一、     办公需求

             企业研发中心是负责需求分析、新产品开发、技术管理、测试管理等核心业务的，是企业创新和新产品的源泉。但传统IT 交付下，面临以下挑战：

●     设计程序、项目资料等其它涉密材料是研发中心的重要数据，也是企业的核心数据之一。但是传统模式下，各种因素导致的数据泄密事件层出不穷。在这样的环境下，要通过技术手段来保证数据安全，有很大的难度，或者说要投入巨大的资本来购买额外的设备或整体方案。

●     由于有多种接触外部网络的途径，如移动设备、网页访问、网络磁盘、网络通信工具等，系统容易感染病毒木马，容易导致办公计算机、甚至整个网络出现各种问题。

●     员工个人的计算机维护成本高，安装和维修的时间长，耽误工作进度。员工的电脑上要安装办公用的专业软件很麻烦，耗时长。

●     员工通过笔记本电脑上使用又无法保证数据不被泄漏。

●     采购个人工作站不但采购流程繁琐，容易损坏，更新换代也越来越快，是研发中心一笔不菲的开支。

为了应对以上所说的各种问题，用户办公桌面需要达到：

l  集中化管理用户的资料数据，保证数据与外界网络外设之间的物理隔绝，终端设备上不保留任何涉密内容。

l  数据随账户绑定，可实现异地办公、或者多人交替工作。

l  定制标准桌面的系统及应用程序，根据用户的工作需求来发布的对应的桌面及应用，并可以按需初始化系统和程序配置。

l  高效率高质量地交付新的办公桌面，节省维护人员和用户自己的安装配置时间。

最终目的是降低日常的运营成本，提高IT资源的利用率，保障系统及数据的安全性和可靠性，当然最重要的是尽量少地减少新桌面环境对用户的不适影响。

二、     设计目标

充分利用企业原有的网络设备和个人电脑，尽量节省新投入的开销。因此，终端设备是不需要重新采购了。用户办公一方面需要上网查找一些数据资料，另一方面也需要在高性能的桌面上执行编程调试等操作，这些数据是不能被泄漏的。根据用户的使用需求，我们技术上采用一分为二的方式部署，将普通上网交流的行为放在传统的个人电脑上，而将涉密的文件、程序等数据操作集中在核心机房的虚拟桌面系统中。通过防火墙设备，我们将传统PC与虚拟办公桌面进行连接，用户可以在两种桌面上进行快速切换，但是不能将虚拟桌面中的文件传输到外部的传统PC上。

虚拟桌面首先从核心人员开始推进，那么原有的网络结构就要尽量减少改动，做到在部署的过程中不影响普通员工的办公使用。后期逐步扩展虚拟办公桌面的范围，最后建成完全的虚拟化桌面办公体系，并实现以下目标:

l  桌面及应用集中托管于数据中心，在数据中心进行集中的部署、维护和管理；

l  可以迅速地部署最新的操作系统和应用软件；

l  降低维护PC硬件及桌面软件的费用；

l  淘汰旧的PC设备，前端桌面使用瘦客户端，与普通PC或移动设备实现网络隔离，增强数据安全性；

l  提供近似于本地应用的最终客户体验，并且最大限度保持原有的用户使用习惯；

l  能良好兼容现有应用程序、并且对未来的可能的应用及安全构架有良好的兼容性；

l  构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更；

l  方案的可扩展性强，在业务规模增大时，可快速扩容部署，总体造价合理；

三、     解决方案和特点：

1.   计算机虚拟化架构

我们采用思杰的XenServer系统作为虚拟化服务器的底层系统架构，也思杰的用XenDesktop套件来实现终端虚拟化用户桌面和应用程序的交付及管理。

2.   功能说明

采用思杰接入基础架构的产品和服务，管理员可以设置端到端的接入策略，指定每种特定接入情境下可接入哪些内容。接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略，管理员能更轻松地控制对敏感数据的接入。

这些策略还需考虑三种不同的接入因素：

l  谁正在接入应用；

l  他们使用的是哪种类型的客户端设备，如台式机、笔记本电脑、PDA或自助查询终端；

l  以及他们所处的位置，比如在他们通常的工作地点，在其它办公室，或在路途中。

这都意味着一种更复杂的接入控制判定，包括选择性信任，比简单的Yes/No更多的控制内容。因为这些因素控制着用户如何接入应用，而不仅仅是用户是否接入应用，用户可能被全部授权、部分授权或不被授权接入应用。

而如此复杂的底层策略，每一条条目都有详细的使用说明。为了方便起见，用户也可以套用思杰默认的几种策略规则，这些是根据思杰的资深工程师多年的维护经验而总结提供的，个别规则可以根据需要再进行对比和修改。

一旦将运维管理集中化，即便有成百上千个虚拟桌面，管理员也能在短时间内手到擒来。运维人员只需要鼠标点击修改CPU、内存、存储等虚拟资源，很快就能够批量交付用户桌面，并且是远程进行部署、管理与支持，再也不用像以前那样烦琐地为用户一台一台安装系统、软件了。

3.   基本的网络拓扑

我们根据访问需求将网络划分为四个区域：传统的办公网络、新的办公网络、机房数据中心、Internet网出口。

首先保证的是传统办公网络人员访问Internet网络没有问题；

其次保证数据中心网络不能访问Internet网络，如果没有特殊需要，甚至不能让传统办公网络访问；

最后考虑新的虚拟桌面用户群，我们把他们称为新的办公网络组。他们的PC不但需要能够像传统模式那样访问Internet网络，还要能够连接到数据中心的虚拟桌面。因为数据有可能在用户访问Internet时被泄漏，所以也不能将数据中心的网络完全对核心用户开放，尤其不能允许虚拟桌面的数据传输到用户PC上，这就需要调整虚拟桌面和防火墙的策略规则。

此外，用户如果需要在异地进行远程办公的，需要在防火墙网关上配置VPN拨号服务，让用户能够在异地使用网络VPN功能，拨入到企业内部的新办公网络组。然后，远程用户就等同于坐在企业内部进行办公了。