场景1:图纸安全控制解决方案

挑战与需求:

中国车企产品仍以模仿为主,缺乏自主创新的能力,特别是没有完全掌握核心零部件的技术,关键汽车零部件技术研发依赖(外国/外聘)专家进行共同研制。但是,在复杂的研发协作环境下,无法保护知识产权和研发成果不泄密。

思杰解决方案:XenServer+XenApp+XenDesktop

方法1 XenServer+XenDesktop将主机的多块物理GPU按照一比一的比例分配给此主机上运行的虚拟桌面,并且通过CitrixXenDesktop的HDX3DPro技术让此虚拟桌面里面的应用程序直接调用GPU板卡处理能力,实现三维运算工作站集中管理和维护,并保证研发图纸和相关文档全部管控在数据中心.

思杰汽车行业常用解决方案_第1张图片

方法2:GPU被通过Pass-through技术透传给Windows2008ServerR2上运行的XenApp使用,这样就可以利用XenApp的多租户机制,一块GPU提供给多人使用,使用效率大大提高。

思杰汽车行业常用解决方案_第2张图片

注:方法2适用于轻量级的3D应用, 对于重负载的3D应用,请参考方法1

方法3:CitrixXenDesktop桌面虚拟化FlexCast中还提供Provisioning无盘的解决方案,将用户本地硬盘的操作系统、应用程序和用户文件整体打包,制作成镜像文件保存到后台存储中,拔除本地硬盘。在系统BIOS中改成使用网卡启动,利用PXE功能和后台ProvisioningServer取得联系,再将镜像文件通过Streaming技术加载到前端的PC中,所有的执行都发生在本地的CPU、内存,并调用本地的图形加速卡设备。其实意图如下:思杰汽车行业常用解决方案_第3张图片

这种方案在保证数据安全的前提下需要的投资最小,性能和传统的PC最接近,基本没有损耗。

但是由于在Streaming过程中,大量数据会在网络中传输,该方案对网络要求较高。同时如果客户端硬件配置不标准会带来很大的管理工作量。

方案价值和收益:

·同过使用本方案,当需要外部专家合作开发关键技术时,该专家可以通过广域网接入后台数据中心的图形工作站完成联合设计,这些解决方案将保证全部的图纸及文档严格管理存储在数据中心后台,从而保护知识产权和研发成果不泄密。

·方便灵活的搭建汽车研发环境,使快速的开展汽车研发工作成为可能。

·研发过程中,降低需要外聘专家时的差旅费和沟通成本。

·对运行在数据中心的虚拟图形工作站可以统一管理维护,降低管理成本。

·方法1在池模式下的虚拟图形工作站可以复用,节省购置成本。

场景2:物理工作站远程访问解决方案

挑战与需求:

中国车企的研发与制造一般都会分布在多个城市中,城市之间采用专网进行连接。由于大型设计图纸一般为协同作业完成,远程访问图纸文档时需要从总部数据中心下载数据到本地,图纸文档比较大一般为500M-2G以上,下载需要大量的等待时间。另外中国车企设计人员较多,使用者分散,设计图纸的安全性成为重点关注的问题。设计人员需要经常出差时,也希望能够通过网络远程访问设计研发系统,提高办公效率。

思杰解决方案:XenDesktop+Netscaler

原有的图形工作站保留使用,在数据中心搭建Xendesktop的桌面交付平台,原有工作站安装VDA客户端后,通过桌面交付平台进行集中发布。如果有互联网访问可结合Netscaler安全网关提供互联网接入,就能在各个地方都能通过不同移动设备进行访问。

思杰汽车行业常用解决方案_第4张图片

方案价值和收益:

图纸数据可全部集中存放在总部,提高专业图形设计软件的数据安全性。

图纸数据不需要通过广域网下载到远程分部,减少下载数据量在广域网的传输,减少远程用户下载数据时的等待时间。

提高图形工作站的使用率,图形工作站以池模式方式发布分享使用,图形工作站不指定单一用户分配。

提高员工工作效率,图形设计者工作可以不局限与在某一个地方。

场景3:办公环境的快速交付与灵活管理

挑战与需求:

随着汽车企业的发展和壮大,分支机构和协作单位越来越多, 汽车企业的员工办公场出现了不固定化,办公终端出现了多样化。为了提高员工的工作效率, 移动信息化也是IT发展的必经之路,其中,最为迫切的莫过于移动办公。车企高管和销售公司销售人员出差频率较高,或者经常在多个工作场所之间切换,如果当这些用户不在办公电脑旁边的时候,也能通过移动设备方便地访问公务,如审批察看OA公文、SAP报销系统,访问内部公告、收发邮件等,必然能提高车企的运营效率,也能促进其他员工的日常工作。

传统的移动办公手段,需要为原本基于Windows平台的各种办公软件开发基于移动平台(iOS、安卓、WindowsPhone)的对应版本,需要一定的开发成本及周期;而当用户移动设备的操作系统更新,办公软件的移动版本也可能要随之更新,带来一定的开发及维护工作量;另外,业务数据是否会在移动设备上存放,如何存放,是否需要加密,也对这种解决方案的安全性提出了要求。因此传统的移动办公方案普遍存在成本高、周期长、安全性存疑、维护困难、无法快速大规模部署的弱点。

另一方面,中国车企经过几十年的发展,积累了许多老的应用已经不适合在新的IT平台上运行,存在操作系统或应用兼容性问题。不重新开发将阻碍IT新技术新平台的采用。重新开发需要较高二次开发费用,且二次开发需要消耗时间和企业资源。

思杰解决方案:XenApp+Netscaler

思杰的应用虚拟化技术为移动办公提出了一种全新的解决思路。我们只需在数据中心搭建基于XenApp的应用交付平台,将外出的用户需要在移动环境下访问的各种基于Windows平台的办公软件客户端通过应用交付平台进行集中发布,再结合Netscaler安全网关提供互联网接入,就能将车企中常用办公系统快速地扩展到各种移动平台访问。

思杰汽车行业常用解决方案_第5张图片

方案价值和收益:

相比传统移动办公方案,思杰解决方案的优势体现在:

·对于目前业务系统的架构没有改变,只是在业务系统后台服务器的同一个局域网内,放置一组虚拟应用服务器集群,部署业务系统客户端软件,供移动用户访问,而固定办公用户仍直接使用传统方式访问服务器,因此原办公模式不受影响。

·部署成本低。无需二次开发,直接将基于Windows平台的办公软件通过交付平台快速发布,成本低、周期短,无需由于移动操作系统的更新而升级办公软件。

·与设备平台无关。所有主流的移动平台(iOSAndroidWindowsPhoneWindows8BlackBerrySymbian)都能安装免费的思杰客户端软件(Receiver),从而访问虚拟应用,因此用户的设备选择更灵活,覆盖面更广。

·安全性高。移动设备和虚拟应用服务器之间传递的并非实际的业务数据,而是终端的控制指令和屏幕的变化指令。思杰解决方案的数据不落地特性从根本上提高了移动办公的安全性。

·用户体验良好。思杰的传输协议可良好地适应各种网络条件,在移动设备和虚拟应用服务器之间只需20Kbps左右的带宽。即使在3G网络中仍可保证移动办公的响应速度;

·如果在外网接入时,节省网络流量,节省交给运营商的流量使用费。 

·另外由于是直接发布Windows程序,用户使用习惯相同,无需为用户重复培训

·工作的连续性。如果用户使用多个移动设备访问相同的办公软件,办公的状态能在不同的设备之间无缝切换,保证用户办公的连续性

场景44S店快速扩张和DMS部署解决方案

挑战与需求:

目前,很多汽车制造企业正致力于跨区域发展销售渠道,因此,汽车企业的IT部门需要支持快速扩张构建标准化4S店IT平台的能力。同时,随着4S网点的快速扩张,及各项业务的开展,业务需求对IT应用和IT基础构架的要求也越来越高。不但要求IT系统的各应用能够快速满足各种新业务的要求,对于各应用的使用体验,网络安全、管理等基础构架也提出了更高的要求。而且,由于企业的快速扩张,IT部门的人手也严重不足,进一步加剧了矛盾

为了应对这些挑战,企业的IT构架需要解决以下几个关键的问题:

支持4S快速扩张的基础构架因为短期内分支机构的快速扩张,需要有一套IT构架,能够适应这样速度的扩张。能够在最短时间内,快速建立新的分支机构的IT环境的部署。同时系统要能够有良好的可扩展性来支持日益增长的系统容量。

解决终端和应用的管理和安全问题由于存在大量的分支机构,终端网点的客户端的安全和管理问题的矛盾也越来越突出。由于网点终端分散于各个网点,加上网点的IT管理力量薄弱,对于这些终端的维护和管理的挑战性十分大。采用传统的PC+本地安装客户端模式,初始安装和配置需要大量的工作量。日后的应用升级、维护,往往需要IT管理人员访问现场,其速度和成本也非常高。同时,如何保证这些分散的客户端的安全也是需要重点考虑的问题。在生产网络中,任何一台受到病毒或***感染的客户端,都可能直接影响到整个网点,乃至整个生产网络的正常生产。同时,如何保护重要应用中的敏感信息的保密,也是需要着重考虑的问题。

4S店访问应用的速度问题对于分支机构,不但存在终端和应用的管理问题,应用的访问速度也是用户十分关注的指标。由于企业的应用绝大部分采用集中的后端,及越来越多使用B/S构架,其操作响应速度往往不够理想。这就要求新的解决方案能够很好地优化分支机构的用户对各种应用的访问和响应速度。

思杰解决方案:XenApp+XenServer+ThinClient

思杰汽车行业常用解决方案_第6张图片

方案价值和收益:

1.应用客户端集中部署于位于数据中心的Citrix服务器上。终端设备上无需部署应用。由此,可以实现应用管理的集中化,大大减轻分支机构终端和应用的维护压力。

2.由于应用客户端不在终端直接部署,在终端对应用客户端进行扫描、破解、反向工程等***基本不可能。

3.由于应用客户端在数据中心,所以原始业务数据的传输也只在数据中心的范围内。数据中心的网络安全性一般能有保障。所以保证数据安全.

4.在数据中心到终端网点的网络中传输的是经过Citrix协议加密的屏幕刷新和键盘鼠标操作等信息。该数据很难被截获破解,即使被截获破解以后,其提供的信息也十分有限。能十分好的保护原始数据信息。

5.应用客户端的本地数据存储实际存于数据中心的服务器,其安全性也能得到保证。

6.由于客户端集中部署于数据中心,其与后台应用服务器之间的连接速度良好,从而,使应用的反应速度有所保证。而从Citrix服务器至用户客户端,使用的ICA协议,对于各种网络环境,特别是低带宽、高延时的网络有良好的优化。从而使远程的分支机构,访问应用的速度和用户体验大大增强。

7.通过历旧可以降低硬件重新购置成本;结合瘦客户机使用,绿色节能,使用寿命长,降低总体拥有成本(TCO

总结来说,由于传统模式客户端直接访问后台时,之间传输的数据是真实的企业应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;而用户访问XenApp服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。

因而可以说是用CitrixXenApp平台后,数据总是存放在最安全的地方。XenApp带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。由于其集中的构架,带来的安全的优势十分明显。同时,由于虚拟应用本身占用网络带宽低,在不利网络条件下,用户仍旧有良好的用户体验.

场景5:虚拟应用平台监控解决方案

挑战与需求:

跨汽车行业上下游企业/企业内不同部门/不同网络之间/的商业信息共享不容易控制尺度和边界。容易出现未授权用户非法获取敏感数据和文件。汽车企业的IT部门需要对提供的IT平台有安全审计及管控的能力,以监测企业及关联企业员工按本公司规定使用各种IT应用,无违规使用和访问操作行为。

思杰解决方案:XenApp黄金版

在数据中心的Citrix服务器上进行软件应用安装和管理,而不是在用户自己的电脑上。用户可通过网络连接集中化应用,并实时运行和操作,如同本地运行一样。集中化服务将所有应用处理过程和数据都集中在服务器上,并把数据的管理严格控制在数据中心。该解决方案是以安全为出发点设计的,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,但都是经过加密处理的。如果管理策略(PolicyManager)要求对用户的操作进行录像,用户界面、键盘敲击和鼠标操作信息被多复制一份电子拷贝,即软件录像。经过数字签名的不会被恶意破坏的完整的录像数据安全存储在独立的审计部门的文件(存储)服务器上,只有数字电子证书配对成功的控制台才可以查阅、浏览。实时监控、审计和报告功能保证了IT对整个业务过程的端到端透明度。思杰汽车行业常用解决方案_第7张图片

方案价值和收益:

强化审计使企业“合规”,快速找出用户违规行为和定位潜在风险

n将屏幕更新包括鼠标移动和击键信息进行录像,并可以针对特定的用户、应用或者服务器进行监控对敏感应用和数据的操作。

n重要系统变更管理中对管理员的操作进行屏幕录像,方便管理员作事后回溯。

加速解决问题,提高IT效率

n应用出错时可以实时重现屏幕录像,有助于快速解决定位终端用户的问题。

场景6:双网隔离安全解决方案

挑战与需求:

由于汽车企业网络安全要求的特殊性,其网络往往划分为多个相互隔离的安全分区,如管理网,生产网,开发网等。多个安全分区之间用防火墙互相隔离。但是由于不少业务应用,需要跨安全分区进行访问,这就需要在防火墙上打开相应的端口。由于应用对通信和端口的要求千变万化,而且随着应用的构架变化和版本升级,往往防火墙规则也需要做相应修改。这样不但增加了管理负担,而且也带来了一定的安全隐患。

同时,汽车企业的开发部门由于企业的业务特殊性和持续性,对开发环境和文档管理环境的安全性要求较高。而由于企业业务的飞速拓展,企业开发项目中,往往还会牵涉到很多第三方公司和外包项目。这对开发系统的安全构成了极大的挑战。需要有一套环境,能够让开发项目的员工及外包员工,能够在受控环境下,进行相关应用的开发和调试,同时能有效保护应用代码及企业数据的安全。

思杰解决方案:XenApp+NetScaler

管理网段的用户所使用的软件客户端软件安装在CitrixXenApp服务器上。当管理网段用户访问时,由XenApp做为管理网段用户的代理服务器通过特定端口访问工业生产网的后台数据,同时,XenApp管理和运行应用客户端软件的多个进程访问,并控制管理网段的用户只有查看权限,可以实时全面地查看工厂生产状况,但不能更改数据,避免误操作。如果结合使用Netscaler可以实现SSL加密,对传输的数据进行加密保护,并且配合XenApp的智能访问功能和AD的权限管理,可以实现管理网段的用户的访问场景识别,能够更加严格地限制用户对后台资源的访问。

思杰汽车行业常用解决方案_第8张图片

方案收益和价值:

1.数据安全管控:采用CITRIX技术后,可以方便地实现应用接入的安全控制。隐藏业务应用服务器及数据库主机,应用的安装、升级和维护只发生在后台服务器上,用户不能接触、修改应用配置,也不知道服务器在什么位置,但可以正常使用,可以有效保证主机的安全。所有应用系统相关的数据均集中保存在工业网的后台数据中心,管理网PC上可以不保存任何客户数据,从而在数据存储方面杜绝了信息的泄露可能。

2.多网逻辑隔离在工业网段CITRIX服务器与管理网段某个指定的VLAN间开放特定的80443(加密端口),14942598四个端口,即满足了用户跨网段的应用需求,又阻断了其他形式的未授权访问,方便管理网员工使用工业网业务系统的同时保证安全。

3.灵活快速部署:业务系统只在数据中心的Citrix服务器部署,发布给用户使用。IT技术人员只要在后台进行应用的安装、配置和测试,一经测试通过即可发布给用户使用,部署花费少,时间以小时计,无需复杂的部署安排和时间控制,不需要为每个应用安装客户端软件。