【IT168 评论】　　2009年至2010年，东亚银行(中国)有限公司从桌面虚拟化到应用虚拟化，再到服务器虚拟化，成功实现了“三级跳”构建虚拟数据中心，并逐步搭建企业私有云。

　　东亚银行(中国)有限公司(以下简称东亚中国)自2007年首批获准筹建成立外资法人银行以来，通过3年时间已从成立之初发展至全国约20家分行和近80家网点。目前，东亚中国已成为内地分行网络最庞大的外资银行之一。

　　随着东亚中国业务的快速扩展，对IT系统也提出了更高的要求。IT部门因此成为银行里最为繁忙的部门之一。IT部门同时进行多个IT项目的开发与维护，如果本部门人手不够，还需要将一些项目外包给第三方开发伙伴。与此同时，东亚中国的IT部门在规模上进行了相应的扩张，在上海、深圳，东亚中国IT部门都有核心的IT团队。

　　外包项目的增多、IT团队人数的增长，给IT部门的管理带来了挑战。如何对日常工作和项目建设中产生的大量文档进行访问控制和监管?如何实现上海研发中心与深圳研发中心团队的无缝合作?如何做到既能让外包人员高效地为东亚中国服务，又不会过多泄露银行内部信息?这些都是东亚中国业务快速增长过程中面临的管理问题。

　　构建高效、安全的IT架构可有效解决业务发展中管理上的问题。借助虚拟化技术，东亚中国CIO林丽前瞻性地提出“小终端、大后台”新型信息系统体系架构。在林丽看来，“安全问题最终是由人产生的，安全实际上是对人的行为进行规范管理。因此，安全不是技术，安全是管理：是对信息的一体化管理。它最根本的性质是通过技术手段最终实现对人的安全行为管控。”

　　桌面虚拟化重要文档、应用访问受控

　　针对银行运营的重要载体——核心业务应用系统，其集中管控是IT部门的头等要事。东亚中国通过虚拟化技术最终实现跨不同安全区的综合后台应用访问，即后台应用/桌面按各自功能划分相应安全组群，通过虚拟应用和虚拟桌面系统向组群外发布应用。东亚中国前台设备可按被分配权限接收相应推送的业务应用，它仅与虚拟应用/虚拟桌面系统产生通信联系，而没有具体数据交换。由于采用了虚拟化技术，前台设备可简化成瘦客户机，甚至手机。

　　2009年初，在林丽的带领下，东亚中国仅用了半年时间完成了桌面虚拟化平台的搭建工作，并在整个IT部门实现了桌面虚拟化的应用。东亚中国首先搭建了文档统一管理平台和研发中心安全开发平台。

　　在文档管理平台方面，东亚中国建立了集中文件服务器，实现基本的文件集中存储和分类管理并提供基于Web的全面企业文档管理平台。通过虚拟化集中部署和发布文档阅读和编辑客户端软件实现，最终用户可以像平时的本机客户端操作一样，对集中存放的文档进行访问和操作，其访问权限，以及打印、复制、下载等操作权限都能够进行有效的控制，提高了重要文档的安全性。

　　在安全开发平台上，虚拟化技术其实已经可以支持很大一部分开发工具的集中部署和发布。在虚拟桌面模式下，每个用户独享自己的操作系统，研发中心的所有客户端都跳过了传统PC，而采用了瘦客户机。

　　“实现桌面虚拟化及虚拟应用后，员工只需通过各种终端登录服务器，所有的操作都是在服务器上实现，真正实现了移动办公。” 东亚中国CIO林丽谈道。

　　借助虚拟化手段，所有的应用与信息数据都集中存放在数据中心管控，信息数据以最高安全等级严格控制，项目文档和应用源码得到保护，而应用的地域却不受限制。“所有信息都存放在服务器上，服务器被安全保护，限制客户端直接访问，所有信息只进不出，有效控制银行安全风险。”林丽阐述道。

　　虚拟化内外网隔离、访问按需分配

　　在商业银行中内外网隔离也是IT部门在安全管理过程中面临的一个难题。在没有应用虚拟化技术以前，商业银行也采取了很多手段(如双网卡控制等)。开发、测试、生产不同环境对于网络的安全性会提出不同要求。

　　东亚中国在部署了应用、桌面虚拟化以后，可以将开发、测试、生产、办公网段在后台隔离，前端桌面设备由于采用了虚拟化技术，已经演变成只是显示设备。

　　只要把生产网段、办公网段和开发网段在后台分开，前端设备登录何种网络并没有直接关系。办公应用连接的是办公网段的服务器，业务系统连接的是生产网段的服务器，在不同网段设置不同访问权限，集中安全控制，在后台增强了数据和资料的保密性。

　　在风险和灵活性层面，不管银行内部还是与其合作伙伴公司间有任何往来，甚至是人员的流动情况下也都不会存在数据外泄风险，从而在保证安全的前提下，构建了更简化、高效、共享与灵活的IT工作环境。

　　此外，东亚中国在完成桌面虚拟化后，传统PC只是充当显示器的作用，利于统一实现软件正版化并有效降低相应的软件成本，利于统一运维、管理，整个资源可调、可控。通过新系统的部署实现运维不受地域限制、不受座位限制。

　　2009年8月，东亚银行深圳研发中心试点完成所有部署，可满足80个并发访问需求，其员工在8月全部迁移至瘦客户端和虚拟桌面，第三方外包服务人员则于7月份迁移到瘦客户端和虚拟桌面。上海研发中心的全面迁移紧随其后，恰逢上海研发中心搬家，只花了一个月的时间就全面迁移到了瘦客户端和虚拟桌面，同样可满足120个并发访问需求。自此，上海和深圳研发中心的员工可以在任何地点访问两个研发中心的开发环境工作站，并通过其访问后台的文档和开发环境，外包员工也可以在异地参加所有授权项目。