廊坊市城鄉(xiāng)規(guī)劃局桌面云項目

　　項目背景

　　廊坊市城鄉(xiāng)規(guī)劃局（以下簡稱廊坊市規(guī)劃局）負責市域城鎮(zhèn)體系規(guī)劃、城市總體規(guī)劃、村鎮(zhèn)規(guī)劃、城市地下空間利用規(guī)劃等專項規(guī)劃以及城市詳細規(guī)劃的組織編制、審查報批和監(jiān)督實施等政府職能，政務辦公系統(tǒng)中存有大量的敏感數據。為了防范泄密事故，廊坊規(guī)劃局政務辦公桌面環(huán)境中一直在使用物理隔離卡方案，存在網絡切換復雜、數據安全難管控、運維效率低等問題。

　　2013年初，廊坊市規(guī)劃局新建辦公樓落成，規(guī)劃局希望借此契機改造政務辦公桌面系統(tǒng)。

　　業(yè)務需求

　　在對政務辦公桌面進行云化改造項目中，廊坊市規(guī)劃局提出了以下主要需求：

• 能夠實現(xiàn)互聯(lián)網和政務辦公網絡的安全訪問和隔離；
• 訪問3D資源的政務辦公桌面要求有較高的三維圖形顯示能力；
• 能夠對桌面遠程維護、操作系統(tǒng)補丁統(tǒng)一分發(fā)、辦公軟件版本統(tǒng)一升級等，改變維護跑現(xiàn)場、效率低的現(xiàn)狀。

　　解決方案

　　華為為廊坊市規(guī)劃局提供了基于云的政務安全桌面解決方案，部署200臺瘦終端，400個虛擬機（其中200個用于訪問互聯(lián)網，另200個用于訪問政務辦公網）。方案組網如下圖所示：

　　為實現(xiàn)規(guī)劃局對于規(guī)劃數據及互聯(lián)網的安全、隔離訪問，華為從網絡、安全及云的角度進行融合解決方案設計。

　　網絡：采用核心、匯聚、接入三層架構設計。保密區(qū)域網絡不連核心交換機，而是通過防火墻與辦公網VLAN中相應網口連接，實現(xiàn)對保密區(qū)域網絡的隔離，及保密區(qū)域外設備間的正常互訪。

　　安全：桌面云入口及保密區(qū)域入口均架設防火墻，通過桌面云防火墻實現(xiàn)辦公網與互聯(lián)網的隔離，通過保密區(qū)域防火墻控制只有辦公網中固定MAC地址的虛擬機可以訪問保密區(qū)域。

　　桌面云：為每個公務員配置兩個VM，分別用以訪問互聯(lián)網和辦公網，實現(xiàn)訪問的數據隔離。

　　對于規(guī)劃局三維圖形文件訪問的特殊需求，采用GPU直通方案，即將需要進行圖形化工作的虛擬機與GPU卡進行一一綁定，即實現(xiàn)GPU卡的專用。同時，客戶端配置具有出色的圖形處理能力的高性能CT6000，保證GPU直通虛擬機的圖形顯示效果。

　　客戶價值

　　政務安全辦公桌面解決方案為廊坊規(guī)劃局提供了如下價值，獲得了客戶的充分認可：

• 采用較低的成本解決了廊坊規(guī)劃公務員安全跨網辦公的業(yè)務需求；
• 雙網切換簡潔快速，切換時間由原來2分鐘降為5秒，效率提升了20余倍；
• 辦公網與互聯(lián)網的隔離設計，消除了來自互聯(lián)網攻擊的風險；
• 桌面瘦終端不存儲數據，消除了本地泄密風險；
• 實現(xiàn)了政務辦公桌面的統(tǒng)一管理運維，提高了運維效率4倍以上。