APP下载

基于桌面云的“一机两网”应用实践

2023-03-24人力资源和社会保障部信息中心张博

中国信息化 2023年11期
关键词:专网人社部桌面

文 | 人力资源和社会保障部信息中心 张博

一、引言

人力资源社会保障部(以下简称人社部)现有两套非涉密网络基础环境,分别是综合网和业务专网。其中,综合网用于支撑部门户网站、公共服务类系统运行;业务专网为支撑人社跨地区业务系统运行的网络,与综合网实现安全隔离,纵向联通部省,并延伸到市、县、乡镇、社区,横向与电子政务外网实现互联互通,实现与其他部门的信息共享。

二、存在问题

目前人社部用户配置了综合网终端,用户可通过综合网终端访问互联网、门户网站和公共服务类系统,业务专网并未联通到各办公场所。在两张网之间没有安全的访问通道,综合网用户无法访问业务专网业务系统。

目前部内只有几个有限运维终端可以访问业务专网,既无法满足大量用户的使用需求,也无法实现终端用户行为管控,且因业务专网数据较多,如不对这些访问终端加以管控,不对数据导出操作进行管理,可能会造成业务专网数据泄露。此外,终端接入业务专网如未进行严格管控,存在未修复的高危漏洞,或未更新杀毒软件及病毒特征库,容易被攻陷成为跳板,影响整个业务网络的安全。

人社部需要一种方便安全的手段,在基本不改造现网的前提下,快速实现用户对综合网和业务专网的访问需求。

三、基于桌面云的“一机两网”方案

结合人社部实际情况,采用了基于桌面云的“一机两网”建设方案。该方案基于现有办公场所的综合网终端,借助桌面云技术,生成虚拟终端(以下简称“云桌面”),用户可通过“云桌面”安全访问业务专网系统,在访问过程中用户的访问路径及访问行为全局受控。

基于桌面云的“一机两网”建设方案的整体框架包含物理层、虚拟化层、资源层及管理层。

(一)物理层

人社部桌面云系统的物理层包括终端和服务器端两部分。终端目前有两种形态:一是通过现有台式机实现桌面云接入,进行业务系统访问,该接入方式较为便捷,目前人社部大部分用户均采用这种方式接入;二是采用桌面云瘦终端接入,该接入方式更利于管控,且瘦终端体积小、功耗低、易维护,但要进行特殊配置,目前人社部有少量特殊用户采用这种方式接入。服务器端目前有两种模式:一是建设初期的桌面云一体机,扩展性不强,维保成本较高;二是利旧现有的服务器设备。随着业务的发展,通过扩充通用服务器设备,实现其与桌面云一体机资源的统一管理,故其扩展能力较强,维保成本较低。考虑到扩展性,人社部桌面云的服务器端已经逐步从桌面云一体机向通用服务器过渡。

(二)虚拟化层

人社部桌面云系统虚拟化层实现计算虚拟化、存储虚拟化和网络虚拟化三种功能。计算虚拟化为人社部“云桌面”提供计算服务,结合实际需求,在服务器端规划了不同的“云桌面”资源池,并配置了不同的操作系统及应用软件。存储虚拟化为人社部“云桌面”提供数据存储服务,基于通用服务器,采用分布式存储技术,创建虚拟化存储资源池,所有的写入数据实现多副本、跨节点加密存储。网络虚拟化为人社部“云桌面”提供安全管控服务,人社部的桌面云系统将前端“云桌面”与后端服务器之间的网络连接虚拟化为一个共享的网络资源池,实现对网络资源的集中管理。

(三) 资源层

资源层实现了不同“云桌面”资源的精确管控,满足不同类型的“云桌面”资源需求。人社部的桌面云系统采用了两种部署模式。

1.共享桌面

虚拟化的“云桌面”不固定用户,在用户退出后,系统自动关闭该“云桌面”,并释放相关资源,本地不保存数据,大部分用户采用此种模式。

2.专属桌面

专属桌面模式通过虚拟化技术为每位用户创建独立的、定制化的“云桌面”环境,在用户退出后,不会释放相关资源,数据长期保存。结合实际情况,人社部规划了三类专属桌面用户,一是各单位的财务部门用户,因这部分用户需要访问财务部中央预算管理一体化系统,考虑到其业务的特殊性,此类用户只允许剪切板单项拷贝,禁用光驱、打印机等其他USB设备;二是数据库管理用户,因这部分用户需要访问指定业务系统后端的数据库系统,对数据库表进行多层次统计分析,鉴于此类用户操作的特殊性,禁用这些用户的剪切板双向拷贝、光驱、打印机等其他USB设备;三是业务系统的管理员,因这部分用户需要进行业务系统运维和数据定期维护,该类用户只允许使用特定在U盘在特定的终端使用特定的账号导出数据,除此之外禁用其他一切操作。

(四)管理层

人社部的桌面云系统主要体现在三个方面:一是人社部的桌面云系统采用统一模板方式,对不同组别的“云桌面”的操作系统及基础软件进行统一管理,并根据实际情况统一下发和更新;二是人社部的桌面云系统实现了全方位监控,实时监控桌面云服务及“云桌面”的运行状况;三是人社部桌面云系统实现了数据导出审计功能,在确保用户账号、导出终端、导出设备三者强绑定的情况下,才可进行数据导出,同时对“云桌面”的数据导出行为实时审计,所有用户的数据导出操作,都在后台审计控制中心记录备案。后台审计控制中心为每个管理单位创建了审计账号,各管理单位可定期审计数据导出情况,查看是否与各单位数据导出申请情况相吻合。

四、应用成效

桌面云系统在基本不改变人社部现网环境的情况下,为人社部综合网用户访问业务专网业务系统提供了一条安全的访问通道,用户借助该通道可以访问人社部业务专网的业务系统,以及部署在电子政务外网的跨部门业务系统,实现了一机访问“两网”目标。该方案还建立了数据安全导出管控机制,数据导出记录可审计,导出文件可追溯。目前,人社部桌面云系统已经覆盖了部机关及部分部署事业单位共43个机构,近600个用户,访问业务系统的数量有30多个,涵盖了就业、社保、劳动关系、人事人才等各类人力资源社会保障业务。

通过人社部桌面云的“一机两网”的应用实践,在不改变人社部现网环境的前提下,安全快速地实现了部内用户对综合网和业务专网的访问需求,并形成了跨网访问的安全闭环管理。

(一)为跨网访问路径提供了有益探索

目前各相关部门都建立了自己的业务网,因业务系统的重要性,业务网与日常使用的网络隔离,存在跨网访问问题。如何在跨网访问过程中实现用户行为受控,数据操作安全,是跨网访问管控的关键环节。在改动最小的情况下,规划桌面云方案,实现“一机两网”访问,可作为性价比较高的选择之一。

(二)为数据管控提出了新的解决思路

目前在各部门跨网访问的过程中,几乎都存在数据操作的问题,如何安全地进行数据操作,这些问题有待深化研究。桌面云提供的账号、U盘、终端强绑定的数据管控解决方案,再配合制度和流程约束,为数据管控提供了新的解决思路,从技术层面保障了数据安全。

(三)为数据安全提供了事后管理手段

按照数据全周期管理要求,数据的每个流动环节都要进行监管,数据导出审计作为事后管理的重要抓手,应在实际数据安全管理过程中强化利用。数据导出审计功能是将用户导出数据操作留痕,将导出账号、介质、终端及导出文件等信息备案至管控中心,再结合人工定期审计复核,形成完整的闭环管理。审计作为事后监管的一个重要手段,在数据安全管理过程中,可被广泛借鉴使用。

猜你喜欢

专网人社部桌面
桌面舞龙
人社部六大举措推动提升全民数字技能
基于APP在线控制双挤出头FDM桌面3D打印机的研制
桌面云技术在铁路行业中的应用
无线专网通信在武汉配电自动化中的应用
人社部就业扶贫专项组专职副组长、就业促进司副司长尹建堃: 全面推进就业扶贫工作 坚决打赢脱贫攻坚战
无线通信技术在电力通信专网中的应用
人社部印发通知贯彻落实《关于提高技术工人待遇的意见》
2018,你的收入与此有关
我国警用通信专网与公网比较研究