劉朋熙++杜炳++汪慧

摘 要 基于云桌面的智能多媒體教室采用最新的云技術(shù)，將運(yùn)行在PC上的桌面、應(yīng)用和數(shù)據(jù)統(tǒng)一遷移到數(shù)據(jù)中心的服務(wù)器，這樣不僅可以有效解決桌面部署和管理的難題，而且還可為用戶提供工作所需的桌面靈活性和可訪問(wèn)性，實(shí)現(xiàn)隨時(shí)隨地的訪問(wèn)。

【關(guān)鍵詞】云桌面 安全性 多媒體教室

1 引言

隨著個(gè)性化學(xué)習(xí)、教育教學(xué)改革等新教學(xué)需求的提出，教育信息化面臨著新一輪的挑戰(zhàn)，與此同時(shí)信息技術(shù)的飛速發(fā)展也為教育信息化提供了新的建設(shè)機(jī)遇。教學(xué)中計(jì)算機(jī)教室、多媒體電教室的應(yīng)用是信息化教育的主場(chǎng)景，計(jì)算機(jī)桌面管理和IT環(huán)境的運(yùn)維安全性，對(duì)企業(yè)至關(guān)重要。

2 基于云桌面的多媒體教室安全性

基于云桌面的多媒體教室部署運(yùn)維效率高，可大幅減少桌面運(yùn)維工作量，降低整體投資并保障桌面數(shù)據(jù)的安全性。

2.1 部署架構(gòu)

基于云桌面的多媒體教室建設(shè)方案主要包括三個(gè)重要部分：服務(wù)器端、網(wǎng)絡(luò)交換和瘦終端。

服務(wù)器端內(nèi)部集成有虛擬化軟件，提供存儲(chǔ)虛擬化、服務(wù)器虛擬化和桌面虛擬化。瘦終端，提供給操作者可實(shí)際操作的硬件，集成有普通PC常用接口如USB、串口和音頻等。

整個(gè)系統(tǒng)部署架構(gòu)如圖1。

2.2 安全性設(shè)計(jì)

虛擬桌面從防范非法用戶和惡意系統(tǒng)管理員的角度進(jìn)行全方位的安全防范，保證接入虛擬桌面的用戶和數(shù)據(jù)高度安全性，針對(duì)各分層采用安全措施具體如下：

2.2.1 終端安全

采用精簡(jiǎn)加固基于Android OS，瘦客戶機(jī)無(wú)本地存儲(chǔ)，數(shù)據(jù)總是存放在最安全的地方。用戶接入虛擬桌面資源時(shí)通過(guò)合法性認(rèn)證、USB靈活可控策略、應(yīng)用策略化控制、還原模式等方式保證終端安全。

（1）集成本地認(rèn)證、短信認(rèn)證、動(dòng)態(tài)令牌、數(shù)字證書(shū)、第三方認(rèn)證等身份認(rèn)證機(jī)制，而且多種身份認(rèn)證方式可以自由組合，以確保接入用戶的身份唯一性；

（2）基于靈活策略設(shè)置USB端口使用權(quán)限，比如是否允許使用USB設(shè)備（包括打印機(jī)、掃描儀等）；

（3）基于策略的訪問(wèn)控制：可以根據(jù)用戶、網(wǎng)絡(luò)、服務(wù)、設(shè)備、系統(tǒng)等，通過(guò)關(guān)聯(lián)的策略為他們分配合適的訪問(wèn)權(quán)限；

（4）桌面注銷時(shí)還原至原始狀態(tài)，該模式下，除了指定的一些目錄外，用戶所做的操作都會(huì)在重啟后被還原。

2.2.2 傳輸安全

通過(guò)VLAN隔離，并內(nèi)置企業(yè)級(jí)防火墻模塊進(jìn)行狀態(tài)化ACL訪問(wèn)控制，管理員登錄時(shí)采用HTTPS加密傳輸、用戶訪問(wèn)虛擬桌面采用傳輸加密等手段，保證業(yè)務(wù)運(yùn)行和維護(hù)安全。

（1）終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實(shí)際數(shù)據(jù)，也即是說(shuō)，“瘦終端+云桌面”讓數(shù)據(jù)不落地，保障傳輸安全性；

（2）可對(duì)傳輸加密通道進(jìn)行基于IP、服務(wù)的訪問(wèn)控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會(huì)話的隔離控制，包括存儲(chǔ)會(huì)話、虛擬打印會(huì)話、總線映射會(huì)話等等，從而提升傳輸通道的靈活度；

（3）通過(guò)對(duì)終端到虛擬桌面進(jìn)行全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持?jǐn)U展國(guó)密辦SCB2（SM1）等其他加密算法，確保通信的安全性；

（4）在桌面云接入平臺(tái)上內(nèi)置了企業(yè)級(jí)防火墻模塊，通過(guò)靈活的ACL訪問(wèn)控制策略和DDoS設(shè)置，為整個(gè)平臺(tái)提供狀態(tài)包過(guò)濾和基本安全保護(hù)。

2.2.3 平臺(tái)安全

虛擬化基礎(chǔ)架構(gòu)（VMS）的安全性關(guān)系到整個(gè)虛擬桌面訪問(wèn)的穩(wěn)定性和數(shù)據(jù)安全性，本方案首先通過(guò)高可用性設(shè)計(jì)滿足業(yè)務(wù)穩(wěn)定性需求，然后再通過(guò)虛擬機(jī)隔離、數(shù)據(jù)盤加密控制、管理員權(quán)限細(xì)化等安全機(jī)制保證用戶數(shù)據(jù)的安全。

（1）在獨(dú)享桌面的情況下，每用戶獨(dú)占一個(gè)虛擬機(jī)，通過(guò)VMS底層機(jī)制實(shí)現(xiàn)CPU調(diào)度、內(nèi)存、網(wǎng)絡(luò)訪問(wèn)、磁盤IO、存儲(chǔ)空間的隔離，用戶虛擬機(jī)的故障和安全問(wèn)題不會(huì)影響到其他用戶，保證虛擬機(jī)之間的隔離安全；

（2）每用戶都會(huì)分配個(gè)人數(shù)據(jù)盤來(lái)存放文檔，當(dāng)用戶遷移至虛擬桌面的使用模式后，所有數(shù)據(jù)都集中存儲(chǔ)于數(shù)據(jù)中心。因此，通過(guò)為個(gè)人數(shù)據(jù)盤進(jìn)行加密存儲(chǔ)，讓其他用戶包括管理員都無(wú)法訪問(wèn)，可以保證用戶個(gè)人穩(wěn)私安全；

（3）不同管理員角色，授予合適的管轄權(quán)限范圍，并保存操作日志。支持分級(jí)管理權(quán)限，包括上級(jí)管理員有權(quán)操作下級(jí)管理員的配置行為，相反則無(wú)權(quán)；支持上級(jí)管理員將虛擬桌面資源授權(quán)給下級(jí)管理員。

3 總結(jié)與展望

針對(duì)一些數(shù)據(jù)安全性要求較高的企業(yè)多媒體教室，本文給出了基于云桌面的安全性解決方案，通過(guò)終端安全、傳輸安全、平臺(tái)安全三大層次的端到端、多方位安全機(jī)制，可以完善保障用戶接入安全、數(shù)據(jù)安全、管理安全、虛擬化安全、基礎(chǔ)設(shè)施安全等多個(gè)建設(shè)環(huán)節(jié)，輕松應(yīng)對(duì)虛擬桌面在建設(shè)過(guò)程中所面臨的安全威脅及挑戰(zhàn)。

在提高系統(tǒng)安全性的前提下，后期應(yīng)繼續(xù)考慮融入高清視頻處理和本地解碼技術(shù)，保障客戶最佳的視頻觀看體驗(yàn)。

參考文獻(xiàn)

[1]樊昌秀.多媒體教室的桌面虛擬化探索[J].長(zhǎng)沙大學(xué)學(xué)報(bào)，2012（05）.

[2]林飛躍，林先津.云桌面在教學(xué)管理中的應(yīng)用[J].實(shí)驗(yàn)室研究與探索，2013（10）.

[3]林先津.桌面虛擬化技術(shù)在分布式設(shè)備管理中的研究與應(yīng)用[J].試驗(yàn)技術(shù)與管理，2013（04）.

[4]葉新東.未來(lái)課堂軟件環(huán)境的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代教育技術(shù)，2013（10）.

作者單位

1.國(guó)網(wǎng)安徽省電力公司 安徽省合肥市 230061

2.國(guó)網(wǎng)蕪湖供電公司 安徽省蕪湖市 241000