郭樂

【摘要】隨著信息時(shí)代的到來，桌面虛擬化已經(jīng)成為了現(xiàn)代化信息產(chǎn)業(yè)中非常重要的一部分，本文首先對桌面虛擬化的相關(guān)內(nèi)容進(jìn)行了介紹，隨后針對桌面虛擬化的研究和應(yīng)用的有關(guān)內(nèi)容進(jìn)行了分析，并提出了在相關(guān)領(lǐng)域的應(yīng)用，供相應(yīng)的計(jì)算機(jī)和互聯(lián)網(wǎng)行業(yè)的人員參考。

【關(guān)鍵詞】桌面；虛擬化；研究；應(yīng)用

一、前言

隨著社會的發(fā)展，信息化的普及，信息化的建設(shè)實(shí)現(xiàn)了從無到有，從實(shí)體應(yīng)用到虛擬應(yīng)用的轉(zhuǎn)化。虛擬化不僅僅為企業(yè)單位節(jié)省了購置新設(shè)備的開銷，更為信息中心集中化管理，合理分配資源提供了堅(jiān)實(shí)的基礎(chǔ)。桌面虛擬化基于虛擬化應(yīng)用平臺交付和虛化框架平臺的集成，依賴于服務(wù)器虛擬化。桌面虛擬化的信息安全問題，是虛擬化新技術(shù)與信息安全的交集。桌面虛擬化安全是值得探討的一個(gè)話題，其目標(biāo)是打造為企業(yè)重要信息提供可靠支撐的信息化保障體系，為企業(yè)帶來更高的實(shí)際利益。

二、桌面終端安全分析

1、桌面虛擬化背景分析

桌面虛擬化是指將計(jì)算機(jī)的桌面進(jìn)行虛擬化，使用戶可以通過安全網(wǎng)絡(luò)在任何設(shè)備，任何地點(diǎn)，任何時(shí)間遠(yuǎn)程訪問屬于其個(gè)人的桌面，并獲得與傳統(tǒng) PC 機(jī)一致的用戶體驗(yàn)。桌面虛擬化不是由本地操作系統(tǒng)產(chǎn)生的，而是由后臺數(shù)據(jù)中心生成，并完成交付的工作，其擁有

集中管理、可擴(kuò)展的管理、簡化的部署等特性。

目前， VDI（ Virtual Desktop Infrastructure） 是 桌面虛擬化的主流架構(gòu)與部署方式，當(dāng)前主流的虛擬桌面技術(shù)廠商，都已經(jīng)確定了各自主打的桌面顯示協(xié)議，如 Microsoft 的 RDP、 Citrix 的 ICA/HDX、 Red Hat 的SPICE、 VMware 的 PCoIP 等。桌面虛擬化通過統(tǒng)一的遠(yuǎn)程訪問協(xié)議來進(jìn)行桌面訪問，這樣的好處是顯而易見的， IT 人員只需要做好其中一條防線的保護(hù)。

2、桌面虛擬化安全問題

云計(jì)算是桌面虛擬化的重要支撐，是一個(gè) IT 基礎(chǔ)架構(gòu)的研究熱點(diǎn)，虛擬桌面重新回收分散的桌面分布，集中到數(shù)據(jù)中心統(tǒng)一部署和管理，這大大方便了桌面維護(hù)工程師的工作。桌面虛擬化技術(shù)的應(yīng)用大大提高了桌面的可用性，而性能也可以通過使用新的、更強(qiáng)大的服務(wù)器不斷提高。桌面虛擬化在內(nèi)網(wǎng)安全方面的提升很明顯，例如防止數(shù)據(jù)丟失，數(shù)據(jù)備份，系統(tǒng)的簡化等。但由于信息化的不斷發(fā)展，桌面虛擬化應(yīng)用隨之普及，也帶來了一些新的安全問題。例如 Blue pill 攻擊，它通過良好的處理內(nèi)核模式存儲轉(zhuǎn)換，使用 VMRUN 以及相關(guān)的 SVM 指令，對第三方軟件進(jìn)行欺騙操作，取得系統(tǒng)的進(jìn)入許可，如使用虛擬主機(jī)進(jìn)行跳板攻擊，將大大威脅數(shù)據(jù)中心的整體安全。另外，資源濫用也不容忽視，個(gè)別用戶的資源濫用，可導(dǎo)致其他桌面用戶體驗(yàn)受影響。桌面虛擬化因用戶群體關(guān)系，基本上基于 Windows系統(tǒng)，但 Windows 安全性的一些問題不容忽視。為解決這些問題，管理員會使用傳統(tǒng)的殺毒軟件及防火墻進(jìn)行部署，但對于桌面虛擬化環(huán)境，這并沒有提高效率，還可能出現(xiàn)嚴(yán)重的問題。例如，殺毒軟件的不合理設(shè)置，可能導(dǎo)致殺毒風(fēng)暴的出現(xiàn)，這將耗盡數(shù)據(jù)中心所有資源，導(dǎo)致數(shù)據(jù)中心宕機(jī)。

因此，對于數(shù)據(jù)中心的運(yùn)維而言，迫切需要一套新的運(yùn)維方式和技術(shù)手段去保障系統(tǒng)的穩(wěn)定和安全。

三、桌面虛擬化優(yōu)勢

任何新技術(shù)都有其特有的優(yōu)勢，桌面虛擬化也不例外，以下我們對桌面虛擬化的優(yōu)勢進(jìn)行分析。

1、高可用性

桌面虛擬化可以客戶機(jī)為粒度進(jìn)行封裝，可以方便地實(shí)現(xiàn)快照（ snapshot）、 克 ?。?clone）、 遷 移（ migration）、 掛 起（ suspend）和 恢 復(fù)（ re-sume）。從而大大提供系統(tǒng)高可用性和可維護(hù)性。利用以上的功能封裝，有助于減少數(shù)據(jù)備份和恢復(fù)過程的代價(jià)。在虛擬化環(huán)境中通過快照、 克隆、 遷移等方式進(jìn)行虛擬機(jī)的快速恢復(fù)，比傳統(tǒng)的操作系統(tǒng)安裝、 環(huán)境配置、 重新配置應(yīng)用、 再恢復(fù)數(shù)據(jù)等繁瑣的步驟簡單高效。從而減少宕機(jī)時(shí)間，減少業(yè)務(wù)中斷帶來的風(fēng)險(xiǎn)，增加業(yè)務(wù)連續(xù)性、 提高服務(wù)水平和信譽(yù)度。

2、提高資源使用率

針對桌面應(yīng)用，大多為清負(fù)載應(yīng)用，且熱點(diǎn)較少。利用桌面虛擬化，可使多臺客戶機(jī)在虛擬化平臺的統(tǒng)一調(diào)度下，共享硬件資源，并交替忙閑運(yùn)行，可以極大提高硬件資源的使用效率，同時(shí)降低對硬件的整體投資，還能整體降低系統(tǒng)運(yùn)營費(fèi)用（空間、 電力和散熱等）。

3、隔離

客戶機(jī)是運(yùn)行在虛擬化平臺之上的一個(gè)獨(dú)立實(shí)例，因此一個(gè)客戶機(jī)的故障不會影響到另外一個(gè)客戶機(jī)的運(yùn)行。而物理主機(jī)和客戶機(jī)之間、客戶機(jī)之問無法直接通信。盡管多個(gè)操作系統(tǒng)運(yùn)行一臺物理機(jī)器上，共享使用外設(shè)和網(wǎng)絡(luò)，但他們之間通信更類似于網(wǎng)絡(luò)中松散耦合的節(jié)點(diǎn)。

4、抽象

由于虛擬化平臺的存在，客戶機(jī)并不感知硬件的差別，可以自由的在不同的硬件上方面的遷移，屏蔽了硬件的多樣性和復(fù)雜性，便于系統(tǒng)的開發(fā)，同時(shí)能夠方便服務(wù)的提供和部署。

四、桌面虛擬化后期研發(fā)和應(yīng)用

1、加強(qiáng)用戶身份認(rèn)證與訪問控制

為保障用戶接入的安全，虛擬化桌面系統(tǒng)需具備更加嚴(yán)格的終端身份認(rèn)證機(jī)制，需支持豐富的認(rèn)證、 鑒權(quán)模式。同時(shí)，桌面虛擬化系統(tǒng)支持用戶通過瘦終端、 物理 PC 等，采用外接智能卡方式，實(shí)現(xiàn)用戶遠(yuǎn)程接入的身份認(rèn)證。

需要在虛擬機(jī)的內(nèi)部和外部建立完善的權(quán)限和訪問控制機(jī)制，提供細(xì)化的訪問控制粒度，以適應(yīng)虛擬資源類型、 用戶角色和訪問控制協(xié)議。同時(shí)進(jìn)一步保證每個(gè)虛擬機(jī)的權(quán)限和資源訪問能力，建立基于虛擬機(jī)的程序控制列表，使得每臺虛擬化桌面可以訪問不同的應(yīng)用程序，可以獲得不同的虛擬化桌面。

2、實(shí)現(xiàn)傳輸通道的安全保護(hù)

傳輸通道的安全保護(hù)主要從設(shè)備間通信、遠(yuǎn)程介入以及遷移安全這幾個(gè)方面進(jìn)行。首先虛擬化桌面和服務(wù)端的通訊可以通過 SSL 協(xié)議進(jìn)行傳輸加密，確保整體傳輸過程中的安全性；其次為遠(yuǎn)程接入設(shè)備提供安全連接點(diǎn)，為防火墻保護(hù)以外的設(shè)備遠(yuǎn)程接入；針對遷移可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統(tǒng)在遷移的過程中不會被復(fù)制。

3、提高數(shù)據(jù)集中存儲的安全性

桌面虛擬化技術(shù)中對集中存儲的保護(hù)是最重要的部分，一旦集中存儲遭到破壞，整個(gè)虛擬架構(gòu)就會受到嚴(yán)重的影響。在虛擬桌面的環(huán)境中，一般采用專業(yè)的加密設(shè)備進(jìn)行加密存儲的方式，并且為了滿足合規(guī)范的要求，加密算法應(yīng)當(dāng)可以由用戶指定。

虛擬化桌面系統(tǒng)盤支持差分模式和獨(dú)立運(yùn)行模式，差分模式允許用戶在共享系統(tǒng)盤的基礎(chǔ)上，保留自己的私有數(shù)據(jù)，包括應(yīng)用和系統(tǒng)數(shù)據(jù)；獨(dú)立運(yùn)行模式不允許用戶修改系統(tǒng)盤，所有的修改在虛擬桌面重啟后均會丟失。任何人員（包括管理員）無法訪問他人虛擬桌面鏡像文件中的用戶數(shù)據(jù)信息。

五、結(jié)束語

綜上所述，本文針對桌面虛擬化的研究的有關(guān)內(nèi)容進(jìn)行了分析，在此基礎(chǔ)上分析了目前桌面虛擬化的研究熱點(diǎn)，關(guān)于信息安全的有關(guān)問題進(jìn)行了分析，最后提出了相應(yīng)安全策略方案，供相關(guān)的信息技術(shù)人員參考。

參考文獻(xiàn)

[1] 徐浩， 蘭雨晴. 基于SPICE協(xié)議的桌面虛擬化技術(shù)研究與改進(jìn)方案[J]. 計(jì)算機(jī)工程與科學(xué)， 2013， 第12期：20-25.

[2] 李春榆. 淺析基于VMare ACE的桌面虛擬化在企業(yè)中的應(yīng)用[J]. 電腦知識與技術(shù)， 2014， 06期.

[3] 馬文杰. 桌面虛擬化技術(shù)在高校數(shù)字化校園中的研究與應(yīng)用[J]. 凱里學(xué)院學(xué)報(bào)， 2014， 第6期：95-97.

[4] 黃健， 阮燦華， 舒兆港. 探索桌面虛擬化在全國計(jì)算機(jī)等級考試中的應(yīng)用[J]. 實(shí)驗(yàn)技術(shù)與管理， 2014， 第3期：118-121.