安全管控實現(xiàn)方法、系統(tǒng)及云桌面系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域，具體而言，涉及一種安全管控實現(xiàn)方法、系統(tǒng)及云桌面系 統(tǒng)。
【背景技術(shù)】
[0002] 業(yè)務(wù)支撐系統(tǒng)(簡稱BOSS系統(tǒng)）的前臺營業(yè)終端包括：自有傳輸終端和非自有傳 輸終端，其中，自有傳輸終端是指通過本公司自有鏈路進行網(wǎng)絡(luò)接入及業(yè)務(wù)訪問的本公司 計算機終端；非自有傳輸終端是指采用網(wǎng)絡(luò)協(xié)議安全虛擬專用網(wǎng)絡(luò)（InternetProtocol SecurityVirtualPrivateNetwork,簡稱為IPSecVPN)或安全套接層虛擬專用網(wǎng)絡(luò) (SecureSocketsLayerVirtualPrivateNetwork,簡稱為SSLVPN)方式通過第H方公 司傳輸鏈路經(jīng)本公司接口進行網(wǎng)絡(luò)接入及業(yè)務(wù)訪問的其他公司計算機終端。
[0003] 自有傳輸終端從所屬營業(yè)廳接入網(wǎng)絡(luò)設(shè)備連接到各地市匯聚交換機后，通過內(nèi)網(wǎng) 與BOSS網(wǎng)絡(luò)互連鏈路進行業(yè)務(wù)訪問。用戶登錄系統(tǒng)后，跳轉(zhuǎn)4A界面進行登錄認證，用戶在 登陸頁面輸入用戶名和靜態(tài)密碼，提交并等待系統(tǒng)驗證，靜態(tài)密碼驗證通過后，用戶使用接 收到的動態(tài)口令進行二次登錄驗證，動態(tài)密碼驗證通過后即可登錄BOSS前臺界面。
[0004]非自有傳輸終端用戶通過訪問Web頁面登陸系統(tǒng)后，跳轉(zhuǎn)4A界面進行登錄認證， 認證方式與自有傳輸終端相同，此處不再費述。
[0005] 目前，針對上述兩種接入方式的終端安全管控問題主要從兩方面入手解決，第一， 使用終端管理軟件進行終端自檢、防病毒檢查及軟件合規(guī)性檢查，強制終端軟硬件配置信 息符合接入標(biāo)準(zhǔn)；第二，進行終端的入網(wǎng)、離網(wǎng)等變更操作的全生命周期的流程化審批管 理，避免未經(jīng)審批終端的私自接入。對于該兩方面，下面詳細介紹。
[0006] 1、終端管理軟件實現(xiàn)方式
[0007]通過建設(shè)統(tǒng)一的終端準(zhǔn)入管控平臺、部署終端準(zhǔn)入控制網(wǎng)關(guān)及終端管理客戶端軟 件實現(xiàn)對接入BOSS網(wǎng)絡(luò)進行業(yè)務(wù)訪問的計算機實施準(zhǔn)入控制、終端軟件合規(guī)性檢查、防病 毒檢查、補下更新、移動介質(zhì)（U盤、軟盤、光盤等存儲設(shè)備）及安全管控，防止外來電腦或者 不符合規(guī)定的電腦接入內(nèi)部網(wǎng)絡(luò)中；實時、動態(tài)掌握網(wǎng)絡(luò)整體安全狀況，建立實時安全評估 體系，掌握內(nèi)部各種終端接入設(shè)備的安全運行狀況，為維護人員提供管理維護便利條件，為 決策、部署安全工作任務(wù)提供支持，通過提供信息安全管理手段，提高終端安全管控水平， 完善審計機制，滿足當(dāng)前發(fā)展對營業(yè)終端安全管控的需要。具體可W參見圖1。
[0008]其中，部署終端準(zhǔn)入控制網(wǎng)關(guān)，可防止外來的、不符合終端接入規(guī)范要求和安全策 略的終端接入內(nèi)部網(wǎng)絡(luò)訪問資源，實現(xiàn)對所有個人計算機的資產(chǎn)管理和控制，實時、動態(tài)掌 握網(wǎng)絡(luò)整體安全狀況，建立實時安全評估體系，按照安全評估、安全加固、集中維護思路，對 自有及非自有傳輸?shù)臓I業(yè)終端進行自動化管控。
[0009] 2、流程化審批管理實現(xiàn)方式
[0010] 系統(tǒng)針對終端準(zhǔn)入流程進行固化并實現(xiàn)一套終端準(zhǔn)入審批管理工單流程，如圖所 示，所有終端入網(wǎng)、配置或設(shè)備變更、離網(wǎng)等均需要申請人在終端安全管控系統(tǒng)中提交相應(yīng) 工單，經(jīng)管理員就入網(wǎng)終端的申請人、所屬地市、營業(yè)廳及有效時間審批授權(quán)后方可入網(wǎng)， 終端資產(chǎn)和人員流動信息都留有工單記錄。
[0011] 綜上所述，目前的終端安全準(zhǔn)入管控方式為終端管理軟件和流程化審批管理，但 由于接入網(wǎng)絡(luò)各類終端配置及軟件安裝情況千差萬別，終端檢查過程及流程審批環(huán)節(jié)耗時 較長，管控效率較低。針對第H方公司的終端進行強制管控難度較高，且涉及系統(tǒng)較為分 散，運維成本較高，當(dāng)發(fā)生系統(tǒng)故障時，由于當(dāng)前系統(tǒng)架構(gòu)為服務(wù)器集群模式，容災(zāi)系統(tǒng)為 異地容災(zāi)，數(shù)據(jù)和日志信息進行定期備份，但隨著終端數(shù)量的增加及業(yè)務(wù)量的拓展，存儲空 間急劇匿乏，且容災(zāi)切換需要網(wǎng)絡(luò)配合調(diào)整相應(yīng)策略，切換時間較長，無法及時進行容災(zāi)切 換及快速修復(fù)，進而影響業(yè)務(wù)辦理穩(wěn)定性，造成業(yè)務(wù)系統(tǒng)存在潛在的巨大安全風(fēng)險。

【發(fā)明內(nèi)容】

[0012] 本發(fā)明公開了一種安全管控實現(xiàn)方法、系統(tǒng)及云桌面系統(tǒng)，W解決相關(guān)技術(shù)中管 控效率低下，強制管控難度高，且涉及系統(tǒng)較為分散，運維成本較高，無法及時進行容災(zāi)切 換等問題。
[0013] 根據(jù)本發(fā)明的一個方面，提供了一種安全管控實現(xiàn)方法。
[0014] 根據(jù)本發(fā)明的安全管控實現(xiàn)方法包括；基于云桌面技術(shù)構(gòu)建云桌面系統(tǒng)；建立上 述云桌面系統(tǒng)與終端的連接；經(jīng)由上述云桌面系統(tǒng)與上述終端之間的交互實現(xiàn)上述云桌面 系統(tǒng)對上述終端的安全管控。
[0015] 根據(jù)本發(fā)明的另一方面，提供了一種安全管控實現(xiàn)系統(tǒng)。
[0016] 根據(jù)本發(fā)明的安全管控實現(xiàn)系統(tǒng)包括；終端，用于建立與云桌面系統(tǒng)之間的連接； 基于云桌面技術(shù)構(gòu)建的上述云桌面系統(tǒng)，用于建立與上述終端的連接，經(jīng)由與上述終端之 間的交互實現(xiàn)對上述終端的安全管控。
[0017] 根據(jù)本發(fā)明的又一方面，提供了一種云桌面系統(tǒng)。
[0018] 根據(jù)本發(fā)明的云桌面系統(tǒng)，是基于云桌面技術(shù)構(gòu)建的，包括：連接系統(tǒng)，用于建立 與終端的連接，交互系統(tǒng)，用于經(jīng)由與上述終端之間的交互實現(xiàn)對上述終端的安全管控。
[0019] 通過本發(fā)明，云桌面技術(shù)的引入，彌補了現(xiàn)有終端網(wǎng)絡(luò)接入及安全管控體系的不 足，改善了系統(tǒng)部署模式，實現(xiàn)了集中控制，提高終端接入安全性，降低系統(tǒng)安全風(fēng)險。
【附圖說明】
[0020] 圖1是相關(guān)技術(shù)中終端準(zhǔn)入的網(wǎng)絡(luò)架構(gòu)圖；
[0021] 圖2是根據(jù)本發(fā)明實施例的安全管控實現(xiàn)方法的流程圖；
[0022] 圖3是根據(jù)本發(fā)明優(yōu)選實施例的安全管控實現(xiàn)系統(tǒng)的組網(wǎng)示意圖；
[0023] 圖4是根據(jù)本發(fā)明優(yōu)選實施例的基于IPSecVPN技術(shù)接入的示意圖；
[0024] 圖5是根據(jù)本發(fā)明優(yōu)選實施例的基于SSLVPN技術(shù)接入的示意圖；
[00巧]圖6是根據(jù)本發(fā)明優(yōu)選實施例的終端進行注冊的流程示意圖；
[0026] 圖7是根據(jù)本發(fā)明優(yōu)選實施例的云桌面系統(tǒng)對終端認證的流程示意圖；
[0027] 圖8是根據(jù)本發(fā)明優(yōu)選實施例的安全管控實現(xiàn)方法的流程示意圖；
[0028] 圖9是根據(jù)本發(fā)明實施例的安全管控實現(xiàn)系統(tǒng)的結(jié)構(gòu)框圖；W及
[0029] 圖10是根據(jù)本發(fā)明優(yōu)選實施例的云桌面系統(tǒng)的結(jié)構(gòu)框圖。
【具體實施方式】
[0030] 下面結(jié)合說明書附圖對本發(fā)明的具體實現(xiàn)方式做一詳細描述。
[0031] 根據(jù)本發(fā)明實施例，還提供了一種安全管控實現(xiàn)方法。
[003引圖2是根據(jù)本發(fā)明實施例的安全管控實現(xiàn)方法的流程圖。如圖2所示，該安全管控實現(xiàn)方法包括：
[0033] 步驟S201 ;基于云桌面技術(shù)構(gòu)建云桌面系統(tǒng)；
[0034] 步驟S203 ;建立上述云桌面系統(tǒng)與終端的連接；
[00巧]步驟S205 ;經(jīng)由上述云桌面系統(tǒng)與上述終端之間的交互實現(xiàn)上述云桌面系統(tǒng)對 上述終端的安全管控。
[0036] 相關(guān)技術(shù)中，終端安全準(zhǔn)入管控方式為終端管理軟件和流程化審批管理，終端檢 查過程及流程審批環(huán)節(jié)耗時較長，管控效率較低。當(dāng)發(fā)生系統(tǒng)故障時，由于當(dāng)前系統(tǒng)架構(gòu)為 服務(wù)器集群模式，隨著終端數(shù)量的增加及業(yè)務(wù)量的拓展，存儲空間急劇匿乏，且容災(zāi)切換需 要網(wǎng)絡(luò)配合調(diào)整相應(yīng)策略，切換時間較長，無法及時進行容災(zāi)切換及快速修復(fù)，進而影響業(yè) 務(wù)辦理穩(wěn)定性，造成業(yè)務(wù)系統(tǒng)存在潛在的巨大安全風(fēng)險。采用圖1所示的方法，引入云桌面 技術(shù)，通過在服務(wù)器上部署虛擬桌面系統(tǒng)，實現(xiàn)統(tǒng)一的終端準(zhǔn)入和安全管控；針對用戶權(quán)限 進行配置，實現(xiàn)終端硬件系統(tǒng)與云桌面軟件系統(tǒng)物理隔離，彌補了現(xiàn)有終端網(wǎng)絡(luò)接入及安 全管控體系的不足，改善了系統(tǒng)部署模式，實現(xiàn)了集中控制，降低運維成本，提高終端接入 安全性，降低系統(tǒng)安全風(fēng)險。
[0037]W下結(jié)合圖3所示的組網(wǎng)架構(gòu)對實現(xiàn)安全管控的系統(tǒng)進行介紹。整個系統(tǒng)網(wǎng)絡(luò)架 構(gòu)劃分4個主要區(qū)域；用戶接入?yún)^(qū)域、DMZ區(qū)域、核也交換區(qū)域、BOSS業(yè)務(wù)應(yīng)用區(qū)域。其中：
[0038] 用戶接入?yún)^(qū)；新增用戶域匯聚交換機。該區(qū)域作為用戶接入與內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的"接 口人"主要實現(xiàn)W下功能：
[0039] 1、為全省分散的營業(yè)廳提供集中的網(wǎng)絡(luò)接口；
[0040] 2、承擔(dān)了網(wǎng)關(guān)和H層路由轉(zhuǎn)發(fā)功能的重擔(dān)，負責(zé)安全訪問控制策略、流量負載分 擔(dān)執(zhí)行。
[00川 DMZ(隔離區(qū)）區(qū)域；新增了DMZ區(qū)域接入交換機、負載均衡服務(wù)器。如圖3所示， DMZ區(qū)域中，主要包括；RDS服務(wù)器池、AD域服務(wù)器、文件服務(wù)器W及會話服務(wù)器等。主要功 能如下：
[0042] 1、完成用戶安全接入審核；
[0043] 2、實現(xiàn)云桌面的網(wǎng)絡(luò)接入；
[0044] 核也交換區(qū)域；核也交換層作為所有流量的最終承受者和匯聚者，任務(wù)的重點是 具備兀余能力、可靠性和高速的數(shù)據(jù)傳輸。設(shè)計網(wǎng)絡(luò)時，主要考慮了兀余性、高效性，未在該 層做任何網(wǎng)絡(luò)的控制。該區(qū)域的主要功能如下：
[0045] 1、用戶接入?yún)^(qū)域向核也應(yīng)用層轉(zhuǎn)發(fā)用戶接入需求。
[0046] 2、完成數(shù)據(jù)的高速轉(zhuǎn)發(fā)。
[0047]BOSS業(yè)務(wù)應(yīng)用區(qū)域：主要包括BOSS業(yè)務(wù)服務(wù)器，接收并響應(yīng)用戶訪問請求，向用 戶展示響應(yīng)結(jié)果。
[0048] 優(yōu)選地，步驟S203中，建立上述云桌面系統(tǒng)與終端的連接可W包括W下處理：
[0049] 步驟1、上述終端向虛擬專用網(wǎng)絡(luò)（VPN)設(shè)備發(fā)送獲取網(wǎng)絡(luò)資源使用權(quán)的請求；
[0050] 步驟