参与奖项:最佳金融信创突破奖
评委评分:
热度 (转发微信朋友圈或群可以帮助增加热度)
麒麟信安基于在党政信创推广落地过程积累的丰富经验,并结合金融行业存在的底层核心技术自主化程度低、应用规模大、应用迁移难、兼容适配性和安全要求高等需求,提出了一套异构混合金融云解决方案。该方案以金融行业信创广泛应用的海光服务器、鲲鹏服务器等为基础硬件平台,依托于自主研发的麒麟信安云桌面系统构建混合云平台,前端采用信创一体化终端,采用虚拟化的方式为用户推送各类型操作系统,实现了服务器端的异构部署、统一管理,又满足了用户在信创终端上使用各类操作系统的使用需求。
方案完美适用于金融办公柜台柜员、呼叫中心、研发测试等多种应用场景,拥有多类型CPU在同一云平台环境中统一调配、管理的“一云多芯、异构统管”技术优势,为金融客户高效搭建国产化上云之路提供有力支撑,已在中国人民银行巴彦淖尔支行、贵州农信银行、长沙银行等多个用户单位成功部署并取得良好的应用效果。
方案背景
【产业与政策背景】
(1)产业背景:
信创产业作为新基建的重要组成部分,从根本上解决了信息技术底层基础设施的安全问题。当前党政信创建设推广已逐渐步入后期收尾阶段,随着信创产业在党政领域的成功示范和快速发展,信创产业整体上发展已经从“不可用到可用阶段”,进入到“可用到好用”阶段,从发展形态和业态来看,也从单项产品研发进入到营造生态系统的阶段。
2020年以来,为进一步构建国内信息技术产业生态体系,推进信息技术应用创新,国家陆续在金融、电信、交通、电力、石油、航空航天、教育、医院行业启动,金融行业作为大信创推广代表第一梯队。
(2)政策背景:
2019年,中国人民银行印发了《金融科技发展规划(2019-2021年)》其中重点任务提到:要统筹规划云计算在金融领域的应用,引导金融机构探索与互联网交易特征相适应、与金融信息安全要求相匹配的云计算解决方案,搭建安全可控的金融行业云服务平台,构建集中式与分布式协调发展的信息基础设施架构,力争云计算服务能力达到国际先进水平。加快云计算金融应用规范落地实施,充分发挥云计算在资源整合、弹性伸缩等方面的优势,探索利用分布式计算、分布式存储等技术实现根据业务需求自动配置资源、快速部署应用,更好地适应互联网渠道交易瞬时高并发、多频次、大流量的新型金融业务特征,提升金融服务质量。强化云计算安全技术研究与应用,加强服务外包风险管控,防范云计算环境下的金融风险,确保金融领域云服务安全可控。
【产业困境】
相比党政单位,金融机构的业务系统数量众多、规模庞大,业务系统在安全性、可靠性、业务连续性及安全风险防控等方面有着更高的要求,在信创大背景下,金融机构在考量云计算服务商提供产品和服务的可用性、连续性、安全自主性、保密性等内容的同时,还需通过云计算解决信创落地推广过程中遇到的痛点和难点,在推进信息系统云化转型的同时,符合信创建设的要求。
【场景痛点】
金融行业主要的业务场景有:安全办公、柜员柜台、设计研发、呼叫中心等,在信创终端推广过程中,这些业务场景下大多面临着如下痛点:
(1)Windows存量应用难以迁移
金融机构原有办公、业务系统基本是基于Windows系统开发,Windows存量应用难以快速迁移到国产设备上;办公人员使用信创PC后,无法通过信创PC上的国产操作系统访问存量应用,影响业务正常开展。
(2)信创PC与Windows PC共存
由于国产PC无法访问传统的Windows应用,需要两台PC(一台国产信创、一台X86)才能满足公务人员办公需求,两台PC办公不仅造成公务人员数据隔离,加大了信创项目建设的整体投入,还增加了办公空间的拥堵。
(3)管理运维复杂,运维难度大
PC桌面环境复杂,且设备数量多、型号杂,人员与设备分散,管理运维人员需要处理大量的硬件故障和软件问题,管理运维难度大;办公人员使用信创PC之后,由于对国产操作系统、应用软件操作不熟悉,需要大量的现场运维,进一步增加了运维复杂度。
(4)部分外设无法正常使用
金融行业的许多业务场景(如:柜台柜员、呼叫中心)需要使用各类型的外设,而现有基于Windows平台的大量外设缺少国产操作系统的对应驱动版本,或驱动存在问题,导致大量外设无法正常使用。
(5)数据存放在本地,安全性低
用户数据分散存储在各信创PC机的本地硬盘上,缺乏有效的数据备份,本地硬盘损坏造成的数据丢失将为用户带来不可逆的损失;PC机本地的USB口、串口、并口都可以外接存储设备进行数据拷贝,缺乏有效的管理手段进行数据的安全管控,存在数据泄密风险。
方案目标
【如何解决场景痛点】
麒麟信安异构混合金融云解决方案针对金融信创落过程中的痛点,通过在信创服务器上构建以麒麟信安云桌面系统为核心的金融云系统平台,向用户端推送所需的操作系统,满足金融各类型业务场景的需求。
(1)通过利用虚拟化技术解决应用迁移和“桌面两台电脑”痛点:
将未完成改造的业务系统客户端或者第三方业务办公软件在云端部署,并且实现云应用软件与业务系统平台对接,保障业务系统和软件在终端、操作系统上稳定运行,减少用户使用习惯的改变,保障业务平滑迁移过渡,从而减少“桌面两台电脑”的尴尬现状。
(2)通过后台统一部署解决运维管理痛点:
管理员通过web后台统一部署国产操作系统、办公套件及应用软件,支持统一系统升级及软件升级,极大简化国产终端及国产操作系统的运维工作量。
(3)通过全国产化支持能力解决安全隐患痛点:
麒麟信安金融云桌面一云多芯解决方案以自主研发的麒麟信安云桌面系统为核心,以麒麟信安操作系统和国产服务器、国产一体机或云终端为基础,具备完全的自主安全能力。
(4)提供设备重定向技术解决外设使用痛点:
将用户常用的外设包括U盘、光驱等重定向到虚拟机内,确保用户在云桌面内使用外设与在PC主机上的使用方式一致。同时,为了提高系统的安全性,麒麟信安云桌面系统支持在重定向层进行设备白名单过滤,实现未经授权的设备禁止重定向到用户桌面,从而达到对外部设备的管理功能。麒麟信安云桌面系统支持的外设包括普通U盘、保密U盘、移动光驱、打印机、扫描仪、高拍仪、电子加密狗、机要身份KEY、刷卡器等。
【项目落地目标】
麒麟信安异构混合金融云解决方案实现以下目标:
(1)终端计算机使用率提高。
终端用户可以在信创计算机使用预装的操作系统,也可以使用其他类型的操作系统,充分发挥信创计算机的性能,提高终端的使用率。
(2)用户数据更安全。
相对于原来散落分散在终端的数据,集中存储的数据更安全,并可以通过封控技术,实现对数据的合规流转起到了监管的目的。
(3)存量应用正常访问。
金融办公人员更加方便的访问当前遗留的未完成移植的存量应用,并不因为信创终端计算机导致存量的应用系统无法访问,极大的提升了系统使用的便利性。
方案特点
【相比同类产品的优势】
自主程度方面:麒麟信安异构混合金融云解决方案是麒麟信安结合在国产化领域的多年耕耘与技术积累的基础上,所研制一款完全自主的云虚拟化软件。硬件方面,服务器侧、终端侧均可以采用龙芯、飞腾、鲲鹏、海光、兆芯等国产CPU芯片服务器进行异构融合部署,且均能实现混合部署;软件方面,能够面向用户分发和推送麒麟信安、统信UOS、中科方德等自主操作系统。
跨平台混合部署:支持龙芯、飞腾、鲲鹏、海光、兆芯架构混合部署,为云计算应用同时提供服务器虚拟化、桌面虚拟化、容器等基础服务。
支持实时虚拟化:针对在部分场景下的高实时应用场景,经过对云桌面虚拟化核心组件、客户机操作系统实施优化后,虚拟机中运行的客户机操作系统支持实时应用,实现了实时任务响应周期达到微秒级。
安全防护措施强:针对云桌面虚拟机在运用中的安全防护要求,在传统安全防护手段的基础上,在虚拟化层构建虚拟机强隔离的安全机制,与安全厂商的云安全产品深度集成适配,支持无代理杀毒和无代理集中管控等。
支持基于国产化计算环境下的高清视频:基于国产CPU服务器和国产CPU云终端,采用云—端显卡穿透、视频重定向等技术,实现了在自主硬件条件下的高清视频播放能力。
【解决的痛点】
解决了金融行业Windows存量应用迁移难、数据安全风险高、日常维护工作量大、外设使用异常、资源利用率低等痛点。
【对产业的影响力】
作为金融机构上云背后的坚实力量,麒麟信安已为包括银行、保险等众多金融机构提供了数字化服务的综合解决方案。通过满足金融信创IT建设的核心诉求和持续不断的创新探索及实践,助力金融领域构筑了安全、智能、高效的云化办公空间,为金融行业云化升级提供优质范本。
方案业务流程图
【方案框架】
麒麟信安异构混合金融云解决方案以多类型服务器为基础硬件平台,基于国产麒麟信安云桌面系统构建异构的云桌面系统,通过向用户端推送多类型操作系统,满足金融日常办公、柜台柜员、设计研发测试、呼叫中心等场景下的信创办公需求。方案框架图为:
【场景设计流程】
金融日常办公、柜台柜员、设计研发测试、呼叫中心不同场景下,用户可采用两种模式使用云桌面系统。
1)在信创终端上安装云桌面系统客户端软件,通过客户端软件使用以信创服务器平台构建的云桌面系统推送的虚拟机操作系统,开展日常的办公业务。主要是访问存量的Windows应用和业务系统;可在信创终端本地上开展的业务活动和日常办公在本地直接使用。
2)将信创终端改造为云终端访问以信创服务器平台构建的云桌面系统推送的虚拟机操作系统,云桌面系统将为各场景下的用户推送多个操作系统的虚拟桌面,用于满足在不同业务要求下对操作系统诉求。单用户的多个不同操作系统间通过内置的安全网盘实现数据的共享和互通,信创终端本地不再处理任何业务,也不会存储任何数据,实现全部上云。
【功能实现】
麒麟信安异构混合金融云解决方案借助于麒麟信安云桌面系统提供的黄金镜像模板、多类型操作系统发布、虚拟资源集中管理、安全网盘、异构集群管理、虚拟网络管理、多类型终端支持、终端安全管理、外设访问控制、虚拟机快照、备份和还原等功能特性可满足金融机构在上云后对数据安全性、业务连续性等方面的建设要求。
实现功能展示
【信创终端访问云桌面】
【黄金镜像模板】
【多类型操作系统发布】
1)多类型操作系统镜像
2)单用户多类型操作系统
【异构集群管理】
【虚拟机集中管理】
【终端安全管理】
【外设访问控制】
方案案例及效果
【获得的成绩】
获得由国家工业信息安全发展研究中心颁发的“2020年信创安全优秀解决方案”证书;
入选工信部网络安全产业发展中心评选的“2020年度信息技术应用创新解决方案典型案例”名单;
获得工业和信息化部计算机与微电子发展研究中心颁发的2020年首届信创“鼎信杯”信息技术应用创新优秀解决方案证书;
获得金科创新社组织评选和颁发的“鑫智奖• 2021网络安全创新优秀解决方案”证书;
在软件融合应用与测试验证工业和信息化部组织的2021年桌面云解决方案征集活动中获得“2021桌面云最佳解决方案”奖项;
获得由关键信息基础设施技术创新联盟、信息安全等级保护关键技术国家工程实验室等联合颁发的2021网信自主创新“龙门”应用潜力类推荐方案;
在工业和信息化部、财政部等单位主办的中国军民两用技术创新应用大赛中获得“第三届中国军民两用技术创新应用大赛金奖”证书。
【经典案例】
(1)中国人民银行巴彦淖尔支行办公云改造项目
中国人民银行巴彦淖尔支行借助麒麟信安金融云解决方案对其办公网进行改造,采用麒麟信安云桌面系统+鲲鹏服务器+X86服务器+麒麟信安操作系统/windows7操作系统(双镜像)+业务系统的组合方式,通过桌面策略发布黄金镜像,实现了整个支行办公桌面的快速部署,不再需要先复制大量虚拟机再绑定用户,仅利用周末时间就完成了系统上线,节约了大量实施周期。
方案不仅可以分组对工作人员的虚拟桌面设置外设使用白名单进行权限管理,还采用了外设重定向与H.264压缩相结合的技术完美解决了高拍仪、摄像头等卡顿、丢帧等问题。原生支持传统微软AD域认证,管理人员无需做任何改动即可使云桌面融入原有业务系统,包括总行配发的身份认证、安全软件等的使用均不会改变使用方式,且不会增加培训成本。
巴彦淖尔支行办公云改造解决了办公桌面多终端、桌面杂乱的难题。工作人员可以在原有PC上优先处理内部工作,需要上网时打开云桌面客户端登录到上网虚拟桌面就可以访问互联网业务;依赖于服务器后端成熟的安防保密体系,即达到了安全性要求又解决了一端多网的需求,也充分体现了基于国产麒麟信安操作系统研发的云桌面系统在金融领域的安全适应特性。
(2)长沙银行云桌面建设项目
为满足长沙银行开发测试使用云桌面进行软件开发、测试及开发办公使用需求,需要对原有开发测试场地PC系统进行云化处理,将场地所有PC的操作系统从分散的前端转到后端运行,以便进行集中资源发放及回收管理,同时给使用者带来与场地无关的便利性,维护简单性,安全性得到提升。
项目服务端采用36台Intel x86架构和20台海光x86架构的浪潮英信服务器,通过麒麟信安云桌面系统软件将服务端资源整合,以异构集群的方式进行部署,为前端的开发、测试人员提供windows10和国产银河麒麟、UOS等操作系统。客户端采用利旧的方式进行云桌面的访问:一种是利用现有的x86 PC机,另外一种是采用用户采购的升腾C73-G2瘦客户机。用户在客户端安装麒麟云桌面客户端软件,并将客户端接入到服务端管理网络中,通过账户密码的方式访问到虚拟桌面系统。
通过麒麟信安云桌面系统构建的异构混合金融云即满足了长沙银行的外包开发人员使用的需求,又加强了银行对外包人员数据和设备的管控,降低管理运维难度,提升管理运维效率,有效保障行内的信息安全的同时,符合复杂多样的用户使用需求。
(3)贵州农信社云桌面采购项目:
贵州农信作为贵州省面向省内所有农业金融提供服务的机构,办公终端、分行及支行的柜面终端都是物理PC,运维部门的管理及运维工作量十分巨大,维护效率低下甚至影响业务办理,用户满意度差;而办公终端虽满足个人日常办公需求,但同样面临着数据安全性低、终端缺乏统一管理、文件的输入输出控制、应用维护困难等问题考验。
针对贵州农信的上述问题,采用麒麟信安云桌面解决方案进行总行+分行的柜员办公终端的替换建设。后台采用X86服务器作为后台服务器,为用户提供计算资源池,采用云桌面系统的集群模块、分布式存储模块实现服务器设备的集群部署,为用户提供可靠、稳定的后台服务器运行环境。前端通过X86云终端设备替换传统PC机及个人计算机设备,通过云终端设备实现云桌面服务器的认证、连接工作。
用户使用的操作系统、柜面软件、数据存储均是基于云上运行,本地云终端仅提供虚拟桌面连接。用户在虚拟桌面内可以与操作普通PC一样进行日常办公、业务办理等操作。所有管理运维工作由运维部门管理人员在运维中心进行集中远程运维,操作系统和应用软件均通过模板镜像实现集中运维,高效快捷,不再需要到各分行、支行网点和办公席位进行现场运维。用户数据集中存储在云桌面服务器上,并对输入输出进行严格控制,有效确保了业务和办公数据的安全。
【顾客的收益】
麒麟信安异构混合金融云解决方案参与了以上银行、信用社、保险等金融项目的上云建设,系统建成后,实现了多个方面的收益价值。
- 异构统管,渐进迁移
桌面计算机全部替换为云终端,采用麒麟信安云桌面系统+鲲鹏服务器/X86服务器/海光服务器(或其他服务器)+麒麟信安操作系统/windows系列操作系统+业务系统实现了预定的渐进性国产化部署目标。
- 批量部署,效率提升
管理员可在管理端通过虚拟机模板一次适配安装,终端用户批量获取的模式,减少逐台终端运维的复杂性。
- 信息安全,数据保密
系统依托国内安全等级高的麒麟信安操作系统运行,采用数据云端加密存储、虚拟机隔离、通信加密、设备授权使用等技术,确保数据在使用、存储和流转过程的安全。
- 绿色环保,节能减排
通过大批量低功耗的云终端替换传统高功率PC终端可大量节约电能消耗,同时管理员可在后台对无人使用的云终端实现批量关机操作,进一步减少电能损耗,符合国家节能减排的目标。
方案未来展望
【方案提升方向】
麒麟信安异构混合金融云解决方案是以麒麟信安云桌面系统为核心推出的应用于金融领域的云桌面解决方案,麒麟信安云桌面系统已完成对国内主流的CPU架构平台服务器的全系列支持和异构统管,并支持各种信创终端的接入,可推送各种类型国产自研操作系统,并陆续在金融信创推广过程中发挥重要作用。但麒麟信安云桌面产品在金融行业内涉足的深度和广度还有所欠缺,无法精准掌握金融行业复杂的业务场景需要,需进一步挖掘金融机构对云桌面功能、性能各方面上的需求,推动麒麟信安云桌面产品在行业特性和场景应用上的研发和演进。
【市场需求预估】
金融信创行业正处于前所未有的挑战与变革之中:业务的快速构建和上线、安全问题、监管对系统自主创新的要求……面对这些挑战,信息技术成为增强竞争力和提升业务创新能力的关键。金融行业纷纷采取科技赋能的手段,来提升运营效率、改善用户体验和促进产品创新,在数字化转型的过程中,传统IT架构解决方案在安全性、敏捷性、效率性等方面面临巨大挑战,金融IT基础架构大量引入云计算、移动计算等新兴技术成为大势所趋。
【政策预估】
国家政策支持云计算在金融行业广泛应用。我国监管层面对于金融行业上云持鼓励支持的态度,近年来多项政策赋能金融云的发展,在政策引导下云计算在金融行业应用将会不断加速拓展。