场景1:核心业务系统终端虚拟化

基金销售和产品的推广是基金行业的核心业务,同时基金行业的业务系统是建立在信息化、电子化的IT基础架构之上的,因此对IT的响应能力提出了越来越高的要求。基金行业IT架构具有很大的相似性,核心业务系统主要由前置系统、清算系统、簿记系统构成,同时结合经营管理与风险控制系统和渠道接入及服务系统、外部市场构成整个IT业务系统模型。在优化后台业务系统的同时,如何简化终端接入核心业务系统,是提高IT效率和辅助业务访问的关键之一。

大部分基金公司的业务终端都已经改造成了基于Windows平台的图形化操作。通过基于C/S(客户端/服务器)模型来访问后台的业务系统。在日常工作过程中,基金产品的更新和新增、外部市场接入的变化等因素,时常要求终端的客户端软件进行更新、升级等操作,这带来不少的运维管理的工作量。因而近几年来,越来越多的基金公司尝试将C/S的工作模式向B/S(浏览器/服务器)的模型转变,以改善业务系统升级而带来的运维管理压力。在用户向B/S转变时,又面临了一些新的问题包括浏览器版本兼容性问题、插件安装和更新问题。另外,无论是C/S还是B/S,随着应用程序功能的日趋复杂,也对终端计算资源要求更多,这要求终端设备频繁更新,造成终端成本不断上升。

基于B/SC/S模式下的终端访问核心业务方式,随着用户终端数目的增长和部署方式的扩散,给业务集中访问带来挑战,无法满足企业的快速扩张要求。对于业务部门而言,需要一套快速、高效、安全的IT支撑体系,以满足日益增长的业务需求;对于IT部门而言,要求降低运维管理工作量、提高数据安全、满足用户各种需求;对于管理层的目标,要求能降低总体拥有成本、提高ROI、建立一套行而有效的IT支撑体系。因此,如何将终端业务处理平台进行集中化整合,形成一种基于云服务的交付系统,是实现IT即服务的关键。

思杰解决方案的应用:XenDesktop FlexCast

通过使用思杰XenDesktop桌面虚拟化解决方案,在数据中心建造一套基于服务的桌面和应用交付平台,改造传统的基金B/SC/S应用方式以云服务的方式将会,实现企业的WasS(Windows as a Service)的交付。基于思杰虚拟化的方案,不需要对现有的IT架构进行大规模改造,只需要在数据中心增加一个虚拟化平台层,如下图所示:思杰基金行业方案指南_第1张图片

方案的价值和收益:

·简化业务终端接入要求,更好服务业务部门。用户可以使用任何设备接入和访问业务平台。

·业务连续性保证,所有应用或桌面运行在数据中心,用户不再和某台设备绑定。

·数据安全级别提升,用户访问和产生的数据全部位于数据中心,实现数据不落地。同时,管理员可以轻松的控制各种外设和网络访问。

·云服务方式,更有效的为业务拓展提供服务。基于XenDesktopWasS方式,扩展性更强。

·实现IT标准化,同时简化管理,提高终端使用寿命,从而使用降低总体拥有成本和提升带来更好的投资回报。

场景2:打造基于云服务新型分支机构

对于基金行业来说,业务的快速响应能力是核心竞争力之一,但传统的IT架构不具备这样的快速响应能力,例如,如果决策层决定马上在某个城市或地区开一个分支机构,涉及到IT系统的扩展需要考虑硬件配置、网络架设、终端机应用安装调试,以及培训试运行等等直至开业,IT的部署和实施周期在整个分支扩展过程中占了很大的比重和不可小视的成本,其响应速度直接决定了业务扩展速度和服务质量。

整个IT支撑响应滞后的原因,是由于业务系统必须以软件的形式安装在业务终端上,这导致了业务用户不得不安装和维护个人电脑和操作系统,安装、维护、升级各种软件,不断地在个人端防病毒防信息泄露,并使得个人业务工作环境和个人电脑绑定在一起,丧失了灵活性。同时,分支机构都是通过专线的方式来连接基金公司的数据中心的业务系统,因此对网络依赖程度很高。

思杰解决方案:XenDesktop + CloudBridge

XenDesktop为基金公司建造统一的桌面云服务,将使用的终端的Windows操作系统和应用程序以及个人数据集中存储在数据中心。对现有和新建的分支,不需要构建复杂的IT环境和专门的服务器,只需要连接网络就可以使用到自己的工作环境和访问各种业务系统。结合CloudBridge,可以将分支机构网络和基金公司总部的网络连接成一个网路,同时CloudBridge网络加速功能能大大降低和优化网络带宽的消耗。

典型的部署架构可以参考:

思杰基金行业方案指南_第2张图片

方案价值和收益:

·实现分支机构客户端零管理。所有分支机构的客户端桌面和应用集中在数据中心,所有的运维管理都在数据中心进行,结合终端瘦客户机的应用,可以真正做到终端管理零维护。

·数据安全,实现分支机构数据集中存储在数据中心,保证数据不落地。

·降低网络带宽和消耗。思杰高效的桌面交互协议HDX,实现低带宽占用、各种外设的使用、高清用户体验。

·优化基金公司数据中心和分支机构网络间连接的性能和带宽,使紧密结合的各层(如应用层和数据层)可以隔离开来,更轻松地使用数据中心的虚拟桌面。

·对基金公司数据中心和分支机构之间的连接进行加密,确保所传输数据的安全性。

场景3:安全运维管控平台

随着国内的IT外包服务的日益成熟,大部分基本公司将某些IT服务进行外包。比较典型的是把IT日常运维、域控制运维、邮件服务器管理、网络架构与管理等IT服务进行外包。但是基于传统的外包模式下,受信任、外包人员的素质、技术水平等因素影响,导致外包安全事件频现。因此,需要一种全新的外包模型来打造一套安全、可审计、信任的运维管理平台。要求功能能够满足:

·提供集中安全运维管控平台,将所有运维工具部署在运维管控平台内,所有运维人员只能通过集中运维管控平台进行维护和管理。

·运维管控平台操作审计要求。运维管控平台需要对所有级别的管理员和外包人员的使用的管理工具进行操作审计。

·运维管控平台单点登陆功能。实现运维管控平台的自动化要求,需要对运维管控平台实现单点登陆功能,即运维人员登陆桌面云运维平台后使用基于B/SC/SHost的管理工具需要密码时,由运维管控平台的单点登陆工具自动填写和管理密码的更新。实现运维平台自动化和减轻运维人员的工作量。

·运维管控平台的监控和报告。集中管控平台需要提供完整的报告,包括外包登陆、使用的设备、登陆时间、使用时间、使用的连接设备的汇报报表,作为统计外包人员工作量的一个参考。

·网络隔离要求。外包人员无法直接接入到基金公司的业务系统,只能通过IT外包运维管理平台进行,实现外包人员接入网络和基金公司业务网络隔离。

思杰解决方案:XenApp

基于XenApp将所有的运维管理工具集中发布,按需的方式为外包人员提供运维管理平台。使用XenApp组件Smart Auditor对运维人员所有的操作进行操作审计,同时利用Edge Sight对人员进行工作的评估,并形成完善的报表。XenApp实现安全运维管理平台典型的部署架构图参考:思杰基金行业方案指南_第3张图片

方案收益和价值:

·统一的运费管理平台。建立统一的运维管理平台,将所有的运维管理工具部署在平台中,通过策略将工具发布给指定的人、部门运维管理工具按需给付运维管理工具统一更新。

·安全可靠。实现运维网络和业务网的逻辑隔离,保证业务系统的数据安全。防止数据外泄,避免把运维计算机的病毒传入到交易网络。有效的防止由于来自内部的***交易网络。另外提供安全的集中审计,所有的操作对话进记录、归档,同时方便回放。

·灵活高效。运维管理工具单点登录,实现密码管理和自动输入。运维管理报表,通过报表反馈IT外包人员登录和使用运维管理工具的平台的情况汇报。提供紧急运维管理通道,方便用户通过外部网络实施紧急事件处理。

场景4:内外网隔离与安全因特网访问

出于访问安全和数据保护的考虑,在机构内部的网络规划中,通常采用网络隔离的方案实现不同业务需求的网络访问,针对生产网、办公网、互联网的访问都有着严格的限制。

然而因为业务的需求,有时难以完全杜绝对某些系统的跨网段数据获取。而传统的数据安全保护主要注重数据使用额范围和获取的手段,一方面,严格限制数据使用的范围和获取手段,一方面,严格限制数据使用的范围,如严格禁止非生产网对生产数据的访问,严格限制外网对内网办公环境的访问。另一方面,对某些场景下跨越数据范围边界的查询访问等操作,需要特别的流程或者特别的处理后,才能进行访问,甚至需要通过手工转交的方式完成。然而,对于种种数据获取的方式,都存在着一定的安全风险,难以做到标准化和监督审计。

思杰解决方案:XenApp + SmartAuditor + HDX

Citrix桌面虚拟化技术可以帮助基金公司实现不同网络的隔离方案,通过Citrix桌面发布平台的部署,对数据的访问仅局限在后台服务器和平台上部署的访问客户端之间,访问用户端仅通过Citrix Receiver客户端获得数据展示画面的更新和操作,由于存储协议通过不同的网络访问端口进行存储,通过网络的策略可以方便的实现网络逻辑隔离,提供安全的访问环境。思杰基金行业方案指南_第4张图片

方案收益和价值:

l对于数据的拷贝、下载、打印等操作,可以通过平台丰富的用户策略,针对不同角色的需求进行设置。

l可通过后台的SmartAuditor审计平台实现操作行为的审计、录屏,便于监督。

l通过统一的受限用户环境,满足对敏感数据授权查询操作,并可根据权限限制用户的直接复制或下载;通过经过一定处理加工脱敏之后,允许数据的授权获取和访问。

场景5:基于云服务的移动办公

随着消费类电子产品的不断涌现,特别是智能电话、平板电脑的普及,越来越多办公用户需要在移动的环境中首发邮件、完成审批、处理日常的办公业务。由于受到数据安全性的限制以及网络环境质量的局限,传统的移动办公访问面临着一系列的挑战。

首先,办公业务数据和文档不可避免地会暂存在终端用户设备上,这些信息的分散存储,一方面给网络的传输带来较大的压力,另一方面也必然会给信息安全带来威胁。此外新型设备及其原生应用大量的进终端业务人员,极大的改变着运营和管理模式。

思杰解决方案:XenApp + XenMobile + NetScaler思杰基金行业方案指南_第5张图片

方案收益和价值:

l统一的平台交付传统的Windows 应用和新型的原生iOSAnroid应用,只要在后台服务器安装一次,然后经过管理员的权限定义,就可以被用户通过任意终端设备和任意网络所使用,而所有的数据和维护管理工作全部在数据中心。

l不仅为企业带来了很大的资源节省和降低成本,同时使得企业的IT响应能力大大提高,移动办公不再需要额外开发,而真正成为了企业IT架构的自然延伸,实现了用户随时随地地安全访问企业内部信息。

l安全的管控企业配发的移动设备,对于设备使用情况一目了然,不用担心设备遗失,

l对于用户自带设备(BYOD),充分管理机保护公司业务数据不泄露的同时,也确保用户个人数据的私密性,

部署Citrix 云交付网络产品NetScaler建立Interent用户访问的安全通道,建立基于应用的micro-ssl ***安全通道,可以实现更高级别的安全防护。

 

场景6:关键业务系统负载均衡

随着基金的业务信息对IT的依靠程度不断增高,因此在建设数据中心的时候,需要考虑各种方面的要求。包括:

·容灾数据中心建设:现在大量的信息是通过证券公司网站来发布,其访问量不断增大,对网站的接入、负载、安全、加速等优化提出了新的挑战,用户对网站使用体验要求越来越高。

·网页交易平台系统:符合部分用户的使用需要 ,越来越受到欢迎,同样给网页交易平台系统带来接入、负载、安全、加速等优化要求。

·证券营业部交易系统上收集中管理,即远程站点接入。由于证券公司需要花大量的时间和人力物力维护管理众多分散营业部的交易服务器,安全性和效率很难有效提高,集中化管理要求越来越迫切。

·全局域名解析及多数据中心(站点)容错。证券行业现在都是采用IP地址列表手工选择站点,易造成站点压力不均匀,系统升级工作量大和繁琐,利用域名解析实现基于域名访问,智能分配资源,对提高和方便用户接入效率,及多数据中心容错极为必要。

解决方案:NetScaler

NetScaler是全球技术最领先的基于网络5~7层交付平台,基于不同的算法有效的来实现负载均衡,同时可以利用优化功能提高交易网站和外部网站的整体性能,基于SSL加速、动态缓存等技术实现应用加速。另外可以利用SSL ×××来远程管理内部服务器,使用DDOS防范功能确保基金公司网站的安全。