摘要

“通过部署Citrix XenApp平台，广州移动不仅实现了建立高效安全的数据安全操作中心的目标，而且由于 CPM加强了对信息接入的内部 控制，公司能轻松应付全球范围的大量法规条款。根据美国医疗保险信息交换与保密法案（HIPAA）及萨班斯-奥克斯利法案（Sarbanes- Oxley Act）或欧盟数据保护指令（European Union Data Protection Directive），安全缺口会让企业受到严厉的惩罚，而CPM的使用把 这种可能性降到了最低。”
中国移动通信集团广东有限公司广州分公司IDC中级主管王志华先生
中国移动通信集团公司（简称“中国移动”）是中国唯一专注于移动通 信运营的运营商。拥有全球第一的网络和客户规模，连续7年被美国 《财富》杂志评为世界500强，最新排名第180位，是北京2008年奥运 会合作伙伴。随着电信市场竞争日趋激烈，利用业务支撑系统产生的大 量宝贵的数据资源，进行信息的智能化加工和处理，为市场经营工作提 供及时、准确、科学的决策依据，是业务支撑部门的重要的日常工作之 一，已成为提升中国移动的企业核心竞争力的有效手段。

挑战：如何在数据分析外包的同时保障数据安全？

在全面实施精细化营销的过程中，中国移动及各分公司日常市场营销和客户服务活动中数据分析需求越来越多、越来越复杂，而且增长的趋 势也越来越快，自有人力资源无法保障数据分析工作的顺利开展，因此中国移动及各分公司普遍采取了服务外包的方式。 由于数据分析人员必须基于业务支撑系统、ACRM、OCRM等业务系统开展市场经营分析工作，所有的数据分析人员将有机会接触广州移 动最为核心的商业数据。同时，数据分析结果将会被发送给相应数据需求人员，由数据需求人员对数据结果加以应用，所以广州移动日益关 注从数据提取、数据分析、数据传递、数据存储、数据使用到数据删除整个数据生命周期的数据安全。数据安全操作中心建设迫在眉睫，建 立从数据提取、存储、传递、使用到删除的数据生命周期的安全管理和监控体系。

思杰解决方案的部署

通过为数据分析外包人员部署瘦客户机，利用思杰平台对数据分析应用工具进行集中发布，并结合网络访问控制安全技术，保证所有的网络访问都是可控的，可以很好地解决广州移动数据安全操作中心的需要。
思杰采用应用集中部署模式，数据分析应用工具软件只需在中心服务器上部署一次，远程访问用户即可以通过IE的访问方式进行工作。多用 户同时访问时，思杰服务器管理和运行客户端软件的多进程运行，由运行在思杰服务器上的客户端访问后台服务器，思杰服务器通过虚拟化 技术将运算结果和用户输入输出向授权用户发布。同时思杰提供智能访问技术，结合全面的加密和认证技术，保护关键的信息和应用，提供 对业务系统的安全接入。思杰后台可以通过严格的安全策略与接入控制策略，精确地对每一个人员进行有效的应用访问、数据操作、和进行 录像和审计，在思杰的优秀ICA的会话支持下这种集中模式下的软件录像可以非常节省存储空间和带宽，能够在合理的成本下实现每个用户 长达一年的操作记录，有利于对每个操作用户的工作审计，问题回朔和确定责任，非常有效地保证了系统的整体安全性。

智能化的监控管理保障数据安全

通过思杰应用发布平台，任何用户使用应用的过程将被全程监控：用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上， 然后在需要的时候像看电影一样回放。为有效利用资源和保护隐私，思杰解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的 录像策略来控制录像的开始和停止。
由于用户登录思杰平台时首先通过了身份认证，因此后台的网管系统的口令可以通过Citrix XenApp自动管理起来，Citrix XenApp具有口 令自动管理的功能，通过Citrix Password Manager（简称CPM），可以实现多系统登陆口令的自动管理，对应用系统无任何改动，是领 先的企业单点登录解决方案。
CPM从根本上改变了传统的多口令管理方式。使用它，用户可简单接入Windows、Web和基于主机的应用程序，且口令得到了更高的安全 保障。为了加强安全，CPM对口令采取了集中化管理，具体事宜由管理人员统一负责。这增强了终端用户的使用安全性及对外部攻击的防 御能力。
Citrix XenApp铂金版的性能监控工具可以方便地监控Citrix XenApp服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软 硬件变更、硬件资源情况、软件使用情况、以及License管理等等。通过性能监控工具，管理人员不仅可以追踪用户对应用软件的使用情 况，提前预知系统的性能问题，并且保存数据，以供分析和产生报表。

虚拟化技术提供高效快速访问

Citrix XenApp可以通过Web Interface来发布所有应用，并让用户通过IE浏览器访问该Web Interface。输入用户名及密码并验证通过后， 将在网页中显示已发布给该用户的应用程序。用户可以通过点击所发布的应用程序的图标来访问该应用程序。 通过思杰部署结构，最终用户访问应用的性能依赖于服务器计算能力和数据中心内部网络，不再依赖于广域网和终端设备，因此通过配置高 性能的中心服务器，可以使得远程用户像在局域网内一样使用应用系统。
由于ICA协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息， 因此每一个连接只占用十几KB的网络带宽。在我们进行网络带宽的规划时，非常容易估算总的带宽需要，比如广州移动近期大概需要90个并发用户（60个由数据分析人员并发使用，30个由数据需求人员并发使用）时，中心带宽需求最高是： 90×20K=1.8M。 中国移动通信集团广东有限公司广州分公司IDC中级主管王志华先生评价：“通过部署Citrix CITRIX XenApp平台，广州移动不仅实现了 建立高效安全的数据安全操作中心的目标，而且由于 CPM加强了对信息接入的内部控制，公司能轻松应付全球范围的大量法规条款。根据 美国医疗保险信息交换与保密法案（HIPAA）及萨班斯-奥克斯利法案（Sarbanes-Oxley Act）或欧盟数据保护指令（European Union Data Protection Directive），安全缺口会让企业受到严厉的惩罚。而CPM的使用把这种可能性降到了最低。”