国网陕西电力内网终端维护浅谈

/ 3

国网陕西电力内网终端维护浅谈

徐向阳,周茜 ,张赞,

国网陕西省电力有限公司物资公司   710048 

国网陕西电力自2008年开始,出于网络安全需要,日常办公室用信息终端全部改为内网运行。经过近15年的发展,内网系统已基本满足从日常协同办公到专业应用各层级、各专业的应用需求。内网终端由于和互联网隔离,因此在安全性方面较VPN方式更为可靠。随着数字化转型的进一步深入,内网系统必将在不久的将来迎来更大的发展。笔者在单位长期从事终端维护工作,本文将结合自己的工作经历和日常工作经验,和读者聊聊终端维护那些事。

  1. 终端基本部署情况。随着国家电网公司统一采购范围的扩大,自2011年开始,终端硬件设备全部由国家电网公司通过年度招标方式确定品牌、型号、配置、价格。各单位在协议框架内根据需要进行采购。出于方便管理的考虑,单位年度购置终端型号基本做到整齐划一。终端所配操作系统也随着时代的变迁由Win7逐步演变到如今的神州网信版Win10系统。无论配备何种操作系统,内网终端为满足工作需要,还需要具备以下的基础环境与软件配置。

  1. 各类硬件驱动程序。这方面不仅包括终端本身硬件驱动,还包括各类外设驱动,这些驱动程序的安装是系统能够稳定、正常运行的基本保障。

  2. 系统运行所需运行库、插件。主要包括Visual C++、MSXML、NET Framework、java、FlasPlayer、电子签章插件,应用系统所需控件等。

  3. 安全防护类软件,主要包括杀软、桌管系统、合规系统,保密检查终端等。

  4. 应用软件类。主要包括chrome浏览器、WPS、SAP客户端、财务管控终端、OFD文件阅读器、电子签章助手、解压缩软件、播放器等。

以上所列是内网终端正常运行所需的基本配置要求,为了便于大家的日常使用,我还在系统里配置了密码保管箱、PDF编辑器、Everything、系统优化软件等软件,以提高使用者的使用感受。

  1. 终端维护要点。稳定运行各类工作所需系统应用,为使用者提供便捷易用的系统环境是所有终端应达到的目标。而经过近15年的使用历程,操作系统从Win7×86系统演进为Win10×64系统,IE浏览器从6版演变到11版并最终被Edge所取代。内网各应用系统也经过了多次的迭代,这些更新与变化,无时无刻都在对终端维护工作提出更新更高的要求。下面将对系统维护中主要出现的问题提出解决方案,供读者参考。

1、内网网站与协同办公系统由于开发较早,并且迭代更新较慢,因此在系统维护方面需要进行较多匹配设置。特别是2021年Flash播放器停用后,各单位内网网站仍在首页使用Flash页面,严重影响系统的安全性,目前该问题只能待上级单位有关部门加以解决。

浏览器兼容性问题。由于内网网站与协同办公系统只能使用32位浏览器,且版本不能高于IE9,因此针对Win10系统的IE11浏览器,需要将其桌面仿真为IE8方可正常运行,同时将协同办公网址设为兼容性视图和受信任站点。

发文管理问题。由于配置不当,有可能在发文管理中无法将编辑的文件上传服务器,此问题在Win10系统较为明显。经测试,首先是需要使用国网统推的WPS系统进行文件编辑,同时需要“以管理员方式”启动后方可正常上传编辑文件内容。

协同办公电子公章。原电子公章系统生成的CEB文件。该系统是北大方正电子公司拥有自主知识产权的一种板式文件格式,最早在我国政府机关公文处理中广泛被应用。后来由于国家统一的公文标准格式为CEBX文件,因此CEB文件系统停留在了最初的32位版本阶段,从而使协同办公的电子公章签章只能在32位系统下进行。为解决此问题,我们使用了虚拟机,在Win7×86环境下进行签章即可。2021年12月,国网公司将公文格式更换为OFD格式,此问题正式解决。

  1. SAP客户端配置。ERP系统历经多年的使用,算是各应用系统最为稳定的系统(没有之一)。虽然界面简陋,但功能至强,历经XP-Win7-Win10系统,依然稳定运行。随着特高压系统的建设,各省的ERP系统有可能会交叉使用,因此需要对个别岗位的SAP客户端配置其他省份(包括国网总部)的ERP系统配置。除此之外,可以运行C:\Program Files (x86)\SAP\FrontEnd\SAPgui目录下sapsettingsshow.exe对应用界面进行设置调整。

  2. 系统安全要求。近年来,随着网络安全态势的日益严峻,对网络系统的安全要求也日益提高。信息终端作为网络的入口环节,安全性要求同样日趋严格。根据总部相关要求并结合自身实际,信息终端主要从以下几方面提高自身安全性。

各类口令的设置与强化。除了在系统登录时按要求设置强口令之外,还需要将Administrator及其他账户设置(符合要求)密码。在本地安全策略中启用“密码必须符合复杂性要求”,“密码长度最小值”设置为8个字符,“密码最长使用期限”设置为60天。

终端自身防护要求。除了设置屏保启用最长为10分钟,并需要勾选“在恢复时显示登录屏幕”。禁用远程协助和远程桌面,关闭共享服务。对135/136/137/138/139/445/3389等高危端口,需关闭TCP\UDP传输。

以上要求除了以正常方式设置外,还应当以其他方式进行“加固”,以防止用户未经授权擅自更改。

  1. 维护方式的演进。从上文可以看出,一台终端采购到货后,需要经过一系列的安装配置调试方可用于日常工作,那么对于批量到货的设备,上述操作无疑是一个巨大的工作量。在日常使用过程中,由于每个使用人员计算机使用能力差异化而可能导致的系统故障千差万别,给维护工作带来了很多繁琐、同质化的工作,如何提高工作效率应该是运维人员着重考虑的问题。经过近10年的探索,我们已经找到一条适合公司系统的维护方式。

1、维护方式的演进。从系统安装调试到日常维护,基本可以划分两个阶段-安装调试日常维护。由于批量采购,终端配置相同,因此从2015年开始,我们在公司全面使用镜像方式对新购终端进行初始化安装,由原来的一台终端需要4-5小时左右,提升到10台终端同时安装,只需要20分钟左右(受制于场地有限,理论上可一次同时安装上百台),极大提高了工作效率。

出于性能和安全性考虑,每批次终端的镜像均按照前文所述进行安装调试,确保无误后方才制作镜像文件。随着设备批次的增多,镜像文件的维护也日益增多起来,有Win7、Win10系统,还有内网、外网之分,数量最多达50余个。为了减少镜像的维护工作量,考虑只制作每个机型最基本的操作系统,驱动以及基本应用软件。在终端进行部署时,采用脚本方式再对系统特定软件进行部署安装,此方式几乎降低了一半的镜像维护工作,取得了阶段性效果。

使用镜像安装方式,只是完成了终端维护的前半段工作,而后半段的日常维护仍然无法提高效率。此外出于安全需要,管理部门经常要求在最短时间内对所有终端设定安全策略,分发补丁等等一系列操作,这些对运维工作都是很大的挑战。结合使用镜像部署的经验,设想能否通过远程操作,采用镜像复刻的方式快速实现终端部署与管理。通过调研,云终端方式引起了我们的兴趣。

  1. 云终端方式的终端维护。“云”的概念现在已经是家喻户晓,在技术研发方面,国外技术巨头主要关注“云”的算力、虚拟化、网络、存储等方面,而在桌面云技术方面,国内厂家在Citrix、VMware、微软以及oracle等国际IT巨头公司推出的桌面虚拟化产品基础上,开始了精耕细作,目前主要有以下三种模式。

虚拟桌面基础架构(Virtual Desktop Infrastructure)简称VDI,轻前端重后端,绝大成本投在后端资源建设;通过在数据中心的服务器运行Windows系统,将桌面进行虚拟化。尽管VDI基础架构作为完全符合云计算标准的技术,且进入市场多年,但是事实上,基于中国的国情,VDI架构用户体验比较差,主要表现为:VDI用户无法离线工作。受到网络带宽以及后端服务器配置的限制,不适合处理高负载应用。外设受限,需要调试匹配。总结来说,VDI虽然能都帮助企业实现IT运维管理的简化和灵活调配,但对于需要处理高级别图像功能的高负载应用场景以及更高性能功能应用,并不适用。

智能桌面虚拟化(Intelligent Desktop Virtualization)简称IDV,针对VDI的先天缺陷,采用集中存储、分布运算的构架,将虚拟桌面的运行部署在本地电脑上运行,系统镜像统一存放到服务器端,配置并下发到终端机器硬盘上,终端通过虚拟机运行桌面,不再对网络过度依赖,无需大量的图像传输,支持系统离线运行,同样可以统一管理终端桌面系统,虽然相对VDI有很大改善,但是要求本地硬件必须统一,必须支持VT等带外特性,另外由于没有脱离虚拟机概念,性能和兼容性还是没有办法和传统的PC机器相比。

虚拟操作系统基础架构(Virtual Operatingsystem Infrastructure)简称VOI,为集中存储、分布运算的构架。该模式是在服务器端存储系统数据,在客户机上运行桌面。客户机只需在启动时从服务器端将操作系统和应用加载到本地缓存即可使本地计算机能正常使用。该模式支持离线运行、支持桌面系统集中安全管理,而且桌面性能完全保持传统PC的体验,不存在兼容性问题,同时支持本地机器无硬盘启动。对数据的安全性、硬件的精简做了进一步改善。

综合比较三种模式,由于VDI需要大量投入服务器资源,因此该方式不适用于电力系统日常办公使用。IDV方式在理论上规避了VDI方式的缺点,但其在终端以虚拟机方式运行,极大降低了终端性能,而且底层一般是Linux系统,无形中又增加了运维的难度。相比较而言,VOI方式是比较理想的云桌面方式,其用户使用感受与普通PC机几乎完全相同。2020年下半年我们开始在公司内网进行试点运行,2021年上半年进行了全面部署,经过一年多的使用,在用户体验、日常维护,设备管理等方面基本达到了预期效果。

四、云终端维护体验。按照公司现有机型,我们分别设置了Win7和Win10系统模版,通过对这两个模版的维护,可以完成约90%运维工作。实践证明在满足公司日常办公需要的前提下,较好地解决了终端运维工作的系统部署+日常运维问题。运维工作效率显著提高,主要体现在如下几方面。

1、高效维护。通过模版维护,可以将补丁,更新、安全策略、软件部署等及时进行调整,通过系统推送到每一台终端,避免了单纯依靠人力进行的终端维护模式。

2、安全性极大提高。由于采用模版推送方式,因此普通用户无法修改系统文件,从而确保了系统安全稳定。同时安全策略可以快速调整与部署,提高系统防范漏洞入侵的反应能力。个人数据与系统数据分离,为个人数据采用私有云方式保护奠定了管理基础。

3、终端维护标准化。在模版中已将办公所需的各系统安装调试到适用状态,极大满足了所有用户的使用要求。同时普通用户无法对设置进行改动,也就避免了因用户误操作而导致的系统运行为题(出现问题重启即可),真正做到了终端环境统一,标准统一的目标。

4、终端管理更加便捷与规范。针对日常终端网络设置、保密安全配置、日常使用管控也都有具体的解决方案,通过系统设计即可快速部署实现。

五、今后的发展方向。在达到安装调试日常维护目标后,如何对用户数据进行有效保护?如何将用户产生数据形成企业大数据应用?疫情期间如何能实现远程办公?这些问题,将是今后我们研究的方向和目标。

1、由于云桌面的使用,已经实现系统数据与应用数据的分离,通过私有云系统,可以轻松实现个人数据的云端存储。在确保数据安全的前提下,利用私有云还可以轻松实现文件传送、用户共享、团队协作等功能,为日常办公应用提供更加便利的网络环境。

2、疫情期间,远程办公成为一个热门的话题。其实远程办公的难点不在于网络的连通和电脑的获取,而在于环境的完整获取。因为“办公”的实质在于通过工作用的专用软件和数据来完成一个个的工作任务。

而远程办公的最佳方案,当属桌面云。基于前面讲过的桌面云的特性可知,所有办公需用的软件和数据环境,都存储在单位的服务器上,远程办公就是通过任意一种设备来访问这个桌面,即可实现“工作环境随身携带”,这也是PC做不到的。

按照国网公司要求,内外网是相互隔离的两套系统,但是随着数字化转型的深入,目前已经允许部分应用系统以及物联网专用通道两种方式的内外网访问。这就为将来的远程办公政策调整出现了一丝曙光。