1、FusionCloud稅務行業桌面云方案Content2稅務桌面云解決方案1行業趨勢分析3客戶成功案例我國稅務當前發展趨勢數據中心云平臺安全接入 涵蓋核心征管、渠道辦稅、外部門交換、管理決策等數據 解決“信息孤島”問題，實現與國稅、工商、公安、質監等部門的數據共享和交換 解決數據不統一、不規范、不完整的問題，提供統一公共數據接口 接入方式涵蓋互聯網接入、政務網接入、銀聯專網接入、智能設備接入等，為智能地稅提供安全保障 內網設備嚴格集中管控，未經認證不能隨意接入 通過互聯網接入的終端，必須進行身份認證，經由安全通道才能訪問對外發布的稅務系統不需要安裝臃腫的客戶端軟件以及辦公軟件 突破時空限制，隨

2、時隨地辦公 文檔保存在云端，不需要隨身攜帶 集成了知識庫，可以方便查詢政策法規、辦事流程等稅務安全挑戰場景說明 根據稅務總局的規定，地稅系統的建設必須遵守稅務信息系統安全等級定級保護指南 當前國/地稅網絡雖經采取了弱點分析、權限控制、數據加密、內外網隔離、入侵檢測、防火墻、防病毒等措施，但是風險依然很大，特別是地稅辦公訪問安全挑戰 完全按照等級保護的標準，進行安全部署和實施，杜絕安全隱患： 計算環境安全 通信網絡安全 邊界安全 安全管理計算環境安全通信網絡安全邊界安全安全管理病毒木馬非法接入系統漏洞風險控制網絡被監聽數據被破解DDOS攻擊非法訪問病毒木馬身份管理安全審計權限管理傳統PC的困境信

3、息安全業務保障傳統PC向員工發放消耗時間長終端故障需現場維護，時間長、效率低軟硬件多種多樣，桌面標準化管理困難，不堪重負傳統PC磁盤易造成個人數據丟失，影響業務運行終端的安全防護、管理運維耗費大量資源，業務中斷時間長，效果仍然不盡人意！資源固化硬件標準化配置，無法滿足用戶個性化需求硬件配置無法靈活升級硬件資源固化，空閑時無法復用，資源利用率低下數據在終端本地存儲各種端口難以管控使用者行為難以約束電腦失竊導致數據丟失和信息泄露基于云計算的桌面云技術帶來桌面轉型價值優勢本地無數據，安全可控移動辦公隨時隨地接入簡單運維一人維護1500個桌面故障快速恢復減少業務中斷時間本地存儲、計算和應用程序全部遷移

4、到云數據中心PC變成瘦客戶機手機瘦客戶機PCPad桌面轉型Content2稅務桌面云解決方案1行業趨勢分析3客戶成功案例稅務桌面云解決方案邏輯架構端到端解決方案，整合優化，確保綜合性能和用戶體驗瘦終端CT3000/CT3100CT5000CT6000虛擬機虛擬機圖形處理虛擬機云操作系統FusionSphere云平臺軟件硬件業務管理ITA虛擬資源管理VRM統一硬件管理UHM統一管理系統FusionManagerRH2288HE9000S5500T（可選）桌面管理軟件FusionAccess登錄界面WI連接控制HDC用戶信息DB用戶側數據中心側網絡側桌面云網關接入交換機防火墻AD/DHCP/DNS

5、IT基礎設施其他終端稅務桌面云典型應用場景普通OA辦公卓越體驗敏捷高效（運維管理、高效交付、資源高效使用）系統全方位可靠性安全辦公接入安全系統安全網絡安全管理安全內外網安全上網辦稅大廳多業務外設支持統一管理就近接入分支機構統一管理就近接入安全接入安全辦公場景接入安全，傳輸安全，數據安全，管理安全稅務辦公在云端辦公OA場景業務需求個性化桌面需求桌面可快速恢復，數據不可丟失高安全要求，網絡隔離方案設計獨享桌面，1:1配置虛擬桌面熱遷，保障業務連續性本地無數據，集中存儲，集中管理，實現高安全VMVM安全存儲網絡服務器華為桌面云FusionAccess終端用戶稅務內部業務平臺VM端到端邏輯隔離郵箱系統

6、公文處理檔案管理資料管理會議管理內外網上網隔離：實現流量隔離和數據隔離123流量隔離業務網訪問流量，用戶物理桌面終端只能訪問業務系統。參考互聯網訪問流量，參考用戶只能通過虛擬桌面或虛擬應用訪問互聯網，參考在防火墻設置網絡隔離PC機虛擬桌面的端口開放：8843/443/80端口，其它關閉虛擬桌面-AD端口開放：僅對應AD IP地址及需要訪問安全目錄，Kerberos認證等端口，其它關閉數據隔離通過桌面協議控制策略，確保PC機上磁盤，外設，文件上數據不能通過桌面協議傳送到虛擬機上虛擬桌面訪問互聯網數據只能保存在本地，不能通過直接傳送到物理機，需要通過桌面權限控制策略才能傳送數據回物理機稅務內外網隔

7、離：雙網口單系統的分區接入方案優點：單系統TC、成本低。不同區域桌面云可同時連接，在TC內置操作系統任務欄中進行切換，比KVM切換更方便缺點：每次連接桌面云時，需要先選擇對應區域的桌面云網關地址，略為不便辦公區桌面云辦公應用系統機密區桌面云機密信息隔離防火墻防火墻FusionSphereVM1VM2VM3FusionSphereVM1VM2VM3雙網口TC網關1網關2IP1IP2系統管理安全管理審計管理管理角色透明加解密用戶無感知USB Key支持安全刪除虛擬機剩余信息全0覆寫避免剩余信息泄露管理平臺防護終端確保接入安全 更多防護手段日志審計三員分立剩余信息擦除 用戶數據存儲合法認證安全TC安

8、全辦公OA場景-E2E安全防護設計用戶數據加密剩余信息擦除數據安全統一管理入口管理員行為監控操作日志記錄安全策略配置安全操作執行安全管理日志統一日志管理 合規審計增強接入認證域帳號指紋USB key動態口令無AD域認證安全網關國家保密局測評SSL加密傳輸支持BM17加密禁用存儲設備禁止在TC上自行安裝軟件TC合法性認證用戶與TC綁定虛擬桌面虛擬化防病毒虛擬桌面隔離第三方數字證書認證系統終端接入安全固定TC接入固定TC接入：通過在TC MAC地址/MAC地址組與域用戶/域用戶組之間建立綁定關系，實現指定域用戶/域用戶組成員從固定TC/TC組接入桌面。固定TC接入可以和WI任何一種認證方式同時使用

9、。應用場景：在信息安全要求高的場合，只允許特定用戶從固定地點的TC登錄包含敏感信息的虛擬桌面，以避免敏感信息在其它地方被查看。方式一：手工錄入方式二：批量導入桌面云管理員可以通過在ITA界面開啟TC綁定功能，并錄入TC MAC和用戶的綁定關系支持如下兩種錄入方式：登錄體驗桌面用戶綁定給該用戶的TC+桌面用戶未綁定給該用戶的TC+X被綁定到固定TC的桌面用戶，只能從被綁定的TC登錄WI，而無法使用其他TC登錄桌面。1.登錄WI時，TC會將用戶名，域名，MAC地址發送桌面云系統，檢查TC是否與此用戶綁定2.與ITA的預存綁定信息相匹配，則允許去AD鑒權，繼續登錄過程，否則不允許繼續登錄3.成功登錄

10、進入VM可信終端可信接入安全審計可信計算環境終端接入安全 USBKEY認證模式（二次登錄）USBKEY認證優勢USBKey屬于智能卡的一種，具有硬件和PIN碼雙重保護機制，用戶只有同時取得USB Key和PIN碼，才能登錄系統，安全系數非常高USBKEY移除后，自動中斷虛擬桌面連接約束TC必須為CT5000和CT6000， TC的操作系統可以為Windows或Linux 可信終端可信接入安全審計可信計算環境Color ThemeCombination of three colors, main theme: company red桌面協議安全及策略控制HDP/SSL.安全接入網關虛擬桌面數據H

11、DP輸出屏幕刷新和盤鼠標指令用戶接入控制、數據加密傳輸應用虛擬化ERP & Other DBEnterprise App Server終端/外設桌面數據中心數據集中控制：終端與信息分離，桌面和數據在后臺集中存儲和處理，傳輸到終端的僅是屏幕的刷新；外設虛擬通道可控：每個虛擬通道都支持可以單獨打開或關閉，如：打印控制、USB端口映射管理；數據流向單向控制：U盤只讀，只能單向導入虛擬機，不能從虛擬機向U盤寫入；協議傳輸加密：桌面協議傳輸默認采用AES128算法進行加密保護可信終端可信接入安全審計可信計算環境虛擬化安全隔離基礎設施隔離：管理平面、存儲平面、業務平面物理網絡隔離。虛擬化邊界隔離：通過虛擬

12、化防火墻實現數據中心的邊界隔離和訪問控制。提供ACL、Anti-DoS、IPsec VPN等功能。虛擬化資源隔離：虛擬機之間通過VLAN實現二層隔離，通過安全組實現三層隔離和訪問控制。VM IP和MAC綁定，防止ARP欺騙攻擊。Guest OS虛擬硬件虛擬機1虛擬機2計算資源統一分配模塊121112221OSAppOSAppvcpu1vcpu1vcpu2vSwitchVMVMVMVMVMVMVMVMVMVMVMVM安全組1安全組2安全組3網絡隔離：vSwitch支持VLAN隔離，層次化QoS控制訪問控制：基于安全組配置安全策略，自動應用到各成員VM。安全策略隨虛擬機動態遷移。0資源隔離：CPU

13、、內存、磁盤IO基于虛擬機進行隔離vNic安全：禁止混雜模式；MAC、IP地址禁止修改；避免欺騙攻擊提供虛擬機級別的訪問控制手段，避免病毒、威脅在不同租戶間擴散，防止威脅蔓延智能、彈性安全防護，VM漂移、擴容無需人工配置安全策略特點：層次化的安全防護價值可信終端可信接入安全審計可信計算環境虛擬化殺毒演進建議可信終端可信接入安全審計可信計算環境用戶VM無需安裝防病毒代理；支持從病毒掃描范圍、掃描時機、發現病毒后的處理方式等多維度組合來靈活設置防病毒策略；支持趨勢科技/瑞星主流防病毒廠家的對接集成；避免了傳統部署代理的防病毒方式在全盤掃描時帶來的病毒風暴和業務性能損耗；無代理虛擬化殺毒安全VM用戶

14、VM用戶VM用戶VM防病毒管理服務器共享內存接口FusionSphere主機1安全VM用戶VM用戶VM用戶VM共享內存接口FusionSphere主機2防病毒應用部署策略集中配置發起掃描定時掃描在一個非工作時間段內隨機啟動，避免殺毒風暴。掃描結果緩存：使用共享的Insight Cache優化掃描，避免不同的VM掃描相同的文件。提升掃描效率、降低對用戶VM的資源占用，提升用戶體驗。支持的產品：Symantec SEP12.01及以上。其它產品如瑞星可參照策略，360殺毒不能做到模板中。有代理桌面殺毒管理分權分域和三員分立分權分域：支持設備和業務 “分權分域管理模式”，使得管理員不能越權管理；管理

15、支持集群和跨集群授權，粒度可具體到虛擬機。三員分立: 1.系統安裝時，生成系統管理員、安全管理員、安全審計員；2.系統中的不同用戶相互監督、相互制約，每個管理員各司其職；舉例：系統管理員創建管理員賬號，此時賬號處于非激活狀態，需由安全管理員授與相應的操作權限，并審批后才能生效。安全管理員安全審計員系統管理員日志審計安全管理用戶管理權限管理安全策略管理.系統管理虛擬機管理存儲管理網絡管理.超級管理員可信終端可信接入安全審計可信計算環境稅務桌面云解決方案相關安全認證國家信息安全測評中心云計算安全測評報告公安部銷售許可證公安三所安全檢測報告華為云計算軟件著作證書華為桌面云是國內唯一一家獲得JFJ安全

16、測評中心B級認證資格的云計算產品JFJ測評中心安全認證普通OA辦公場景卓越體驗，敏捷高效，系統可靠從終端到云端的用戶辦公體驗感受保障顯示聲音&視頻高清制圖友好界面 虛擬化性能業界最佳 虛擬桌面的密度和規模 辦公體驗保障 安全和效率保障高性能虛擬化平臺桌面控制協議關鍵技術HDPMedia高保真Music壓縮算法：人聲優化：低延時：高采樣率：關鍵技術 GPU硬件虛擬化32路云圖形工作站/顯卡百兆碼率高清視頻，圖像智能識別技術HDP協議硬件加速壓縮圖像至毫秒級關鍵技術HDPMedia視頻場景智能識別：幀率動態調整：視頻數據動態自適應多媒體重定向：Flash重定向：關鍵技術HDPDisplay非自然圖

17、像采用無損壓縮：重復圖像數據不傳輸：支持多種圖像壓縮算法：系統可靠敏捷高效卓越體驗自動化運維管理工具資源高效利用簡易安裝統一運維高效辦公，高效運維，高效資源利用物理、虛擬資源統一管理桌面云業務及統一故障管理簡化安裝包，優化安裝流程一體機形態支持預安裝 及快速交付軟件/外設兼容性測試工具健康檢查及日志收集工具連接檢修工具用戶體驗優化工具一鍵式恢復工具性能收集和分析工具用戶自助維護工具決策者.成本管理員.高效用戶.體驗管理員.高效資源復用存儲精簡配置移動辦公虛擬桌面企業總部異地出差在家辦公系統可靠敏捷高效卓越體驗管理平臺內容終端虛機業務可靠性虛機管理可靠性平臺可靠性客戶端連接保障全方位可靠性保障網

18、絡網絡閃斷自動重連網絡狀態自動偵測關鍵部件HA資源預留應對物理故障虛擬機快照應對VM故障分支站點本地接入應對網絡中斷桌面協議端口協商自動切換應對應用軟件沖突桌面代理軟件防誤刪桌面代理軟件防誤殺VM藍屏自動重啟管理節點內存，CPU，硬盤狀態自動監控業務層狀態監測故障自動恢復 & 故障自動隔離分布式數據一致性檢查業務容災時鐘自動同步系統可靠敏捷高效卓越體驗辦稅大廳場景統一管控，業務連續性稅務辦公在云端辦稅大廳場景公眾自助服務區柜臺服務區服務等候區TV業務運行高效穩定、可靠故障可快速恢復支持自助服務支持多種外設 -簡單易用 -安全防護單一業務服務視頻播放流暢遠端可控有限交互多媒體更好的稅務大廳外設兼

19、容性桌面接入網關FusionSphereVM1VM2VM3虛擬桌面接入網絡鍵盤、鼠標打印機PCServer二代身份證識別使用場景技術方案稅務卡發卡/讀卡器（又稱稅控盤）；USBKey/安全U盤驅動程序安裝在虛擬機：客戶端“不認識”設備，只是轉發端口數據。客戶端只是簡單地將端口數據完整地映射到虛擬機中，由虛擬機的驅動程序去識別具體的設備。（藍色實線）二代身份證讀卡器網絡訪問遠端外設：桌面終端不接設備，通過瀏覽器將數據加載到桌面；完全不依賴于桌面協議，數據流不需要經過桌面接入網關。（紅色實線）鍵盤、鼠標、打印機驅動程序安裝在客戶端：客戶端“認識”設備，并直接控制設備；可以在桌面管理系統中對設備進行

20、高級控制，比如：打印機映射可以設置打印質量、圖形壓縮級別、紙張、顏色、單雙面。（黃色虛線）稅務卡發卡/讀卡器（又稱稅控盤）USBKey安全U盤桌面云TC本地解碼虛擬機解碼接入網絡豐富的多媒體播放支持方案管理系統會自動選擇最佳解碼模式模式一：虛擬機側解碼視頻在虛擬側解碼后，視頻畫面作為桌面的一部分，一起投射到客戶端最高支持1080P視頻播放器窗口越大、帶寬要求越高，適合原始尺寸窗口模式播放模式二：TC側本地解碼啟用重定向技術，視頻重定向到本地硬解碼帶寬要求與播放窗口尺寸無關，可全屏流暢播放最高支持1080P視頻支持DXVA重定向, 可以支持更多文件類型和視頻格式關鍵技術內存去重壓縮和復用技術，桌

21、面VM的系統盤放到內存中，重啟還原初始狀態全內存VDI存儲。突破內存介質專用的實時在線重刪技術、在線壓縮技術；提供高速IO能力和高速克隆能力，提供超過300 IOPS每桌面VM磁盤讀寫操作，轉化為內存操作，批量創建分發等管理效率大幅提升辦稅大廳服務自助區場景：全內存桌面方案NAS或SANVMHypervisor存儲資源系統母盤(共用只讀)差分盤用戶盤VM用戶盤VM計算資源系統母盤(壓縮去重)差分盤差分盤內存資源客戶價值提高批操作效率，提供系統還原能力，提升管理體驗提升部署等工程效率。降低磁盤采購成本消除虛擬機對存儲的IO性能瓶頸，提升用戶使用體方案限制僅適用于不需要用戶數據備份、不保存用戶數據

22、，且有自動還原的安全需求，如政務大廳用戶自助場景等辦稅大廳場景-業務容災方案GSLB (global server load balancing)業務冗余容災方案在容災站點構建一套與生產中心相當的災備中心 (可負荷分擔)針對關鍵業務用戶，在兩個數據中心內分別為其分配桌面資源TC主動探測業務容災方案沒部署GSLB情況下，由TC上軟件進行生產和災備中心的健康檢查災難發生時，客戶端軟件自動切換到災備站點客戶價值保障災難發生后的業務繼續運行減少整個站點故障時業務中斷時間和用戶數據丟失量FusionSphereVM1VM2VMFusionSphereVM1VM2VM生產局容災局全局負載均衡器全局負載均衡

23、器瘦客戶端接入網絡主AD備ADFusionSphereVM1VM2VMFusionSphereVM1VM2VM生產局容災局瘦客戶端接入網絡主AD備AD容災Agent方案限制僅適用于不需要用戶數據備份、只需要業務容災的場景，如政務大廳、熱線等如果需要對虛擬機的數據盤數據進行備份，需要再增加NAS設備，通過NAS設備的遠程復制功能，實現虛擬機數據盤數據備份稅務分支機構場景安全接入，自動化統一管理，業務連續性政府工作在云端：分支機構場景稅務專網區縣局辦稅大廳20-40終端自動化管理Internet3G網絡桌面云終端側行政管理人員辦稅大廳服務人員移動行政辦公人員安全增強業務數據桌面虛擬機市國稅局數據中

24、心車購稅辦理點3-5窗口分局辦稅大廳10終端左右安全增強100M30M政府辦公分支機構桌面云解決方案FusionCloud桌面云中心站點市分支站點縣/局分支站點基層分支站點業務系統本地資源本地資源本地資源廣域網分支站點支持多達255個人數50msCompactVDI人數50ms桌面云一體機(VX)人數500時延50ms桌面云 (VR/標準)業務需求市縣各級政府大廳資源分散，業務能力不一致分建多機房，運維管理消耗大，資源得不到充分利用基層辦公網絡情況比較差方案設計總部集中大平臺，資源集中，削減帶寬成本；根據規模及網絡狀況采取遠程接入或資源下放到分支，保證體驗和業務連續性；統一快速部署，統一運維管

25、理；如果有專線時延50ms有足夠帶寬建議在市級部署中心站點桌面云采用SSLVPN加密技術，在方便接入同時，保證傳輸數據的安全可靠。政府遠程接入挑戰及解決方案縣縣縣 數據中心縣 分支機構出差辦公邊遠村鎮政務外網事業單位互聯網分支機構縣縣縣 數據中心縣 分支機構出差辦公邊遠村鎮政務外網桌面云事業單位互聯網分支機構華為遠程接入安全解決方案政府遠程接入挑戰邊遠村鎮、事業單位鋪設專線成本高，周期長，但通過互聯網接入安全性低，存在數據泄漏風險；出差辦公人員通過互聯網接入政務網絡辦公，數據被竊聽篡改風險；解決之道SSL VPNIPSEC VPNSVNContent2稅務桌面云解決方案1行業趨勢分析3客戶成功

26、案例提高管理維護效率，降低PC故障率及辦公中斷時間改造辦公環境，每個用戶僅使用一臺終端設備同時滿足內網及外網辦公需求不影響用戶原有使用習慣，兼容國稅原有應用系統及外設業務挑戰部署總共500用戶桌面云系統， 其中內網300用戶，外圍200用戶采用刀片服務器E6000和S5800T IPSAN存儲，部署兩套物理隔離的桌面云系統每個員工只有一套顯示器、云終端和鍵盤鼠標，云終端通過KVM切換器進行內外網切換解決方案保護核心數據的安全，無需復雜的IT系統即可實現嚴格的安全管控，滿足國家的合規性要求客戶端零管理，病毒、誤操作都不會對系統產生太大影響，有效減少由于用戶桌面故障導致的業務中斷工作環境更加整潔舒適，噪音小，同時啟動速度更快，享受更強大的桌面性能客戶收益濟南國稅通過桌面云暢享安全高效的云端辦公“華為技術方案完整，冗余度高，可靠性強；產品過硬，統一度高；施工周密，交付服務專業規范。桌面云經多次測試及上線使用，目前已經達到預期設計目標，在提高行政辦公效率，減輕運維難度，提升信息安全水平，節能減排等方面綜合效益顯著。”- 濟南市國稅局華為云成就江西省委高效政務信息化通過FusionSphere搭建虛擬化資源池，將客戶新建業務系統全部部署到云平臺之上，并預留擴容空間；基于虛擬化部署FusionAccess