黃海軍

摘 要：文中從云南工商學(xué)院實訓(xùn)機房的安全需求出發(fā)，提出了桌面云的安全設(shè)計方法。首先分析了當(dāng)前實訓(xùn)機房的安全問題，按照桌面云的虛擬基礎(chǔ)架構(gòu)，提出了通過部署桌面虛擬化服務(wù)器和瘦終端取代傳統(tǒng)PC搭建實訓(xùn)機房的方法，實現(xiàn)對學(xué)校教學(xué)以及考試資源的統(tǒng)一安全高效管理。根據(jù)學(xué)校具體情況，論文重點論述了桌面云的安全設(shè)計，從多個角度詳細(xì)分析了安全設(shè)計的分層防御，縱深防御的思想，涵蓋了網(wǎng)絡(luò)、系統(tǒng)以及用戶的安全，提供了采用桌面云技術(shù)實現(xiàn)的高校實訓(xùn)機房的安全保障。

關(guān)鍵詞：桌面云；虛擬化；安全設(shè)計；實訓(xùn)機房

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：2095-1302（2017）05-00-02

0 引 言

桌面云把個人電腦的桌面環(huán)境通過云計算模式從物理機器上剝離出來，使其成為一種可以對外提供桌面服務(wù)的應(yīng)用，同時個人電腦的桌面環(huán)境所需的計算、存儲等資源集中在后臺服務(wù)器上，這樣就可取代客戶端的本地計算以及存儲資源，且后臺服務(wù)器的計算、資源存儲也是共享、靈活的，可以讓不同個人電腦的桌面環(huán)境資源實現(xiàn)按需分配，從而達(dá)到提升計算機資源利用率，降低學(xué)校整體實訓(xùn)機房擁有成本的目的。

桌面云最核心的技術(shù)是桌面虛擬化（Virtual Desktop Infrastructure，VDI），即虛擬桌面基礎(chǔ)架構(gòu)。它不僅僅是給學(xué)校每個客戶端都配置一臺運行擁有Windows或Linux操作系統(tǒng)的傳統(tǒng)PC，而是在學(xué)校的數(shù)據(jù)中心部署桌面虛擬化服務(wù)器來運行個人操作系統(tǒng)，無論是基于Linux還是Windows平臺，通過指定的傳輸協(xié)議把學(xué)生在終端輸入設(shè)備上（例如鍵盤、鼠標(biāo)等）的操作傳輸給服務(wù)器，并且在服務(wù)器端接收指令后將運行結(jié)果回傳給瘦終端設(shè)備。

1 云南工商學(xué)院實訓(xùn)機房面臨的安全問題

云南工商學(xué)院實訓(xùn)機房一直使用功能相對全面的傳統(tǒng)PC。而且在大多數(shù)情況下，傳統(tǒng)PC 的性價比很高。但與此同時，在實際應(yīng)用維護過程中，傳統(tǒng)PC也暴露出其安全方面存在的諸多弊端。

1.1 難以防止設(shè)備的非法接入

實訓(xùn)機房傳統(tǒng)PC上的 USB口、串口、并口如果沒有做特殊設(shè)置，都可以外接設(shè)備，使用傳統(tǒng)的方法很難禁止非法設(shè)備的接入，使得病毒或木馬趁機入侵實訓(xùn)機房的傳統(tǒng)PC，并迅速在校園網(wǎng)內(nèi)部擴散，甚至導(dǎo)致校園網(wǎng)癱瘓。

1.2 學(xué)生數(shù)據(jù)安全難以保證

云南工商學(xué)院實訓(xùn)機房的傳統(tǒng)PC平時除了供學(xué)生上機實訓(xùn)練習(xí)外，期末還可以提供在線考試功能，但若出現(xiàn)死機或硬件故障時將導(dǎo)致學(xué)生無法正?？荚?。這些考試數(shù)據(jù)如何能在傳統(tǒng)PC出現(xiàn)故障時恢復(fù)數(shù)據(jù)是亟待解決的一個重要問題。

1.3 學(xué)生上網(wǎng)的會話與流量難以控制

實訓(xùn)機房在非正常上課時段還為學(xué)生提供自主上網(wǎng)、查詢資料等服務(wù)。但有的學(xué)生常常利用BT、迅雷等P2P軟件下載電影而非學(xué)習(xí)資源，這些軟件在下載任務(wù)的同時也在上傳數(shù)據(jù)，而且是多任務(wù)、多線程，會對學(xué)校的網(wǎng)絡(luò)資源造成極大的浪費。此外，被木馬或病毒感染的計算機會和外網(wǎng)產(chǎn)生大量的連接會話，消耗校園網(wǎng)出口帶寬和并發(fā)連接會話資源，造成校園網(wǎng)絡(luò)出口擁堵。

1.4 學(xué)生的上網(wǎng)行為無法追蹤

由于實訓(xùn)機房學(xué)生的流動性，使用機房時很難進行身份驗證，難以實現(xiàn)基于云桌面的計算基礎(chǔ)架構(gòu)，而且如果學(xué)生使用實訓(xùn)機房的計算機在網(wǎng)上發(fā)表違法言論也很難進行跟蹤和定位。

針對上述問題，云南工商學(xué)院將使用桌面云技術(shù)取代傳統(tǒng)PC機房。將采用在服務(wù)器系統(tǒng)上安裝桌面映像或瘦客戶端運行服務(wù)器上的桌面映像，實現(xiàn)基于云桌面計算基礎(chǔ)架構(gòu)的高校實訓(xùn)機房，全面提升系統(tǒng)安全性。

2 基于桌面云的安全設(shè)計

為保障教師教學(xué)課件及學(xué)生考試數(shù)據(jù)中心的數(shù)據(jù)安全，云桌面采用了一套完整的安全架構(gòu)，自下而上避免出現(xiàn)安全真空，并強化了虛擬化隔離技術(shù)和網(wǎng)絡(luò)隔離技術(shù)。主要采用了分層和縱深防御的方法。分層防御（Layered Defense）指采用多種方法，在網(wǎng)絡(luò)中的多個不同區(qū)域執(zhí)行不同的安全性策略，以避免發(fā)生網(wǎng)絡(luò)中的單點安全故障；縱深防御（Defense in Depth）指使用多重防御策略，降低管理風(fēng)險，其優(yōu)勢在于，當(dāng)一層防御被攻破時，另一層防御將會自動生效，以防止進一步的破壞。

根據(jù)縱深防御和分層的思想，桌面云數(shù)據(jù)中心安全框架的網(wǎng)絡(luò)層次自下而上可分為物理、主機/虛擬化、網(wǎng)絡(luò)、業(yè)務(wù)和數(shù)據(jù)、管理維護等幾個層面。

2.1 桌面云終端安全設(shè)計

使用桌面云的瘦終端取代傳統(tǒng)PC，瘦終端系統(tǒng)采用固化的Linux嵌入OS，且無本地存儲。在接入桌面云時中心服務(wù)器對瘦終端進行合法性身份認(rèn)證，把瘦終端/瘦終端組綁定到用戶/用戶組，開啟USB讀寫禁用，也可以采用802.1X認(rèn)證防止非法終端接入等方式保證終端安全。

2.2 桌面云接入與認(rèn)證管理安全設(shè)計

采用安全用戶身份認(rèn)證可以使用的技術(shù)包括用戶名/密碼認(rèn)證、USB KEY認(rèn)證、動態(tài)口令認(rèn)證、動態(tài)短信認(rèn)證、指紋認(rèn)證、指紋+密碼認(rèn)證，這些技術(shù)可以確保接入用戶的合法性。

2.3 桌面云協(xié)議安全設(shè)計

安全協(xié)議采用華為自主研發(fā)的HDP桌面協(xié)議，可用于多通道，且兼容性好。瘦終端的USB存儲可控制禁用、只讀、讀寫功能?？蛻舳撕头?wù)端進行通訊時，數(shù)據(jù)認(rèn)證采用Https加密傳輸；學(xué)生瘦終端通過HDP協(xié)議連接虛擬桌面時，桌面訪問采用傳輸加密（HDPover SSL）技術(shù)，保證了數(shù)據(jù)的安全；教師使用Web管理系統(tǒng)時，均通過Https方式實現(xiàn)，傳送通道統(tǒng)一采用SSL技術(shù)實現(xiàn)加密。

2.4 桌面云系統(tǒng)安全設(shè)計

使用虛擬化平臺從數(shù)據(jù)完整性驗證、身份認(rèn)證、數(shù)據(jù)訪問控制隔離、數(shù)據(jù)加密多個方面保證學(xué)生數(shù)據(jù)的安全。系統(tǒng)資源釋放回收時，所有剩余數(shù)據(jù)將被清零。

Web服務(wù)的安全保障加固包括系統(tǒng)自動將客戶請求轉(zhuǎn)換成Https，以防止跨站點腳本攻擊，阻止SQL注入式攻擊及跨站請求偽造，同時隱藏敏感信息、上傳和下載文件也受到限制，且登錄頁面圖片驗證碼的支持、帳號密碼設(shè)置至少八位，其中包括大小寫和特殊字符。

操作系統(tǒng)加固也必不可少，首先關(guān)閉不必要的服務(wù)，其次控制文件和目錄的訪問權(quán)限，采用數(shù)據(jù)庫加固、安裝安全補丁、防病毒等手段保障管理組件虛擬機的系統(tǒng)安全。具體的加固措施為關(guān)閉不必要的通信端口、關(guān)閉不需開啟的服務(wù)進程，且用戶對系統(tǒng)的訪問權(quán)限、不同的賬號訪問權(quán)限也必須有所限制，開啟服務(wù)器的安全日志審計功能，以避免黑客通過漏洞攻擊系統(tǒng)。

2.5 桌面云管理安全設(shè)計

學(xué)生一旦接入桌面云，在桌面云的接入網(wǎng)關(guān)、認(rèn)證系統(tǒng)和虛擬機上都有詳細(xì)的日志記錄，便于追查責(zé)任事故。從帳號、密碼、管理員和用戶權(quán)限、日志等日常管理方面加強安全措施。教師采用Https加密保證管理訪問安全，通過分權(quán)分域管理方法，對不同教師的權(quán)限進行制約，且所有教師的操作都有日志記錄，供事后審計。

2.6 桌面云用戶虛擬機安全設(shè)計

在學(xué)生虛擬機上部署安裝防病毒軟件，防止學(xué)生的虛擬桌面遭受病毒或木馬攻擊。虛擬機要求配置固定IP，便于審計。當(dāng)虛擬機運行時，可采用TSM安全系統(tǒng)提供網(wǎng)絡(luò)訪問控制、USB讀寫加密與管控、學(xué)生行為監(jiān)控、補丁管理、軟件分發(fā)等功能，確保學(xué)生虛擬機的運行安全。

3 結(jié) 語

伴隨云計算的發(fā)展，桌面云也進入了全國各大高校的實訓(xùn)機房，與傳統(tǒng)PC機房相比，其優(yōu)勢明顯，特別在安全方面有著實現(xiàn)簡單，使用靈活，維護方便的特點，但桌面云也不能取代所有實訓(xùn)機房，例如網(wǎng)絡(luò)實訓(xùn)機房需要運行模擬器及虛擬機等教學(xué)軟件，虛擬化服務(wù)器在這方面的硬件性能不夠強大，無法正常運行以上教學(xué)軟件，不能滿足常規(guī)教學(xué)需求，所以云南工商學(xué)院的實訓(xùn)機房采用傳統(tǒng)PC機實訓(xùn)機房與桌面云實訓(xùn)機房相結(jié)合的方式，以滿足學(xué)生的各類需求。

參考文獻

[1]秦濤，李占平.高校教學(xué)機房虛擬化桌面云建設(shè)實踐探索[J].內(nèi)蒙古師范大學(xué)學(xué)報（教育科學(xué)版），2015，28（9）：24-26.

[2]方巍，文學(xué)志，潘吳斌，等.云計算：概念、技術(shù)及應(yīng)用研究綜述[J].南京信息工程大學(xué)學(xué)報（自然科學(xué)版），2012，4（4）：351-361.

[3]崔倩楠.基于云計算環(huán)境的虛擬化資源平臺研究與評價[D].北京：北京郵電大學(xué)，2011.

[4]林瑜華.云計算環(huán)境下高校實驗教學(xué)模式的創(chuàng)新與實踐[J].實驗室研究與探索， 2011（8）：284-287.

[5]李宏儒.虛擬化技術(shù)在計算機實驗教學(xué)中的應(yīng)用[J].實驗技術(shù)與管理，2010，27（5）：90-92.

[6]劉鈞.互聯(lián)網(wǎng)時代的數(shù)據(jù)安全[J].重慶科技學(xué)院學(xué)報 （社會科學(xué)版），2009（3）：117-118.

[7]田密.基于云計算機的虛擬化技術(shù)應(yīng)用研究[J].物聯(lián)網(wǎng)技術(shù)，2016，6（4）：83-84.

[8]陳思錦，吳韶波，高雪瑩.云計算中的虛擬化技術(shù)與虛擬化安全[J].物聯(lián)網(wǎng)技術(shù)，2015，5（3）：52-53.