桌面云安全案列分享

   信创工程的意义和必要性

· 中美科技脱钩渐成事实，要避免关键技术被“卡脖子”
· 促进国内信息化产业发展，建立完善国产化生态体系
· 追求和坚持“应替尽替”和“真替真用”原则

确保用户业务应用在信创替代过程中的稳定运行
充分发挥信创终端的功能作用，保证“真替真用”
基于密码的平台可信运行验证，消除Win7停服风险

   行业系统中现有应用向信创平台的迁移改造面临更大挑战

现有应用完全迁移到信创平台还需时日
· 行业应用大多十分关键，业务连续性要求高
· 行业应用数量多、种类多，某些核心技术还未自主可控
· 需要在保持现有应用稳定运行的同时，加快将现有应用迁移到信创平台的进程

信创终端全替代技术可行，但是还要有利于信创产业健康发展
· 信创终端到现有应用访问还存在问题，但是有适配方案
· 信创终端适配方案要坚持“真替真用”原则
· 信创终端适配方案要保证“能用”和“好用”
· 信创终端适配方案要能消除Win7停服风险

   信创终端集中安全适配平台整体设计

   信创终端集中安全适配平台主要功能目标

   设备支持能力

平台服务器

单台服务器最高可支持70个用户作业并发
支持集群
支持信创服务器（如海光）
支持麒麟和统信操作系统
建议千兆或万兆网络
支持链路聚合和VLAN分组

   信创终端适配策略管理系统

平台安全网关

单台服务器可支持1500个并发连接
支持集群
支持信创服务器（如龙芯、飞腾、鲲鹏、海光、兆芯等）
支持麒麟和统信操作系统
建议千兆或万兆网络
支持链路聚合和VLAN分组
40TB硬盘可支持“150用户每人每天8小时持续180天”的可视化记录存储

   方案优势

· 支持信创终端“全面部署、放心部署、尽快部署”（应替尽替）
· 支持信创终端“真的用起来，充分用起来”（真替真用）

信创终端

支持各种信创终端（如龙芯、飞腾、鲲鹏、海光、兆芯等）
支持麒麟和统信操作系统

   信创终端适配作业调度系统

   信创终端适配安全保护系统

   信创终端适配策略管理流程

   信创终端适配作业调度流程

   结构化保护系统

   演示录屏

   应用虚拟化技术

   虚拟桌面技术

   独特优势

 几种适配方案的区别

   几种方案对比

   竞争优势

  方案被高度认可

信创终端不能正常访问现有应用的原因

   信创终端集中安全适配平台解决信创终端适配问题，满足“真替真用”要求

· 实现信创终端到现有应用的适配访问，支持“应替尽替”
· 充分发挥信创终端功能作用，支持“真替真用”

信创终端集中安全适配平台方案

以下示例中，某些单位的财务报销系统属于目前信创终端不能正常访问的现有应用；而学习强国等学习应用完全可以通过信创终端访问

   信创终端适配环境监控

   典型应用部署结构

录屏演示

用户不会明显感觉到信创终端集中安全适配平台的存在

· 用户所有操作都在信创终端上进行
· 用户无需登录到信创终端集中安全适配平台
· 应用数据保存在信创终端上
· 外设直接连接在信创终端上

几种适配技术比较

以下几种适配技术我们都实际实现、测试、或者实际应用过

   指令模拟器技术

· 将x86指令动态翻译为MIPS、ARM等指令，在龙芯、飞腾、鲲鹏机器上以翻译方式运行Windows系统及其应用程序
Gxemul、Qemu等

指令翻译存在严重的性能问题

· 多用户共用一个Windows操作系统
相互之间没有安全隔离，设备共享
任何用户都很容易从应用直接进入Windows系统中
所有用户对现有应用都是同一台终端，不支持基于用户终端的安全认证、控制和审计
应用兼容性问题
Windows停服导致的安全漏洞修复问题
· 不能满足真替真用要求
用户在Windows浏览器地址栏中输入任何应用URL，都会由Windows平台发起访问，而不会跳转回信创终端，由信创终端自己访问

  产品互认

信创终端安全适配方案

支持信创终端到用户现有应用的安全适配
支持信创终端真替真用
兼容用户现有应用
内置安全保护功能
消除Win7停服风险
资源利益率高
用户体验好

应用虚拟化方案

不支持信创终端真替真用
不能兼容用户全部应用
安全性差，用户之间没有隔离
不能解决Win7停服风险
资源利用率低
用户需要自行保存数据

虚拟桌面方案

不支持信创终端真替真用
不能解决Win7停服风险
资源利用率低
用户需要自行保存数据

核心区别在于能否支持信创终端的真替真用能力

· 资源利用率低，过渡期后用户资产浪费
· 不能解决Windows停服导致的安全漏洞修复问题
· 不能满足真替真用要求
   所有作业都是再虚拟桌面中完成，信创终端只相当于显示器和键盘鼠标作用