交通银行信用卡中心

信息技术管理部总经理王志伟

加强金融科技创新和技术攻关是时代对金融业提出的更高要求。作为中国金融体制改革的先行者,拥有110年历史的交通银行正在积极拥抱金融科技，并大力推进关键领域技术攻关，交通银行将“科技赋能”上升至集团战略层面，围绕IT架构转型、IT管理架构优化、数据治理三大战略重点，持续推进数字化、智慧化转型，全面重塑经营管理流程。

交通银行信用卡中心积极响应并重视运用金融科技赋能，尝试利用国产技术，加大自主创新的力度，把科技创新作为引领发展的不竭动力。伴随新一轮科技变革需要及响应国产化的号召，交通银行信用卡中心将应用虚拟化与银行业务相结合，构建了自主可控、高安全、易维护、高效率的桌面系统，为运营管理体系提供支撑。

终端变革，引领创新

自2010年开始，交通银行信用卡中心开始利用应用虚拟化实现PC终端的变革，在变革过程中获得了很好的安全性、集成性和可管理性。系统用户数总计4万多个，并发用户2万左右，覆盖呼叫中心（催收、客服、保险）和内部办公业务等多个场景。

为响应国产化号召，构建自主技术能力。2019年，交通银行信用卡中心开始在国内厂商范围内展开技术调研和POC测试。从方案需求匹配度、自主技术能力和未来投入等多方面综合评估，与深信服达成合作。与此同时，探讨实现流程自服务，智能监控等，构建一套适合在信用卡中心落地的，更完整、更高效、更自主可控的数字化工作空间。

经过一年多的攻坚克难，目前在催收外呼、电销外呼、跨网络区域安全访问等多个场景均使用了应用虚拟化的方案，用户数在5000人左右，计划在2021年完成全部用户的使用替换。

协同发力，国产应用虚拟化落地

交通银行信用卡中心之所以选择应用虚拟化方案，与一个很主要的场景——呼叫中心，密切相关。随着交通银行信用卡业务的蓬勃发展，交通银行信用卡中心在全国多地设置了专门的客服、催收和保险业务中心。目前在全国范围内已经有几十个职场和分中心，职场相对分散，并且职场和人数的增长变化非常快，另外职场的业务展开以第三方外包接入为主，所以在业务迅速上线的基础上还要重点考虑整个方案落地后的安全性建设。业务访问特点上呼叫中心业务人员使用应用相对单一，主要以B/S架构的业务平台应用为主。结合以上的场景特点，在综合考量安全性、资源消耗及业务快速变化的情况下，应用虚拟化在上线和维护方面拥有技术优势。

从需求分析来看，应用虚拟化业务系统部署需要满足以下三点。

第一，用户访问基本需求。包括高并发集群稳定使用，项目规划对交行卡中心进行应用虚拟化业务系统部署，需满足2万并发用户数的应用虚拟化使用；二是统一接入认证：在认证安全方面，客户需使用AD域用户接入方式访问应用虚拟化系统，并结合统一身份认证平台实现用户认证统一管控。

第二，功能需求。一是浏览器应用访问为主：使用场景为普通办公、呼叫中心业务场景，为每个用户分配IE浏览器等应用资源，用于访问不同的OA、内部办公系统、业务系统等；二是数据安全性：从安全性方面考量，针对其中重要应用服务器需进行定期备份，以保障其数据更高的安全性需求；三是应用可靠兼容：在应用软件方面，需满足其基础办公软件需求，在此基础上，同时也要保障其特有的安全软件、准入软件等特殊应用软件正常使用；四是多外设兼容：在外设方面，需要满足其耳机、麦克风、键盘、鼠标等外设的正常使用。

第三，非功能性需求。比如，在使用体验方面，终端用户稳定接入和使用体验流畅的需求，以及用户接入使用对网络带宽、服务器资源高效利用的需求。在整体安全性方面，对终端用户进行统一身份认证，且能对接现有用户管理系统；对重要应用服务器进行数据保护的需求；对用户的访问权限要有严格的管控，避免出现越权访问的行为发生。

应用虚拟化解决方案用户前端可通过用户个人PC接入发布的虚拟应用资源，实现业务数据安全方防护，提升桌面整体运营成本及办公灵活性。后端适配卡中心当前规划，通过x86服务器虚拟化结合分布式存储搭建基础资源池。考虑到未来大规模集群部署后使用体验，方案所涉及的存储网络和业务及管理网络均使用万兆光交换机设备搭建。

此次应用虚拟化解决方案，搭配应用交付和统一身份认证平台。方案能够很好适配卡中心当前网络架构，符合安全、稳定、可靠的部署架构，达到完整替换国外产品的效果。通过在DMZ区集群部署两台负载均衡，完成对请求做地址转换的网络要求，并对外发布IDtrust做统一身份认证，认证对接AD域控服务器。终端云服务器区汇聚交换机旁路集群模式部署两台终端云控制器，并提供细粒度的策略控制、应用统一监控及管理等功能，实现更安全、更可靠地交付应用资源。后端服务器硬件资源，根据项目多期实施计划不断扩容。

创新亮点，赋能未来

通过国产化终端虚拟化部署实践，我们认为，在技术实力层面，国内的虚拟化技术已经能够满足金融行业内的技术要求和使用需求，包括网络和软硬件资源消耗等方面和国外主流厂商相差不大；在投入成本方面，应用虚拟化整体建设费用可以与传统终端建设模式持平甚至更低。此外，从整体终端运维上来说，易管理性和便捷性相比传统终端方案有质的提升。

此次使用国产平台的应用虚拟化技术，对交通银行信用卡中心的运营管理体系提供了有力支撑。主要表现在以下几方面。

首先，数据安全管控方面，在应用虚拟化架构数据不落地的基础上，深信服创新性地通过管理平台自身的多重认证、精细化外设管控、录屏审计、拷贝控制、防截屏、屏幕水印等技术和策略设置，实现涵盖终端、接入、网络、数据、平台多层面的安全设计，全面保障业务数据安全，有效防范数据外泄，也解决了原有传统桌面安装桌面管理软件带来的用户体验问题。

其次，在运维方面，通过统一的运维平台和软件分发技术，实现对资源、数据、应用及桌面的集中管理，大幅提升了桌面运维的效率，同时弱化了客户端故障对业务的影响。

三是，用户体验方面，当前的方案在网络带宽的消耗和传输优化方面已经完全适应了卡中心现在的网络环境，全国职场和分中心人员都能十分流畅地访问卡中心总部的业务平台，可以实现从原平台的平滑切换。

此外，项目推进中一些技术难点被攻破：一是应用虚拟化项目是集成项目，除应用虚拟化系统外涉及底层服务器虚拟化、安全网关、统一登录等系统的集成和联合对接开发。二是现应用虚拟化系统底层基于Windows系统，大量涉及Windows系统的底层原理需要确认，并结合后进行后续开发。

作为国产应用虚拟化系统的先行者，交通银行信用卡中心和深信服共同拥有该项目知识产权和著作权。双方还共有两项专利，分别是：应用虚拟化环境下的多业务系统统一认证方案，应用虚拟化环境下的动态图像过滤技术。该系统的网络带宽占用基本和业内最优的Citrix系统基本持平（该指标是应用虚拟化很重要的指标之一）。项目使交通银行信用卡中心形成了一套完整的应用虚拟化系统的解决方案，结合了服务器虚拟化、安全网关、统一登录、安全审计等功能模块。

展望

当前我国的信息科技正处于高质量发展的重要战略机遇期，信息技术应用创新是未来发展的主要动力源泉，我们必须奋勇前进，应对高质量发展的复杂形势和严峻挑战。

应用虚拟化项目是交通银行信用卡中心在国产化方向上大胆迈出的第一步。未来，我们还将继续在国产化终端虚拟化及终端信创改造、开发终端变革，智慧办公空间落地的实践方面加速转型实践，赋能未来发展。