一、国产化生态切换现状及需求分析

自2014年“棱镜门”事件开始，信息安全的议题被提升到了国家的高度。国内的IT行业开始了“国产自主可控”的起步。随着2018年中美贸易战的逐步升级，美国加大了对国内信息产业的封锁，越来越多的信息技术企业被列入“实体清单”。为了破局，国家提出了“信息技术与应用创新”的口号（简称“信创”）。从芯片到操作系统，再到应用生态，越来越多的信息技术企业加入“信创”产业，推动了IT行业国产化的迅速发展。

在国产化迅速推进的当下，从芯片、内存、存储、计算机、打印机等硬件，到操作系统、数据库、文字处理、中间件的等软件，已经初具规模。但是，党政军及国央企和事业单位中，大部分的业务系统和应用系统，还是基于原有的windows架构。

从windows生态向linux生态的切换，会需要大量的投入，包括资金成本，包括时间成本，也包括切换过程中的面临巨大的风险成本。

切换到linux生态，面临如下重大的风险，需要我们去分析和提出切实有效的解决方案。

1.1、硬件和驱动兼容问题

业务系统所使用到的硬件和驱动，很多时候并没有有效的linux版本，或者支持的不好。而当前的硬件环境中，又没有更好的对linux桌面形成支持。所以，操作系统的切换，必然对应用系统依赖的硬件和驱动形成挑战。

而USB设备的种类，以及USB设备的协议兼容性都存在一些特例，这些特例的设备，对linux的支持，更是无法实现。

主流的硬件设备，有以下类型：

· 打印设备：打印设备包括通用的激光打印机、喷墨打印机、针式打印机、小票打印机等。设备品牌既包括主流的HP,CANON，也包括各类小众品牌打印机。

· 存储设备：各类U盘，移动硬盘，以及SD读卡器之类。

· 流媒体设备：高拍仪、摄像头等。

· 扫描类输入设备：扫描仪、扫码枪、二维码扫码器、磁卡读卡器等。

· U-KEY类设备：各类U-KEY安全设备，以及加密狗等USB设备。

从众多硬件和驱动来看，linux都面临巨大的挑战。如果应用对某个硬件具备较强的依赖性，那么如何从windows切实把应用切换为linux，更是一个挑战。在时间紧任务重的情况下，平缓迁移到方案，将得到青睐。

1.2、应用系统的生态切换

不容忽视的是，有相当一部分政府和企事业单位中，其依赖的应用系统，大都在windows生态上开发的。如果其是C/S结构，那么C端的应用程序要改成linux的版本，面临巨大的时间成本、资金成本和切换风险。

当然，最终所有的C端的应用，要么web化，要么必须在linux下进行开发。但是，对于当前来说，切换的时间成本是其中最难以估计的。一个应用系统的成熟，不仅仅是开发完成，而是需要经过相当时间的实际运营，并不断优化的。这方面，对每个需要切换C端应用的管理者来说，都是一种决策上的挑战。

由于windows及其上IE浏览器的垄断地位，使得部分基于WEB的应用程序，依然使用ActiveX等特殊的IE控件。这些控件的使用，使得这些基于WEB应用程序和IE绑定了一起，从而也和windows绑定了一起。替换这类的应用程序，也需要消耗大量的时间成本、资金成本和风险成本。

如何通过一种可平滑，低风险的应用切换模式，成为管理者必须面对的决策难题。

据统计，每个单位的业务系统，平均有6个。而中国巨大的政府和事业单位，所面临的应用是海量的。如何平稳的将应用从windows切换到linux平台，是国产化面临的最不可预测的部分。远较通用软件的评估要困难。

1.3、流行类软件的替代困境

基于生态和历史的原因，一些国外的应用软件，已经形成的历史垄断地位，成为事实上的标准。在实际的工作中，对其依赖很大。

国产化会通过国内的软件开发商去开发这些系统和应用软件，但是基于时间的原因，还需要相当的时间进行软件的能力提升和BUG的修正。这可能大大降低工作效率和工作质量。

比如流行的设计软件photoshop，AI等，以及在设计类市场成为事实的标准。国内目前尚难替代。替代需要较长的时间。有幸的是，国内已经加班加点进行此类软件空白的填充，但是达到国际先进水平，尚需时日。

如何通过技术手段，在基础设施国产化之后，能够让这类应用和软件平滑过度？

1.4、应用软件新开发面对的挑战

中国有1200万得软件从业人员，但是99%是基于windows下流行架构进行开发。如基于.NET，基于VS等。这些程序员从成熟的windows开发环境，切换到陌生的linux开发环境，对他们来说，需要进行重新的学习和适应。这个转变需要时间。这个转变因为其陌生性，也对软件的开发效率带来降低，并且软件的安全质量需要消耗更多的时间去解决。

重新培养1200万研发人员，是一个耗时的事情。因此，国内在一段时间内，将面临linux开发人员人手不足的问题。在所有应用软件无法迅速转化到linux环境下的当下，如何通过技术手段，让两者能够并存使用，给最终的完全国产化带来时间。是一个需要重点考虑的挑战。

有一些应用的原供应商，因为经营原因已经倒闭，或者因为经营原因目前无人手进行linux的研发，将大大延后应用系统国产化的时间表。

二、信创应用推送解决方案简介

2.1、应用推送技术简介

信创应用推送技术，是我们从2018年开始研制的第二代产品（简称GII），是国内具有自主知识产权的、基于服务器计算（Server-based Computing）的应用推送平台。它将用户所有应用软件（ERP、OA、CRM、PDM、CAD……）集中部署在国产化桌面服务器（群）上，操作终端无需再安装应用程序，通过国产化桌面独特的RAP 协议（Remote Application Protocol），即可让用户快速访问服务器上的各类应用软件；国产化桌面RAP 协议只传输鼠标、键盘及屏幕变化的矢量数据，访问仅需20kbps的带宽，用户不再受客户端和连接性能要求的限制，在任何时间、任何地点，利用任何设备、任何网络连接方式，即可高效安全地访问服务器（群）上的应用程序和关键资源。

信创应用推送产品，有效支持国产化终端平台，如飞腾CPU+银河麒麟操作系统，龙芯CPU+中标麒麟操作系统。支持在这些国产CPU和linux平台上，实现传统架构应用的访问。访问快捷、高效、安全。

我们采用了全新架构，将传统的桌面虚拟化产品功能向虚拟应用推送转变，它能对每个用户应用需求的独立应用场景配置，满足用户个性化需求及统一管理，其数据结构可伸长，旨在不提高虚拟应用管理工作强度前提下，实现以人为本的用户个性化管理的同时还适应各类程序及用户应用环境的多样性及复杂性，并进一步增强应用的安全性、可靠性及负载均衡的一种全新架构。

 

图1 应用推送服务版示意

 

2.2、方案构成

2.2.1 服务器

采用X86架构的服务器搭载windows Sever操作系统，做为承载管理端的硬件、系统环境。支持现有X86架构服务器利旧。

2.2.2 信创电脑

支持目前主流的信创电脑。主要有龙芯、兆芯、飞腾、鲲鹏、海光、申威六大芯片，UOS、麒麟、鸿蒙三大操作系统。

2.2.3 应用推送服务版管理端

安装在应用推送服务器上，通过OSCP协议，将虚拟化的应用推送至客户端。

2.2.4 应用推送服务版客户端

安装在国产操作系统上，通过OSCP协议，接受服务端推送的虚拟化应用。

 

图2 UOS桌面操作性系统应用推送服务版效果

 

 

图3 麒麟桌面操作系统应用推送服务版效果

 

2.3、信创应用推送产品设计理念

信创应用推送系统从应用接入系统发展到GII架构的应用推送平台，在不断深入调研用户需求及中国网络应用模型基础上形成ALL IN ONE 的产品研制策略（图2）。

ALL IN ONE理念释义：一是代表产品集成化设计，减少了不必要的冗余的接口，不需要依赖其他支撑软件，提升产品效能；二是代表在企业应用模型采用ALL IN ONE的思路，最终实现企业所有的资源集中到一个平台上，实现企业闲置资源有效共享，逐步做到企业接入、企业管理、资源扩展、资源共享的一体化。让客户打破地域和时间限制，利用任何设备、任何网络连接方式，安全的获取各种授权的和共享的资源、信息和数据，使企业更合理、更有效的利用现有资源。

同时，ALL IN ONE的设计思路，让用户可以使用包括国产终端在内的各种Linux终端，来访问用户的任意应用系统。使得国产化的推进能够平滑、有节奏，极大降低了生态切换的风险，带来了时间和空间上的冗余度。

 

2.4、信创应用推送产品亮点

完美的应用程序兼容

在原有的windows生态下运行的绝大部分应用程序，都可以通过信创应用推送实现linux下的全兼容。

经过我们开发实验室的测试，已经众多行业的实际测试，我们能够支持99%的应用。

l 通用类程序

包括OFFICE, WPS, Internet Explorer， photoshop，AI， autocad，coredraw，adobe acrobat之类的流行的Windows应用。

l 行业类应用系统

支持包括医疗信息化系统HIS，公安、检察院、法院等应用系统，OA, ERP，SAP等各类应用，教育信息化产品，用友金蝶等财务系统等。

针对用户的特定应用，经过测试和适配后，绝大部分的应用，将可以流畅的运行于Linux国产化环境之下。

极佳的USB外设兼容

经过开发实验室的测试和适配，已经可以兼容绝大部分的USB外设，从而帮助用户可以充分利用原有的设备。

支持和适配的外设类型包括：

· 打印设备：打印设备包括通用的激光打印机、喷墨打印机、针式打印机、小票打印机等。设备品牌既包括主流的HP,CANON，也包括各类小众品牌打印机。

· 存储设备：各类U盘，移动硬盘，以及SD读卡器之类。

· 流媒体设备：高拍仪、摄像头等。

· 扫描类输入设备：扫描仪、扫码枪、二维码扫码器、磁卡读卡器等。

· U-KEY类设备：各类U-KEY安全设备，以及加密狗等USB设备。

针对用户的特别的外设，我们的驱动开发小组会迅速跟进，联合厂商进行基于SDK包的驱动定制，迅速为客户提供定制化的外设兼容方案。

优秀的运行性能

信创应用推送平台，其应用的计算能力由服务器提供，而不是由本地的国产linux终端来提供。所以，应用系统的运行性能由服务器的计算能力来确定。众所周知，服务器的并发性能和计算性能远大于本地终端性能，应用系统的表现将极大的提升。不受限于国产平台的计算能力。特别，需要3D渲染等对硬件GPU有依赖的应用，可以通过服务器上插入所需要的显卡来实现，带来超过设计工作站的应用性能表现。

极高的性价比

信创应用推送平台，具有极高的性价比。不仅仅是软硬件的利旧，也可以在整个TCO时间内，极大的降低了运营维护的成本。

l 单服务器支持数百用户在线，极大节省服务器资源消耗

l 可以利旧，利旧现有服务器进行服务端部署

l 原大部分外设可以继续使用

l 应用统一发布，降低对国产终端的维护依赖

l 兼容多终端，平滑升级，降低部署成本

 

高安全性

信创应用推送平台只开80和5872两个通讯端口，并对传输过程加密，提供有多重身份认证方式（用户名密码、用户名密码+key、IDynamic  Key等），可对访问的应用程序授权，强化WEB服务安全、提供应用软件访问安全策略、操作系统安全策略、细致的事件审计、数据不落地等安全功能，形成全方位、立体的信息安全防护体系。

对网络带宽需求低，访问速度快

信创应用推送系统这种新技术在网络上只需传输鼠标、键盘敲击动作及屏幕矢量变化信息，无需传输大量通讯数据，只需20K的带宽即可实现快速访问。

管理功能强大便捷

信创应用推送系统具备系统参数备份与恢复功能；CPU、内存等资源消耗的监控及策略管理功能；各种事件的记录和报警系统功能；数据中心服务器和应用软件用户绑定等一系列便捷功能。

单点登录（SSO）

信创应用推送系统SSO（Single Sign On，简称SSO）在多个虚拟应用发布管理中，用户只需要登录一次就可以访问所有设置信任的应用系统。

计算资源需求可计算、可扩展

由于这种只在服务器上部署和管理的方式，该计算机的性能需求做到可评估，并可依据需求集群扩展，当一台计算机性能不够用时，能非常快速的再加入一台计算机来做服务计算工作。

三、信创应用推送系统架构安全防护概述

在广域网远程应用时，安全是应用的前提，在集中式的应用模式下，接入安全及访问安全是极其重要的，国产化桌面从网络边缘防护、传输过程加密、身份认证、访问控制等安全措施方面有着全面的防护设计，再加之信创应用推送系统平台配置的系统AD策略模板，可确保远程应用的网络安全及访问安全。

3.1、架构安全特性

由于信创应用推送系统是基于服务器计算模式技术（server-based computing，简称SBC模式）的应用接入平台，自主设计的RAP协议（Remote Application Protocol）能够动态实时对应用程序的输入输出逻辑和计算逻辑进行分离，在这种应用架构下，所有的计算功能都是在服务器上完成的，服务器与客户机之间的网络中只传输键盘、鼠标移动变化指令和图像矢量信息，这些信息包即使被侦听和截获，也是一堆无用的信息，所以这种架构的安全性是非常高的。

3.2、信创应用推送系统安全设计

3.2.1、国产化桌面WEB服务安全

由于使用标准浏览器就可以访问应用系统，因此WEB服务的安全性将至关重要，所以信创应用推送系统没有选择MS IIS这种第三方WEB服务来作为我们的WEB服务，而是针对远程应用的WEB安全特点，进行了专项开发，并进行高强度的安全攻击测试，可摒弃用户因通用WEB服务可能存在的安全隐患而造成对系统安全问题的担心。

3.2.2、数据库服务安全

由于通用数据库的安全隐患也比较多，所以我们也没有选用第三方通用的数据库服务产品，而是远程应用的安全特性，投入人力进行专项开发，直接在信创应用推送系统中内置了数据库服务功能，并进行了高强度的加密处理，让用户无需担心数据库的安全，放心使用。

3.3、边缘网关安全

国产化桌面开发的网络安全加速服务器（RSA Server），具备为用户提供网管安全的整体安全解决方案能力，对于网络安全，我们认为需要用户在边缘网管设备选型时，需要考虑设备具备对网络进行多层安全检查和深入应用层的安全防护能力，具有可靠的防攻击、防欺骗以及防网络病毒能力；具备强大的安全访问控制能力和网络在线监控和信息分析功能，能帮助企业及时了解网络运行中的安全状况并进行管理；应提供WEB网关缓存以及分布式缓存功能，可以加速对常用的WEB网站的访问，节约访问时间和节省带宽成本。

3.4、数据传输安全

虽然在服务器计算模式下，客户机与服务器之间通讯不传输真实数据，只传输鼠标、键盘的点击动作及图像的矢量信息，但信创应用推送系统的Secure RAP协议仍然在建立客户端和服务器的专用隧道连接时对数据包进行加密。

而且用户针对可以自由选择设置对传输过程进行SSL（Secure Sockets Layer）和TLS强加密设置，加密强度可达到128位，最大限度的保障了传输过程的安全性。

3.5、访问认证安全

信创应用推送系统除了自带用户名密码认证控制外，还支持用户名密码＋令牌、用户名密码＋USB KEY以及用户名密码＋生物指纹认证等多种第三方身份认证设备，为用户提供高安全的访问保障。

 

3.6、接入策略控制

3.6.1、访问安全策略

信创应用推送系统可将每个会话连接做到细粒度访问控制，当客户端机器访问服务器时，可以通过设置与其绑定的应用程序可被访问的时间、安全等各种策略，对系统所发布的应用程序提供访问安全的保障，防止被恶意用户不正当的访问。此外，我们还提供客户端机器名称、客户端硬件等预约式认证方式。

3.6.2、应用系统授权访问

信创应用推送系统可针对发布的某一个应用系统或关键资源进行用户（组）权限授权，完全满足用户细致的访问权限管理。

3.7、系统安全策略

信创应用推送系统全面兼容Windows系统的安全策略，它包括3项内容：用户策略、AD策略、NTFS设置（个别文件的设置、非系统盘的设置、系统盘的设置），这些安全策略可与系统紧密结合起来，用户可根据自身情况，限制用户的各种行为，如隐匿硬盘、限制打印、存储等操作行为，并可通过我们的安全策略，实现对接入客户端电脑的各种USB、硬盘、串口、并口资源的使用限制，保障系统的安全、可靠、持续运行，将Windows操作系统B2级的安全管理完完全全的发挥出来。而且我们提供常见的安全策略模板，让用户快速实现系统安全策略配置。

3.8、日志时间审计

信创应用推送系统可为用户提供所有用户及网络访问活动监控，可记录所有用户的当前及全部访问与操作信息，可通过安全事件、审计时间、报警日志、会话日志等多角度去监控与管理整个的实时应用安全状态，做到可记录、可追溯、动态报警的安全管理，从而帮助系统管理员及时发现及处理安全事件。