宁波银行应用citrix交付中心案例分享

宁波银行应用Citrix交付中心案例分享（InternalOnly）背景宁波银行成立于1997年4月，是在17家城市信用社、1家城市信用合作社联合社及4个办事处的基础上组建起来的。宁波银行是一家正致力于跨区域发展的银行，继上海分行、杭州分行、南京分行开业后，深圳分行也即将开业。宁波银行积极推进管理创新和金融技术创新，努力打造公司银行、零售公司、个人银行、信用卡、金融市场五大利润中心，实现利润来源多元化。随着宁波银行网点的快速扩张，及各项业务的开展，业务需求对IT应用和IT基础构架的要求也越来越高。不但要求IT系统的各应用能够快速满足各种新业务的要求，对于网络安全、管理等基础构架也带来了更高的要求和更大的压力。而且，由于银行的快速扩张，IT部门的人手也严重不足，进一步加剧了矛盾。所以需要有一个系统的解决方案，帮助宁波银行的IT部门来应对这一系列挑战。需求为了应对这些挑战，宁波银行的IT构架需要解决以下几个关键的问题：支持分支机构快速扩张的基础构架因为短期内分支机构的快速扩张，需要有一套IT构架，能够适应这样速度的扩张。能够在最短时间内，快速建立新的分支机构的IT环境的部署。同时系统要能够有良好的可扩展性来支持日益增长的系统容量。解决终端和应用的管理和安全问题由于存在大量的分支机构，终端网点的客户端的安全和管理问题的矛盾也越来越突出。由于网点终端分散于各个网点，加上网点的IT管理力量薄弱，对于这些终端的维护和管理的挑战性十分大。采用传统的PC+本地安装客户端模式，初始安装和配置需要大量的工作量。日后的应用升级、维护，往往需要IT管理人员访问现场，其速度和成本也非常高。同时，如何保证这些分散的客户端的安全也是需要重点考虑的问题。在生产网络中，任何一台受到病毒或木马感染的客户端，都可能直接影响到整个网点，乃至整个 生产网络的正常生产。同时，如何保护重要应用中的敏感信息的保密，也是需要着重考虑的问题。跨安全分区访问业务应用由于银行网络安全要求的特殊性，其网络往往划分为多个相互隔离的安全分区，如办公网，开发网，生产网等。多个安全分区之间用防火墙互相隔离。但是由于不少业务应用，需要跨安全分区进行访问，这就需要在防火墙上打开相应的端口。由于应用对通信和端口的要求千变万化，而且随着应用的构架变化和版本升级，往往防火墙规则也需要做相应修改。这样不但增加了管理负担，而且也带来了一定的安全隐患。分支机构访问应用的速度问题对于分支机构，不但存在终端和应用的管理问题，应用的访问速度也是用户十分关注的指标。由于银行的应用绝大部分采用集中的后端，及越来越多使用B/S构架，其操作响应速度往往不够理想。这就要求新的解决方案能够很好地优化分支机构的用户对各种应用的访问和响应速度。安全的开发环境银行的开发部门由于银行的业务特殊性，对开发环境和文档管理环境的安全性要求较高。而由于银行业务的飞速拓展，银行开发项目中，往往还会牵涉到很多第三方公司和外包项目。这对开发系统的安全构成了极大的挑战。需要有一套环境，能够让开发项目的员工及外包员工，能够在受控环境下，进行相关应用的开发和调试，同时能有效保护应用代码及银行数据的安全。要应对以上的这些挑战，采用传统的PC机加管理软件的方式，不能完全有效地解决这些矛盾。通过Citrix应用交付中心的解决方案，是客户端系统和应用管理方式的变革，能从另一种思路来解决这些安全和管理的问题，达到传统方式无法达到的理想效果。以此使宁波银行的客户端和应用管理水平迈上一个新的台阶，能适应银行业务快速拓展的需要。问题分析宁波银行终端和应用的安全和管理的挑战是使用传统计算模式情况下，非常普遍的问题。由于PC的特点，PC终端的安全和管理一直是业界困扰的问题。传统模式的弊端下图是传统的计算模式构架图： 从传统构架来看，有这样几个特点：1.客户端需要在终端部署，初期安装以及后期维护工作量巨大。维护成本高。2.由于应用客户端直接部署与终端，业务数据会直接在数据中心到网点的网络中进行传输。3.由此，为了满足传输的安全，必须对传输的数据进行加密，以防被截获。加密一般通过应用本身的设计或者使用专门的网络层的加密设备，如VPN等来实现。4.此外，大部分应用还会将数据缓存与客户端的本地。在本地的数据也需要加密和访问控制，才能保证数据的安全。5.要实现从传输过程，到本地数据的安全和保密，对应用的要求很高。很多应用并没有对数据的安全性作很好的考量。改造应用，或者通过其他产品来实现加密等，实现非常困难，安全漏洞很多。6.应用直接部署于客户端，也使应用客户端本身暴露于分析、扫描、反向工程、破解等等各种安全攻击的威胁下。7.对于跨安全分区的应用，每个应用，都需要分别配置防火墙上的策略。 打开过多的地址和端口，也对安全造成一定的影响。同时，一旦应用服务器的部署有所变化，也需要对策略作相应的调整，非常不灵活。1.由于很多应用没有对远程网络访问进行优化，导致应用访问速度非常不理想。客户体验差，影响工作效率。综合起来看，传统模式由于其分散的本质，及客户端应用和数据直接存于远程的终端之上，管理复杂，要保证其安全十分困难。其面临的安全攻击面较高。传统解决方案必须从传输，保存，端点及运行环境等各个环节都保证安全，所以有了防火墙，终端管理软件、终端防病毒软件、入侵检测、网络加密设备等等各种解决方案和产品。其实现安全的代价高，效果往往仍不理想。所以，一味地从传统方案入手，而不改变其构架，问题隐患并没有从根本上得到解决。Citrix模式带来的变化我们来看一看Citrix的方式，如何通过改变整体的计算构架，来使整个问题的解决变得简单化。Citrix模式的核心是：1.在数据中心集中部署应用客户端。2.使用应用虚拟化技术，使集中部署的应用能在各网点的PC和瘦客户端上使用。下图是使用Citrix模式带来的变化 从Citrix的模式，可以看到有以下几个变化及特点：1.应用客户端集中部署于位于数据中心的Citrix服务器上。终端设备上无需部署应用。由此，可以实现应用管理的集中化，大大减轻分支机构终端和应用的维护压力。2.由于应用客户端不在终端直接部署，在终端对应用客户端进行扫描、破解、反向工程等攻击基本不可能。3.由于应用客户端在数据中心，所以原始业务数据的传输也只在数据中心的范围内。数据中心的网络安全性一般能有保障。4.在数据中心到终端网点的网络中传输的是经过Citrix协议加密的屏幕刷新和键盘鼠标操作等信息。该数据很难被截获破解，即使被截获破解以后，其提供的信息也十分有限。能十分好的保护原始数据信息。5.应用客户端的本地数据存储实际存于数据中心的服务器，其安全性也能得到保证。6.由于客户端集中部署于数据中心，其与后台应用服务器之间的连接速度良好，从而，使应用的反应速度有所保证。而从Citrix服务器至用户客户端，使用的ICA协议，对于各种网络环境，特别是低带宽、高延时的网络有良好的优化。从而使远程的分支机构，访问应用的速度和用户体验大大增强。7.对于需要跨安全分区访问的应用，以往，不同的应用需要开放不同的IP 地址段和端口，现在，只需要配置从客户端至Citrix服务器的策略即可。即使应用改变，也无须改变防火墙策略。总结来说，由于传统模式客户端直接访问后台时，之间传输的数据是真实的企业应用数据，该数据会被缓存在用户本地或在传输中被截获，这些都是不安全因素；而用户访问XenApp服务器时，之间传输的是屏幕增量变化信息和鼠标键盘变化信息，用户端无任何应用数据缓存在本地，同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因而可以说是用CitrixXenApp平台后，数据总是存放在最安全的地方。XenApp带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。由于其集中的构架，带来的安全的优势十分明显。解决方案整体构架解决方案整体构架根据宁波银行项目的要求，建议采用CitrixXenApp来构架一个集中的应用发布平台。通过使用集中计算的构架模式，来面对安全和管理等问题。下图所示为解决方案的整体构架示意图：其构架特点： 1.前端用户使用瘦客户端，或普通ＰＣ等设备，通过访问Citrix统一的应用发布平台，来运行特定生产应用及ＯＡ系统。2.这些应用的客户端统一安装于CitrixXenApp平台，实现统一的安装和管理。3.经发布的应用无需在前端客户端部署和维护。4.数据中心到客户端的通信是加密的，敏感信息只存放在数据中心，不存与客户端上。5.使用ＡＤ来实现统一的用户认证和授权。6.后台的应用构架不变，无需对现有应用进行改变。经Citrix平台发布的主要应用:l开发平台源代码管理系统lOA系统l信用卡业务部各常用业务系统l国际业务部常用系统l个人征信系统l反洗钱核查系统l第二代身份证核查系统以上只是发布的应用得一部分。随着平台的推广，在平台上发布的应用列表也在不断扩充解决方案推广的过程Citrix应用交付平台解决方案在宁波银行内部的推广也有一个循序渐进的过程。总体分了三个阶段：第一阶段：开发网安全开发中心的应用 开发中心是最早采用CitrixXenApp的部门。主要用来解决开发中心的安全管理，以及部分应用，如源代码管理系统跨网段访问的应用问题。第二阶段：办公网OA系统发布，信用卡部和国际业务部推广经过开发中心的应用，宁波银行进一步在办公网部署了XenApp服务器，用来发布内部OA系统，信用卡业务应用。在后期，进一步拓展到国际业务部门，发布了结汇系统等业务应用。Citrix平台主要帮助宁波银行解决了内部应用客户端的管理、插件安装问题，以及跨网段访问应用的问题。第三阶段：生产网终端改造项目推广在第一、二阶段应用得到了良好的效果后，在第三阶段宁波银行决定结合网点客户端改造项目一起，在各分行，支行的营业网点使用Citrix来发布一系列重要应用。如第二代身份证核查系统，反洗钱系统，个人征信系统等。终端改造项目把分支网点的客户端，从传统PC机，统一换成瘦客户端，再结合Citrix平台，访问总行和外联的银行应用。这样，整个项目大大减少了分支机构的维护工作量，同时也能保证数据的安全，十分有利于银行网点的快速扩张。同时，远程网点对外联的、总行的应用的访问速度也大大提高。总结总结来说，通过Citrix应用交付中心解决方案，宁波银行建立了一个可以集中，安全发布各类应用的平台。通过该平台，建立起了一个安全、高效的应用交付基础构架。通过该构架，有效地解决了宁波银行以下几大类问题：l一个可以有效支持分支机构快速扩张的应用交付基础构架l大大提高分布式应用的数据和网络安全，特别是在分支机构的数据安全l大大简化需跨安全分区访问的应用的部署复杂度，简化访问策略配置，提高安全性l提高分支机构、远程用户对应用的访问速度和体验l实现安全的开发环境