云終端系統在河北電網企業的應用分析

劉 欣，李紅宇，柴守亮

( 1． 國網河北省電力公司，石家莊050021; 2． 國網河北省電力公司邯鄲供電分公司，河北邯鄲056035)

1 概述

近年來，隨著云終端技術的不斷成熟，以及在信息安全保密、能耗、運維等方面的優勢， 云終端已經成為桌面辦公發展的趨勢，在國內外已經有較多的成功案例。全球500強公司80%以上均已經采用云終端模式進行辦公，國網黑龍江省電力公司及國網遼寧省電力公司已有200個終端用戶試用。

隨著SG-ERP工程建設的開展，國網河北省電力公司(簡稱“國網河北電力”)信息內網計算機在生產、管理、運營等方面作用日益增加，規模逐步擴大，在網終端3.8萬臺，終端維修600臺/月。部分偏遠變電站、營業所以及縣級供電公司由于地理位置原因，存在網絡帶寬不足，終端運維成本較高，效率低下等現象；其次因借用、借調、臨時項目組、外部審計等因素造成的臨時性辦公人員由于人員流動、設備攜帶可能造成信息泄露，軟件的安全配置、使用方式、軟件版本、兼容性等方面缺乏必要的監管手段，導致信息內網存在保密安全隱患， 終端信息安全形勢日益嚴峻。為減輕運維工作量，提高工作效率，提升公司信息系統安全運維水平，云終端應用方式將會成為國網河北電力的一種新型辦公模式。

2 云終端系統架構

云終端系統是采用云計算的桌面虛擬化技術, 利用瘦終端(傳統計算機)設備調用數據中心的硬件資源，為員工提供桌面辦公服務的新型辦公模式。

云終端(安全終端) 系統包括云接入端、云服務端兩部分。依賴網絡提供日常辦公服務，網絡延遲小于100 ms、丟包率小于10%，與傳輸距離無關。云終端系統架構圖，見圖1。

圖1 云終端系統架構

2.1 云接入端

云接入端支持瘦終端以及傳統計算機改造成瘦終端接入云服務端。瘦終端為本地無硬盤的精簡PC，內嵌Linux操作系統以及云終端系統登陸軟件。其平均功率10 W, 配備常用的USB、 網口、 VGA、耳機等接口，支持網絡打印機以及本地打印機。

2.2 云服務端

云服務端主要分為終端服務子系統、安全審計子系統、云硬盤子系統三部分，云服務端軟件是桌面云解決方案的核心軟件，實現將數據中心的各種硬件資源進行整合，通過專有技術形成員工可使用的桌面，以圖像的形式反饋到云接入端，為員工提供桌面進行使用。

a. 終端服務子系統。可為員工提供桌面級服務，實現對員工身份的統一驗證，桌面資源(CPU、內存、硬盤容量)的統一管理、動態調配；桌面應用的標準安裝，遠程運維等功能。

b.安全審計子系統。通過對員工辦公操作的

實時采集分析，進行實時的審計錄像，并將審計數據集中存儲管理。可有效的避免違規或違法操作、以及敏感數據泄露。

c. 云硬盤子系統。采用PC服務器+云硬盤子系統(軟件)替代昂貴的陣列存儲，為個人提供按需的存儲空間，并且提供文件共享、文件備份、數據冗余、通信錄等功能 。

2.3 系統云終端發布模式

相比傳統計算機通過顯示器+計算機主機訪問業務系統進行日常辦公的應用模式，云終端技術采用顯示器+云接入端設備，首先登陸到云服務端，然后訪問業務系統進行日常辦公，云終端系統包括2種模式，即桌面發布模式和應用發布模式。

a. 桌面發布模式。可為員工提供完整的桌面辦公環境，包括操作系統、應用軟件、信息系統等，適用于桌面辦公需求較多的場景。

b. 應用發布模式。按照辦公需要，僅為員工提供應用軟件以及信息系統的快捷訪問方式；適用于辦公需求及業務使用單一、網絡較差等場景。 該模式適用于縣級信息系統應用。

3 部署模式及特點

3.1 部署模式

由于信息內網應用系統的部署大多采用二級部署，省公司集中，因此云終端建設采用二級部署模式，有利于減少網絡帶寬需求，地市、縣公司使用省級云終端系統。考慮不同辦公場景需求以及網絡帶寬等因素，混合使用桌面發布模式以及應用發布模式。員工端安裝云接入端設備，如采用瘦終端以及利用傳統計算機、顯示器等為員工提供桌面服務和快捷應用的服務，示意圖見圖2

3.2 技術特點

云終端系統在靈活性、安全性以及故障恢復等方面具有優勢，也不可避免的具有劣勢。

a. 靈活性，云終端可根據用戶使用需求進行資源分配，實現服務資源的集中調配， 提升辦公終端硬件資源的利用率。可實現異地辦公，即在公司信息網中的任意辦公地點，能夠通過個人身份認證，實現遠程訪問自己專屬桌面資源進行辦公。文件集中存儲到后臺，存儲空間按需動態調配使用，實現數據海量存儲，數據可進行備份。

b. 安全性，終端登錄時采用用戶名口令進行身份驗證，支持異地使用高強度的身份驗證機制；網絡傳輸時采用專用傳輸加密協議，在傳輸過程中僅傳輸鼠標鍵盤的信號及畫面圖像的變換值，有效防止傳統辦公在傳輸過程中由于攔截、入侵等手段造成信息泄漏；員工本地不存儲任何數據文件，加密存儲到后臺，實現用戶的數據安全，但對于離職或流動人員的用戶數據可及時銷毀；系統進行統一安全防護軟件的安裝、統一的安全策略的配置，對弱口令、違規外聯、漏洞補丁、保密檢測等基線策略進行統一配置和加固，降低運維工作量；應用軟件配置標準化，防范非標配軟件(如盜版軟件)帶來的防護風險。

c. 故障恢復，瘦終端出現故障，故障恢復后仍是故障前的桌面狀態可繼續原來的工作，保證業務的連續性；由于用戶數據文件與操作系統分離，當操作系統發生故障時保證個人數據不受影響；云服務端統一完成軟件的配置，終端以及應用軟件的故障可快速恢復。

d. 云終端系統實質為瘦終端，對后臺的服務器及機房環境有較高的要求，因此建設初期投入成本較高，短期內難以大面積推廣應用。

4 應用場景分析

相對于傳統桌面計算機，云終端方式雖然在靈活性、安全性以及故障恢復等方面有諸多優勢，但并非可全面替代傳統桌面計算機。

云終端系統建設包括服務器、云硬盤、瘦終端、云終端軟件等軟硬件的采購，每臺服務器可帶25臺云終端，并且集中建設規模超過1 800點時，單臺建設成本方可降至傳統計算機采購價格。若按國網河北電力3.8萬臺終端建設，所需服務器1 520臺，即使采用刀片服務器等高集成度的設備，投入費用也仍然為天文數字，同時對機房環境的要求也會需要巨大的項目建設投入來保障。

因此，根據其技術特點，以及投入性價比，采用云終端代替傳統桌面計算機建議在以下場景推廣應用。

4.1 臨時性辦公人員

由于人員流動、設備攜帶等原因，臨時性辦公人員可能造成信息泄露。采用云終端，可以實現終端的快速安裝及應用，統一辦公規范，應用標準化的應用軟件，消除人員流動所造成的數據丟失，及時銷毀流動人員的辦公數據，防止信息泄露，而且從工作時間、工作內容等方面定期分析項目組人員工作效率，同時有效遏制臨時人員由于信息安全要求不清引發的信息安全事件等問題。

4.2 站所(變電站、營業所)人員

地市公司的變電站及營業站由于地理位置原因，網絡寬帶不足，對于故障報修難以及時響應，終端的使用存在流動性人員，特別是變電站，檢修時終端的需求增大，運行時又變為無人狀態，采用云終端，可以降低異地訪問業務系統的帶寬占用，降低由于終端操作系統或應用軟件等軟件系統的故障數量以及處理故障時間，消除人員流動所造成的數據丟失以及信息安全隱患等問題。

4.3 縣公司

國網河北電力的100個縣公司發展不均衡，部分農業縣公司基礎建設薄弱，特別是偏遠變電站及供電所光纜敷設覆蓋未達到100%，網絡通道帶寬窄，加上信息運維人員少，安全防護意識缺乏。采用云終端，占用較窄的帶寬(平均30 KB)，可以很好的解決縣公司到供電所之間網絡不足的問題，保證供電所業務系統的連續性和可靠性。統一身份機制，按需提供信息系統服務，保證了信息系統應用的安全。后臺云服務端統一實現信息系統應用標準化配置以及升級，降低了縣級信息系統應用運維的復雜性以及處理故障時間。

4.4 培訓人員

國網河北電力16個直屬單位全部設有培訓計算機室，但由于應用環境多變，使用人員及運維人員不固定，造成培訓計算機信息安全事件頻發。采用云終端，可以快速適應應用環境變化，根據不同培訓要求在服務器端配置調整，不必逐臺終端進行安裝設置，有效的提升終端的安裝維護時間，安全防護統一在服務器端進行配置，可以杜絕如違規外聯、弱口令、殺毒軟件等大部分信息系統的安全事件。

4.5 應用場景分配方案

國網河北電力共有16個直屬單位，220 kV以上變電站170座，營業所502座，100個縣級供電公司。各地市公司臨時辦公人員大約有10人，培訓教室終端用機大約50臺。各營業所及220 kV以上變電站各配置1臺云終端與傳統終端結合使用，提高邊遠辦公位置信息系統的可靠性。縣公司臨時辦人員約有2人，信息化項目建設小組臨時辦公人員按100人計。共需云終端1 932臺，分配方案見表1。

表1 云終端應用場景分配方案 臺

使用人員配置地點終端臺數數量小計臨時性辦公人員各項目組1001100各直屬單位1016160站所(變電站、營業所)人員220 kV以上變電站1701170培訓人員各營業所5021502各單位培訓教室5016800縣公司各縣公司2100200合計1932

5 結束語

云終端系統通過桌面虛擬化技術，將PC服務器的運算整合為一體，前端采用云終端設備，后端采用分布式存儲技術存儲用戶數據，其良好的擴展性可靈活、高效的滿足企業辦公環境的升級需要，同時用戶行為的安全審計提高了公司的信息安全，由于其前期投入較高，針對其應用特點，建議在臨時性辦公、變電站、營業所、縣公司、培訓教室等場景先期開展其應用推廣工作。