1.概述

  21世纪随着经济全球一体化程度的不断加深和信息技术的快速发 展,世界经济运行的轴心正在转向现代金融业。金融业将面临者更大的挑战和更加激烈的市场竞争。现代信息技术发展已进入数字化时代,尤其基于 Internet 技术的电子商务应用,使得整个企业运营模式正在发生着变革,金融企业数字化运营已成为抗击市场竞争迎接挑战的必然发展趋势。

  证券公司同样面临着类似的问题。近年来活跃的股市让证券业或得 了重新发展的契机,然而不管是产品的创新,还是自身规范化运营,都对IT建设和管理提出了更高的要求。各证券公司开始意识到在IT系统建设和管理中,除了 要有先进的设备和技术外,还必须有一套规范、可管理的IT服务管理流程。在证券交易运营过程中经常会遇到过因为系统故障,无法办理存取款业务,因为系统故 障,无法查询股票行情,因为系统故障,无法进行股票交易。要想解决因系统故障给客户带来诸多不便的问题,企业就必须加强IT系统的建设和管理。确保系统的 正常运转,保证证券业务的开展,促进企业的发展。然而建设和管理很重要,科学有效的管理理念更加重要。

  传统终端管理是基于操作系统平台之上的应用程序,操作系统及其 他应用程序的不稳定,使传统的终端管理工具无法从根本上解决证券办公网对网络、系统及信息安全的高需求,目前如何从根本上解决证券办公网的管理和安全问题 变得格外紧迫,证券办公网运行中出现的各种问题可能造成难以估量的损失,因此,确保其安全、稳定、高效的运行是十分重要的。

  和信虚拟终端管理系统从当前的网络整体状况及用户需求出发,结合自身的优势为证券用户提供前瞻、专业、务实的技术解决方案。

  2.证券网络需求分析

  对于证券机构在运营过程中所遇到的种种问题,我们分类进行了需求分析:

  2.1 终端用户应用

  需要有多样化的应用环境,满足不同类型客户的应用要求;

  各终端对所浏览的、定制的自选股信息可以保存,并能保证随时调用;

  高安全性的股票交易环境,零系统宕机;

  可以记录的个性化办公环境;

  与旧的交易分析系统能够完全兼容;

  良好的用户体验;

  2.1 管理和运维

  ××证券网络要达到国家保密部门及信息安全等级保护的相关要 求,同时实现在虚拟化平台上对终端的统一、集中运维,以减少分散运维的复杂性和成本,通过统一和集中化管理使网络管理简便、灵活,并大大降低运维、硬件及 软件成本。管理上,只需要维护网络中一台计算机就可实现全网络计算机的维护,同时可从根本上杜绝系统崩溃及重做系统等问题,保证用户的业务连续性。主要涉 及以下方面:

  根本、快捷的操作系统保护和恢复;

  终端的集中、统一化管理

  全方位的终端安全管理

  可实现多服务器管理及多服务器的负载均衡和数据同步

  部署简单

  可适应复杂应用及网络?

  同时因为业务应用多样性,××证券对于应用环境多样性要求有较好的兼容,既能统一管理又能灵活应用,不改变应用架构及终端应用者使用习惯,同时能充分提高设备或坐席利用率。

  3.传统终端管理技术解决上述问题的局限性

  防病毒软件

  –  防病毒软件已经经过了几十年的发展,从管理角度来看,依然还是无法解决软件自身被随意卸载、病毒库没有及时更新、无法有效遏制蠕虫病毒传播。

  内网安全管理软件

  –  内网安全管理系统无法阻止用户自行安装软件导致出现的网络滥用行为,也无法防止各种最新病毒木马的侵入。同时,对于操作系统本身出现的驱动冲突更是无能为力。

  桌面管理技术

  桌面管理系统侧重于对信息资产的管理,无法解决病毒、木马等问题,在终端应用的控制方面基于规则库进行,很难满足客户个性化的需求。

  NC、瘦客户机技术

  –  瘦客户机使用专业嵌入式处理器、小型本地闪存的基于PC工业标准设计的小型行业专用商用PC。但瘦客户机性能低下,通常采用精简版本的操作系统,和人们日 常使用的计算机大不相同,无法实现人性化的应用,只能适用于部分中小学教室、证券炒股终端这类对应用要求极低的场合。

  WSMS

  –  是微软公司用于解决终端计算机自动升级问题的软件,然而在实际使用过程中,终端计算机使用者总是由于操作不当等多种原因无法保持操作系统始终处于最新补丁状态。在计算机数量众多的单位,信息技术人员也无法及时发现。

  现有和终端管理相关的技术都只解决了终端问题的一部分,导致许多单位花费大量资金购买了各种终端管理设备进行部署。但由于各软件之间无法很好的兼容整合,终端管理问题始终是信息化建设中的最大的风险因素。

 

  方案原则及目标

 

  1.方案原则

  为保证方案的能够最终达到××证券网相关要求,在设计方案时遵循如下的设计原则:

  方案先进原则:办公网信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先;

  系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等;

  可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;

  按照GB17859-1999《计算机信息系统安全保护等级划分准则》的要求建设;

  可靠性原则。执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;

  经济性原则。虚拟终端管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则;

  易操作原则。虚拟终端管理系统的使用、维护、管理、发行等方面要易操作;

  高效原则。虚拟终端管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升;

  功能完整原则。虚拟终端管理系统的功能完整,应用安全扩展系统功能完整;

  灵活性原则。虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。

  2.方案目标

  ××证券网信息化办公环境对终端实现统一、集中的管理,并最大可能的保护其办公网络和系统资源与数据可以得到充分的信任,获得良好的管理。同时,要保持终端用户自由、灵活的使用习惯,保证良好的用户体验。

  本项目的总体目标是在不影响证券办公网信息化办公环境网络及终 端正常工作的前提下,满足国家保密部门及信息系统安全等级保护的相关要求,从虚拟安全、桌面管理等多个角度构建一套包括整体规划、设计、部署、管理、应急 处理及安全和管理策略的完整的网络和终端管理体系,实现对××证券网络的全面和有效管理。主要达到以下目标:

  实现网络及系统的简便、有效管理

  保护系统的可用性及系统服务的连续性

  保证用户灵活、个性化应用

  保护证券网信息的机密性、完整性

  防范病毒的侵害

  保持良好的用户体验

 

  虚拟终端管理系统方案设计

 

  “虚拟终端管理系统是上海天苑科技有限公司,基于云计算环境下全国首家推出的全新终端管理系统,其整合最新的虚拟安全技术,以终端系统管理为中心出发点,从虚拟防护、桌面管理、行为控 制等多个角度构建一套完整的终端系统管理体系,防御各种终端异常事件,通过技术手段全面贯彻落实各单位的终端管理策略。

  1. 虚拟终端管理系统结构及部署

  针对证券办公网对终端管理及安全提出的功能和性能要求,上海天苑科技有限公司为了有效的满足局域网环境下实现的要求,故提出以虚拟终端产品作为基础建设安全管理系统的构想,从管理运维、应用等方面为证券网提供全面解决方案。

  1.1 虚拟终端管理系统架构

和信VEMS在证券行业中的解决方案

  虚拟终端管理系统分为客户端和策略管理中心两个部分, 其中策略管理中心为服务器端;通过建立用户定制的操作系统镜像文件及提供虚拟防护、桌面管理及行为控制等的策略管理,为客户端提供多方面的系统及策略服 务。客户端通过PXE网络启动的方式通过网络加载服务及信息。

  1.2 系统功能

  1.2.1 虚拟防护:

  –  远程虚拟化管理

  –  网关控制

  –  病毒库同步

  –  防ARP欺骗

  –  恶意网站防护

  –  驱动防火墙

  –  个性化安全磁盘

  1.2.2 桌面管理:

  –  资产管理

  –  补丁管理

  –  软件群发

  1.2.3 行为控制:

  –  外设控制

  –  应用软件控制

  –  上网监控

  –  行为监控

  1.3 部署方式

 虚拟终端管理系统安装部署非常简单方便,只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,然后将所有客户机的开机启动顺序改为从网络启动即可管理,不需要逐一安装客户端代理软件。如下图:

和信VEMS在证券行业中的解决方案

  2. 虚拟终端管理系统在证券网中的应用

  2.1 集中、统一化管理

  虚拟化在终端管理方面的优势体现在可集中、统一的对终端进行管理,可完全改变传统分散的终端管理模式;终端以远程启动的方式访问统一的操作系统镜像,并可设置终端分区重启还原,这样管理员可以通过对一台终端的管理而实现对全网的管理。

  2.2 灵活、多样化的应用

  虚拟终端管理系统在管理上可灵活设置;既可以对终端实现严格的统一控制,也可以为终端分配个性化的系统及程序;同一类终端在安装、配置个性化程序的同时不会影响操作系统和其他用户的数据及应用软件;用户可以随心所欲的使用自己喜欢的软件。

  同时,虚拟终端管理系统采用了服务器磁盘镜像技术和网络磁盘映射功能,使用户的个性化数据可以保存到服务器的加密镜像文件中。用户所保存的数据就像在本地磁盘操作一样简单。

  2.3 保障系统的安全、稳固

  无论是操作系统还是应用系统的安全和稳固,在虚拟化的平台上都 会得到前所未有的提升;工作主机在启动时从虚拟磁盘进行引导,由系统服务器上直接读取操作系统镜像文件,任何问题在重启操作系统后都会恢复到正常状态。终 端机本地操作系统无安全隐患,工作主机对系统的所有操作都处于虚拟环境下,任何的误操作或者病毒感染、驱动冲突、软件不兼容等问题在重启后即可快速全部恢 复到正常状态。管理员只需要加固服务器端便可保证整个网络的安全和稳定。

  同时,终端应用程序和重要信息不保存在本地硬盘而是直接存储在服务器端,并可以创建个人加密磁盘,对重要信息进行加密保存,访问信息需认证。

  另外,虚拟终端支持“病毒库同步”、“补丁管理”、“防ARP欺骗”以及“驱动防火墙”等功能从多方面保护服务器端的安全。

  虚拟化和终端管理相结合的方式从根本上解决了系统管理和安全的问题,可极大的保证办公网业务的连续性,并提高网络管理的便捷性。

  2.4 保证应用的安全

  虚拟终端管理系统支持个性化安全磁盘,能够提供多种安全磁盘存储方式,用户可以自由的将个人资料存放在本地局域网存储服务器上。整个传输和存储过程都采用了高强度加密,确保只有用户本人才可以打开。个人磁盘的应用可大大加强信息的安全。

  另外,虚拟终端系统可严格控制内部网络间的资源共享,防止涉密信息交换。由于虚拟终端管理系统服务器端由专业工作人员维护,并且客户端在重启后会实现系统还原,所以终端用户不会受到病毒、木马的干扰,确保应用的安全。

  2.5 保障业务连续及方便网络管理

  虚拟化管理平台使终端用户在遇到各种安全事件后都能在最短的时间内恢复工作,不会再因为网络、操作系统或者是应用程序的问题而中断工作。

  系统管理员也不会把大量的时间放在重新安装操作系统、安装行业软件或者杀毒、打补丁等工作上。

  虚拟终端管理系统从虚拟化和终端管控两个方面为办公网的安全管理规划出深入、可靠的解决方案。

  2.6 多服务器管理

  在大规模的网络环境中,和信虚拟终端管理系统提供多服务器管理功能;包括可提供多服务器间的负载均衡功能,可以使网络中的所有服务器平分所承受的网络负担以增加服务器工作效率。

  同时,和信虚拟终端管理系统在多服务器的网络环境中实现了多服务器数据实时同步功能,当网络中的任何一台服务器停止工作时,其他服务器可以承接其工作继续为客户端提供相应的数据服务。

 

  专业快速的技术服务

 

  在进行了虚拟终端管理系统的 部署以后,要持续保障一个动态网络的安全性,持之以恒的安全管理和专业的外部咨询顾问是必不可少的。一个固定的长期安全合作伙伴,就像企业的常年法律顾问 和管理顾问一样,直接高效的帮助企业完成安全管理目标,降低安全及管理代价,从而使企业能更专心地运行其主要业务,获得更好的收益。

  为了较好的保障持续性的网络服务,以合理的费用保障较高的安全支持级别,我公司提供了如下基本的服务方式和支持指标。

  主要内容包括:

  日常支持

  远程应急响应:1小时内响应

  7x24小时热线支持

  无限次Email或传真支持

  定期的通告

  复查和外部监督

  每年提供服务报告汇总

  提供全方位的技术顾问与咨询

  提供不限次数的产品与技术问题咨询

  提供对技术人员的培训计划

  针对网管和技术人员的初级培训

  针对网管和技术人员的中级培训