因?yàn)槟J(rèn)情況下防火墻是關(guān)閉所有的訪問(wèn)，然后再通

過(guò)定制策略去開(kāi)放允許開(kāi)放的訪問(wèn)。但由于其設(shè)計(jì)結(jié)構(gòu)和特點(diǎn)，不能檢測(cè)到數(shù)據(jù)包的內(nèi)容級(jí)

別，因此，當(dāng)攻擊手段到達(dá)應(yīng)用層面的時(shí)候，傳統(tǒng)的防火墻都是無(wú)能為力的。IDS的特點(diǎn)是

不能阻斷攻擊流量，只能是一個(gè)事后監(jiān)督機(jī)制，因此在其后出現(xiàn)的IPS,基本上所有的IPS系

統(tǒng)都號(hào)稱能檢查到數(shù)據(jù)包的內(nèi)容，但犯了一個(gè)致命的錯(cuò)誤，就是把安全的原則反過(guò)來(lái)了，變

成默認(rèn)開(kāi)放所有的訪問(wèn)，只有自己認(rèn)識(shí)的訪問(wèn)，才進(jìn)行阻斷。從另外一個(gè)方面，由于在線式

造成的性能問(wèn)題，也不能像殺毒軟件一樣進(jìn)行全面而細(xì)致的安全審計(jì)。因此大多數(shù)的IPS在

實(shí)際運(yùn)行環(huán)境中都形同虛設(shè)，通常只是當(dāng)作一個(gè)防DDOS的設(shè)備存在。IPS尤其對(duì)于未知的，

不在其安全知識(shí)庫(kù)內(nèi)的攻擊手段，則無(wú)法進(jìn)行有效的識(shí)別并進(jìn)行阻斷。并且，由于在線式造

成的性能問(wèn)題，在大多數(shù)的IPS部署方案中，很難對(duì)全部的流量開(kāi)啟所有的模式分析，因此，

當(dāng)企業(yè)面臨真正的應(yīng)用層攻擊時(shí)，這些安全手段都無(wú)能為力了。

在交付中心中，通過(guò)應(yīng)用層主動(dòng)安全體系來(lái)解決現(xiàn)有的問(wèn)題。在主動(dòng)安全的體系中，徹

底改變了IPS的致命安全錯(cuò)誤。其工作在協(xié)議層上，通過(guò)對(duì)協(xié)議的徹底分析和Proxy代理工

作模式，同時(shí)，結(jié)合對(duì)應(yīng)用的訪問(wèn)流程進(jìn)行分析，只通過(guò)自己識(shí)別的訪問(wèn)，而對(duì)于不識(shí)別的

訪問(wèn)，則全部進(jìn)行阻斷。比如在頁(yè)面上的一個(gè)留言板，正常的用戶登錄都是填入一些留言，

提問(wèn)等，但黑客則可能填入一段代碼，如果服務(wù)器端的頁(yè)面存在漏洞，則當(dāng)另外一個(gè)用戶查

看留言板的時(shí)候，則會(huì)在用戶完全不知道的情況下執(zhí)行這段代碼，這叫做跨站攻擊。當(dāng)這段

代碼被執(zhí)行后，用戶的本地任何信息都有可能被發(fā)送到黑客的指定地址上。如果采用防火墻

或者IPS,對(duì)此類攻擊根本沒(méi)有任何處理辦法，因?yàn)楣舻氖侄?、代碼每次都在變化，沒(méi)有

特征而言。而在采用主動(dòng)安全的系統(tǒng)中，則可以嚴(yán)格的限制在留言板中輸入的內(nèi)容，由此來(lái)

防范此類跨站攻擊。又如常見(jiàn)的認(rèn)證漏洞，可能造成某些頁(yè)面在沒(méi)有進(jìn)行用戶登錄的情況下

可以直接訪問(wèn)，這些內(nèi)容在防火墻或者IPS系統(tǒng)中更加無(wú)法處理了。因?yàn)樗麄兊恼?qǐng)求和正常

的請(qǐng)求完全一樣，只是沒(méi)有經(jīng)過(guò)登錄流程而已，因此不能進(jìn)行防護(hù)，在主動(dòng)安全體系里，可

以對(duì)用戶的訪問(wèn)進(jìn)行流程限定，比如訪問(wèn)一些內(nèi)容必須是在先通過(guò)了安全認(rèn)證之后才能訪

問(wèn)，并且必須按照一定的順序才能執(zhí)行。因此，工作在流程和代理層面的主動(dòng)安全設(shè)備可以

進(jìn)一步實(shí)現(xiàn)應(yīng)用系統(tǒng)的真正安全。

3Easted制造行業(yè)解決方案一覽

3.1SAP集中部署解決方案

某是中國(guó)最大的一體化能源化工公司之一，主要從事石油與天然氣勘探開(kāi)發(fā)、開(kāi)采、管

道運(yùn)輸、銷售；石油煉制、石油化工、化纖、化肥及其它化工生產(chǎn)與產(chǎn)品銷售、儲(chǔ)運(yùn)；石油、

天然氣、石油產(chǎn)品、石油化工及其它化工產(chǎn)品和其它商品、技術(shù)的進(jìn)出口、代理進(jìn)出口業(yè)務(wù)；

技術(shù)、信息的研究、開(kāi)發(fā)、應(yīng)用。是中國(guó)最大的石油產(chǎn)品和主要石化產(chǎn)品生產(chǎn)商和供應(yīng)商。

在實(shí)施ERP項(xiàng)目過(guò)程中采取了分步推進(jìn)的戰(zhàn)略部署，并且于2006年時(shí)進(jìn)行ERP服務(wù)器

邏輯集中的試點(diǎn)工作，ERP項(xiàng)目的集中化管理能夠?qū)崿F(xiàn)：

//建立統(tǒng)一的數(shù)據(jù)平臺(tái)，并且有效地支撐各級(jí)管理層尤其是總部相關(guān)領(lǐng)導(dǎo)的科學(xué)決

策；

/18為了總部統(tǒng)一的業(yè)務(wù)和管理要求在各個(gè)企業(yè)得到有效貫徹，利用先進(jìn)的信息系統(tǒng)

提高各企業(yè)管理水平；

/1我高整體管理效率、降低對(duì)ERP系統(tǒng)的運(yùn)維支撐水平和IT總持有成本，

3.1.1需求分析

由于前期ERP項(xiàng)目的集中化管理，主要是停留在“數(shù)據(jù)集中”或稱“服務(wù)器集中”的模

式上，SAP客戶端GUI還部署在每一個(gè)員工的電腦上，這就相當(dāng)于把應(yīng)用邏輯和數(shù)據(jù)分布在

了企業(yè)的各個(gè)角落，這樣雖然服務(wù)器集中了，但是應(yīng)用依然是分散的，同時(shí)數(shù)據(jù)在各個(gè)PC

機(jī)上都會(huì)傳遞和緩存駐留，這無(wú)論給使用、管理還是安全上都帶來(lái)麻煩。

根據(jù)對(duì)前期ERP上線的銷售企業(yè)的日常維護(hù)檢查、后評(píng)估和項(xiàng)目驗(yàn)收檢查，發(fā)現(xiàn)已上線

的銷售企業(yè)ERP系統(tǒng)應(yīng)用中，SAPGUI分散部署導(dǎo)致的各類問(wèn)題包括：

/9頁(yè)目實(shí)施時(shí)部分終端用戶的IT環(huán)境需要改造：SAPGUI對(duì)PC機(jī)配置和網(wǎng)絡(luò)均有一

定要求，目前大部分銷售企業(yè)的部署模式是將SAPGUI安裝在用戶自己的PC機(jī)上，

這種模式對(duì)于達(dá)不到要求的用戶，如果不進(jìn)行改造升級(jí)，則不能順利進(jìn)行SAP實(shí)

施，這從項(xiàng)目實(shí)施的角度來(lái)看，不僅增加了用戶投入的整體成本，而且使得項(xiàng)目的

實(shí)施周期被迫延長(zhǎng)。

/腑用效率有待提高。目前IT環(huán)境越來(lái)越復(fù)雜，業(yè)務(wù)對(duì)n■系統(tǒng)依賴性越來(lái)越高，IT

系統(tǒng)對(duì)員工的要求也越來(lái)越高，隨著SAPGUI的傳統(tǒng)部署，這一現(xiàn)狀進(jìn)一步加劇，

系統(tǒng)復(fù)雜性使得應(yīng)用效率降低，員工與其PC機(jī)逐漸綁定在一起而失去了靈活性。

應(yīng)用效率不僅包括因計(jì)算機(jī)性能和網(wǎng)絡(luò)速度影響的發(fā)生一筆業(yè)務(wù)的時(shí)間，還包括業(yè)

務(wù)人員為適應(yīng)IT系統(tǒng)而完成業(yè)務(wù)操作的綜合時(shí)間和人力成本。以及IT系統(tǒng)是否足

夠靈活，能否有效避免系統(tǒng)故障帶來(lái)的業(yè)務(wù)中斷等等。例如當(dāng)企業(yè)需要完成一筆

SAP業(yè)務(wù)時(shí)，業(yè)務(wù)人員由于PC故障卻無(wú)法執(zhí)行業(yè)務(wù)操作，或由于出差，遠(yuǎn)程網(wǎng)絡(luò)

差等無(wú)法訪問(wèn)SAP系統(tǒng)等等，這些都會(huì)大大降低應(yīng)用效率，制約了SAP系統(tǒng)實(shí)施

效果。

/原安全性問(wèn)題。在SAP實(shí)施初期，為了系統(tǒng)順利運(yùn)行，往往忽視并犧牲了一定的安

全性，但是隨著SAP系統(tǒng)的運(yùn)行，SAP系統(tǒng)中企業(yè)敏感數(shù)據(jù)越來(lái)越多，安全性問(wèn)題

應(yīng)提到重要位置。目前的部署模式，企業(yè)內(nèi)部分散了成千上萬(wàn)的SAPGUI軟件，難

于管理SAPAGUI模塊的授權(quán)安裝和使用；同時(shí)SAPGUI和后臺(tái)服務(wù)器要交互大量

的數(shù)據(jù)，這些企業(yè)數(shù)據(jù)會(huì)在全省范圍內(nèi)大面積的傳輸，增加了數(shù)據(jù)被截獲和竊取的

風(fēng)險(xiǎn)；并且在用戶PC機(jī)和筆記本上緩存的數(shù)據(jù)，增加了PC機(jī)筆記本丟失等原因

的數(shù)據(jù)泄漏的風(fēng)險(xiǎn)；最后，大量的PC機(jī)增加了病毒感染的風(fēng)險(xiǎn)，會(huì)直接破壞企業(yè)

系統(tǒng)運(yùn)行。

/解隹護(hù)管理工作量加大。目前在SAP實(shí)施中，實(shí)施部門已經(jīng)運(yùn)用了各種方法去降低

維護(hù)工作量，如將SAPGUI通過(guò)FTP下載到每一臺(tái)PC機(jī)上，執(zhí)行安裝和升級(jí)，但

是由于維護(hù)和管理的對(duì)象面太廣（整個(gè)用戶群的PC）,缺少有效地集中管理手段，

還是無(wú)法從根本上降低總體的管理維護(hù)工作量。而這會(huì)在業(yè)務(wù)人員對(duì)SAP的使用

要求越來(lái)越高的同時(shí)，技術(shù)支持響應(yīng)速度卻完全滯后，無(wú)法使SAP使用效果得到滿

意保障。

/18網(wǎng)絡(luò)帶寬的投入，目前的部署模式需要用戶訪問(wèn)SAP時(shí)有一定的帶寬保證，才可

以順暢地使用SAP系統(tǒng)，隨著SAP的實(shí)施和推廣，在網(wǎng)絡(luò)帶寬上的投入會(huì)越來(lái)越

大。而遠(yuǎn)程訪問(wèn)受網(wǎng)絡(luò)的影響，依然無(wú)法有效解決。

/編訓(xùn)和遠(yuǎn)程支持，培訓(xùn)是SAP成功實(shí)施的重要保證，對(duì)于目前省公司大量的客戶

和分散的地域，缺少遠(yuǎn)程培訓(xùn)和支持技術(shù)，給SAP實(shí)施帶來(lái)了極大的不便，同時(shí)也

會(huì)影響使用效果。

因此結(jié)合ERP項(xiàng)目的集中化管理，只有實(shí)施ERP客戶端集中部署模式，才能有效地解

決分散IT系統(tǒng)架構(gòu)的弊病，體現(xiàn)集中管理的優(yōu)勢(shì)

3.1.2項(xiàng)目目標(biāo)

在SAPGUI集中部署項(xiàng)目中，項(xiàng)目目標(biāo)包括：

/團(tuán)實(shí)現(xiàn)SAPGUI的快速部署，每臺(tái)使用R/3系統(tǒng)的設(shè)備無(wú)需安裝SAPGUI客戶端；

/13簡(jiǎn)化SAP客戶端維護(hù)，避免由于對(duì)客戶端的維護(hù)導(dǎo)致影響數(shù)據(jù)及時(shí)錄入，提升數(shù)

據(jù)的時(shí)效性；

/18降低SAP對(duì)終端PC的配置要求；

/但高效利用網(wǎng)絡(luò)帶寬，解決遠(yuǎn)程低帶寬移動(dòng)客戶訪問(wèn)SAP系統(tǒng)的低效率問(wèn)題；

/啾速實(shí)現(xiàn)從C/S到B/S的訪問(wèn)方式轉(zhuǎn)變；

/m提高密碼安全性，利用單一密碼訪問(wèn)所有被授權(quán)使用的應(yīng)用；

/M呆障生產(chǎn)業(yè)務(wù)連續(xù)性，保證客戶對(duì)SAP的不間斷訪問(wèn)。

于2012年初采用Easted接入平臺(tái)進(jìn)行了ERP客戶端集中部署的試點(diǎn)成功后，于9月份

開(kāi)始實(shí)施5省銷售公司的ERP客戶端集中項(xiàng)目，在北京總部數(shù)據(jù)中心實(shí)施總計(jì)近5000用戶

的SAPGUI集中部署。Easted平臺(tái)于11月10日和SAPERP系統(tǒng)一起正式上線，投入運(yùn)行。

3.1.3技術(shù)方案

SAP系統(tǒng)的總體架構(gòu)不變，后臺(tái)SAP服務(wù)器也沒(méi)有改變，只是在原來(lái)的用戶客戶端和

SAP服務(wù)器之間增加了Easted服務(wù)器集群，原先需要安裝在用戶客戶端的SAPGUI軟件現(xiàn)在

安裝在Easted服務(wù)器上，多用戶同時(shí)訪問(wèn)時(shí)，SAPGUI以多進(jìn)程方式在Easted服務(wù)器集群上

運(yùn)行。

總體架構(gòu)如下圖所示:

圖：總體架構(gòu)圖

通過(guò)這樣的部署結(jié)構(gòu)，最終用戶對(duì)SAP的訪問(wèn)依賴于服務(wù)器計(jì)算能力和數(shù)據(jù)中心內(nèi)部

網(wǎng)絡(luò)，不再依賴于廣域網(wǎng)和終端設(shè)備，因此通過(guò)配置高性能的中心服務(wù)器，可以使得遠(yuǎn)程用

戶像在局域網(wǎng)內(nèi)一樣使用SAP系統(tǒng)。

Easted服務(wù)器集群通過(guò)負(fù)載均衡技術(shù)實(shí)現(xiàn)了7X24小時(shí)的業(yè)務(wù)連續(xù)性，無(wú)論用戶客戶端

或者服務(wù)器出現(xiàn)單點(diǎn)故障，均不影響用戶對(duì)SAP系統(tǒng)的訪問(wèn)。并且對(duì)用戶端的網(wǎng)絡(luò)依賴性降

低，每個(gè)用戶只需要10K-20K的帶寬就可以享受到局域網(wǎng)內(nèi)使用SAP的性能。

3.1.4項(xiàng)目收益

通過(guò)ERP客戶端集中部署項(xiàng)目，獲得了如下收益包括：

系統(tǒng)安全性

通過(guò)Easted平臺(tái)，可以方便地實(shí)現(xiàn)應(yīng)用接入的安全控制。隱藏業(yè)務(wù)應(yīng)用服務(wù)器及數(shù)據(jù)

庫(kù)主機(jī)。應(yīng)用的安裝、升級(jí)和維護(hù)只發(fā)生在后臺(tái)服務(wù)器上，用戶不能接觸、修改應(yīng)用配置,

也不知道服務(wù)器在什么位置，但可以正常使用，可以有效保證主機(jī)的安全。用戶可以基于權(quán)

限控制要求接觸不同的應(yīng)用。不同的用戶根據(jù)工作需要和控制要求，配置使用不同的應(yīng)用。

避免出現(xiàn)應(yīng)用安裝軟件隨處可見(jiàn)，隨便安裝和使用。

應(yīng)用連續(xù)性

客戶端網(wǎng)絡(luò)有時(shí)會(huì)出現(xiàn)臨時(shí)中斷，原來(lái)的客戶端方式會(huì)引發(fā)SAP系統(tǒng)交易鎖定，這時(shí)需

要后臺(tái)管理員解鎖，即使得最終用戶感覺(jué)不便，又增加了支持中心的壓力。采用Easted平臺(tái)

訪問(wèn)后，網(wǎng)絡(luò)中斷只是會(huì)話暫停，不再影響交易，用戶只需等待網(wǎng)絡(luò)恢復(fù)即可繼續(xù)交易。

另外如果用戶本地客戶端故障，用戶可以馬上登陸備用機(jī)或其他人的機(jī)器繼續(xù)工作，而

不用擔(dān)心業(yè)務(wù)中斷或數(shù)據(jù)泄露等問(wèn)題。

維護(hù)方便性

通過(guò)Easted平臺(tái)，各種應(yīng)用部署、配置和升級(jí)體現(xiàn)出了快速化和準(zhǔn)確性。傳統(tǒng)解決方案

及其帶來(lái)的麻煩：

（一）通過(guò)郵寄安裝光盤或者網(wǎng)絡(luò)傳輸安裝軟件，直接或間接到達(dá)所有遠(yuǎn)近終端上，進(jìn)

行安裝。讓管理人員在每個(gè)終端上都安裝客戶程序會(huì)耗費(fèi)大量的時(shí)間和精力，或占用有限的

網(wǎng)絡(luò)帶寬。而更加復(fù)雜的配置將需要IT人員的支持，甚至到現(xiàn)場(chǎng)處理，由此將發(fā)生高昂的

差旅開(kāi)銷。

（二）手工、或者自動(dòng)升級(jí)客戶端軟件。出現(xiàn)令人頭疼的卻又難以避免的升級(jí)失敗和事

后處理，以及得不到有效控制的升級(jí)遺漏，致使舊軟件的繼續(xù)使用。

Easted解決方案帶來(lái)的便捷高效：

（一）在中心服務(wù)器安裝部署應(yīng)用，發(fā)布給用戶使用。n■技術(shù)人員只要在后臺(tái)進(jìn)行應(yīng)用

的安裝、配置和測(cè)試。一經(jīng)測(cè)試通過(guò)即可發(fā)布給用戶使用。部署花費(fèi)少，時(shí)間以小時(shí)計(jì)，無(wú)

需復(fù)雜的部署安排和時(shí)間控制。只要網(wǎng)絡(luò)暢通，一個(gè)通知，各地用戶就可以使用。對(duì)于SAP,

只要在后端進(jìn)行SAPGUI的安裝配置和發(fā)布。

（二）應(yīng)用軟件的升級(jí)和維護(hù)。應(yīng)用的升級(jí)和維護(hù)也只發(fā)生在后臺(tái)服務(wù)器上，用戶甚至

無(wú)所察覺(jué)。并且可以確保無(wú)一遺漏，用戶使用軟件版本決無(wú)差異。

（三）所有的客戶端都可以實(shí)現(xiàn)免維護(hù)。最多就是本地系統(tǒng)網(wǎng)絡(luò)配置和ICA的客戶端安

裝。

更短的時(shí)間，同一個(gè)版本，同時(shí)生效。只需傳統(tǒng)方式幾十分之一的時(shí)間即可快速、準(zhǔn)確

地完成200個(gè)用戶的應(yīng)用部署。考慮實(shí)際情況，耗時(shí)比率會(huì)更低。而后新增用戶的應(yīng)用部署

將花費(fèi)更少時(shí)間。

降低成本

Easted平臺(tái)延長(zhǎng)了現(xiàn)有終端設(shè)備使用期限。保護(hù)已有投資。企業(yè)經(jīng)過(guò)多年的建設(shè)，存在

有各種檔次的硬件設(shè)備，功能和性能各不相同。在經(jīng)過(guò)實(shí)際測(cè)試，-臺(tái)2001年的奔騰機(jī)器

（PIII-750,：128M內(nèi)存）一樣可以很好地完成思杰部署的業(yè)務(wù)應(yīng)用。延長(zhǎng)設(shè)備更新周期。通

過(guò)使用思杰接入系統(tǒng)，在延長(zhǎng)現(xiàn)有設(shè)備使用期限的情況下，使得設(shè)備采購(gòu)間隔得以延長(zhǎng)。設(shè)

備的更新關(guān)注在那些故障頻發(fā)老化設(shè)備上。減少設(shè)備更新花費(fèi)。

3.2企業(yè)分支機(jī)構(gòu)快速擴(kuò)張和部署解決方案

3.2.1背景

目前，很多商業(yè)企業(yè)正致力于跨區(qū)域發(fā)展。這些企業(yè)積極推進(jìn)管理創(chuàng)新和金融技術(shù)創(chuàng)新，

努力打造公司企業(yè)、零售公司、個(gè)人企業(yè)、信用卡、金融市場(chǎng)五大利潤(rùn)中心，實(shí)現(xiàn)利潤(rùn)來(lái)源

多元化。隨著企業(yè)網(wǎng)點(diǎn)的快速擴(kuò)張，及各項(xiàng)業(yè)務(wù)的開(kāi)展，業(yè)務(wù)需求對(duì)IT應(yīng)用和IT基礎(chǔ)構(gòu)架

的要求也越來(lái)越高。不但要求IT系統(tǒng)的各應(yīng)用能夠快速滿足各種新業(yè)務(wù)的要求，對(duì)于網(wǎng)絡(luò)

安全、管理等基礎(chǔ)構(gòu)架也帶來(lái)了更高的要求和更大的壓力。而且，由于企業(yè)的快速擴(kuò)張，IT

部門的人手也嚴(yán)重不足，進(jìn)一步加劇了矛盾。

所以需要有一個(gè)系統(tǒng)的解決方案，幫助這些企業(yè)的IT部門來(lái)應(yīng)對(duì)這一系列挑戰(zhàn)。

3.2.2需求

為了應(yīng)對(duì)這些挑戰(zhàn)，企業(yè)的n■構(gòu)架需要解決以下幾個(gè)關(guān)鍵的問(wèn)題：

支持分支機(jī)構(gòu)快速擴(kuò)張的基礎(chǔ)構(gòu)架因?yàn)槎唐趦?nèi)分支機(jī)構(gòu)的快速擴(kuò)張，需要有一套IT

構(gòu)架，能夠適應(yīng)這樣速度的擴(kuò)張。能夠在最短時(shí)間內(nèi)，快速建立新的分支機(jī)構(gòu)的IT環(huán)境的

部署。同時(shí)系統(tǒng)要能夠有良好的可擴(kuò)展性來(lái)支持日益增長(zhǎng)的系統(tǒng)容量。

解決終端和應(yīng)用的管理和安全問(wèn)題由于存在大量的分支機(jī)構(gòu)，終端網(wǎng)點(diǎn)的客戶端的

安全和管理問(wèn)題的矛盾也越來(lái)越突出。由于網(wǎng)點(diǎn)終端分散于各個(gè)網(wǎng)點(diǎn)，加上網(wǎng)點(diǎn)的IT管理

力量薄弱，對(duì)于這些終端的維護(hù)和管理的挑戰(zhàn)性十分大。采用傳統(tǒng)的PC+本地安裝客戶端模

式，初始安裝和配置需要大量的工作量。日后的應(yīng)用升級(jí)、維護(hù)，往往需要IT管理人員訪

問(wèn)現(xiàn)場(chǎng)，其速度和成本也非常高。同時(shí)，如何保證這些分散的客戶端的安全也是需要重點(diǎn)考

慮的問(wèn)題。在生產(chǎn)網(wǎng)絡(luò)中，任何一臺(tái)受到病毒或木馬感染的客戶端，都可能直接影響到整個(gè)

網(wǎng)點(diǎn)，乃至整個(gè)生產(chǎn)網(wǎng)絡(luò)的正常生產(chǎn)。同時(shí)，如何保護(hù)重要應(yīng)用中的敏感信息的保密，也是

需要著重考慮的問(wèn)題。

跨安全分區(qū)訪問(wèn)業(yè)務(wù)應(yīng)用由于企業(yè)網(wǎng)絡(luò)安全要求的特殊性，其網(wǎng)絡(luò)往往劃分為多個(gè)

相互隔離的安全分區(qū)，如辦公網(wǎng)，開(kāi)發(fā)網(wǎng)，生產(chǎn)網(wǎng)等。多個(gè)安全分區(qū)之間用防火墻互相隔離。

但是由于不少業(yè)務(wù)應(yīng)用，需要跨安全分區(qū)進(jìn)行訪問(wèn)，這就需要在防火墻上打開(kāi)相應(yīng)的端口。

由于應(yīng)用對(duì)通信和端口的要求千變?nèi)f化，而且隨著應(yīng)用的構(gòu)架變化和版本升級(jí)，往往防火墻

規(guī)則也需要做相應(yīng)修改。這樣不但增加了管理負(fù)擔(dān)，而且也帶來(lái)了一定的安全隱患。

分支機(jī)構(gòu)訪問(wèn)應(yīng)用的速度問(wèn)題對(duì)于分支機(jī)構(gòu)，不但存在終端和應(yīng)用的管理問(wèn)題，應(yīng)用

的訪問(wèn)速度也是用戶十分關(guān)注的指標(biāo)。由于企業(yè)的應(yīng)用絕大部分采用集中的后端，及越來(lái)越

多使用B/S構(gòu)架，其操作響應(yīng)速度往往不夠理想。這就要求新的解決方案能夠很好地優(yōu)化分

支機(jī)構(gòu)的用戶對(duì)各種應(yīng)用的訪問(wèn)和響應(yīng)速度。

安全的開(kāi)發(fā)環(huán)境企業(yè)的開(kāi)發(fā)部門由于企業(yè)的業(yè)務(wù)特殊性,對(duì)開(kāi)發(fā)環(huán)境和文檔管理環(huán)境

的安全性要求較高。而由于企業(yè)業(yè)務(wù)的飛速拓展，企業(yè)開(kāi)發(fā)項(xiàng)目中，往往還會(huì)牽涉到很多第

三方公司和外包項(xiàng)目。這對(duì)開(kāi)發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。需要有一套環(huán)境，能夠讓開(kāi)

發(fā)項(xiàng)目的員工及外包員工，能夠在受控環(huán)境下，進(jìn)行相關(guān)應(yīng)用的開(kāi)發(fā)和調(diào)試，同時(shí)能有效保

護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。

要應(yīng)對(duì)以上的這些挑戰(zhàn)，采用傳統(tǒng)的PC機(jī)加管理軟件的方式，不能完全有效地解決這

些矛盾。通過(guò)Easted應(yīng)用交付中心的解決方案，是客戶端系統(tǒng)和應(yīng)用管理方式的變革，能從

另一種思路來(lái)解決這些安全和管理的問(wèn)題，達(dá)到傳統(tǒng)方式無(wú)法達(dá)到的理想效果。以此使企業(yè)

的客戶端和應(yīng)用管理水平邁上一個(gè)新的臺(tái)階，能適應(yīng)企業(yè)業(yè)務(wù)快速拓展的需要。

3.2.3問(wèn)題分析

企業(yè)終端和應(yīng)用的安全和管理的挑戰(zhàn)是使用傳統(tǒng)計(jì)算模式情況下，非常普遍的問(wèn)題。由

于PC的特點(diǎn)，PC終端的安全和管理一直是業(yè)界困擾的問(wèn)題。

3.2.3.1傳統(tǒng)模式的弊端

下圖是傳統(tǒng)的計(jì)算模式構(gòu)架圖：

從傳統(tǒng)構(gòu)架來(lái)看，有這樣幾個(gè)特點(diǎn):

1.客戶端需要在終端部署，初期安裝以及后期維護(hù)工作量巨大。維護(hù)成本高。

2.由于應(yīng)用客戶端直接部署終端,業(yè)務(wù)數(shù)據(jù)會(huì)直接在數(shù)據(jù)中心到網(wǎng)點(diǎn)的網(wǎng)絡(luò)中進(jìn)行傳

輸。

3.由此，為了滿足傳輸?shù)陌踩?，必須?duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以防被截獲。加密一般

通過(guò)應(yīng)用本身的設(shè)計(jì)或者使用專門的網(wǎng)絡(luò)層的加密設(shè)備，如VPN等來(lái)實(shí)現(xiàn)。

4.此外，大部分應(yīng)用還會(huì)將數(shù)據(jù)緩存與客戶端的本地。在本地的數(shù)據(jù)也需要加密和訪

問(wèn)控制，才能保證數(shù)據(jù)的安全。

5.要實(shí)現(xiàn)從傳輸過(guò)程，到本地?cái)?shù)據(jù)的安全和保密，對(duì)應(yīng)用的要求很高。很多應(yīng)用并沒(méi)

有對(duì)數(shù)據(jù)的安全性作很好的考量。改造應(yīng)用，或者通過(guò)其他產(chǎn)品來(lái)實(shí)現(xiàn)加密等，實(shí)現(xiàn)非常困

難，安全漏洞很多。

6.應(yīng)用直接部署于客戶端，也使應(yīng)用客戶端本身暴露于分析、掃描、反向工程、破解

等等各種安全攻擊的威脅下。

7.對(duì)于跨安全分區(qū)的應(yīng)用，每個(gè)應(yīng)用，都需要分別配置防火墻上的策略。打開(kāi)過(guò)多的

地址和端口，也對(duì)安全造成一定的影響。同時(shí)，一旦應(yīng)用服務(wù)器的部署有所變化，也需要對(duì)

策略作相應(yīng)的調(diào)整，非常不靈活。

8.由于很多應(yīng)用沒(méi)有對(duì)遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)進(jìn)行優(yōu)化，導(dǎo)致應(yīng)用訪問(wèn)速度非常不理想?？蛻?/p>

體驗(yàn)差，影響工作效率。

綜合起來(lái)看，傳統(tǒng)模式由于其分散的本質(zhì)，及客戶端應(yīng)用和數(shù)據(jù)直接存于遠(yuǎn)程的終端之

上，管理復(fù)雜，要保證其安全十分困難。其面臨的安全攻擊面較高。

傳統(tǒng)解決方案必須從傳輸，保存，端點(diǎn)及運(yùn)行環(huán)境等各個(gè)環(huán)節(jié)都保證安全，所以有了防

火墻,終端管理軟件、終端防病毒軟件、入侵檢測(cè)、網(wǎng)絡(luò)加密設(shè)備等等各種解決方案和產(chǎn)品。

其實(shí)現(xiàn)安全的代價(jià)高，效果往往仍不理想。

所以，一味地從傳統(tǒng)方案入手，而不改變其構(gòu)架，問(wèn)題隱患并沒(méi)有從根本上得到解決。

3.2.3.ZEasted模式帶來(lái)的變化

我們來(lái)看一看Easted的方式，如何通過(guò)改變整體的計(jì)算構(gòu)架，來(lái)使整個(gè)問(wèn)題的解決變

得簡(jiǎn)單化。

Easted模式的核心是：

1.在數(shù)據(jù)中心集中部署應(yīng)用客戶端。

2.使用應(yīng)用虛擬化技術(shù)，使集中部署的應(yīng)用能在各網(wǎng)點(diǎn)的PC和瘦客戶端上使用。

下圖是使用Easted模式帶來(lái)的變化

.廟一中

&

(1萬(wàn)及標(biāo)用OUisOB

的后*at務(wù)s?

不傳遞1ft始數(shù)楙

只俗刷新

餓故和風(fēng)林移動(dòng)

128位加密傳情

雙因子身份驗(yàn)證

從Easted的模式，可以看到有以下幾個(gè)變化及特點(diǎn)：

1.應(yīng)用客戶端集中部署于位于數(shù)據(jù)中心的Easted服務(wù)器上。終端設(shè)備上無(wú)需部署應(yīng)

用。由此，可以實(shí)現(xiàn)應(yīng)用管理的集中化，大大減輕分支機(jī)構(gòu)終端和應(yīng)用的維護(hù)壓力。

2.由于應(yīng)用客戶端不在終端直接部署，在終端對(duì)應(yīng)用客戶端進(jìn)行掃描、破解、反向工

程等攻擊基本不可能。

3.由于應(yīng)用客戶端在數(shù)據(jù)中心，所以原始業(yè)務(wù)數(shù)據(jù)的傳輸也只在數(shù)據(jù)中心的范圍內(nèi)。

數(shù)據(jù)中心的網(wǎng)絡(luò)安全性一般能有保障.

4.在數(shù)據(jù)中心到終端網(wǎng)點(diǎn)的網(wǎng)絡(luò)中傳輸?shù)氖墙?jīng)過(guò)Easted協(xié)議加密的屏幕刷新和鍵盤

鼠標(biāo)操作等信息。該數(shù)據(jù)很難被截獲破解，即使被截獲破解以后，其提供的信息也十分有限。

能十分好的保護(hù)原始數(shù)據(jù)信息。

5.應(yīng)用客戶端的本地?cái)?shù)據(jù)存儲(chǔ)實(shí)際存于數(shù)據(jù)中心的服務(wù)器，其安全性也能得到保證。

6.由于客戶端集中部署于數(shù)據(jù)中心，其與后臺(tái)應(yīng)用服務(wù)器之間的連接速度良好,從而,

使應(yīng)用的反應(yīng)速度有所保證。而從Easted服務(wù)器至用戶客戶端，使用的VAP協(xié)議，對(duì)于各

種網(wǎng)絡(luò)環(huán)境，特別是低帶寬、高延時(shí)的網(wǎng)絡(luò)有良好的優(yōu)化。從而使遠(yuǎn)程的分支機(jī)構(gòu)，訪問(wèn)應(yīng)

用的速度和用戶體驗(yàn)大大增強(qiáng)。

7.對(duì)于需要跨安全分區(qū)訪問(wèn)的應(yīng)用，以往，不同的應(yīng)用需要開(kāi)放不同的IP地址段和

端口，現(xiàn)在，只需要配置從客戶端至Easted服務(wù)器的策略即可。即使應(yīng)用改變，也無(wú)須改變

防火墻策略。

總結(jié)來(lái)說(shuō)，由于傳統(tǒng)模式客戶端直接訪問(wèn)后臺(tái)時(shí)，之間傳輸?shù)臄?shù)據(jù)是真實(shí)的企業(yè)應(yīng)用數(shù)

據(jù)，該數(shù)據(jù)會(huì)被緩存在用戶本地或在傳輸中被截獲，這些都是不安全因素;而用戶訪問(wèn)Easted

ThinApp服務(wù)器時(shí)，之間傳輸?shù)氖瞧聊辉隽孔兓畔⒑褪髽?biāo)鍵盤變化信息，用戶端無(wú)任何應(yīng)

用數(shù)據(jù)緩存在本地，同時(shí)中途截獲這些信息然后反推出用戶真正的業(yè)務(wù)操作和數(shù)據(jù)比直接截

獲業(yè)務(wù)數(shù)據(jù)困難上千倍。

因而可以說(shuō)是用EastedThinApp平臺(tái)后，數(shù)據(jù)總是存放在最安全的地方。EastedThinApp

帶來(lái)的最大益處是采用應(yīng)用虛擬化方式阻止數(shù)據(jù)任何時(shí)候離開(kāi)數(shù)據(jù)中心。由于其集中的構(gòu)

架，帶來(lái)的安全的優(yōu)勢(shì)十分明顯。

3.3企業(yè)集中開(kāi)發(fā)管理平臺(tái)解決方案

隨著很多企業(yè)產(chǎn)品開(kāi)發(fā)部承接的IT開(kāi)發(fā)項(xiàng)目的數(shù)量增加與規(guī)模擴(kuò)大，與外部公司的合

作日益密切，項(xiàng)目開(kāi)發(fā)環(huán)境的管理更加復(fù)雜，安全管理的要求也日益提升。為此，需要建立

一個(gè)簡(jiǎn)單、易用、安全的集中開(kāi)發(fā)管理平臺(tái)，以有效進(jìn)行開(kāi)發(fā)環(huán)境的規(guī)范管理，支持可控的

外部合作公司的遠(yuǎn)程開(kāi)發(fā)模式，同時(shí)保護(hù)重要數(shù)據(jù)與代碼的安全，并能對(duì)重要系統(tǒng)操作進(jìn)行

跟蹤和審計(jì)。

3.3.1功能需求

1.集中管理：可將開(kāi)發(fā)環(huán)境中的應(yīng)用軟件進(jìn)行集中管理，可以根據(jù)需要隨時(shí)調(diào)整開(kāi)發(fā)

環(huán)境的應(yīng)用部署，簡(jiǎn)化開(kāi)發(fā)人員客戶端的開(kāi)發(fā)環(huán)境配置及部署要求。

2.應(yīng)用發(fā)布：具有包括各類開(kāi)發(fā)工具在內(nèi)的應(yīng)用軟件發(fā)布功能和Web網(wǎng)頁(yè)發(fā)布功能,

要求支持發(fā)布的應(yīng)用軟件列表參見(jiàn)附錄。

3.存儲(chǔ)隔離：每個(gè)用戶能建立各自的文件系統(tǒng)或存儲(chǔ)空間，相互之間不能訪問(wèn)。但授

權(quán)用戶可以訪問(wèn)特定用戶組的存儲(chǔ)空間，可以通過(guò)FTP或者其它方式獲取用戶存儲(chǔ)空間的數(shù)

據(jù)。

4.數(shù)據(jù)保護(hù)：所有的代碼及業(yè)務(wù)數(shù)據(jù)只在服務(wù)器端傳遞，提高系統(tǒng)數(shù)據(jù)訪問(wèn)的安全性。

5.遠(yuǎn)程接入:支持外部合作公司遠(yuǎn)程接入的項(xiàng)目開(kāi)發(fā)模式，能有效控制用戶的剪貼板、

本地硬盤、打印機(jī)、端口等操作，做到合作公司人員未經(jīng)授權(quán)無(wú)法從任何渠道獲取項(xiàng)目的代

碼、文檔和業(yè)務(wù)數(shù)據(jù)。

6.訪問(wèn)控制：對(duì)于合作公司的遠(yuǎn)程訪問(wèn)要求能有效控制，包括登錄時(shí)間段、登錄用戶

的監(jiān)控。要求能穿越防火墻（能夠NET轉(zhuǎn)換）訪問(wèn)到服務(wù)器。

7.訪問(wèn)日志：用戶登錄及對(duì)開(kāi)發(fā)工具和應(yīng)用軟件的訪問(wèn)，應(yīng)該有日志記錄。

操作錄像：對(duì)于應(yīng)用軟件的操作需要有屏幕錄像功能。用戶和應(yīng)用可以分別控制是否需

要錄像，錄像時(shí)間段范圍可配置。能快速根據(jù)指定條件查詢錄像文件，錄像文件可以自動(dòng)清

理，并能設(shè)置錄像文件保留期限。

3.3.2技術(shù)需求

1.水平擴(kuò)展:服務(wù)器端支持水平擴(kuò)展，能通過(guò)水平增加服務(wù)器來(lái)適應(yīng)業(yè)務(wù)需求的擴(kuò)大。

2.負(fù)載均衡：可根據(jù)用戶訪問(wèn)量和資源使用情況，動(dòng)態(tài)分配到到負(fù)載量最低的服務(wù)器

上?？芍С质謩?dòng)負(fù)載均衡操作。

3.本地輸入法：用戶接入要求支持中文界面，可以使用本地輸入法.

資源監(jiān)控：能監(jiān)控系統(tǒng)應(yīng)用、訪問(wèn)用戶和對(duì)應(yīng)資源的占用情況，并形成報(bào)表。

3.3.3解決方案及對(duì)應(yīng)項(xiàng)目需求的實(shí)現(xiàn)

3.3.3.1總體方案構(gòu)架

通過(guò)EastedThinApp集中部署和發(fā)布應(yīng)用客戶端軟件，整個(gè)的后臺(tái)應(yīng)用服務(wù)器架構(gòu)沒(méi)

有變化，客戶端可以通過(guò)EastedThinApp來(lái)訪問(wèn)集中發(fā)布的各種企業(yè)應(yīng)用和開(kāi)發(fā)工具。其整

體構(gòu)架如下圖所示：

客戶端軟件安裝在Easted服務(wù)器（EastedThinApp）上，而所有訪問(wèn)用戶使用終端設(shè)備

均無(wú)需事先安裝應(yīng)用客戶端軟件?？蛻舳嗽O(shè)備只需通過(guò)IE就可以運(yùn)行應(yīng)用系統(tǒng)（第一次訪

問(wèn)時(shí)會(huì)自動(dòng)提示下載安裝一個(gè)幾兆大小的插件），多用戶同時(shí)訪問(wèn)時(shí)，由EastedThinApp管

理和運(yùn)行應(yīng)用客戶端軟件的多進(jìn)程訪問(wèn)，并控制向不同用戶發(fā)布的權(quán)限。

開(kāi)發(fā)網(wǎng)段的客戶端可以直接連接Webinterface和EastedThinApp服務(wù)器。其他網(wǎng)段的用

戶，可以通過(guò)在防火墻打開(kāi)相應(yīng)的HTTP和VAP協(xié)議端口來(lái)訪問(wèn)EastedThinApp服務(wù)器。

同時(shí)外網(wǎng)遠(yuǎn)程接入所有客戶端經(jīng)過(guò)安全網(wǎng)關(guān)AccessGateway（可選）或者第三方VPN接

入。使用AccessGateway可以實(shí)現(xiàn)SSL加密，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，并且配合Easted

ThinApp的智能訪問(wèn)，可以實(shí)現(xiàn)用戶的訪問(wèn)場(chǎng)景識(shí)別，能夠更加嚴(yán)格地限制用戶對(duì)后臺(tái)資源

的訪問(wèn)。

EastedThinApp可整合現(xiàn)有的活動(dòng)目錄中的用戶賬戶來(lái)進(jìn)行用戶身份認(rèn)證。

圖中的文件服務(wù)器，提供了用戶的個(gè)人數(shù)據(jù)存儲(chǔ)功能。通過(guò)使用Windows的目錄權(quán)限

控制，及文件夾重定向功能，可以做到用戶數(shù)據(jù)的安全保存及漫游訪問(wèn)。

對(duì)于未來(lái)非開(kāi)發(fā)網(wǎng)段的應(yīng)用的部署，可以通過(guò)在相應(yīng)的網(wǎng)段部署EastedThinApp服務(wù)器

來(lái)實(shí)現(xiàn)。

3.3.3.2對(duì)應(yīng)功能需求的實(shí)現(xiàn)

集中管理

Easted的集中部署模式只將企業(yè)應(yīng)用部署在數(shù)據(jù)中心，由于客戶端和服務(wù)器位于同一局

域網(wǎng)內(nèi)，因而應(yīng)用性能和安全性得到提升，用戶可以通過(guò)任意終端和任意網(wǎng)絡(luò)進(jìn)行訪問(wèn)數(shù)據(jù)

中心，非常方便；而企業(yè)只需對(duì)局域網(wǎng)內(nèi)的數(shù)據(jù)中心進(jìn)行管理，實(shí)現(xiàn)了管理維護(hù)的簡(jiǎn)化。應(yīng)

用軟件的安裝及配置變化，均可以在服務(wù)器端集中進(jìn)行，大大簡(jiǎn)化了開(kāi)發(fā)環(huán)境的配置和部署。

應(yīng)用發(fā)布

EastedThinApp為用戶提供了基于服務(wù)器的計(jì)算模式（Server-basedComputing）,實(shí)現(xiàn)了

虛擬化應(yīng)用發(fā)布。其技術(shù)核心是VAP協(xié)議，VAP協(xié)議連接了運(yùn)行在EastedThinApp服務(wù)器