思杰虚拟化银行系统解决方案 v2 - zhiding.cnftps.zhiding.cn/files/3/21636.pdf ·...
TRANSCRIPT
思杰虚拟化银行系统解决方案 V2.2
思杰系统公司大中华区 编
www.citrix.com.cn
0
目 录
1 前 言.................................................................................................3
2 银行业务系统总体介绍 .....................................................................4
3 交付中心的驱动力 ............................................................................4
4 交付中心的概念 ................................................................................4
5 CITIRX交付中心关键技术介绍...........................................................6
5.1 Citrix Delivery CenterTM 将数据中心转变成交付中心 -------------------------- 6
5.2 Citrix Workflow Studio 强大的协作工具,实现真正的动态交付中心 -------- 6
5.3 应用虚拟化 Citrix XenAppTM 从数据中心交付Windows应用 ----------------- 7
5.4 桌面虚拟化 Citrix XenDesktopTM 从数据中心交付Windows桌面 ------------ 7
5.5 服务器虚拟化 Citrix XenServerTM ------------------------------------------------ 7
5.6 桌面和服务器应用供应 Citrix Provisioning ServerTM --------------------------- 8
5.7 企业单点登录 Citrix Password ManagerTM ------------------------------------- 8
5.8 性能监测和负载测试 Citrix EdgeSightTM---------------------------------------- 8
5.9 远程访问和SSL VPN Citrix Access GatewayTM --------------------------------- 8
5.10 WAN优化 Citrix RepeaterTM ---------------------------------------------------- 9
5.11 Citrix NetScalerTM----------------------------------------------------------------- 9
5.12 Citrix Application FirewallTM ------------------------------------------------------ 9
5.13 智能电话 Citrix EasyCallTM ------------------------------------------------------ 9
1
6 CITRIX金融行业解决方案一览.........................................................10
6.1 银行集中开发管理平台解决方案 -----------------------------------------------10
6.2 银行图形前端系统虚拟应用集中发布解决方案 -------------------------------17
6.3 银行文档和源代码集中管理以及桌面虚拟化解决方案 -----------------------27
6.4 银行办公网统一对外访问解决方案---------------------------------------------32
6.5 银行卡应用统一发布管理平台方案---------------------------------------------33
6.6 银行内网系统安全远程登录解决方案 ------------------------------------------34
6.7 商业银行分支机构快速扩张和部署解决方案 ----------------------------------36
6.8 网银在线交易平台解决方案-----------------------------------------------------40
7...........................................................CITRIX交付中心银行业应用案例 44
7.1 某国有商业银行总行部署全球风险评估系统成功案例 -----------------------44
7.2 某银行分行内外网隔离 ----------------------------------------------------------45
7.3 Citrix应用交付支持与提升深圳某银行用户新体验 ----------------------------48
7.4 某国有商业银行深圳市分行-----------------------------------------------------51
8 思杰公司介绍 .................................................................................52
8.1 思杰公司简介 ---------------------------------------------------------------------52
8.2 用户实施集中化收益分析 -------------------------------------------------------54
8.3 国外银行业应用简述 -------------------------------------------------------------56
2
1 前 言 随着中国经济的高速发展和银行体制改革的不断深入,银行迎来了良好的发展机遇,同时也面临着更大的风
险和挑战。如何在激烈的市场竞争中生存和发展,银行需要统一规划、制定正确的经营政策、有效地控制成本、充
分的发挥信息系统的优势、共享企业资源,通过建立一个稳固可靠先进的随需应变运行环境来支撑银行的可持续发
展。
银行经过多年建设,信息化已经初具规模,但随着客户群及业务量的逐步增加、业务种类的不断更新,过去
分散式运行管理的落后模式开始制约着银行的下一步发展。银行需要通过业务大集中和数据大集中,扩大业务规
模,为客户提供更好的服务。
银行当前业务发展的另一个重点就是如何集成多渠道的银行经营方式,包括更好地发挥网上银行、呼叫中
心、银行卡系统、Web 柜员系统、客户关系管理的整合优势,通过金融创新,利用信息化手段降低银行运营成本
并提高总体收入。
作为当前银行业务新的增长点,尤其是中小银行,信贷业务成为中小银行重点发展的一个领域,安全高效统
一的信贷管理平台可以规范信贷业务流程、改善信贷业务管理状况、促进中小银行信贷业务的健康快速发展。
随着银行业务系统的不断完善和业务数据的日益增多,银行也迫切需要建立业务数据仓库系统来完成大量宝
贵的包括客户关系管理、账户分析、赢利和风险分析在内的商业分析。
作为银行管理信息和控制信息的重要组成部分,非结构化信息--通常称为内容(银行报表、对账单、图像、视
频、音频等)的有效管理及再利用能有效地推动银行的发展。银行需要实现对大量报表文档等信息数据的快捷安全
可靠地存储和在线查询,降低打印纸使用量和报表仓储的成本。
银行为了加强内部协作,提高管理水平,需要整合内部信息系统,建立全部员工协同工作平台,利用多种协
作技术手段,实现银行各网点内部的信息沟通和知识共享,加速决策流程,提高协同办公效率,降低日常运营成
本。
随着银行业务和数据的集中,银行面临大量的网络设备、服务器和跨平台的多个应用的集中监控和管理,银
行在复杂的金融系统建设中经常需要将 IT 项目外包,如何降低项目风险、提高项目质量迫在眉睫。
因此,在信息技术高速发展的今天,银行信息系统是否高效、畅通、安全,这在很大程度上影响着企业的生
产、销售、管理等各个环节。对于现代化银行来说,及时了解客户需求和市场动态非常重要,建立一个高效、可
靠、灵活的银行信息架构就显得尤为迫切。
借助思杰公司近20年的金融行业应用经验,结合思杰公司为金融行业提供的优秀高科技产品,能够共同帮助
中国的银行业实现灵活弹性的企业战略,使得企业能够在变化降临的各个阶段快速实现业务决策,化被动为主动;
使得企业随市场而变,随用户而动,而银行核心业务系统随企业而动;帮助中国银行业的创新模式,使其随时随地
转化为满足用户需求的竞争力、满足市场变化的竞争力。
3
2 银行业务系统总体介绍 通常银行的业务系统总体可以分为:
• 渠道服务系统(前台),主要包括柜台、ATM、网银、POS、移动网点、多媒体自助等。
• 核心业务系统(中台),主要包括存贷、卡类、汇兑、代收代付、中间业务等。
• 决策支撑系统(后台),主要包括人事、财务、资产、风险管理、市场营销等。
在每个主要业务应用系统之下,又各自有少至几个,多至上百个子系统提供支撑服务。每个应用系统因为历
史集成原因,开发商不同,不同接口需要整合,对支撑的网络,服务器等等各种设备的可靠性、性能要求各不相
同,形成了一个非常丰富的IT 生态系统。
3 交付中心的驱动力 目前,在国内外大型商业银行中,均在启动面向新一代信息系统的建设计划。新一代信息系统规划通过自动
化、资源整合与管理、虚拟化、安全以及能源管理等新技术的采用,解决目前信息系统普遍存在的成本快速增加、
资源管理上的日益复杂、信息安全方面的严峻挑战、以及能源危机等尖锐问题,从而打造与行业/企业业务动态发
展相适应的新一代企业基础设施。
驱动新一代银行信息系统变革,其主要变革的动力来自于以下几点:
1. 用户:越来越多的交易不是通过传统的柜台交易系统,而是通过ATM、自助终端或者网上银行等自动系
统来进行。越来越多的用户希望选用包括PDA,上网本,甚至手机等终端随时连上银行交易系统交易。
在目前,有很多银行的网上银行交易量甚至超过50%,这也要求数据中心的发展必须面向此类终端交易
要求的7X24不间断交易需求。
2. 银行竞争力的要求:随着国家对商业银行政策的进一步放开,各类商行(国有、股份、城市、农村、外
资、……)大量涌现。越来越多的商业银行正走出区域限制,需要快速扩展分支机构,以更快、更好地
提供面向客户的服务为竞争力。这就需要银行能够有一种坚固、安全并具有相当弹性的系统架构来支撑
业务的快速扩张,提高企业的市场占有率和竞争力。
3. 永恒的安全:在进行数据大集中后,以及无论是内部系统的增加和外联系统的繁衍,数据的安全可靠变
得尤其重要。传统的基于防火墙隔离、堡垒机、内外网隔离等等手段已经远远不能满足今天和未来的信
息化业务对安全的要求。同时,传统的灾备方案也体现出耗时耗能等不足。
这些挑战,不仅来自于 IT 基础设施所需要的高额投入,也来源于 IT 基础设施增长所带来的复杂度和相应的能
源消耗。 因此,银行必须采取与以往不同的思路和技术方法,才能获得新的突破。
而这种新的思路就需要采用一种全新的架构来实现,交付中心系统的出现,将有力地帮助银行建设新一代信
息系统。
4 交付中心的概念 对于交付中心,首先的一个问题就是应用的发布问题。下面我们从一个典型的应用发布流程中所经历的环节
进行分析:
4
在应用发布的整个过程中,信息主管面临以下问题:
• 如何简化IT架构:银行业务的复杂性,面临多应用,多协议的整合,信息主管需要有完善的架构设计理
念和实施部署方案,实现这些不同种类应用的 佳部署结构,简化IT 。
• 应用及终端集中:随着银行自身的发展,对信息化建设提出了更高要求,因此对各IT应用间的整合与互
联互通需要越来越高,对终端行为进行管制的紧迫性也越来越强。
• 安全威胁:从DDOS到SQL Injection,各种不同类型的攻击手段都在影响着交付中心的顺畅,轻则导致
应用变慢、不顺畅,重则导致业务中断、系统瘫痪。
• 数据中心优化:伴随着应用及终端的集中,后台系统优化随即变得非常关键,同时如何使位于数据中心
的服务器资源得到合理的共享、动态调配、降低能源消耗… … 已经现实的摆在了信息主管面前。
• 分散的用户:目前大部分银行的业务系统都从 初仅面向一个营业网点或者一个小范围的客户群体,发
展到面向全国甚至全球的使用者。用户分散加剧也导致了交付中心的环境变得越来越恶劣。
针对交付中心的各个环节中的薄弱点,Citrix 交付中心提供了端到端的解决方案。
• 简化IT架构:通过整合工作负载 – 无论多少应用、多少系统、多少密码 – 可以在数据中心端通过
Citrix“ 一” 的力量来简化工作负载镜像管理,进行系统的单一密码单一管理,真正实现IT 系统的简化,
同时实现按需交付。
• 应用及终端集中:通过将前台应用或终端(例如PC)的实际计算与存储功能向数据中心转移,前台只保
留其显示功能,可实现应用或终端计算与具体设备彻底无关。这不但远程就可实现全程全网的应用或终
5
端一体化管理、监控、部署、升级或改造,同时也极大简化大量终端的系统配置要求,真正创造“绿色
IT”。此外,由于应用或逻辑终端与其进行显示的物理终端无关,银行业务应用可实现有保障、有管理、
有安全的真正移动性。
• 安全威胁:通过桌面和应用集中,银行核心业务数据的物理存储、运行与其终端显示完全虚拟化隔离,
从而实现体系架构级的业务数据安全保障。此外,通过网络层安全防护、应用层安全防护和传输通道加
密技术等,提高系统的整体安全性。
• 数据中心优化:通过服务器虚拟化、负载均衡、应用网络优化等设备,实现服务器的高可用性、高安全
性和可扩充性。同时降低能耗,实现绿色IT。
• 分散的用户:通过将数据、应用和桌面的“智能”完全集中到数据中心,然后以高效显示传输协议交付给
终用户,从而 大程度地减少传统应用的客户端管理和对本地客户端操作系统的依赖,真正实现应用
发布的客户端独立性。
传统的信息系统主要关注的是硬件的建设,而各种新兴繁杂的网络化应用,关注的则是业务逻辑和功能。
交付中心(Delivery Center)的理念则将重点放在了这两者之间的地带,在现有架构的基础上,实现应用交付
的快速、安全和高可用。
5 Citirx 交付中心关键技术介绍
5.1 Citrix Delivery CenterTM 将数据中心转变成交付中心
为各地用户交付应用是 IT 的基本职能。然而,尽管业内分析师指出传统的应用部署过于复杂,过于死板,维
护成本过高,不利于业务调整,但多数银行 IT 系统仍然延用传统方式部署和安装应用。
思杰提供一种全新的并且与众不同的方法——思杰交付中心(Citrix Delivery Center),将数据中心从静态设施
转变成动态交付中心。Citrix Delivery Center 产品系列包括四种主要的产品线,构成了思杰交付中心的基础架构。
用户 应用系统
5.2 Citrix Workflow Studio 强大的协作工具,实现真正的动态交付中心
作为思杰交付中心(Citrix Delivery Center)产品系列的一员,Workflow Studio 是一种 IT 流程自动化解决方
案,使系统管理员在整个应用交付基础架构上可以编写、整合及协调基于规则的工作流。Workflow Studio 允许管
理员通过工作流轻松组合技术组件,从而使整个系统真正地作为动态交付平台运行。
6
Workflow Studio 通过提供便捷易用的图形界面来显示工作流组成,可以释放 Microsoft PowerShell 和
Windows Workflow Foundation 的潜力,通过这种虚拟化方式消除了编写脚本的压力。
5.3 应用虚拟化 Citrix XenAppTM 从数据中心交付Windows应用
Citrix XenApp(更名前称为 Citrix Presentation Server)是业界公认的以 低的成本、采用任何设备、通过任
何网络连接方式、向所有用户交付 Windows 应用的行业标准。XenApp 同时提供客户端应用虚拟化(应用数据
流)和服务器端应用虚拟化(应用发布),实现优化的应用性能和灵活的交付选项。采用安全的应用架构,银行可
以在安全的数据中心集中化管理应用和数据,降低了管理和支持成本,增强了数据安全性,同时确保了快速、可靠
的应用性能。
5.4 桌面虚拟化 Citrix XenDesktopTM 从数据中心交付Windows桌面
采用 Citrix XenDesktop 可直接从您的数据中心,以更安全、更可靠、成本更低的方式交付虚拟 Windows 桌
面,有效降低数据丢失的商业风险,并减少分布式 PC 管理的复杂性提高扩展的灵活性,同时将总拥有成本降低高
达 40%。全球化趋势、灵活的工作方式、业务连续性以及兼并和收购都意味着员工要在不同地点开展工作,这就
需要采用全新的方式实现快速、安全的桌面交付。桌面虚拟化包括将 PC 桌面从用户访问的 PC 上分离开来。采用
Citrix XenDesktop 解决方案,所有桌面将在数据中心进行集中化保存和管理,并虚拟交付到终端用户,这是将
Windows 桌面交付到办公场所、分支机构、外包工作人员 好的、 经济的方式,有利于业务的快速拓展,例如
分支机构扩张、业务外包、法规遵从以及实现业务连续性。
5.5 服务器虚拟化 Citrix XenServerTM
通过提高服务器效率和灵活性交付动态数据中心
Citrix XenServer 是可以满足不断变化的业务需求,实现服务器虚拟化和交付动态数据中心的 简捷和 有效的
方式。采用 Citrix XenServer,银行可以快速轻松地部署高性能虚拟机,通过一个简单易用的单一管理控制台即可
对这些虚拟机及其相关的存储和网络资源进行管理。这样形成的动态虚拟化基础架构为计算和存储提供灵活的资
源池,Citrix XenServer 利用强大的供应(Provisioning)功能成为唯一一个能够在统一的动态虚拟化基础架构中整
合虚拟和物理服务器部署及管理的平台。采用 Citrix XenServer 进行虚拟化,银行可以提高服务器和存储利用率,
降低设备采购、电力消耗、冷却系统以及占用场地的成本。
7
5.6 桌面和服务器应用供应 Citrix Provisioning ServerTM
采用流技术交付服务器和桌面镜像
Citrix Provisioning Server for Datacenters 通过网络按需交付组成完整的服务器的各个部分(包括操作系统、应用
和配置)。应用储备服务器(Provisioning Server)将服务器各个部分组成为一个虚拟版本——VDisk,并将其以文档
形式存储在网络上。当服务器启动时,不再通过本地磁盘启动,而是从 VDisk 启动,Provisioning Server 采用流技术
将指定的应用组成部分交付到服务器。这使得银行可以通过组合运行一种配置或 VDisk 盘,通过重启利用其它的组
合方式运行不同的配置。Citrix Provisioning Server for Desktops 采用流技术通过网络服务将单一的标准桌面镜像按需
交付给物理桌面。对共享桌面镜像进行集中化配置、交付和管理,降低了总成本,提高了安全性和灵活性。
5.7 企业单点登录 Citrix Password ManagerTM
简化和集中化控制用户密码
Citrix Password Manager 是一种提高终端用户生产效率和增强 IT 安全性的企业单点登录解决方案。用户采用
其主网络凭证进行一次身份验认,Password Manager 即可自动将用户登录到受密码保护的 Windows®、Web 或基
于主机的各类应用。Password Manager 对密码进行集中化管理,并将这一重要功能置于 IT 控制之下。这有助于通
过强制实施密码策略、自动完成密码变更以及整合强大的验证技术来持续提供数据保护功能。Citrix Password
Manager 可将 Help Desk 支持成本锐减 25%,原因在于用户再也不会因为忘记应用密码而呼叫 Help Desk。
5.8 性能监测和负载测试 Citrix EdgeSightTM
实时监测用户体验
Citrix EdgeSight 产品系列为思杰应用交付基础架构提供性能监测和负载测试解决方案。EdgeSight 系列产品的
性能监测解决方案可提供持续的应用性能可视性,EdgeSight 独特的用户、应用、系统和网络性能数据可为整个应
用交付基础架构上 IT 业务的健康状况及可用性提供无与伦比的可视性。EdgeSight 系列产品的负载测试解决方案为
Citrix XenApp 和 XenDesktop 环境提供自动负载和性能测试,它通过预测所需资源进行推测,从而大幅降低回归测
试(Regression testing)的相关维护成本,并且将由于配置或软件变更带来的不稳定性机率实现 小化。
5.9 远程访问和SSL VPN Citrix Access GatewayTM
经由互联网安全地访问应用
Citrix Access Gateway 是利用应用层接入策略安全交付任何应用的唯一 SSL VPN 设备。采用便捷易用的自动
下载客户端,用户可通过任意一台联网设备进行高效接入。强劲可靠的端点分析功能允许 Access Gateway 检测客
户端设备的配置和用户身份信息,从而确定客户机信任级别,并采用基于情景的策略控制,确保对应用和资源的访
问限制在适当级别。例如,当用户使用办公室 PC 或公司所属的笔记本电脑时,即可对全部文档进行全权访问(浏
览、本地保存和打印等);如果通过未被识别的、因而导致不可信任的客户机进行连接时,其访问权限将被限定为
“只读”。
8
5.10 WAN优化 Citrix RepeaterTM
改善经广域网交付的应用性能
Citrix Repeater 针对分支机构用户、家庭办公用户或移动用户的低下应用性能进行加速,向这些广域网用户提
供了与局域网相媲美的性能。Repeater 可将银行应用的性能提升 30 倍,从而增强了用户生产效率,延缓了昂贵的
带宽升级,实现了应用资源在数据中心的整合。Repeater 解决方案可为所有基于 TCP 的应用交付更高的广域网吞
吐量并改善应用响应时间,该系统是基于 AutoOptimizer 引擎创建的,可根据应用、数据和网络状况为每个数据流
自动动态匹配 佳的组合性能加速技术,如多级压缩、自适应 TCP 优化和协议加速器。
5.11 Citrix NetScalerTM
交付具有 高可用性、安全性和 佳性能的 Web 应用
Citrix NetScaler 可优化面向内部和外部的 Web 应用交付——加速性能,提高可用性并增强安全性。Citrix
NetScaler 解决方案在紧密集成的单一系统中融合了高速负载均衡、内容交换、先进的 4-7 层流量管理、应用加
速、智能数据压缩、动态静态内容高速缓存、SSL 加速、网络优化、应用性能管理以及强健可靠的应用安全性。
NetScaler 保护 Web 应用免受应用层攻击,有效防止银行和客户的宝贵数据被盗或泄漏。NetScaler 拥有的专利技
术使之能够阻止非法请求和拒绝服务(DoS)攻击。
5.12 Citrix Application FirewallTM
保护 Web 应用免受攻击
Citrix Application Firewall 可保护 Web 应用免受日益增长的应用层攻击,包括缓冲区溢出攻击、SQL 注入企
图、跨站脚本攻击以及其它威胁。Application Firewall 通过保障银行机密信息和客户敏感数据的安全来提供身份防
窃保护。Citrix Application Firewall 的安全技术实施基于 HTTP 行业标准和 HTML 佳编码实践的主动安全保护模
式,偏离积极安全保护模式的 Web 应用行为被视为潜在的恶意行为并予以阻止。通过识别正确的应用行为,积极
的安全保护模式并不依赖攻击特征码或模式匹配技术来检测并阻止攻击。Citrix Application Firewall 提供的是唯一经
实践检验的、针对未发布的攻击提供全天候保护的方案。
5.13 智能电话 Citrix EasyCallTM
将通信功能整合到应用上
Citrix EasyCall 能将通信功能整合到任意应用上,即使是虚拟化的应用、采用流技术交付的应用、基于 Web 的
应用或本地安装的应用。通过将通信功能嵌入到任何应用程序中,从而由应用程序本身或从用户选择的电话进行呼
叫:用户只需简单地将鼠标指向应用程序中的电话号码。EasyCall 客户端将出现的电话号码包括应用程序中的电话
号码、拨号框中存储的号码以及用户在其用户档案中选择的始发呼叫号码。EasyCall 网关通过选定的电话(办公室
电话、移动电话或住宅电话等)呼叫用户,然后拨通被点击的号码。EasyCall 网关能无缝地整合新一代 VoIP 电话
系统以及传统的数字 TDM 电话系统。
9
6 Citrix 金融行业解决方案一览
6.1 银行集中开发管理平台解决方案
随着很多银行产品开发部承接的 IT 开发项目的数量增加与规模扩大,与外部公司的合作日益密切,项目开发
环境的管理更加复杂,安全管理的要求也日益提升。为此,需要建立一个简单、易用、安全的集中开发管理平台,
以有效进行开发环境的规范管理,支持可控的外部合作公司的远程开发模式,同时保护重要数据与代码的安全,并
能对重要系统操作进行跟踪和审计。
功能需求
1. 集中管理:可将开发环境中的应用软件进行集中管理,可以根据需要随时调整开发环境的应用部署,简
化开发人员客户端的开发环境配置及部署要求。
2. 应用发布:具有包括各类开发工具在内的应用软件发布功能和 Web 网页发布功能,要求支持发布的应
用软件列表参见附录。
3. 存储隔离:每个用户能建立各自的文件系统或存储空间,相互之间不能访问。但授权用户可以访问特定
用户组的存储空间,可以通过 FTP 或者其它方式获取用户存储空间的数据。
4. 数据保护:所有的代码及业务数据只在服务器端传递,提高系统数据访问的安全性。
5. 远程接入:支持外部合作公司远程接入的项目开发模式,能有效控制用户的剪贴板、本地硬盘、打印
机、端口等操作,做到合作公司人员未经授权无法从任何渠道获取项目的代码、文档和业务数据。
6. 访问控制:对于合作公司的远程访问要求能有效控制,包括登录时间段、登录用户的监控。要求能穿越
防火墙(能够 NET 转换)访问到服务器。
7. 访问日志:用户登录及对开发工具和应用软件的访问,应该有日志记录。
操作录像:对于应用软件的操作需要有屏幕录像功能。用户和应用可以分别控制是否需要录像,录像时
间段范围可配置。能快速根据指定条件查询录像文件,录像文件可以自动清理,并能设置录像文件保留
期限。
技术需求
8. 水平扩展:服务器端支持水平扩展,能通过水平增加服务器来适应业务需求的扩大。
9. 负载均衡:可根据用户访问量和资源使用情况,动态分配到到负载量 低的服务器上。可支持手动负载
均衡操作。
10. 本地输入法:用户接入要求支持中文界面,可以使用本地输入法。
资源监控:能监控系统应用、访问用户和对应资源的占用情况,并形成报表。
解决方案及对应项目需求的实现
6.1.1 总体方案构架
通过 Citrix XenApp 集中部署和发布应用客户端软件,整个的后台应用服务器架构没有变化,客户端可以通过
XenApp 来访问集中发布的各种银行应用和开发工具。其整体构架如下图所示:
10
客户端软件安装在 Citrix XenApp 服务器上,而所有访问用户使用终端设备均无需事先安装应用客户端软件。
客户端设备只需通过 IE 就可以运行应用系统(第一次访问时会自动提示下载安装一个几兆大小的 Citrix ICA 插
件),多用户同时访问时,由 XenApp 管理和运行应用客户端软件的多进程访问,并控制向不同用户发布的权限。
开发网段的客户端可以直接连接 WebInterface 和 XenApp 服务器。其他网段的用户,可以通过在防火墙打开
相应的 HTTP 和 ICA 协议端口来访问 XenApp 服务器。
同时外网远程接入所有客户端经过安全网关 Access Gateway(可选)或者第三方 VPN 接入。使用 Access
Gateway 可以实现 SSL 加密,对传输的数据进行加密保护,并且配合 XenApp 的智能访问,可以实现用户的访问
场景识别,能够更加严格地限制用户对后台资源的访问。
XenApp 可整合现有的活动目录中的用户账户来进行用户身份认证。
图中的文件服务器,提供了用户的个人数据存储功能。通过使用 Windows 的目录权限控制,及文件夹重定向
功能,可以做到用户数据的安全保存及漫游访问。
通过 Citrix XenApp 服务器中 SmartAudit 功能,客户端的操作不仅可以被管理员实时监控,还可以进行屏幕录
像并长期保存,以实现行为审计。
对于未来非开发网段的应用的部署,可以通过在相应的网段部署 XenApp 服务器来实现。
6.1.1.1 对应功能需求的实现
集中管理
Citrix 的集中部署模式只将银行应用部署在数据中心,由于客户端和服务器位于同一局域网内,因而应用性能
和安全性得到提升,用户可以通过任意终端和任意网络进行访问数据中心,非常方便;而银行只需对局域网内的数
据中心进行管理,实现了管理维护的简化。应用软件的安装及配置变化,均可以在服务器端集中进行,大大简化了
开发环境的配置和部署。
应用发布
XenApp 为用户提供了基于服务器的计算模式(Server-based Computing),实现了虚拟化应用发布。其技术
核心是 ICA 协议,ICA 协议连接了运行在 XenApp 服务器上的应用进程和远端客户端设备,通过 ICA 的 32 个虚拟
通道(包括鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定
11
向到远端客户端机器的输入输出设备上,因此虽然客户端软件并没有运行在客户端设备上,但是用户使用起来和在
客户端安装运行客户端软件相比,没有感觉任何操作上的改变。
XenApp 虚拟化应用发布原理如下图所示:
应用软件的用户界面在客户端显示(可以支持非
Windows客户端)
应用软件安装和运行都在服务器端
网络只传递通过网络只传递通过CitrixCitrix的的 ICAICA技术处理后的屏幕刷新和技术处理后的屏幕刷新和
键盘敲击和鼠标移动信息键盘敲击和鼠标移动信息((带宽需求带宽需求 1010--2020kbskbs,,甚至可以是低速甚至可以是低速 的拨号连接)的拨号连接)
由于 ICA 协议是一种高效率的数据交换协议,同时在中心服务器和远端终端设备之间传递的是经过压缩和加
密的屏幕刷新和鼠标键盘信息,因此每一个连接只占用十几 K 的网络带宽。
这种模式使得银行应用部署架构上发生变化,从一种分布式部署变成了大集中的应用部署,因而带来了应用
访问、性能及安全等各个方面的提升。
存储隔离 通过选择NTFS文件系统和Windows Server的用户Profile机制,每个用户可以有自己的存储空间。
利用NTFS的文件权限的管理机制,用户在服务器端的私有存储空间、工作目录、临时文件可以被安全的管理和限
制。可限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。同时可以通过配
置Windows Server 2003 的文件夹重定向,将My Documents等目录集中重定向到集中的文件服务器,从而保证用
户不管登录到哪台服务器,都能一致地访问其用户数据。
数据保护 传统模式应用分布在银行的所有客户端上,其安全要考虑各个环节:服务器、客户机和端到端的
网络;其维护和安全管理范围需要涵盖银行的每一台终端设备和跨广域网段。因为客户端直接访问后台时,之间传
输的数据是真实的银行应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;而用户访
问XenApp服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,
同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因而可以说数据总
是存放在 安全的地方。XenApp带来的 大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。对于远
程用户从公网访问内网,XenApp通过严格的用户认证进行安全权限控制。由于网络上传输的只是客户端的键盘、
鼠标动作以及显示界面的刷新部分,业务数据和代码的并不下载到客户端本地;数据、缓存、Cookie等等全部在中
央受限的环境中控制;另外ICA协议还含有多种加密技术,保证显示界面和用户操作数据的安全传输;客户端的操
作感觉虽然就像在本机操作一样,但未经权限许可,不得擅自修改、备份、拷盘、打印等。通过应用发布的方式,
内部员工和外部合作公司的员工只能使用本岗位的应用程序,而不能打开其他的应用软件或数据信息。
应用远程访问 本地用户可以直接从内网访问,外部用户需要经过防火墙,可在两道防火墙之间的DMZ隔离区内
放置SSL加密的网关设备Access Gateway。
12
Citrix 为用户提供了统一的安全接入手段,一个典型的接入过程如下图所示:
首先用户需要进行身份认证,XenApp 集成了各种身份认证手段,包括双因素认证等,访问用户提供用户名、
口令和 passcode。如下图所示:
当用户通过认证后,会通过加密链路进入其个人访问门户,看到其所能访问的各个应用软件。如下图所示
当用户使用某一软件,或访问某一系统,通过 Citrix 的虚拟化服务器和口令管理,在几秒内自动完成应用调用
和登陆,然后用户就可以如在本地一样使用所需软件和应用。
而管理员不仅可以方便地设置每个应用允许哪些用户的访问,并且可以详细地记录用户对各应用的使用情
况。通过 Citrix 应用交付平台可以严格控制用户对应用的访问,根据不同用户接入时的不同场景,将有相应的接入
策略与之对应,并控制用户使用银行资源的过程和操作。可控制的操作和资源访问包括 Copy/Paste、打印、保存
到本地,端口的访问等。
应用访问控制 XenApp不仅对访问用户的身份进行认证(和AD集成的身份认证),还可以对用户使用的访问设备
进行检测(需AccessGateway支持),以提供更高级别的安全访问控制。而管理员不仅可以方便地设置每个应用允
许哪些用户的访问,并且可以详细地记录用户对各应用的使用情况。通过Citrix应用交付平台可以严格控制用户对
13
应用的访问,根据不同用户对应用访问时的不同场景,将有相应的接入策略与之对应,并控制用户使用银行资源的
过程和操作。可控制的操作和资源访问包括Copy/Paste、打印、保存到本地,端口的访问等。
访问日志 管理员不仅可以方便地设置每个应用允许哪些用户的访问,并且可以使用SQL数据库的方式,详细地记
录用户对各应用的使用情况,可以生成各种报表,如用户登录时间,运行的应用等。(报表功能需要XenApp企业版
或白金版支持,高级版不含此功能。)
操作录像 操作录像可以通过XenApp的智能审计(SmartAudit)来实现。(该功能需要XenApp白金版支持)通过
XenApp服务器使用的任何应用都可以被全程监控:用户的操作行为及显示器上的内容变化可以通过ICA协议存放到
磁盘上,然后在需要的时候像看电影一样回放。为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时
间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。而由于ICA协议的高效,操作的屏幕录像
记录下来并存储到文件的大小一般为:10M/天/人。其工作原理如下图所示:
从上图可以看出集中化应用部署使得审计变得简单:在数据中心的 Citrix 服务器上进行软件应用安装和管理,
而不是在用户自己的电脑上。用户可通过网络连接集中化应用,并实时运行和操作,如同本地运行一样。集中化服
务将所有应用处理过程和数据都集中在服务器上, 并把数据的管理严格控制在数据中心。该解决方案是以安全为
出发点设计的,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,但都是经过加密处理的。如果
管理策略(Policy Manager)要求对用户的操作进行录像,用户界面、键盘敲击和鼠标操作信息被多复制一份电子
拷贝,即软件录像。
经过数字签名的不会被恶意破坏的完整的录像数据安全存储在独立的审计部门的文件(存储)服务器上,只
有数字电子证书配对成功的控制台才可以查阅、浏览。实时监控、审计和报告功能保证了 IT 对整个业务过程的端
到端透明度。
用户使用软件的完整过程被录像后,即可方便的检索和审计。
备注:某些功能,如 SmartAudit 需要 XenApp 白金版。具体功能和版本要求可参见附录。
6.1.1.2 技术需求的实现
水平扩展 Citrix XenApp 内置实现了群集功能,在 Citrix 服务器配置中集群称之为一个 Farm,当用业务系统
规模扩大时,可以方便地通过在 Server Farm 中添加服务器来进行水平扩展。
负载均衡 在 XenApp 的 Server Farm 中,“Data Collector”负载均衡调度服务器负责收集每一台服务器里面
的一些动态信息,如 CPU、内存等使用情况,并与之进行交流;当有应用请求时,自动将请求转到负载 轻的服
14
务器上运行。Server Farm 同时提供了高可用性功能,当单点服务器出现故障时不影响用户使用,用户会重新连接
到另外一台负载较轻的服务器上。从而避免了单点故障。
本地输入法 Citrix XenApp 支持使用客户端的本地输入法。进一步提升了用户体验,适应中国用户的特殊要
求。
资源监控 XenApp 的性能监控工具可以方便地监控服务器、访问客户端、网络等全方面的使用、错误、报
警、性能、软硬件变更、硬件资源情况、软件使用情况、以及 License 管理等等。通过性能监控工具,管理人员不
仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
6.1.1.3 应用场景描述
下图中,红色箭头及编号分别表示了各种场景下,客户端的访问方式。
开发网段用户
VPN 文件服务器License服务器
远程接入用户
非开发网段用户
总分行业务人员
总分行管理人员
AccessGateway(可选)
后台应用及数据库
域控制器SmartAudit服务器
XenAppServer Farms
开发网段
XenAppServer Farms 域控制器
文件服务器
SmartAudit
其他网段应用
Web Interface
a
b
c
de
系统管
理人员
a 产品部开发部及合作公司现场开发人员受控使用集中开发管理平台访问开发环境进行开发。
用户直接访问 Web Interface 来访问后端 XenApp 上发布的应用。客户也可以使用本地安装的 ICA 客户
端。
b 分行开发人员受控访问总行开发环境进行远程开发。
分行开发人员通过防火墙访问 Web Interface 和 XenApp 服务器。防火墙上需要打开 http/https 协议和
ICA 协议相应的端口。
15
c 特定合作公司专线接入开发环境受控使用集中开发管理平台进行远程开发。
远程用户使用 Citrix AccessGateway 或者第三方 VPN 或专线接入网络,再访问 Web Interface 和
XenApp 服务器。Citrix AccessGateway 使用 SSL 的方式建立连接。若采用第三方的 VPN,需要开放
http/https 及 ICA 协议及对应端口。
d 开发环境机房系统管理人员受控访问各系统进行维护操作。
开发环境机房管理人员可通过 XenApp 服务器进行维护操作。通过 SmartAuditor 功能,操作可以被记录
和监控。
e 总分行业务管理人员受控访问特定应用系统。
总分行业务管理人员可以跨网段访问特定应用系统。应用系统所在网段部署 XenApp 服务器以安装有关
应用。应用可以发布到统一的 Web Interface。管理人员所在使用的客户端和 XenApp 服务器之间需要开
放 http/https 及 ICA 协议及端口。
6.1.2 系统配置
通过 Citrix 发布应用,对应用的后台服务器系统没有任何改动,只是在用户客户端和后台服务器之间增加了
Citrix 服务器群,原先需要安装在用户 PC 机上的客户端软件现在只在 Citrix 服务器上安装一次,多用户同时访问
时,Citrix 服务器管理和运行客户端软件的多进程运行,由运行在 Citrix 服务器上的客户端访问后台服务器,Citrix
服务器通过虚拟化技术将运算结果和用户输入输出向授权用户发布。
通过这样的部署结构, 终用户访问应用的性能依赖于服务器计算能力和数据中心内部网络,不再依赖于广
域网和终端设备,因此通过配置高性能的中心服务器,可以使得远程用户象在局域网内一样使用应用系统。
Citrix 服务器集群会自动实现负载均衡,在 Citrix 服务器配置中集群称之为一个 Farm,Citrix 服务器的“Data
Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,
自动将请求转到负载 轻的服务器上运行。
对于网络带宽的需求,每个用户只需要 10K~20K 的带宽就可以满足需要,因此在我们进行网络带宽的规划
时,非常容易估算总的带宽需要,比如 500 个并发用户时,中心带宽需求是:500×10K=5M。
6.1.2.1 客户端配置
用户的客户端设备几乎可以使用任何操作系统、任何配置的硬件设备,Citrix 支持的客户端类型如下:
Windows:
32-bit: 95, 98, NT and 2000/XP/2003/Vista
16-bit: 3.1, 3.11, WFWG
CE
DOS: 32-bit, 16-bit Real Mode Version
Macintosh: iMAC, 68k & PowerPC
Unix:
HP-UX
IBM AIX
Solaris Sparc
Solaris x86
16
SunOS
SGI IRIX
Compaq Tru64
SCO - UnixWare, OpenServer
Linux: Red Hat, Caldera, SuSE, Slackware
Citrix 提供客户端三种访问方式:Web 方式、PN 完整客户端方式和 PN Agent 方式,其中 Web 访问时,系统
会自动检测用户是否安装 ICA 客户端插件(或是否安装 新版本插件),如果是第一次访问用户没有安装插件
(或着不是 新版本),系统提示用户自动开始安装。Web 方式提供基本访问功能,无须用户自己进行客户端配
置,而 PN 和 PN Agent 需要配置并提供了更加全面的客户端功能。
同时在 Citrix 的体系架构中,PDA 和智能手机是和 PC 机、终端具有同样地位的访问设备,无须额外的应用开
发,可以直接将后台各种应用直接发布到移动设备上。
6.1.2.2 服务器配置
Citrix 服务器说明 设计 Citrix 服务器集群之前,需要对并发访问量进行估算,以保证 Citrix 服务器集群具备支
持用户访问量的处理能力。根据我们在 IBM 实验室的数据,在模拟多个并发用户分别以简单、普通、高负载三种
操作频率使用流行的 MS Office 2000 软件,Windows 2000/2003 Enterprise Server + Citrix XenApp Server +IBM
刀片服务器 HS20(配有 2 路至强 DP 2.4G, 4G RAM,一个 40G 的 IDE 硬盘,一个 18G 15000 转 SCSI 硬盘,2
块千兆网卡),可以 多支持 320、215、170 个并发用户。再根据 Citrix 以往的成功实施经验,由于用户一般会
访问多个应用,如果使用 2-4-2 (2 路至强 CPU, 4G 内存,2 个硬盘) 的配置建议,每台 Citrix 服务器将能顺畅
支持约 50 个并发用户;如果服务器内存扩展到 8G(PAE 打开),有可能支持到 100 个并发用户(由于 32 位操作
系统在内存访问上的限制,所以关于扩展内存后的并发访问数,会根据用户具体的应用类型变化); 如果使用 64
位操作系统,根据我们的测试,一台 IBM3950 配 4 个双核 CPU,内存 32G,可以支持 500 个 SAP GUI 的并发。
但是使用 64 位 Windows Server 2003 需要额外考虑应用在 64 位平台上的兼容性问题。
6.2 银行图形前端系统虚拟应用集中发布解决方案
6.2.1 背景
对于银行业来说,业务的快速响应能力是核心竞争力之一,尤其是在当今激烈的竞争环境中,要求业务响应
随需而变。由于银行业务是建立在信息化、电子化的 IT 基础架构的支撑之上,因此银行业对 IT 的响应能力也提出
了越来越高的要求。
传统的 IT 架构不具备这样的快速响应能力,举个例子,如果银行决策层决定马上在某个城市或地区开一个分
支机构,涉及到 IT 系统的扩展需要考虑硬件配置、网络架设、终端机应用安装调试,以及培训试运行等等直至开
业,IT 的部署和实施周期在整个分支扩展过程中占了很大的比重和不可小视的成本,其响应速度直接决定了业务扩
展速度和服务质量。
分析整个 IT 支撑响应滞后的原因,可以发现由于业务系统必须以软件的形式安装在业务终端上,这导致了业
务用户不得不安装和维护个人电脑和操作系统,安装、维护、升级各种软件,不断地在个人端防病毒防信息泄露,
并使得个人业务工作环境和个人电脑绑定在一起,丧失了灵活性。因此“软件即服务”的提出是对 IT 理念的一次革
新,如果业务系统不以软件的形式而以服务的模式提供给业务用户,那么不仅可以省去对所有业务用户的软件维
17
护,而且业务人员可以在任意位置访问和使用业务系统。
显然很多应用还没有达到“软件即服务”的要求,如果对应用软件的改造则成本巨大。因此应用虚拟化技术应运
而生。简单来说,只要把传统应用软件部署在应用虚拟化平台上,就直接升级为了面向业务用户的服务。因为虚拟
化应用只要在后台安装一次,而无需将业务软件安装部署到业务用户端,只要经过管理员的权限定义,所有业务用
户都可以使用并进行业务操作,而所有的维护和管理工作全部在数据中心。
虚拟化技术不仅为银行带来了很大的资源节省和降低成本,同时使得银行的 IT 响应能力大大提高,真正地实
现了业务的灵活多变。
6.2.2 需求分析
目前,很多银行现有的柜台系统是基于 COP 的字符操作模式和通过仿真终端软件 NLTERM 运行在 Windows
平台上两种模式并存的状况。新开发的图形前端系统是基于 Windows 平台,具有高柜、低柜业务功能,同时提供
各业务部门非柜台业务人员完成参数维护、用户管理、权限定义和业务监督等业务需求。
目前行内对网络管理分为生产网段和办公网段。新的图形前端系统服务器部署在生产网段内,客户端必须通
过特定的生产网段网口访问服务端。各业务部门非柜台业务人员所在办公区域网络一般为办公网段,一台办公网段
的 PC 机无法通过图形前端系统在生产网段内完成业务操作。
此外客户端安全隐患增加,由于 PC 机的安全漏洞较多,因此业务数据在客户端有泄露的危险,并且用户的业
务工作环境也有受攻击和被破坏的危险。
而业务人员的工作环境被绑定在 PC 机上,出现软硬件故障的时候,业务人员只能被动地等待维护人员修复,
因此维护响应能力的不足,直接导致了业务支撑和决策执行的响应能力的降低,带来营业损失。
业务终端的维护成本也不断上升,IT 运维人员不仅要进行 PC 机进行维护,还要对操作系统环境、应用的安装
配置和更新进行桌面管理和维护,随着应用的增多,维护工作呈上升增长趋势。
随着业务的发展方向越来越广,高低柜业务的应用场景越来越多,对前端业务系统的功能性,安全性,方便
性的要求越来越高,例如:
分支机构管理和快速扩展:随着全球化发展,新开业务网点的快速灵活扩张,要求业务人员对业务系统
的访问和使用简单、快速、灵活。要求分支机构的 IT 部署工作降低到 小化,以适应业务的快速响应和
降低成本。
前端业务连续性:随着应对各种自然灾害和环境变化,要求业务连续性能力增强,能够快速恢复业务访
问。
VIP 客户管理、移动柜台业务和办公:未来柜台业务人员在客户处采用 VPN 等方式接入前端办理业务,
要求远程访问的性能、安全以及更加全面的监控和授权机制等等。
合作业务的互相访问:银行和企业间的合作外包业务日渐增多,要求系统的互联互访更加灵活,同时也
要求对银行系统的安全保护增强。
因此简化客户端环境,实施集中化部署、管理和运维,虚拟化客户端是有效解决方案。
6.2.3 建设目标
集中化模式已经被银行广泛采用,并被证明是大规模网点的 佳运算模式。传统的集中化模式主要集中在高
18
柜业务,基于主机系统或 UNIX 系统。随着目前银行的高低柜业务融合以及字符化业务向图形化业务的升级换代,
新图形前端业务系统大规模采用 Windows 平台作为支撑平台,因此需要解决 Windows 平台下的前端应用所面临的
迫切需求。
因此通过在数据中心实施虚拟化前端业务系统应用集中发布平台,达到的项目建设目标可以总结如下:
业务人员对图形前端业务的访问更加灵活和方便(业务人员的工作环境与 PC 机没有绑定关系)
大大降低业务 PC 机的投入和维护成本(业务 PC 机无需安装、维护和管理任何柜台业务软件和操作系
统的桌面管理)
提高对前端业务的访问控制和使用权限管理
前端业务系统的整体安全性提高
前端业务系统的推广更加快速灵活,缩短项目实施周期
降低总拥有成本
6.2.4 总体方案
采用 Citrix 虚拟应用技术,能够实现基于 Windows 平台的大规模应用集中部署。在数据中心构筑图形前端业
务系统应用的集中发布平台,通过虚拟化技术使得所有的业务人员访问使用业务系统,实现建设目标。
6.2.4.1 方案概述
通过集中发布平台实现图形前端业务的集中部署模式的物理架构图如下所示:
图形前端业务系统虚拟化应用集中发布是通过在数据中心部署虚拟应用服务器层实现,这样所有的前端业务
软件包括用户的办公环境均一次安装部署在虚拟应用服务器上,由服务器集群实现多用户的并行计算。而所有的业
务 PC 机为标准设备,不用安装和维护应用软件。
通过集中部署模式,一方面使得业务终端环境简化,业务 PC 机由于不再安装应用,因此任意一台标准设备就
可以,使得 PC 机的维护工作量大大降低;另一方面,由于所有的应用都位于数据中心的机房,集中管理的同时,
也大大提高了业务数据的安全性。
业务用户的访问方式是:打开浏览器输入统一的访问网址,例如http://abc.ceb.com.cn,然后在出现的身份认
证页面里输入自己的核心柜员用户身份,通过后就会看到ABC应用的图标以及其他自己有权使用的应用图标。点击
ABC应用图标,界面显示建立服务的连接条,大约 10 秒钟后出现ABC应用的界面,剩下的操作就和使用本地ABC
19
一样。
业务人员使用业务应用更加灵活,由于业务应用和客户端不再绑定,因此如果本地 PC 机出现异常或网络中
断,业务应用并不受影响,当用户离开座位一段时间,但又不想结束业务操作,可以选择断开服务,这时用户屏幕
上的 ABC 应用消失,等用户回来后,重新输入身份认证,通过后刚才做了一半的业务就重新出现在屏幕上,可以
继续工作。
当一个用户打开业务操作后长时间不用,系统自动释放该服务连接给别人用,业务界面暂时消失。当这个用
户重新使用时,再做身份认证后,可以继续刚才的业务操作。
6.2.4.2 拓扑结构
图形前端业务集中发布平台的部署对银行现有的拓扑结构没有改变,只需要在总行数据中心的局域网内增加
一组虚拟应用服务器即可。其拓扑图如下所示:
隔离区
办公区
已有的网络拓扑、后台服务器和客户端环境没有变化,增加的一组虚拟应用服务器位于总行机房的局域网
内,已经在运行的柜台业务不访问该服务器,因此对于传统模式的柜台业务没有任何影响。非柜面人员使用的 PC
机,不用安装图形前端业务客户端,而是通过访问虚拟应用服务器,实现图形前端业务操作。
6.2.4.3 软件架构
虚拟应用服务器上软件架构是,在底层 Windows2003 操作系统之上安装 Citrix XenApp 虚拟应用平台,然后
在虚拟应用平台之上安装柜台客户端软件、OFFICE 软件、邮件系统客户端以及用户常用的工具软件等,业务终端
机上不再安装任何业务软件,整个软件架构如下图所示:
20
业务 PC 机只是在第一次访问前端服务器时下载并安装 Citrix ICA 插件,ICA 插件和前端服务器的 XenApp 平
台之间通过 ICA 协议建立连接通道,使得 PC 机用户可以正常使用服务器上运行的图形前端客户端软件。
ICA 协议连接了运行在前端服务器上的应用进程和业务 PC 机的输入输出设备,通过 ICA 的 32 个虚拟通道
(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在前端服务器上的应用进程的
输入输出数据重新定向到远端客户端机器的输入输出设备上,因此业务用户使用前端服务器上的柜台应用时感觉就
像在使用本地模式一样。ICA 协议如下图所示:
ICA 协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。比如如果控
制用户不许通过打印机把信息打印出来,只需要中断 ICA 连接中的打印机通道即可。
6.2.5 详细设计
6.2.5.1 用户登录
为了提高系统访问的安全性,用户在通过 URL 访问到新业务系统虚拟服务门户网站后,需要进行身份认证,
以确定该用户是否可以进入新业务系统的虚拟服务应用环境,从而防止非法用户或其他非授权人员的访问。
用户名
由于业务人员已经具有 6 位数字的唯一操作号,为了简化用户身份管理,建议采用该操作号作为用户登录门
户的身份认证用户名。
密码
授权用户首次登录门户时,会提示用户新置密码,该密码可以称为门户密码,与登录 ABC 的密码(称为业务
密码)可以一样,也可以无关,由用户自行设置。以后该授权用户就以此密码登陆虚拟服务的门户。
登录后授权用户会看到 ABC 的图标,点击 ABC 登陆新业务系统时,仍然使用该用户原业务密码。
21
日常流程
非授权用户如果访问了虚拟服务门户,虽然输入了 6 位操作号,会显示拒绝访问。
授权用户访问虚拟服务门户,输入 6 位操作号和门户密码后,可以看到 ABC 等可用应用列表,然后点击 ABC
登陆新业务系统时,再输入 6 位操作号和业务密码。
输入两次用户名,第一次是为了验证该用户是否有权使用虚拟服务环境,第二次是登陆新业务系统。
6.2.5.2 用户管理
虚拟应用平台会建立独立的 DC(域控制器)来统一定义用户访问服务器的权限,该域的成员不仅有所有的虚
拟应用(XenApp)服务器,还有所有授权用户身份。
DC 可以批量加载用户,因此在项目实施时可以通过编辑一个 XML 文件,该文件中包含所有授权用户操作
号,然后将该文件加载到 DC,自动按照 6 位操作号生成用户名。
DC 中可以定义用户组,并基于用户组定义权限,因此在日常使用过程中如果增加用户,只需在 DC 中增加用
户并指定用户组即可,无需单独定义其权限。该过程也可以通过手工也可以通过文件加载实现。
将身份认证独立出来的好处是,日后可以方便地提高身份认证强度,而无须对新业务系统进行改造。虚拟应
用平台支持的身份认证模式包括:
静态口令(目前的模式):目前的用户名加口令,属于低强度身份认证,建议只在内网使用
动态口令双因素认证:如果需要提高身份认证强度(如有从公网访问的需求),则建议采取双因素认证
等手段。应用集中发布平台经集成了大量的高强度身份认证技术,如 RSA 令牌等等。认证令牌可以硬
件、软件和智能卡等多种形式向用户提供。令牌在发售时已经使用唯一的 128 位种子初始化;内部芯片
每分钟都会使用一种算法,组合该种子与当前时间,生成一个随机的数字作为动态密码,从而提高用户
的密码强度。
证书、生物识别(如指纹)及其他高强度认证:应用集中发布平台预留了集成其他身份认证的接口,如
RADIUS 认证等等,可以方便地集成用户自由认证或第三方认证。
6.2.5.3 ABC 客户端加密验证
按照安全部门的规定,新业务系统客户端需要实现一机一密的保护机制。
在虚拟应用服务器上,所有用户的 ABC 客户端软件、配置文件和密钥都是集中存放和管理,由后台管理员控
制,使用人员没有控制权限。因此需要在集中部署时满足每个用户的 ABC 客户端软件、设备号和密钥文件的对应
关系。
对于服务器集中部署模式,可以为每个用户做好固定的密钥,建立用户、设备号和密钥一对一关系。也可以
采用更加灵活的方法是,管理员申请一定数量的有效密钥,放在服务器上,供虚拟服务授权用户轮流使用。
6.2.5.4 外设支持
银行的柜台业务系统需要操作的外设包括金卡键盘、小密码键盘、票据打印机、宽行打印机、二代身份证识
别仪器,其中连接通道为串口、并口和 USB 口等。
在虚拟化平台上对外设的支持是通过操作系统端口重定向后,有虚拟化访问协议 Citrix ICA 提供虚拟通道实
22
现。
6.2.6 集中部署模式
所有的客户端软件,如图形前端 ABC、OFFICE 软件、FOXMAIL 和阅读器等,均部署在虚拟应用服务器上,
部署方式分为三种:手工安装(拷贝)、自动安装和应用流模式。
手工安装过程等同于该软件在客户端的安装过程,也包括一些绿色软件无需安装拷贝就可以使用。
自动安装是 Citrix 虚拟应用平台提供的功能,管理员只要在一台虚拟应用服务器上手工安装了软件,安
装管理器(Installation Manager)可以自动地将该软件的安装过程复制到其他服务器上,省去了其他服
务器上的手工安装工作。
应用流模式更加灵活,可以实现应用软件和操作系统之间没有安装关系,但同样可以运行该软件。管理
员只需要通过 Citrix 提供的流打包工具(Profiler),将该软件打成应用流包,然后放置在文件服务器。当
服务器需要运行该应用时,会自动从文件服务器上下载并运行。应用流方式只适用于部分软件,如果应
用有底层调用的时候不建议采用。
针对银行的客户端集中部署模式建议是:标准的 Windows 应用如 Office、IE 浏览器、阅读器等使用应用流模
式部署,以减少后台管理维护工作量。对于 ABC 客户端软件,由于无需安装只要拷贝就可以运行,建议采用强制
profile 模式自动拷贝,用户登陆任意一台服务器就会从缺省模板拷贝一份 ABC 客户端软件。
6.2.7 智能场景识别
从对前端业务系统的安全保护角度来看,虽然将 ABC 客户端从 PC 机上收到虚拟应用服务器上以后提高了业
务系统的安全性,但是如果 PC 机没有安装防病毒软件或者没有打上安全漏洞补丁,当该 PC 机访问服务器并进行
业务操作时,还是有可能会把安全隐患传染到服务器上。因此,当用户访问虚拟应用服务器时,虚拟应用服务器应
该具备识别该用户的终端设备是否满足安全要求的能力,从而决定该终端设备能否使用柜台业务应用。
虚拟应用平台可以识别访问的终端设备类型,以及是否安装了行内要求的趋势防病毒软件,并且细化到可以
识别出趋势防病毒的病毒库更新服务是否启动和有效等,也可以识别是否安装了行内要求的 Novell 终端管理软件
等。
出于对业务系统保护的需要,管理者可以制定对业务系统更加严格的访问条件,比如业务系统只能从办公室
访问(或某个楼层访问),或者只能通过某一类终端设备访问(比如某些应用只能通过瘦客户机而不能在 PC 机上
用等等),甚至某一类应用只允许某个时间段访问等等,就需要具备智能访问控制。
针对用户访问的场景的智能分析,包括:
• 接入角色分析,基于用户身份
• 接入设备识别,用户使用的是什么机器,什么操作系统
• 接入设备配置,用户的设备中是否有防病毒、软件、服务、外设等等
• 网络位置分析,用户来自于办公室、楼层还是家中、网吧
• 其他定制的安全扫描
23
基于扫描结果可以决定哪些应用可以访问,控制范围包括集中应用发布平台上发布的所有应用,以及每个应
用的操作权限如:
• 是否可以访问AB等系统
• 在AB等系统内是否可以打印
• 从文件中粘贴复制内容
• 上传和下载文件,保存到本地或者文件服务器
• 在线安全编辑(内存中进行)
6.2.7.1 业务审计录像监控
ABC 业务操作有被监控和记录的要求,虚拟应用发布平台的审计录像就类似柜台摄像头,在后台服务器上直
接将每个业务人员的在 ABC 系统中的图形化操作以类似录像的形式记录到文件中进行存储,管理人员可以按照权
限进行调用回放,象看录像一样回放某业务人员的业务操作。
录像监控的范围包括所有在集中发布平台上发布的业务应用,比如 ABC 系统,但并不监控业务用户本地的私
人行为。并且根据策略,可以选择用户操作前提醒其行为将被录像,也可以选择不提醒,直接录像等。
录像容量估算
根据测试,如果将一个用户连续工作一天的活动进行录像,所占用的空间约为 20-30M。
因此,按照每天 600 个并发用户连续工作 1 个月的存储需求,可以计算磁盘空间为 20M×600×30=360G。
6.2.8 虚拟应用发布平台管理
图形前端业务集中发布平台,不仅实现了应用的集中部署和管理,同时必须保证后台服务器的可靠性、可扩
展性和可管理性,具体功能如下。
集群能力
无论是用户访问,还是后台管理员的管理对象,都不是单台的服务器,而是一个单一的集群。否则随着应用
的增多和用户数的增多,对服务器的资源调度和管理将成为瓶颈。
图形前端业务集中发布平台的集群功能包括:
在操作系统之上建立集群平台层,管理员应用发布的设置和管理只需针对平台,而不需一台一台服务器
进行设置
通过集群平台可以提高整体后台的可靠性和可扩展性
通过集群平台可以有效地将工作负载进行分担,其负载算法应根据服务器的 CPU、内存、磁盘交换等多
种逻辑由管理员定义组合计算
集群平台可以根据用户身份进行会话重连,以实现跨客户端设备和网络的工作漫游
通过集群平台可以优化操作系统计算资源,如控制整体 CPU 计算能力按照用户均分,优化应用的内存
消耗等,以提高后台支持并发访问的能力
应用控制
24
应用发布平台能够实现应用粒度的控制,即各个应用可以在集群中独立发布,用户可以针对单个应用独立访
问。例如集群中 1 至 4 号服务器发布应用 ABC,5、6 号服务器发布 FOXMAIL 及 OFFICE 工具,7、8 号服务器发
布 IE 等上网工具,这样后台的管理更加灵活,1 至 4 号服务器可以专门针对 ABC 应用进行优化,而邮件和 IE 上网
等不会影响应用 ABC。另外可以控制应用运行的位置,如果用户使用 PC 机并在局域网内,可以允许 OFFICE 以应
用流模式下载并运行在客户端,以节省服务器计算资源。
图形前端业务集中发布平台的应用控制功能包括:
可以独立发布和访问应用,而不依赖于桌面
可以实现应用只安装一次,就可以部署到平台服务器上,无需在每台服务器上安装
可以控制应用的运行位置,如运行在服务器上还是运行在客户端
可以控制应用在服务器上的进程数,以防止单个用户运行大量应用耗尽后台资源
可以控制应用对外设的访问,如是否可以拷贝文件、是否可以打印、是否可以粘贴内容
可以解决应用兼容性问题,如将互相冲突的应用安装在同一台服务器上,以节省服务器资源
提供应用标准外设的支持以及非标准外设的集成接口
带宽控制
由于应用集中运行时,会话会持续消耗网络带宽,因此带宽控制能力,是后台支持并发能力的一个重要指
标。
图形前端业务集中发布平台的带宽控制能力包括:
每用户消耗带宽应尽可能低,例如 10K-20K
控制带宽的消耗,如设定每用户消耗带宽的 大值
能够细粒度控制传输数据对带宽的消耗,如分别控制打印数据、磁盘文件拷贝、声音数据等对带宽消耗
的 大值
提供网络硬件加速方案,实现诸如压缩、缓存和 TCP/CIFS 等协议优化,以进一步节省带宽,从而提高
用户在有限带宽下的应用体验
终端访问控制
由于用户的访问终端和环境各异,例如终端设备和 PC 机共存,而 PC 机的安全隐患较多,因此需要针对用户
的访问进行识别和权限控制。
图形前端业务集中发布平台的访问控制能力包括:
能够识别用户访问的终端设备类型
能够通过策略设置,即使相同的客户如果通过不同的终端设备访问到的应用不同,例如某些应用只有图
形终端能用,PC 机不能用等
能够通过策略设置,即使相同的应用如果通过不同的终端设备或网络环境访问时使用的外设不同,例如
在办公室可以打印,办公室外不许打印。
能够设别终端设备是否满足安全条件,比如是否安装防病毒软件等,如果安装了才可以使用某些应用,
后者才可以使用某些外设等
25
可视化监控
对服务器和客户端用户的使用进行监控,并提供可视化监控界面和报表,是集中应用发布平台的必备功能,
因为用户业务运行的压力全部在服务器上,用户的使用和后台服务器状态、操作系统报错、网络状况密切相关,能
否全面监控和管理,是所有用户正常使用的保证。
图形前端业务集中发布平台的访问控制能力包括:
提供平台健康状况监控的可视化仪表盘
自动收集所有服务器的系统事件报警和错误并统一通知管理员
提供相关的数据钻取帮助管理员定位用户问题
提供用户远程访问会话信息记录
提供用户体验记录,包括会话内部的事件记录(如连接过程、加载驱动、加载配置文件的详细过程和时
间记录)
提供系统管理的统计报表,如用户访问统计、资源消耗情况、网络延时统计、系统出错统计等
提供用户的远程工作监控和接管
6.2.9 总体配置图
32 位系统一般 大能使用的内存为 8G(2G 内核空间,6G 用户空间),通过虚拟服务器技术可以将 64G 内存
服务器虚拟成 8 个 8G 的 32 位系统。
因此将每一台物理服务器上的虚拟服务器分配为:DC(1G)一台,WEB(1G)一台,SQL/FILE(2G)一
台,XenApp 服务器(8G)7 台,如下图所示:
其中 XenApp 服务器自己通过集群实现负载均衡,Citrix 集群称为 Farm,每个 Farm 中的“Data Collector”负载
均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到
负载 轻的 XenApp 服务器上运行。
26
6.3 银行文档和源代码集中管理以及桌面虚拟化解决方案
开发中心集中的文档和源代码管理系统的解决方案可以分为以下几个构成:
• 银行的文档管理平台,实现文档的集中存储和管理
• 集中的源代码管理系统,实现源代码的管理和控制
• 通过集中部署的虚拟化应用,实现安全、集中的应用和文档访问
• 安全的,集中部署的虚拟桌面构架,以支持开发平台的各种开发工具的集中部署和运行
解决方案整体逻辑架构如下图所示:
6.3.1 银行的文档管理平台
对于统一的存储,可以建立集中的文件服务器,利用 Windows 文件服务及其内建的访问控制和磁盘配额功
能,实现基本的文件集中存储和分类管理。进一步可以利用 Microsoft Office Sharepoint Server 来进一步提供基于
Web 的全面银行文档管理平台。
6.3.2 集中部署的虚拟化应用,实现安全、集中的应用和文档访问
要对文档访问进行有效地安全控制,需要首先将数据访问客户端集中部署,然后通过权限控制发布给指定用
户使用,这样任何用户通过集中发布的文档访问操作就可以被有效地管理和记录。通过 Citrix XenApp 服务器集中
部署和发布文档阅读和编辑客户端软件,如 MS Office, 终用户可以使用习惯的客户端对集中存放的文档进行访
问和操作,就象平时在本机客户端操作一样,但是其访问权限,打印、拷贝、下载等操作权限都能够进行有效地控
制。
6.3.3 Citrix 安全的、集中部署的虚拟桌面架构解决方案
虚拟应用已经可以支持很大一部分开发工具的集中部署和发布,但是对于一些需要系统级权限和操作、和
Windows Server 平台的多用户环境不兼容的应用,可以使用集中部署的 Windows XP/Vista 虚拟机来搭建开发平
台。
Citrix 虚拟桌面解决方案能够为开发中心的用户提供安全的桌面开发环境。
27
6.3.4 开发中心虚拟桌面解决方案
为了保证研发设计代码的安全性,建议采用 Citrix XenDesktop 桌面交付技术来应对以上的挑战。Citrix 桌面交
付技术可以在数据中心集中化管理桌面,还可轻松实现安全防护及备份。然而,经常出现的同一生命周期管理问题
依然存在——IT 部门仍需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更新。另外,桌
面虚拟化还会带来新的挑战——尤其是会使用户的网络性能大大降低,使每位用户的桌面镜像网络存储成本大大增
加。
Citrix XenDesktop 桌面交付技术超越桌面虚拟化,可提供一种端到端的桌面交付解决方案。XenDesktop 可
动态按需产生虚拟桌面,用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。此
外,XenDesktop 采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。对于 IT 机构而言,
XenDesktop 可通过分别交付桌面操作系统、应用软件和用户个人配置文件,大大简化桌面生命周期管理并显著降
低拥有成本。
Citrix 桌面虚拟化服务器包含如下组件:
• Citrix Desktop Delivery Controller服务器: 以下简称Citrix DDC服务器,对用户的登录请求进行认证,授
权用户可使用某一个用户桌面。
• Citrix Provisioning Server: 将用户的操作系统、应用软件、个人配置文件分离,采用流技术,将用户桌
面按需提交到用户。Provisioning Server节省了IT管理人员的时间和金钱,并减少部署服务器补丁、更新
和升级时的失误。 当需要打补丁或进行升级时,Provisioning Server的功能使IT能够复制现有的虚拟工作
负载镜像,进行必要的更改,并使所有关联的服务器都能在重新启动时随之发生变化。 如果出现问题,
可以回退到以前产生的镜像,仅需简单重新启动并回流到以前产生的镜像。
Citrix 桌面交付实现方式如下:
员工利用现有计算机,以 Web 或客户端方式登录 Citrix DDC 服务器,节约当前用户计算机的投资。
Citrix DDC 服务器提交认证请求到后台域控制器。认证成功后,工作站按需从 Citrix Provisioning 服务器获取标
准 Windows 桌面、应用软件、用户个性配置文件。用户个性配置文件及新建的设计图纸等文档,都集中存放于网
络存储中,简化文件的管理;标准 Windows 桌面映像只需要一份,同时提供给所有用户使用,这可节约大量的存
储空间。
Citrix DDC 服务器通过 ICA 协议提交工作站上的桌面到 终用户,用户就像使用本地计算机一样方便。
28
用户与 Citrix DDC 服务器之间的会话采用 ICA 协议,只传输屏幕信息、键盘、鼠标指令等,只占用少量的网
络带宽。
整体示意如下:
Citrix 桌面交付主要特性及优点
• 卓越的用户体验
按需桌面:用户每次登录时都会动态产生一个虚拟桌面,从而确保性能不会降低 SpeedScreen™:任何
网络条件下都能提供 快速的桌面性能
快速开机:数秒内便能访问虚拟桌面
通用打印机驱动:为用户提供快速一致的打印体验,对于 IT 部门而言可简化打印机管理和支持
EasyCall:实现简单的点击呼叫语音通信
• 简单的桌面置备和管理
桌面镜像管理:使 IT 可以通过一个单一镜像集中化管理多个虚拟桌面
按需镜像置备:创建或取消置备虚拟桌面,不仅优化资源利用,而且用户每次登录时都能获得一个干净
的操作系统
• 桌面存储优化:使数百个虚拟桌面可以从一个单一桌面镜像启动,从而减少“桌面镜像蔓延”,可节省高
达 90%的存储费用
虚拟机基础架构:提供一种基于准虚拟化的 64 位系统管理程序,实现虚拟桌面集中存管的可扩展性和
经 济实惠性
6.3.5 可靠的桌面访问管理
• 桌面分配:为用户群创建虚拟桌面池,或为特定用户提供个性化桌面
• 会话管理:虚拟桌面连接和会话状态
• 会话可靠性:确保用户即使通过高延时或低带宽的网络连接也可继续工作
• 高可用性/故障恢复:在避免产生单点故障的情况下让用户能够访问其虚拟桌面
• 安全远程访问:使远程工作人员和加班人员能够采用其它设备从公司防火墙之外的地点访问其虚拟桌面
• 桌面优化和支持
29
• 桌面性能监测:通过对实时和历史监测数据进行跟踪,主动确保用户始终获得 佳的性能
• WAN优化:采用服务质量(QoS)机制来提升广域网(WAN)性能桌面支持:使技术支持人员能够查
看用户屏幕、开展对话、传输文件,从而快速解决问题
6.3.6 广泛的桌面交付生态系统
• 桌面设备:新型终端设备可提供 佳的用户体验和立即可用的互操作性
• 支持广泛的系统管理程序:提供与思杰、微软和VMware等任何VM基础架构的互操作性和集成能力
• 支持刀片PC:采用基于刀片PC的虚拟桌面,为用户提供高性能的专用计算资源
• 支持异构客户端:使用户在终端设备选择上具有更大的灵活性,支持Windows、Linux、Mac和智能手
机等操作系统
• Citrix Ready产品:确保与桌面设备、服务器、存储和管理软件的互操作性
6.3.7 业务系统的发布
针对各种应用客户端软件不同类型的发布方法不同:
1. B/S应用,直接在管理控制台上发布IE浏览器,设置业务系统的访问URL地址,可以对IE 进行定制以增
强其安全性(如隐藏地址栏,禁止用户访问其他地址等)。
2. C/S应用如果无须安装,直接拷贝到服务器,发布其可执行文件。
3. C/S应用如果需要安装,在服务器上安装后,发布其可执行文件。
4. C/S应用如果需要额外安装数据库中间件等,正常情况安装后可以运行,则发布软件的可执行程序即
可。当多个软件需要的环境冲突时,如需要数据库客户端的不同版本,Citrix平台提供了应用隔离和流技
术,先将该软件和数据库安装在AIE中,或者打成Streaming包,再在管理控制台上发布即可。
6.3.8 桌面和应用集中发布平台的优势
集中发布、高效管理:
通过 XenApp 将所有客户端软件部署在银行数据中心,IT 部门管理员日常工作只需要管理数据中心的几台
XenApp 服务器,就可以管理和控制所有使用者对应用的访问;明确各使用者的权限,系统管理员或决策者有权单
点控制整个系统的进程、资源、状态等,并且通过 XenApp 的智能审计进行用户操作录像,可以有效记录和控制应
用软件的进行。
快速部署、缩短项目周期:
由于应用系统客户端现在只需安装在 Citrix XenApp 服务器上,因此一系列的远程客户端安装、配置、调试工
作得到简化,原来需要一两个月、跑来跑去、重复进行的工作,现在只需一两个星期、甚至几天的时间就能完成;
99%的项目工作全部在银行总部完成,没有任何风险。
极大减少客户端的维护:
由于下面的员工或是合作伙伴、供应商等,并没有实质性接触到应用的升级、维护、故障处理,维护工作就
30
由“面”缩小到“点”,尤其是地域分布较广的用户,将深深体会到原来繁重的维护工作量变得简单轻松。
企业原来花费在 IT 远程维护的时间大致占用 30%~50%,甚至更多;现在通过 Citrix 部署,这部分时间完全可
以节约下来。
获取 大的 IT 投资回报:
ICA 客户端软件对硬件要求低,即使一台 386 也能通过 ICA 去“运行”各种应用。
在 Citrix 解决方案中,客户端的使用周期延长了 3~4 倍。
通过 Citrix XenApp 部署,网络带宽要求大大减少;用户可以节约大量专线租用成本,成倍降低 IT 部门维护费
用。
高效利用网络带宽:Citrix ICA 平均带宽消耗 10~20Kbps/并发访问
ICA 协议的一个显著特点就是尽力减少网络传输量,即使在低带宽下也能达到满意的性能。平均 10~20Kbps
带宽,很多客户端用户利用电话拨号 Internet 就能实现远程应用,节约了大量的专线成本,提高了系统处理效率。
系统安全性、工作效率高,通过策略灵活控制访问
由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分,没有任何数据传递;数据、缓
存、Cookie 等等全部在中央受限的环境中控制;另外 ICA 协议还含有多种加密技术;客户端的操作感觉虽然就像
在本机操作一样,但未经权限许可,不得擅自修改、备份、拷盘、打印等。通过应用发布的方式,员工只能使用本
岗位的应用程序,而不能打开其他的应用软件或数据信息。
支持跨平台混合环境:支持的客户端类型>20 种 → 任何设备都可以访问
各种基于 Windows、DOS、UNIX、Linux 的 PC、Macintosh 机、手持电脑(HP Jornada、Compaq
Cseries)、OS2、Windows 终端(如四通协同网络计算机)、机顶盒设备(BocaVision STB121)以及无线设备
(Pocket PC PDA)等,都能够应用于 Citrix 方案,访问到 Windows 或 UNIX 系统下的各种应用程序。
轻松实现基于 Web 的发布和访问:应用 C/S 架构 → B/S 架构只需 1 分钟
能够把应用程序直接“嵌入”到用户的 Web 页面上,而不需重新编写一行程序代码,是通过浏览器运行应用程
序的 佳解决方案,既承袭了 C/S(Client/Server)结构的软件资源和用户经验,又进一步发挥了 B/S
(Browser/Server) 结构的集中控管优势。基于 Internet 的架构和技术,Citrix 拓展了更广泛的技术范畴。
保证无间断的商务运作:保证关键业务随时随地都可以被远程访问
Citrix 通过保护关键的信息和应用,提供对业务资源的互联网门户接入,终端用户不用等待所有网络功能或办
公设施的恢复,只要有能够上网的设备,就能照常使用关键应用程序进行关键业务的处理,从容应对各种人为或意
外的灾难或中断。
倡导“系统总体拥有成本”的理念:一次性投资,终生回报
银行信息化系统的成本计算应该与周期挂钩,因为很多费用往往发生在后期的维护与追加投入上,
经过验证,采用“应用 + Citrix 整体解决方案”的系统,在一年的时间里能够比原来的系统节省
20%~40%,随着时间的延续,这种比例将会越来越大。节约下来的成本用于银行对新技术的投资,符
合银行不断增长的业务发展。
31
6.4 银行办公网统一对外访问解决方案
6.4.1 需求分析
很多银行现有的办公网络中有大量可访问互联网的客户端,如 PC,笔记本等。当互联网上安全威胁日益严重
的今天,如何既能保障银行网络的安全,又能使 终用户能安全便捷地访问互联网信息,是 IT 部门必须解决的问
题。
同时,随着银行 IT 网络安全建设的加强,银行内网的安全分区也越来越多,越来越细。如何能安全地、可控
地访问位于不同安全网络分区内的应用,也是 IT 部门必须考虑的问题。
综合起来,其需求可以归纳为:
1. 让内网的终端用户可以方便高效地访问安全隔离的其他网段的资源和应用,如互联网。
2. 可以使用诸如浏览器,邮件客户端,即时消息等常用的互联网应用,访问互联网资源。
3. 可以使用 Office 等常用软件对互联网获得的文档和发往外部的文档进察看和编辑等操作。
4. 访问互联网时,能保证互联网与银行网络的隔离,以保证互联网上的病毒、木马等安全威胁无法影响银
行内网的终端。
5. 能有效地对整个平台及用户进行集中的管理、监控和审计。
传统的解决方案是通过访问权限控制、防火墙、入侵检测、防病毒软件及行为审计等技术手段,对用户的上
网进行控制,并对来自互联网的诸如病毒、木马等各种安全威胁进行检测和消除。但是这样的解决手段不但实施复
杂,管理成本高,其效果也不尽如人意。大量的银行,尽管实施了种种的技术手段,但是仍旧无法从根本上解决隐
患。
另一种解决方法是严格地将内外网隔离,但这样限制了员工访问访问互联网信息的能力。对于很多业务上必
须访问互联网的员工,这会严重影响业务,也是无法接受的。
6.4.2 Citirx 解决方案
6.4.2.1 总体架构
Citrix 的解决方案从体系架构上改变了这一切。解决方案采用集中式互联网访问平台的模式,通过基于应用虚
拟化的应用程序交付平台,将互联网的各种应用集中地部署在一个统一的受控的安全分区,然后通过 Citrix 的应用
交付技术,将应用安全地交付到银行内部客户端。从而,既实现了互联网应用的访问,又从根本上控制和断绝了内
网客户端和互联网的数据交互,从而保证了内部网络的安全。
通过 Citrix 的应用程序发布平台,集中部署和发布各种互联网客户端和软件(如 IE,MSN Messenger),这
些应用无需作任何修改。整体构架上增加了 Citrix XenApp 服务器群组。IE,MSN 等应用集中安装在 XenApp 服务
器上,而不是 终用户的 PC 上。而 Citrix XenApp 服务器部署在可访问互联网的单独的安全分区中,从而保证互
联网访问平台与银行内部网络的隔离和安全分区。其整体构架如下图所示:
32
而所有用户使用经 XenApp 发布的互联网应用,无需安装应用的客户端软件。用户可以通过瘦客户端,或者
PC 上的浏览器等等,就可以使用发布的 IE、msn 等互联网应用(浏览器第一次访问时会自动提示下载安装一个几
兆大小的 Citrix ICA 插件)。多用户同时访问时,由 XenApp 管理和运行应用客户端软件的多进程访问,并控制向
不同用户发布的权限。
同时所有客户端和 XenApp 服务器之间传输的数据都进行了加密保护,并且配合 XenApp 的智能访问,可以实
现用户的访问场景识别,能够更加严格地限制用户对网络的访问。平台还提供了强大的监控和审计功能,客户端的
操作不仅可以被管理员实时监控,还可以进行屏幕录像并长期保存,以实现行为审计。
6.5 银行卡应用统一发布管理平台方案
6.5.1 需求分析
一直以来,在某些银行信用卡部的全国直销办是卡中心 IT 管理的盲区。
网络安全问题 全国直销办地处全国各地,无专门的 IT 管理员负责当地的网络安全,网络设备可以说直接暴露
在外面,如不采取措施任何人都可以将一台电脑连入卡中心的网络、扫描卡中心的网段、尝试登陆卡中心的各类服
务器,严重威胁到卡中心的信息安全。与此同时,全国直销办都是通过 ADSL 拨号接入卡中心网络,在信息的传送
过程中,已采取了 VPN 通讯隧道加密技术,但如果在此基础上再建立加密的 ICA 隧道,安全性就有了双重保障。
直销办信息安全问题 直销办人员流动频繁,素质参次不齐,PC 操作员安全意识不强,离开电脑没有锁屏,
USB 端口开放,任何人都可以将 U 盘插入到 PC 操作员的电脑中拷贝重要的用户资料。所有的 PC 客户机操作员
都拥有管理员权限,存在客户信息有意(人为)或无意(电脑感染黑客病毒)地将通过总行的代理上网服务器被泄
露出去的风险。信息录入员打印出自己编制的客户信息清单以供校对,存在打印效果不好的涉密文件被扔入废纸篓
的风险。部门间打印文件的交接都是手工操作,如一方保管不当也很容易造成客户信息遗失。纸质客户信息的编
制、打印、传递、保管、存档也不可避免地存在客户信息可能被泄露的风险。直销员用自己相机拍摄的用户影像资
料在交给主任管理员前 ,任何人都无法保证直销员是否会把 SD/CF 可借用给别人或自己留一份备份,在这种情况
下客户信息基本处于失控的境地,所有的行政手段或业务规程在这些安全隐患面前显得苍白无力,无法达到有效的
防控目的。
工作效率问题 全国直销办事处由于历史原因一直处于卡中心内部局域网管理之外,与卡中心的联系一直以来
都是通过邮寄或传真的方式进行,存在严重的信息滞后问题,长期以来制约着卡类营销工作的开展。所有用户信息
的获取还是要靠卡中心业务部门提供,给业务开展造成极大的不便,工作效率大打折扣。 主要的原因是许多客户
33
信息需要到生产系统平台上获取,利用以往的 IT 技术不能进行生产、办公网段的安全隔离,而采用 Citrix 产品可以
很好地同时解决业务需求和两网安全隔离问题。
6.5.2 Citrix 解决方案
链路安全:通过在 VPN 远程加密接入的基础上建立客户机与应用发布服务器独立的 ICA 加密通讯隧道,保证
了直销办与卡中心数据通讯间的信息安全。
双网隔离:Citrix 产品利用防火墙技术,在生产网段 Citrix 服务器与办公网段某个指定的 VLAN 间开放特定的
80,443(加密端口),1494,2598,四个端口,即满足了用户跨网段的应用需求,又阻断了其他形式的未授权
访问。
数据安全:采用 Citrix 技术后,所有用户信息均保存在卡中心的 NETAPP 存储上,本地 PC 可以不保存任何客
户数据,从而在数据存储方面杜绝了信息的泄露可能。
通讯优化:WLAN 接入方式与 LAN 接入方式技术模式完全两样,链路带宽也天差地别,Citrix 产品的优势就是
在低带宽(通常界定为 1M 以下)的模式下获得 好的用户操作体验,提高了直销办人员的工作效率。
举例:以一个直销办 20 人为例,并发运行 Citrix 服务器发布的 WORK2003 程序,每个并发占用 16K~20K 的
带宽,由于打字屏幕变化不大,实际情况可能是 16K 都不到,而一旦用户端做全屏刷新,则每个连接有可能达到
20K 左右,经过简单的计算不难得出以下结论:20 个并发应用占用 400K 的带宽,在 512K 通讯带宽条件下可以满
足用户的操作体验。
高可用性:利用 Citrix 负载均衡技术可以动态、均衡地将接入用户分派到不同的后台 Citrix 应用发布服务器
上,即使用户与后台 Citrix 服务器的连接发生短暂的中断,当用户连接重新建立后原有编辑的文档或打开的画面依
旧存在,不致于让用户重新来过。这对 Citrix 应用发布服务器下线维护是很有帮助的。
6.6 银行内网系统安全远程登录解决方案
6.6.1 用户现状及面临的挑战
• 原有的内网应用通过Citrix XenApp发布到公网,需要更安全的远程访问方式保障安全。
• 由于客户端对于XenApp的访问通过Citrix私有协议ICA,其他的SSLVPN产品不识别ICA协议,因此如果
使用其他品牌的SSLVPN设备,必须安装SSLVPN客户端,通过打通SSLVPN网络通道跟内网的XenApp
服务器交互,不符合他们的设计初衷。
• 不能实现SSLVPN和XenApp的单点登录功能。由于需要使用客户端证书+AD认证的双因素认证,需要多
次输入PIN码和AD用户名密码。
针对以上问题,客户需要:
• 使用SSLVPN设备作为安全的远程访问方式。
• 实现客户端证书+AD的双因素认证方式。
• 对于只访问XenApp的用户实现SSLVPN+XenApp的单点登录,避免多次输入PIN码和AD认证用户名和密
码。
34
• 对于只访问XenApp的用户,无需安装SSLVPN客户端。
6.6.2 Citrix 解决方案
示例拓扑图
如图所示 :两台 Netscaler AGEE 的 SSLVPN 设备放在防火墙的 DMZ 区,提供 HTTPS 的远程访问接口。
6.6.3 特色技术描述
• Citrix Netscaler AGEE集成了ICA协议,可以作为ICA的Proxy,实现AGEE和XenApp的单点登录功能,无
需多次输入用户名密码或证书PIN码。同时,由于AGEE集成ICA协议,可以直接和XenApp交互,无需打
通SSLVPN网络通道,因此客户端无需安装AGEE客户端软件,减少SSLVPN客户端的维护工作。
• 独特的Policy Engine可以方便各种授权等权限和功能设置。菜单式选择策略方式友好方便,且设置粒度
精细。
35
6.6.4 主要效益
• 保证内网应用的远程安全访问。
• 单点登录方便快捷,提高使用者工作效率和良好体验。
• 免SSLVPN客户端安装减少维护工作量和成本。
• 提高客户的投资回报率
6.7 商业银行分支机构快速扩张和部署解决方案
6.7.1 背景
目前,很多商业银行正致力于跨区域发展。这些银行积极推进管理创新和金融技术创新,努力打造公司银
行、零售公司、个人银行、信用卡、金融市场五大利润中心,实现利润来源多元化。随着银行网点的快速扩张,及
各项业务的开展,业务需求对 IT 应用和 IT 基础构架的要求也越来越高。不但要求 IT 系统的各应用能够快速满足各
种新业务的要求,对于网络安全、管理等基础构架也带来了更高的要求和更大的压力。而且,由于银行的快速扩
张,IT 部门的人手也严重不足,进一步加剧了矛盾。
所以需要有一个系统的解决方案,帮助这些银行的 IT 部门来应对这一系列挑战。
6.7.2 需求
为了应对这些挑战,银行的 IT 构架需要解决以下几个关键的问题:
支持分支机构快速扩张的基础构架 因为短期内分支机构的快速扩张,需要有一套 IT 构架,能够适应这样速
度的扩张。能够在 短时间内,快速建立新的分支机构的 IT 环境的部署。同时系统要能够有良好的可扩展性来支
持日益增长的系统容量。
解决终端和应用的管理和安全问题 由于存在大量的分支机构,终端网点的客户端的安全和管理问题的矛盾也
越来越突出。由于网点终端分散于各个网点,加上网点的 IT 管理力量薄弱,对于这些终端的维护和管理的挑战性
十分大。采用传统的 PC+本地安装客户端模式,初始安装和配置需要大量的工作量。日后的应用升级、维护,往
36
往需要 IT 管理人员访问现场,其速度和成本也非常高。同时,如何保证这些分散的客户端的安全也是需要重点考
虑的问题。在生产网络中,任何一台受到病毒或木马感染的客户端,都可能直接影响到整个网点,乃至整个生产网
络的正常生产。同时,如何保护重要应用中的敏感信息的保密,也是需要着重考虑的问题。
跨安全分区访问业务应用 由于银行网络安全要求的特殊性,其网络往往划分为多个相互隔离的安全分区,如
办公网,开发网,生产网等。多个安全分区之间用防火墙互相隔离。但是由于不少业务应用,需要跨安全分区进行
访问,这就需要在防火墙上打开相应的端口。由于应用对通信和端口的要求千变万化,而且随着应用的构架变化和
版本升级,往往防火墙规则也需要做相应修改。这样不但增加了管理负担,而且也带来了一定的安全隐患。
分支机构访问应用的速度问题 对于分支机构,不但存在终端和应用的管理问题,应用的访问速度也是用户十
分关注的指标。由于银行的应用绝大部分采用集中的后端,及越来越多使用 B/S 构架,其操作响应速度往往不够
理想。这就要求新的解决方案能够很好地优化分支机构的用户对各种应用的访问和响应速度。
安全的开发环境 银行的开发部门由于银行的业务特殊性,对开发环境和文档管理环境的安全性要求较高。而
由于银行业务的飞速拓展,银行开发项目中,往往还会牵涉到很多第三方公司和外包项目。这对开发系统的安全构
成了极大的挑战。需要有一套环境,能够让开发项目的员工及外包员工,能够在受控环境下,进行相关应用的开发
和调试,同时能有效保护应用代码及银行数据的安全。
要应对以上的这些挑战,采用传统的 PC 机加管理软件的方式,不能完全有效地解决这些矛盾。通过 Citrix 应
用交付中心的解决方案,是客户端系统和应用管理方式的变革,能从另一种思路来解决这些安全和管理的问题,达
到传统方式无法达到的理想效果。以此使银行的客户端和应用管理水平迈上一个新的台阶,能适应银行业务快速拓
展的需要。
6.7.3 问题分析
银行终端和应用的安全和管理的挑战是使用传统计算模式情况下,非常普遍的问题。由于 PC 的特点,PC 终
端的安全和管理一直是业界困扰的问题。
6.7.3.1 传统模式的弊端
下图是传统的计算模式构架图:
从传统构架来看,有这样几个特点:
1. 客户端需要在终端部署,初期安装以及后期维护工作量巨大。维护成本高。
2. 由于应用客户端直接部署与终端,业务数据会直接在数据中心到网点的网络中进行传输。
37
3. 由此,为了满足传输的安全,必须对传输的数据进行加密,以防被截获。加密一般通过应用本身的设计
或者使用专门的网络层的加密设备,如 VPN 等来实现。
4. 此外,大部分应用还会将数据缓存与客户端的本地。在本地的数据也需要加密和访问控制,才能保证数
据的安全。
5. 要实现从传输过程,到本地数据的安全和保密,对应用的要求很高。很多应用并没有对数据的安全性作
很好的考量。改造应用,或者通过其他产品来实现加密等,实现非常困难,安全漏洞很多。
6. 应用直接部署于客户端,也使应用客户端本身暴露于分析、扫描、反向工程、破解等等各种安全攻击的
威胁下。
7. 对于跨安全分区的应用,每个应用,都需要分别配置防火墙上的策略。打开过多的地址和端口,也对安
全造成一定的影响。同时,一旦应用服务器的部署有所变化,也需要对策略作相应的调整,非常不灵
活。
8. 由于很多应用没有对远程网络访问进行优化,导致应用访问速度非常不理想。客户体验差,影响工作效
率。
综合起来看,传统模式由于其分散的本质,及客户端应用和数据直接存于远程的终端之上,管理复杂,要保
证其安全十分困难。其面临的安全攻击面较高。
传统解决方案必须从传输,保存,端点及运行环境等各个环节都保证安全,所以有了防火墙,终端管理软
件、终端防病毒软件、入侵检测、网络加密设备等等各种解决方案和产品。其实现安全的代价高,效果往往仍不理
想。
所以,一味地从传统方案入手,而不改变其构架,问题隐患并没有从根本上得到解决。
6.7.3.2 Citrix 模式带来的变化
我们来看一看 Citrix 的方式,如何通过改变整体的计算构架,来使整个问题的解决变得简单化。
Citrix 模式的核心是:
1. 在数据中心集中部署应用客户端。
2. 使用桌面/应用虚拟化技术,使集中部署的应用能在各网点的 PC 和瘦客户端上使用。
下图是使用 Citrix 模式带来的变化
38
从 Citrix 的模式,可以看到有以下几个变化及特点:
1. 应用客户端集中部署于位于数据中心的 Citrix 服务器上。终端设备上无需部署应用。由此,可以实现应
用管理的集中化,大大减轻分支机构终端和应用的维护压力。
2. 由于应用客户端不在终端直接部署,在终端对应用客户端进行扫描、破解、反向工程等攻击基本不可
能。
3. 由于应用客户端在数据中心,所以原始业务数据的传输也只在数据中心的范围内。数据中心的网络安全
性一般能有保障。
4. 在数据中心到终端网点的网络中传输的是经过 Citrix 协议加密的屏幕刷新和键盘鼠标操作等信息。该数
据很难被截获破解,即使被截获破解以后,其提供的信息也十分有限。能十分好的保护原始数据信息。
5. 应用客户端的本地数据存储实际存于数据中心的服务器,其安全性也能得到保证。
6. 由于客户端集中部署于数据中心,其与后台应用服务器之间的连接速度良好,从而,使应用的反应速度
有所保证。而从 Citrix 服务器至用户客户端,使用的 ICA 协议,对于各种网络环境,特别是低带宽、高
延时的网络有良好的优化。从而使远程的分支机构,访问应用的速度和用户体验大大增强。
7. 对于需要跨安全分区访问的应用,以往,不同的应用需要开放不同的 IP 地址段和端口,现在,只需要配
置从客户端至 Citrix 服务器的策略即可。即使应用改变,也无须改变防火墙策略。
总结来说,由于传统模式客户端直接访问后台时,之间传输的数据是真实的银行应用数据,该数据会被缓存
在用户本地或在传输中被截获,这些都是不安全因素;而用户访问 XenApp 服务器时,之间传输的是屏幕增量变化
信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的业务
操作和数据比直接截获业务数据困难上千倍。
因而可以说是用 Citrix XenApp 平台后,数据总是存放在 安全的地方。XenApp 带来的 大益处是采用应用
虚拟化方式阻止数据任何时候离开数据中心。由于其集中的构架,带来的安全的优势十分明显。
6.7.4 解决方案整体构架
6.7.4.1 解决方案整体构架
根据银行的需求,建议采用 Citrix XenApp 来构架一个集中的应用发布平台。通过使用集中计算的构架模式,
来面对安全和管理等问题。
下图所示为解决方案的整体构架示意图:
39
其构架特点:
1. 前端用户使用瘦客户端,或普通 PC 等设备,通过访问 Citrix 统一的应用发布平台,来运行特定生产应
用及 OA 系统。
2. 这些应用的客户端统一安装于 Citrix XenApp 平台,实现统一的安装和管理。
3. 经发布的应用无需在前端客户端部署和维护。
4. 数据中心到客户端的通信是加密的,敏感信息只存放在数据中心,不存与客户端上。
5. 使用 AD 来实现统一的用户认证和授权。
6. 后台的应用构架不变,无需对现有应用进行改变。
经 Citrix 平台发布的主要应用:
• 开发平台源代码管理系统
• OA系统
• 信用卡业务部各常用业务系统
• 国际业务部常用系统
• 个人征信系统
• 反洗钱核查系统
• 第二代身份证核查系统
• 等等
6.7.5 Citrix 方案总结
总结来说,通过 Citrix 应用交付中心解决方案,为银行建立了一个可以集中,安全发布各类应用的平台。通过
该平台,建立起了一个安全、高效的应用交付基础构架。
通过该构架,可以有效解决了银行以下几大类问题:
• 一个可以有效支持分支机构快速扩张的应用交付基础构架
• 大大提高分布式应用的数据和网络安全,特别是在分支机构的数据安全
• 大大简化需跨安全分区访问的应用的部署复杂度,简化访问策略配置,提高安全性
• 提高分支机构、远程用户对应用的访问速度和体验
• 实现安全的开发环境
6.8 网银在线交易平台解决方案
6.8.1 网银在线交易平台的特性
40
随着互联网和电子商务的发展,越来越多的银行客户喜欢在网上操作银行业务, 因此,在各大银行中,网上
银行的建设都是重中之重的一个系统。并且,作为一个对Internet 开放的电子渠道,在网上银行建设中会面临各种
复杂的问题。
随着银行的固有业务也在逐渐地走向互联网,这就使网银也必须具备互联网行业的一些特性,比如:应用的
快速响应,网站的安全性和网站运行的可靠性等。
但是,网银其特殊的业务模式同时也决定了网银自身的一些特殊属性。网银属于交易查询类网站,由于网银
业务涉及到个人信息和财产等敏感信息,因此其必须采用一种加密协议来为HTTP 应用做认证和加密,一般使用
SSL 协议。网银必须对登录者的身份进行严格的审查,由于网银业务涉及到“金钱”,所以会招致一些“假冒者”或是
“盗用者”的光顾,因此网银通常会对登录者进行三次验证,不仅仅需要登录账号的验证,还需要进行证书验证,更
需要将登录账号与证书的DN匹配验证。
目前随着网银的普及率的提升,网银平台自身也暴露出其性能低下、效率不足的的问题。
6.8.2 网银在线交易平台遇到的问题
网银深入互联网,与互联网结合来为客户提供更方便、更优质、更及时的服务。但是和互联网一样网银也面
临着和互联网一样的问题。我们下面从两个方面讨论:一个是网银自身业务特性所面临的问题;一个是互联网面临
的问题。
6.8.2.1 网银业务特性面临的问题
由于网银业务特性的需要,网银需要大量的HTTPS(HTTP+SSL)的应用。众所周知SSL协议属于高强度加解
密运算协议,它的好处是可以将明文的HTTP 等应用变成安全的HTTPS等应用,达到用户验证和数据保密的作用。
但是SSL 协议所带来的负面影响就是CPU的负载和加解密带来的延时,这些影响会直接反映到服务器的使用率上
和间接的反映到用户的使用体验上来。
那么如果只使用SSL加速产品是否就能解决此类问题了呢?答案是不能完全解决。传统SSL加速设备会将SSL
在应用前端之前卸载,然后将明文发送给应用前端也就是WEB服务器。这样虽然可以解决了服务器SSL 处理性能
的问题,却忽略了网银另一个自身业务的特性——“三次验证”。使用传统SSL 加速产品第一和第二次验证都没有问
题,但是第三次的验证就会出问题,因为SSL 在WEB 服务器之前就被卸载了,WEB 服务器是无法获得用户证书信
息的。这种情况对于网银来说是绝对不能出现的。
另外,对于安全级别要求很高的网银需要所有数据在传输过程中都要加密,这就需要既做SSL 加速,也要同
时与后台WEB 服务器建立SSL。这就会产生矛盾了,既然前后都要建立SSL,网银还需要SSL加速产品吗?
6.8.2.2 网银面临互联网的问题
互联网的应用日益广泛,涉及面也越来越广,从早期的门户网站,到具有实体意义的交易类网站;从看看新
闻、娱乐、潮流,到买生活用品、转账、还信用卡。这都表明互联网对我们日常生活的影响越来越大,慢慢成为我
们生活中的“必需品”。
由此而来对互联网的要求也就越来越高,而对于网银来说也是一样的,用户随时随地都有可能进行在线交易
和查询,这就需要我们的网银24 小时不间断运行,那么可靠性就成为了网银必须能够保证的。
41
用户是永远“自私”的,每个用户都希望自己的交易和查询能够第一个被受理,就和在银行窗口办理业务时的心
态一样。这就需要我们的网银处理的速度要快,能够及时的响应客户端,那么应用加速就成为网银必须要做工作
了。
但是对于WEB 应用的基础架构B/S,其暴漏出客户端大量的短连接、应用逻辑集中在服务端、服务器利用率
低、负载过高等不足也严重影响着WEB 应用的性能。
6.8.3 网上银行系统结构规划
在大型银行的数据中心建设中,通常设计为2个或两个以上的数据中心,数据中心之间采用Gbps以上高速连
接。
根据银行的网上银行发展战略的不同,通常情况下,网上银行的系统建设分为两种部署结构,初期建设时采
用单站点结构,在进一步完善的时候采用多站点结构。
6.8.3.1 网银业务特性面临的问题
1. 大量的SSL交易会让WEB服务器不堪承受,为了释放服务器压力,更大更合理的利用服务器资源来处理
WEB 应用,Citrix Netscaler通过专业的SSL 硬件加速芯片和SSL 处理机制为网银提供 大28000+tps的
SSL交易量。
2. Citrix Netscaler通过AppExpert 策略引擎和RewriteHTTP 报头重写,将客户端证书中的所有信息或是整张
证书插入到发往WEB 服务器中的请求报头中。来帮助网银WEB服务器在SSL卸载后依然可以获得客户
端证书信息进行第三次用户身份认证。
3. Citrix Netscaler通过4-7层负载均衡技术,可以实现前端SSL 卸载后,依然可以与WEB服务器建立SSL会
话,并且SSL会话的加密强度是可调节的;同时通过Request Switch 技术可以实现将前端客户端大量的
短连接的请求,复用到Citrix Netscaler与WEB 服务器建立的永久连接中。从而帮助网银既解决大量的
SSL 高强度运算,同时保证所有交易数据在传输过程中都是加密的。
42
6.8.3.2 网银面临互联网的问题
1. HTTP 协议由于是非session 化协议,因此其造成大量客户端发起的TCP 短连接,而服务器必须要花费
很多系统资源来处理这些连接。Citrix Netscaler通过Request Switch技术能够实现TCP 连接复用。将客
户端的连接终结,并将客户端请求复用到Citrix Netscaler与WEB 服务器建立的永久连接当中。从而降低
服务器处理TCP建立和拆除的工作,提升服务器处理应用的效率。
2. 网银为了分担客户端压力,会在应用前端部署多个WEB 服务器,甚至多个相同站点。Citrix Netscaler通
过4-7层本地负载均衡技术,来帮助多个WEB服务器均摊压力,与传统负载均衡不同的是,Citrix
Netscaler是真正意义上的负载均衡,因为它负载的是应用(Request),而不是传统意义的TCP 连接。
同时3-7层的服务器健康检测能及时检测到应用状态,引导客户端访问当前可用的服务器上;
Citrix Netscaler 通过4-7 层全局负载均衡,来帮助网银多个相同站点之间压力协调。同时每个站点的Citrix
Netscaler通过MEP私有协议,来互相告知各自站点当前的状态,引导客户端访问当前响应 快的站点上。
6.8.4 Citrix Netscaler 帮助实现网银业务的高效,可靠和安全
经验证的应用效益
Citrix 联合主要的应用合作伙伴在实验室对NetScaler 配置进行了测试,验证了应用性能增益。NetScaler 可将
Web 应用性能加速高达5 倍。使用高级优化技术如动态缓存时,或者当网络延迟或数据包丢失增大时,性能增益
会更高。
加速Web 应用
加速Web 应用性能为银行带来了直接的效益:提高员工生产效率,增强与现有和潜在合作伙伴的通信,并
提高客户满意度。
Citrix NetScaler 提供了多种技术来加速服务器到用户之间的Web 应用交付:
Citrix. AppCompress™ 在将数据传输给用户之前对数据进行压缩,减少了经网络传输的数据量和发送数据
所需的往返次数,从而改善了响应时间,降低了带宽消耗。
Citrix. AppCache™ 可通过NetScaler 系统直接交付静态和动态应用内容,而不需要经过应用服务器,让Web
和应用服务器避免了重复创建和处理相同的内容。
TCP优化技术 可提升所有TCP 通信的效率,有效提高了整个网络基础架构的应用性能,应用用户可获得更快
的响应时间。
43
扩展应用基础架构
除了能加速应用性能,Citrix NetScaler 服务器卸载消耗计算资源的任务连接管理,然后服务器可以释放多的应
用请求,从而提高应用基实现更高的投资回报(ROI)。
通过卸载服务器的繁琐任务,NetScaler 让公司可以在相同的服务器资源基础上支持更多的用户,从而降低资
本和运营支出。NetScaler 的压缩功能可以降低带宽消耗,帮助进一步缩减开支。
全面的流量管理
NetScaler 具有强大的负载均衡功能,可以将应用请求发送到适合的应用资源,从而提供全面的流量管理。
NetScaler 集成的广域负载均衡(GSLB)功能可将客户端请求智能定向到全球 佳的地理位置。当灾难来临让主
要的数据中心无法运作时,应用用户可以被透明地重定向到另一个站点以访问所请求的应用。大量的负载均衡算法
可以使服务器得到平等的负载。除将流量定向到服务器之外,NetScaler 还提供完善的健康检查和高级会话持久
性,以保证总是将请求发送到可用的应用资源。
应用安全性
Web 应用总是让黑客有机可乘,可以非法访问敏感的客户数据和公司机密信息。为了让Web应用远离攻击并
遵循不断增多的数据保护法规,银行必须采取措施来增强Web 应用的安全性,不仅是针对已知漏洞如拒绝服务
(DoS)攻击,还针对新型攻击。经验证,Citrix NetScaler 可阻止不断增长的针对Web 应用的应用层攻击,而且
不会影响吞吐量或应用响应时间。
NetScaler 提供了基于SSL 的数据加密技术,以及完善的内容过滤功能和DoS 保护措施,以确保合法用户能随
时访问应用。
针对Web应用监测终端用户的综合体验
Citrix EdgeSight™ for NetScalerR 针对应用交付基础架构提供了应用可视性,为Web应用提供了监测终端用户
性能的功能,并使IT管理人员能够从实际用户体验角度出发主动提升系统的管理性能和可用性。
7 CITRIX 交付中心银行业应用案例
7.1 某国有商业银行总行部署全球风险评估系统成功案例
7.1.1 用户需求
某国有商业银行北京总行需要部署一套风险评估系统,使得香港、新加坡、纽约、伦敦、法兰克福、韩国、
澳大利亚等地的分行能够同时使用,该行现有网络已经有专线连到各地,因为这套软件数据流量比较大,所以跨广
域网使用起来非常慢,而且维护非常麻烦,需要经常各国跑来跑去。用户需要一种解决方案,提高使用性能,降低
维护费用,并且对现有网络无大改动,使用简便。
7.1.2 Citrix 解决方案
Citrix 解决方案通过设置应用服务器(组),将关键性的业务程序集中安装并进行发布,客户端可完全在服务
器上执行所需的应用,从而使得用户无论在何地,无论使用何设备,都能快速、简捷、安全地获取各种
44
Windows、UNIX 或 Internet 的程序所需的应用、信息和通讯。Citrix 解决方案完全能够满足用户的需求,集中管理
大大降低了维护成本,低带宽下的优异性能解决了广域网上的快速获取应用的问题。
7.1.3 技术部署和实施
设置两台 Citrix 应用服务器,操作系统:Windows 2000 Server,应用软件:风险评估系统客户端,后台数据
库保持不便。各地用户通过 ICA Client 访问应用服务器,运行应用服务器上的风险评估客户端、从而运行风险评估
系统。
7.1.4 系统现状
目前整套系统运行稳定,跨广域网运行速度很快,因为每一个 ICA 协议连接平均仅需要 10~20K 带宽,工作
效率大大提高。不同地域、不同时区的用户感觉就象自己拥有这套系统一样,而实际上不需要昂贵的设备以及复杂
的计算环境。系统维护和软件部署都非常方便,只在总部进行即可,技术支持也变得轻松。
7.2 某银行分行内外网隔离
7.2.1 用户的挑战和问题
随着互联网的高速发展,人们可以从互联网获取更多更有效的信息,这些信息对日常工作有很大帮助,例如
开发人员可以从互联网获得功能模块、例子代码,可以参与各种讨论组开拓思路;研究人员可以从互联网了解行业
的发展动向;市场人员可以从互联网获得竞争对手信息,及时把握市场动态等等。很多重要的信息都来自互联网,
但是互联网是把双刃剑,在获取信息的同时也为各种病毒、蠕虫等有害内容的入侵打开了通道。如何安全、高效地
管理员工的上网行为成为 IT 人员面临的一个课题。
不加管理的互联网上网往往会带来如下问题:
被蚕食的网络带宽,BT、电驴等下载软件可能导致关键业务应用系统带宽无法保证。BT、电驴等下载技术使
人们可以高速获取海量的网络资源,为在全球范围实现资源共享提供了可能。但事物总是辨证的双刃剑,这些
P2P 软件的滥用非常消耗组织有限的带宽资源,甚至导致关键业务应用系统无法正常使用。目前市面上也有一些
P2P 控制工具,但每天互联网上都会有人发布 新的 P2P 软件,这让大多数的 P2P 控制工具望尘莫及,它们只能
封堵“昨天的 BT 软件”。
上网的客户端安全难以保障,一旦某台终端被感染会导致整个内部网络的不稳定。由于互联网上充斥着各种
病毒、蠕虫、木马等恶意程序,用户在不经意之间就有可能感染,虽然部署了严格的防病毒软件但是往往还是会被
黑客找到漏洞,因为不能保证每个 终用户都掌握足够的安全知识以确保自己的机器不会被感染。
被耽误的工作效率,上网聊天、购物、游戏等行为严重影响工作效率。在工作时间,太多的人在使用 QQ、
MSN 等聊天工具,也许是在和同事讨论工作,更多的聊天对象却是家人、朋友甚至是陌生人。你无法确定员工何
时使用 IM 软件谈业务,何时用来聊与工作无关的私人话题。很多组织针对此的解决办法是对这些聊天工具进行屏
蔽,造成某些确实需要与外界保持联络的部门(比如市场部)怨声载道。网管员往往通过在防火墙里将聊天软件使
用的服务器加入黑名单来杜绝 IM 的使用,或者禁止这些 IM 软件的端口。但聊天工具层出不穷,QQ、MSN、
Skype、网易泡泡……,服务器地址和端口还会经常变换,这导致封服务器地址和端口成为一项持续的高成本工
作,而且治标不治本。
45
被击破的商业机密安全堡垒,通过 BBS 论坛、外发邮件等导致的组织内部机密信息泄漏越来越普遍。每个组
织都有关系自己生死存亡的商业机密资料,比如科研部门的 新研究成果、市场部门的 新市场战略等,为了保障
这些机密信息的不外泄,很多组织都规定了非常严格的保密制度,包括不允许携带摄像机、数码相机甚至带有摄像
功能的手机进入公司。但在 Internet 的面前,这些保密措施并不是“马其诺防线”,很容易就被某些缺乏保密意识的
员工通过即时通讯软件、邮件、BBS 论坛、员工个人博客等泄漏出去。同时,规模大的组织还面临着人员的流动
性问题,组织的商业合作伙伴、第三方审计员、新员工随时可能接入内网,他们可以通过网上邻居下载组织的财务
报表或人事档案,然后打包发给你的竞争对手。如何进行防泄密,组织需要在制度和技术措施上有一个相对完整的
信息保密体系。
被动引发的法律风险,员工利用公司网络发表反动言论等将导致组织面临法律风险。如果员工在互联网上的
言论涉及到违反法律或危害国家安全的事件,员工所在的组织必然会在其中被动的卷入法律风险。
综上所述,网络作为信息时代银行的生产工具,同样面临着适当监控、合理使用的问题。根据 IDC 的调查,
目前在欧洲和美国有 80%的公司在监控员工的在线行为,而在世界 500 强企业中,绝大多数企业对员工的邮件,
MSN 等上网行为进行监控,而且这一举措得到了法律条文上的支持。
已经有不少组织在着手解决上网管理的问题,例如尝试过物理上的集中上网方案,每个人桌面上的 PC 是不能
直接访问互联网的,上网行为只能在某些固定的 PC 机上,这种方案并不能根本解决上述问题,反而给 终用户带
来很多不便,因此受到较大的抵制,难以推广。
7.2.2 Citrix 的解决方案
Citrix 集中上网解决方案从原理上解决了上述问题,用户桌面的 PC 不能直接访问互联网,所有的互联网访问
都必须通过发布在 Citrix XenApp 或 XenDesktop 上的相关应用(例如 IE、MSN、QQ、FTP 等),管理员可以根据
用户的帐号来决定用户是否可以使用特殊的应用(例如只有开发人员可以使用 FTP 工具)。集中上网的
XenApp/XenDesktop 服务器由管理员统一管理, 终用户只有普通用户权限。
Citrix 集中上网管理系统架构如下图所示:
通过了解某分行双网隔离,我们对分行的的系统总体结构做如下的布置:
46
在信息中心的 win2003 服务器上安装 Citrix XenAPP 和行情交易软件客户端,在所有的需要访问 internet 的客
户端上安装 Citrix ICA 客户端。这样实现客户端使用 ICA 客户端访问服务器上的 IE 进行访问 internet。
为了有效支持整个分行 200 个用户的 internet 上网,需要在服务器端使用 n+1 的部署方式,实现服务器群
集。在各台服务器上安装 Windows 2003 Server 操作系统、Microsoft Terminal Services Licensing 以及 Citrix
XenAPP,配置域控制器,实现各环节的失效转移。
通过银行网部署 Citrix,用 ICA 客户端访问设在信息中心的 Citrix 服务器。
系统总体结构图如下:
路由器
中元FR/2M
路由器
OA服务器
总行局域网
总行用户防火墙
交换机
移动用户Citrix ICA Client
PSTN
一级分行局域网
邮件服务器一级分行用户
路由器中元FR/2M
路由器
二级分行用户
二级分行局域网
总行异地用户
海外分行Citrix ICA Client
拨号服务器/Modem Pool
防火墙交换机
拨号服务器/Modem Pool
移动用户Citrix ICA Client
PSTN移动用户
Citrix ICA Client
二级分行涉密终端一级分行涉密终端
总行涉密终端
OA服务器
Citrix Farm
邮件服务器MeteFrame XP
Server 1Server 2 Server 9
7.2.3 用户的收益
通过这样的改变可以方便地实现:
• 防止P2P软件的泛滥,用户的PC不能直接上网,能够上网的XenApp服务器上不能安装任何P2P软件;
• 用户的客户端不再被来自互联网的病毒、蠕虫、木马等攻击,因为浏览器(IE)运行在XenApp服务器
上,而普通用户没有下载安装运行的权限,这样杜绝了绝大多数的漏洞;
• 管理员在XenApp服务器上集中统一设置IE安全选项,安装防病毒软件,由管理员负责更新病毒码,定期
扫描等,防止系统漏洞的出现;
• 只有被授权的用户才能访问特定应用,例如用户是否能用MSN、QQ等IM软件都是由管理员设定的;
• 设置针对部分用户的录像审核功能,利用屏幕录像高效记录用户的上网行为。
• 带宽的节省,因为用户无法做策略控制以外的无论是主动还是被动的操作,实现真正对下载电影,P2P
等等非正常流量的限制
47
7.3 Citrix 应用交付支持与提升深圳某银行用户新体验
7.3.1 挑战:应对业务突发流量,保障业务的绝对不中断
深圳某银行维护组此次对整体业务应用网络进行改造,目的是要达到对整个
网络的应用流量控制,保证业务的顺利进行,避免由于访问量过大而造成的网络堵
塞。所要达到的应用效果是:实现流量的智能负载均衡,大量的访问请求能够平均
分配到各个网络服务器上;确保网络运行的稳定性,消除由于某一台服务器宕机导
致的业务中断;提高链路利用率和网络的可靠性,使流量能就近地从两条 Internet
链路访问业务。合理地利用链路流量,同时保证业务的稳定与安全。
“在成功部署 NetScaler应用交付设备后,大大提高了服务器的服务能力,增强了业务系统的安全性与稳定行,避免了金融交易风险,降低了成本。”
深圳某银行信息
技术部维护组 7.3.2 客户业务系统需求:
• 希望解决南北用户访问业务网络速度慢的问题,通过智能DNS,将用户
请求重定向到响应 快的ISP 链路上,提高用户对网站和网上业务系统
访问的响应速度,提升服务质量;
• 实现电信和网通两条ISP线路的入向流量优化与负载均衡,及链路备份
功能;
• 实现数据中心内本地业务系统的服务器高可用性和高性能,消除目前网
络系统存在的单点故障,在出现超过负载能力的超峰值访问的时候,具
有保护服务器的应急措施;
• 可以对服务器的运行状况进行监控,当服务器发生故障时,可以及时作
出响应,将用户的访问转移到可以正常提供服务的服务器上。
• 在负载均衡时保持用户访问的持续性以保证用户客户访问的会话完整
性。
• 具备全面的攻击防御系统,可保证系统不受DoS、DDoS、网络蠕虫、病
毒和应用专用漏洞的攻击。
• 灵活的扩展空间,根据实际应用的需求灵活投资,提高服务器处理效率
和整体服务能力。
7.3.3 业务系统网络拓扑图如:
48
7.3.4 集中部署 NetScaler 达到应用的负载均衡与安全防护,降低资金与系统维护成本
对开展金融业务的 IDC 而言,数据是比其他软硬件设备更为宝贵的资源。安全地保存业务数据、让用户快速
便捷地获取业务数据,是发展网业务维护组 关心的问题,较高的访问速度和业务系统的安全稳定性也是 IDC 服
务质量的重要指标。深圳发展银行维护组共有约 20 名技术人员主要为发展网 IDC 提供维护,技术人员在网络攻击
防护和系统的稳定性上投入了大量的精力。但是由于 IDC 业务本身的特殊性,因此无法粗略的估计访问量的变
化,面临着有时访问量很低,有时访问量又突变的情况,但是存在于网络上的攻击却一直很稳定。于是,如何提高
业务系统的吞吐量,增强业务系统的安全性和稳定性,降低维护成本,成了业务系统优化的第一个目标。
Citrix 的 NetScaler 产品融合了传统负载均衡器、流量管理器和远程接入系统的所有特点。在完善的应用交换
功能方面,支持多个应用服务器和/或数据中心间的流量分配。这种流量分配功能可以更快的速度处理客户端请
求,确保了发生服务器或应用故障时的容错能力。深圳发展银行部署了 NetScale 后,即使出现 FailOver 状况时
( 多也就出现下述四种情况):
• 如果电信的GSLB 故障后,DNS 解析将自动切换到网通NetScaler上;如果网通的GSLB 故障后,DNS
解析将自动切换到电信NetScaler上;
• 如果Server LB 主用的NetScaler故障,流量将自动切换到备用NetScaler上;
• 任意一台NetScaler的上行或下行链路故障,NetScaler将监测到链路的变化,决定是否需要切换到另一
台上;
• 任意一个链路出口的Juniper FW故障,连在其上的服务器必然失效,但由于每个业务系统都存在两个链
路出口,虽然对外的服务能力降低,但不会造成失效;
同样不会造成整个系统失效。
在安全性方面,Citrix 的 NetScaler 系统具备全面的攻击防御系统。每个 NetScaler 系统的核心都是 Request
Switching 技术,该技术拥有多项专利,提供了独特的、高性能的第 7 层功能组合。这项技术支持 NetScaler 应用
交付系统对应用请求进行检查,辨别恶意内容并阻止其进入应用服务器。
7.3.5 Citrix Netscaler 独特的应用交付解决方案
Internet 流量可以分为由 Internet 到应用服务器的访问流量(Inbound),和由数据中心服务器及内部用户主动
发出的到 Internet 的访问流量(Outbound)。
对 Inbound 流量,采用一对 Netscaler 企业版,同时连接电信与网通的 Internet 接入链路出口上,通过
Netscaler 的广域链路负载 GSLB 功能利用智能 DNS 解析的方式实现对 Inbound 流量的负载均衡。Netscaler 的
GSLB 功能有强大的系统检测功能,可以根据用户到达本站的延迟来选择用户访问本站点的 优线路,并将用户引
导到 佳的线路上。除了探测线路的状态外,还可以对后端的设备进行检测,取得参数值作为用户优选路径判断的
主要依据。另外,根据已知的电信和网通网络拓扑,可以根据外部用户的来源访问地址进行处理,引导电信来源地
址用户通过电信链路访问应用服务,而网通来源地址用户就通过网通链路来访问应用服务。
对 outbound 的流量,仍然是通过这一对 Netscaler 企业版来实现,在 Netscaler 上可根据多种算法,将从内向
外的流量以负载均衡的方式分配到两条 ISP 线路上。同时 Netscaler 可以对两条链路的运行状况进行监控,当某一
条链路发生故障时,可以将 Outbound 流量从故障链路切换到正常工作链路上。根据客户需求,还可以通过
49
Netscaler 的 AppPolicy 进行定义,根据已知的电信和网通网络拓扑,根据内部用户的访问目的地来对访问流量进
行选择,目的地为电信地址,就通过电信链路进行访问,目的地址为网通地址,就通过网通链路进行访问。
7.3.6 Netscaler 特色技术描述:
• 高效灵活的广域链路负载和链路选择能力,可根据客户需求进行动静态的处理
针对由Internet到应用服务器的访问流量(Inbound),和由数据中心服务器及内部用户主动发出的到
Internet的访问流量(Outbound),Netscaler的GSLB广域链路负载功能可以根据动态和静态的方法引导
客户选择 快、 优的链路进行应用访问,大大提高客户访问速度。
• TCP优化处理和连接复用技术
优化过的TCP/IP堆栈允许NetScaler 系统消除了服务器对于客户端连接速度的依赖性。一旦一个向服务
器的请求建立,响应可以全线速无阻塞的传递到NetScaler系统。NetScaler 系统会缓冲该响应并以客户
端连接速度来把内容传递给客户端,这样使得服务器可以持续服务接下来的其他请求。连接复用技术使
多个请求可以在一个客户连接上被复用,这样消除了连接建立的时间以及客户端的延迟。与服务器保持
的常连接,可以复用多个客户端来的请求,甚至可以是从不同客户端来的,或者甚至客户端不支持连接
保持。 这减少了TCP连接在服务器上的消耗,使得服务器可以更有效的专注于内容的服务。作为卸载
TCP 处理以及缓冲到NetScaler系统的结果,每个应用服务器都可以处理几倍于其本身性能的并发请求。
这一结果使得载服务器软件以及硬件上的投资大幅度减少,数据中心空间利用降低,并且也可观的减少
了维护成本。
• AppCache高速内存功能
内置于内存中的,被称为AppCache的,并且与Netscaler应用交换技术结合的NetScaler缓存技术,使得
NetScaler系统可以卸载很大部分服务器对于请求的消耗,并且可以更快的向 终用户传送内容。静态以
及动态内容都可以支持,缓存的策略以及有效性也可以灵活的设置。高性能的缓存与其他优化技术一起
协同工作,使得用户响应时间达到 佳,并且应用站点的可扩展性也显著提高。
• 浪涌保护和SureConnect安全保护技术
浪涌的情况,一般都发生在某一短时间的交易任务大幅增加的情况下,在目前国内基金交易活跃的情况
下,出现短时期内访问峰值不断增加,很多时候甚至出现超出服务器群处理能力的情况,导致服务器群
的雪崩效应出现大面积宕机。Netscaler浪涌保护功能通过将访问请求缓存在Netscaler内部,并进行访问
队列排队的方式,将访问请求暂时保留,之后逐步释放给服务器,就能起到保证银行应用不会由于这样
的突发局面而出现服务器宕机。而对于排队等待中的访问,也可以使用SureConnect技术来提示等待时
间。SureConnect可以在用户排队期间,送给用户一个事先设定好的等待提示页面,除了显示等待时间
外,银行还可以利用这个页面发布各种基金通知,新业务推广或者其他业务信息,给用户良好的人性化
感受。相比直接提交一个服务器无法响应的警告,SureConnect这种方式可以让用户对银行的应用服务
的亲和力大增。
7.3.7 主要效益
♦ 节约网络部署的时间,保障业务绝对不中断.
♦ 提高服务器服务能力,增强可用性,安全性
♦ 降低系统维护成本,延长设备使用费用.
50
7.3.8 所部署的设备 ♦ NetScaler 9010
♦ NetScaler 7000
7.4 某国有商业银行深圳市分行
“如果不采用思杰的方案, 深圳分行必须在 109个网点安装 109 个 NT 局域网,才能使用新一代的国 际 结 算 系 统 CS EXIMBILLS,软硬件费用不会低于 500 万(还不包括投产后高昂的维护费用),而购买思杰的系统只花费不到 50 万。”
7.4.1 面临的挑战:国际结算从分布走向集中
随着越来越多的外资银行进入中国,银行国际业务有了很大的发展。建设国
际结算系统成为银行增加赢利能力的必然选择。早在 1995 年,深圳某行就开始使
用了嘉腾公司的国际结算系统。当时的国际结算系统是单点控制的系统,运行在该
行众多网点内 IBM RS6000 的 AIX 操作系统上,所有数据和程序都是分布式的。随
着银行业务的不断变化,分布式单点控制的国际结算系统已经不能满足深圳某行的
需求;另一方面,该行总行从 1999 年开始,与嘉腾公司合作开发了新一代的国际
结算平台 CS EXIMBILLS 2.0 版本。为了更好地理顺建行总行和分行之间的外汇资
金清算关系,加强外汇资金的清算速度,总行要求各分行与总行的系统保持一致。
因此,深圳某行对国际结算系统升级换代,已势在必行。
然而,出现新的问题是,新一代的国际结算平台 CS EXIMBILLS 2.0 是构建在
NT 平台上的,深圳某行要在遍布整个深圳市区的 109 个营业网点部署国际结算系
统,则必须在所有网点分别构建 NT 局域网,所涉及的前期软硬件投入与建设以及
后期的维护成本都非常高。从经济性和可管理的角度来看,深圳某行需要一套更经
济有效的解决方案。“运行在 NT 上的系统无法高效地将应用延伸到更广阔的区
域。”深圳某行研发中心项目经理一言概之。
某国有商业银行深圳市分行
研发中心项目经理
7.4.2 应用思杰产品降低运行和维护的成本
在思杰亚太地区技术支持中心协助下,深圳某行利用思杰的产品与技术,构
建了新的方案,轻松地解决了系统建设和维护费用高昂的难题。
深圳某行设置了三台应用服务器和一台 AIX UNIX 数据库服务器,每台应用服
务器的并发用户为 30;采用了一套 Citrix XenApp 软件运行在应用服务器上,并发
用户数为 100,全部用户的数量为 150。由于每台应用服务器有 30 个并发用户需
要在文件服务器磁盘阵列上读取大量的数据,所以,主干网采用千兆以太网连接。
深圳某行所有 109 个营业网点的终端用户通过 LAN 或 DDN 接入 Citrix XenApp。
新一代国际结算平台 CS EXIMBILLS 运行在应用服务器上,它可以通过 Citrix
XenApp 软件发布到每一个用户的 PC 终端上,实现了集中管理数据和应用程序,
从而大幅度降低了系统的运行和维护成本。
51
7.4.3 实施效果
过去,深圳某行的国际结算系统的数据和程序是分布式的,功能比较简单,只能进行单点控制,而且每个营
业网点都需要安装相应的应用程序,不能进行远程访问。现在,深圳建行通过 Citrix XenApp 软件集中安装并发布
新的国际结算系统 CS EXIMBILLS 3.0;应用系统平台为 Windows2000 Server;客户端用户可通过 LAN 连接应用
服务器并运行 EXIMBILLS 应用软件,实现了集中管理数据和应用程序,并大大减低了运行和维护成本。同时,应
用服务器与后台数据库通过局域网连接,计算和查询所需的大量数据都是基于 LAN 传输速度,因此,远程用户的
网络性能非常理想,工作效率得到了显著改善。
“如果不采用思杰方案,我们必须在 109 个网点安装 109 个 NT 局域网,相关的软、硬件费用不会低于 500 万
(还不包括后期高昂的维护费用),而购买思杰系统只花费不到 50 万。” 中国建设银行深圳市分行研发中心项目
经理蔡路宁对实施效果非常满意。
目前, Citrix XenApp 在深圳某行主要用于国际结算,使用该系统的部门包括国际结算部、会计部、计财部,
以及所有网点的国际结算专业人员。国际结算系统每天能够轻松处理数千笔业务。深圳某行的员工在使用 Citrix
XenApp 后纷纷表示该软件易于操作,性能强劲,能有效地提高工作效率。
7.4.4 网络环境:
Citrix® XenApp 运行在三台 IBM 应用服务器上,配置为: 4*Intel Xeon 1.5GHz/512KB。
数据库服务器采用一台 IBM RS/6000,配置为 4*Intel CPU 450MHz。
Microsoft Windows 2000 Advance Server 及 AIX 操作系统
终端设备:约 150 台 HP 奔腾 4 电脑
终端用户通过 LAN 和 DDN 接入应用服务器
8 思杰公司介绍
8.1 思杰公司简介
思杰(Citrix)系统公司是全球领先的虚拟化方案供应商,为银行、政府、教育等机构提供服务。作为企业级
虚拟化技术和应用交付 知名的品牌,思杰公司的应用发布平台使用户可以随时随地采用任何设备,轻松便捷、安
全可靠地连接企业应用。公司成立于 1989 年,总部设在佛罗里达州的 Fort Lauderdale,全球各地机构将近 4000
名员工,产品行销六十多个国家,2008 年财政收入增长率为 25%,总额达到 16 亿美元。Citrix 在美国纳斯达克股
市的上市代号为 CTXS,并获列入标准普尔 500 指数。
52
Citrix 是虚拟应用领域的绝对领导者,据 IDC 统计分析报告称,Citrix 在应用虚拟化市场占据了将近 80%的份
额。如下图所示:
Citrix :
• 获得《福布斯ASAP》杂
Microsoft10.4%
Gresham 0.2%
Others 7.4%
Tarantella 2.2%
Humingbird 2.2%
Macro 4 0.8%
Citrix76.8%
凭借其卓越的技术方案和业务成就,赢得了业界与用户的广泛赞誉
志评选的“全美 具活力的软件公司”称号
位
Gartner Midsize Enterprise Summit中获“卓
• 得由Open Systems Advisors颁发的 CrossRoad A 类大奖中“ 佳企业网站入门产品”
的技 服务目前 6 千万用户使用,客户涵盖财富 100 强(Fortune 100)中
的所
应用交付基础架构提供了用户到应用的端到端的解决方案,可将任何应用交付给任何用户,并提供 佳
的性
思杰交付中心(Citrix Delivery CenterTM),将数据 转变成交付中心,其组成架构如下图所示:
• 获得“Soft Letter”评选的“全美第十大软件公司”称号
• 在《财富》“发展 快的100家公司”概要中排名第27
• Citrix 被评为欧洲财富500强企业首选的十大软件之一,并在
越科技大奖”
Citrix NFuse获
• 连续4年名列Deloitte&Touche的“Fast 500”,成为美国500家发展 快的科技公司之一
Citrix 术和 被全球约 18 万个机构中的
有企业以及财富 500 强(Fortune 500)的 98%。国内外众多知名企业,都从 Citrix 解决方案中获得显著的效
益。
Citrix
能、 高的安全性、 低的成本和 强的灵活性。
中心
53
用户 应用系统
其中:
Citrix XenApp™ – 虚拟应用:支持客户端和服务器端应用虚拟化的端到端 Windows 应用交付系统。
Citrix XenDesktop™ –虚拟桌面:以更低成本更安全、更可靠地直接通过数据中心交付 Windows 桌面。
Citrix XenServer™ – 虚拟服务器:交付动态数据中心 简捷、 有效的方式。
Citrix®NetScaler® – Web 优化和安全保护:交付具有 高可用性、安全性和性能的 Web 应用。
Citrix Workflow Studio – 用于动态交付中心的功能强大的协调工具。
8.2 用户实施集中化收益分析
通过专门的独立分析机构(如 Doculabs)针对大量的企业机构进行调查发现,企业 IT 相关的主要成本项集中
在如下几个方面:
• 个人电脑(包括硬件、操作系统、软件授权和支持)
• 应用维护(对个人电脑及应用的维护)
• 网络和安全访问
• 生产力损失(由于服务器、个人电脑和网络的故障造成)
• 培训
根据对思杰用户的调查,思杰集中部署模式为用户带来较大的节省是应用维护和对个人电脑的投入,实施上
在集中部署实施后第一年就可以在硬件投资上节省 25%,而生产力损失和培训一般称为软成本,企业可能不计算
在 IT 成本里,但数据显示企业在部署应用时,同样应考虑软成本上的节省。
统计表明,思杰集中部署模式带给用户的收益排列前 3 位分别是:
• 简化了部署和支持 25%
• 集中化管理能力 21%
• 降低了成本 15%
思杰集中部署模式带给用户的收益排列如下图所示:
54
成本项目详细描述
分 类 描 述 人力资源成本 雇员工资,一年中的工作日
桌面环境 使用中的个人电脑、笔记本和终端的数量、种类和成本
应用软件 使用中的应用软件的数量种类和平台
跨平台应用访问 需要跨平台访问的用户数量
网络和远程安全访问 远程用户包括合作伙伴的安全访问
技术支持服务 支持用户所需的人力和时间
操作系统升级和维护 需要花费时间进行应用检查和测试
服务器成本 服务器硬件成本和维护
备份及工具 备份所需的软硬件及工具
生产力损失 在服务器、网络和客户端宕机造成的损失
培训 管理员和 终用户所需的培训
55
参考类似规模的(6000 左右用户)思杰用户的 3 年投资回报分析:
Basic Three-Year Cost Comparison With and Without Citrix
Cost Factor Cost without Citrix
(in U.S. dollars) Cost with Citrix (in U.S. dollars)
Savings/ Costs (in U.S. dollars)
Percent of Total Savings
Hard Costs
Desktop Devices $66,009,679 $35,535,121 $30,474,558 48.4%
Software License $832,260 $7,583,187 ($6,750,927) 0%
Server $653,108 $908,495 ($255,387) 0% Application Maintenance
$14,485,918 $156,713 $14,329,205 22.8%
Network and Secure Remote Access
$3,269,800 $1,778,677 $1,491,123 2.37%
Sub-total $85,250,765 $45,962,193 $39,288,572 73.5% Soft Costs Loss of Productivity*
$39,659,711 $39,245,725 $413,986 0.66%
Training* $48,138,675 $31,881,233 $16,257,442 25.8% Sub-total $87,798,386 $71,126,958 $16,671,428 26.5% Totals $173,049,151 $117,089,151 $55,960,000 100%
从该用户案例来看,针对个人电脑方面的投资节省占整个费用节省的 49%,其次是培训节省占到 26%,应用
维护方面节省 23%。
从第三方统计中,可以得到的规律性结论如下:
• 用户通常在实施后第一年就实现了投资节省,后续节省会显著提高,在硬件和授权上的投资在第二或三
年时就可以收回
• 三年用户所有的节省达在21%到32%
• 三年用户在硬投资方面的节省达到40%到52%
8.3 国外银行业应用简述
考察国外金融企业的 IT 架构规划,我们发现绝大多数银行均采用 Citrix 集中应用发布平台作为集中计算模式
的支撑平台,Citrix 在全球银行业客户包括:花旗银行、Bank of America、ABN Amro、Affin Bank、ANZ Bank、
Commonwealth Bank、Banca Serfin S.A.、BankBoston、Barclays Bank、Credit Lyonnais、Deutsch Bank、First
Union、Fleet Boston、Hudson Valley Bank、KBC Bank N.V.、Rabobank、SEB、Summit Bank、Thai Farmers
Bank、Town & Country Credit、United Community Banks 等等。
美洲银行案例(Bank of America)
美洲银行作为全球化金融机构,依靠先进和庞大的 IT 基础架构支撑着全球业务的正常运转,美洲银行的应用
软件包括:
56
银行应用
o Microsoft Exchange, Outlook
o Oracle Financial Services Application (OFSA)
o Oracle JD Edwards CRM
o Oracle Siebel CRM OnDemand
o SAP ERP Financials
数据管理及业务情报
o Access Data SalesVision
o ACI BASE24 transaction processing
o GoldenGate Software transactional data management
o Harte-Hanks Trillium Software
o IBM Cognos 8 Business Intelligence (BI)
o IBM DB2
o IBM Information Framework (IFW)
o Informatica PowerCenter
o Microsoft SQL Server
o Oracle 8i, 9i
o Oracle Hyperion Essbase, Analyzer
o Oracle Real Application Clusters (RAC)
o SAP Business Objects Crystal Reports
o SAP OutlookSoft
o SAS Business Intelligence
o Sun MySQL
o Sybase
o Teradata
作为集中管理架构和集中运算模式的先导者,美洲银行很早就在 IT 架构中采用 Citrix 平台,据第三方的
CRUSH REPORT 统计,仅美洲银行在印度的分支机构就部署了约 1200 台 Citrix 服务器,支撑大约 60 个项目的集
中运行。从目前仍然运转的产品名称看:Citrix Metaframe XP FR2、Citrix Presentation Server 3.0、4.0、4.5,美洲
银行采用 Citrix 至少有十年以上的历史。
以上述 BI 数据分析应用 Informatic Power Center 为例,通过 Citrix 平台集中部署向海外用户发布使用,大大
提高了该应用在窄带网上的性能,美洲银行因此专门针对 Citrix 平台进行了 TCO 分析,发现可以在其软件开发、
支持和维护等各个环节节省成本。并且在长期战略性投资收益回报方面可以获益,包括:
应用有效性:采用 Citrix 新的流技术代替传统的手工安装,可以获得更大的应用可用性,应用可以快
速供应到各个服务器,而不需担心应用冲突等问题。
降低数据中心成本:Citrix 更加节省服务器,单纯从耗电和制冷上每年节省 25 万美金,还不算机架空间
的节省
57
业务敏捷度和扩展性:基于 Citrix 架构,美洲银行获得更大的灵活性和缩短了新应用投放市场的时间,
通常采取多项目共享 Citrix 平台的模式大大节省费用,以及灵活地调度计算资源以满足业务要求。
快速服务器部署和恢复:传统模式部署和恢复应用要采用手工方式消耗几天时间,而采用 Citrix 模式在
小时内完成。
丰业银行案例(ScotiaBank)
作为北美主要的国际金融机构之一,具有 173 年历史的丰业银行拥有 41,000 名雇员,经营着 1,600 家分行,
在 50 个国家设有办事处。
丰业银行从 90 年代就开始采用 Citrix 平台作为应用集中发布平台,如今已将 Citrix 的使用扩大到了 1180 家分
支机构和其它非分支机构场所,包括贷款处理中心、集中帐户单元和分支银行,总计用户达到 18000 名。
Microsoft Internet Explorer、Microsoft Office 和 Lotus SmartSuite 也通过 Citrix 平台进行了部署,将其性能提升了超
过 200%。这同时也避免了他们所需的附加柜员机应用组件的内存和硬盘升级。
去年,丰业银行在面对传统桌面部署的种种问题,如管理分散、部署耗时、升级频繁、成本昂贵等等时,革
新性地采用了 Citrix 虚拟桌面技术,获得了如下收益:
降低了成本:
在 5 年内降低了 50%成本
扩展了 PC 的生命周期
重新回到了业务驱动轨迹
用户满意度提升:
响应时间大大提高:“用起来简直令人感觉惊奇……”
用户平均打分,得到了八分(十分制)
生产率提高 14%
改善了业务操作:
加快了部署速度,过去需要几个月,现在需要几周
集中控制,用户体验可视
建设了系统故障和中断
安全性提高
58
思杰大中华地区联系方式
亚太区总部
思杰系统香港有限公司
香港港岛东华兰路 18 号港岛东中心 63 层
6301-6310
电话:+852 2100 5000
传真:+852 2100 5002
思杰系統香港有限公司 台湾办事处
台北市信义区 110 信义路五段 7 号 37
楼台北 101 大楼
邮政编码:110
电话:008 0161 1351
传真:886-2-87582999
www.citrix.com.cn
大中华区总部
思杰系统信息技术(北京)有限公司
北京市东城区东长安街 1 号东方广场中 1 办
公楼 8 层 808-809 室
邮政编码:100738
电话:+86 10 6521 6500
传真:+86 10 6521 6501
思杰系统亚太有限公司上海代表处
上海市西藏中路 268 号来福士广场 5005 室
(靠近汉口路)
邮政编码:200001
电话:+86 21 6193 0500
传真:+86 21 6193 0501
思杰系统信息技术(北京)有限公司
广州分公司
广州市天河区林和西路 161 号中泰国际广场
A座 23 层
邮政编码:510620
电话:+86 20 2885 8201
传真:+86 20 2885 8369
关于思杰系统公司
思杰系统公司(纳斯达克股票代码:CTXS)是全球虚拟化、网络及软件即服务领域的领先技术提供商,全
球客户超过 23 万家,包括全球 大的互联网公司,99%的全球财富 500 强企业,以及成千上万家小企业和
个人用户。思杰旗下的 Citrix Delivery Center、Citrix Cloud Center(C3)和 Citrix Online Services 产品系列从
根本上简化了数百万用户的计算过程,可将应用作为一种服务按需交付给身处任何地方、使用任何设备的任
何用户。目前,思杰与全球 100 多个国家的 1 万多家公司建立了合作伙伴关系。思杰创建于 1989 年,2008年年收入达到 16 亿美元。欲了解更多信息,请登陆 www.citrix.com.cn。
©2009 思杰系统公司版权所有。Citrix®、XenServer™、Citrix Essentials™、XenCenter™、XenMotion™、
Xen®、Workflow Studio™和StorageLink™是思杰系统公司和/或一个或多个分公司在美国和其它国家的商标
或注册商标。所有其它商标和注册商标分属于他们各自的所有者。
0809/PDF
59