李金彤

（國家廣播電視總局七二三臺(tái)，河北石家莊，050000）

1 虛擬化技術(shù)概述

1.1 虛擬化概念

虛擬化技術(shù)就是指通過利用虛擬化技術(shù)，將一臺(tái)計(jì)算機(jī)模擬出多臺(tái)計(jì)算機(jī)功能，每一臺(tái)計(jì)算機(jī)都有自己獨(dú)立的操作系統(tǒng)、CPU以及儲(chǔ)存空間，所模擬出的計(jì)算機(jī)系統(tǒng)獨(dú)立運(yùn)行并不會(huì)受到影響，與獨(dú)立實(shí)體計(jì)算機(jī)功能相同。虛擬化技術(shù)來源于市場需求，隨著計(jì)算機(jī)的普及，各行各業(yè)都離不開現(xiàn)代化辦公模式，而計(jì)算機(jī)數(shù)量的增加，為企業(yè)IT維護(hù)帶來了巨大挑戰(zhàn)。作為企業(yè)的數(shù)據(jù)中心以及網(wǎng)絡(luò)中心，在網(wǎng)絡(luò)需求增加的同時(shí)，服務(wù)器的數(shù)量也隨之增多，為了確保網(wǎng)絡(luò)的正常運(yùn)行，一臺(tái)服務(wù)器需要安裝兩個(gè)應(yīng)用服務(wù)，這也就導(dǎo)致網(wǎng)絡(luò)中心運(yùn)營壓力加大，服務(wù)器數(shù)量增多，維護(hù)人員的工作量也就隨之上升，并且工作要求更為嚴(yán)格。網(wǎng)絡(luò)中心本就需要全天候運(yùn)行，自身產(chǎn)生的能源消耗較大，企業(yè)所付出的成本也隨之增多。

1.2 桌面虛擬化

1.2.1 桌面虛擬化架構(gòu)組成

桌面虛擬化是云計(jì)算技術(shù)中的重要組成部分，桌面虛擬化架構(gòu)就是利用服務(wù)器進(jìn)行集中處理，在服務(wù)器虛擬化技術(shù)的應(yīng)用下，客戶機(jī)能夠在網(wǎng)絡(luò)中心的服務(wù)器中實(shí)現(xiàn)同一運(yùn)算與集中，客戶機(jī)可以保留數(shù)據(jù)處理的簡單功能，在鍵盤與鼠標(biāo)的同步應(yīng)用下完成操作，但并不需要參與到計(jì)算機(jī)運(yùn)算中。這就說明計(jì)算機(jī)的運(yùn)算功能與輸入輸出的顯示功能實(shí)現(xiàn)解耦合，而后分離。在服務(wù)器終端，服務(wù)器承載著不同終端的桌面，每一終端客戶機(jī)并不局限于日常使用的計(jì)算機(jī)中，也可以是智能手機(jī)、PC電腦、平板電腦等智能終端，此類智能終端只是具備輸基本入與輸出功能，雖然不具備處理復(fù)雜數(shù)據(jù)的功能，但桌面虛擬化技術(shù)的應(yīng)用能夠使得網(wǎng)絡(luò)服務(wù)器中心的功能與運(yùn)算能力明顯提升，具備終端機(jī)的基礎(chǔ)性能，使得計(jì)算機(jī)操作范圍明顯擴(kuò)大。

1.2.2 虛擬桌面服務(wù)器端

虛擬桌面服務(wù)器端一般放置于計(jì)算機(jī)網(wǎng)絡(luò)中心，主要使用性能強(qiáng)勁的高端服務(wù)器設(shè)備。服務(wù)器虛擬化技術(shù)的應(yīng)用使得服務(wù)器系統(tǒng)存放在不同終端機(jī)的虛擬機(jī)，每一虛擬機(jī)能夠?qū)?yīng)相應(yīng)的用戶桌面，具備存儲(chǔ)、硬盤等資源。

1.2.3 終端用戶桌面端

終端用戶桌面端一般采用瘦客戶機(jī)，包括顯示器、鍵盤與鼠標(biāo)等設(shè)備，同時(shí)也能夠利用智能手機(jī)、平板電腦等移動(dòng)智能電子設(shè)備運(yùn)行。

1.2.4 連接管理中間件組件

在虛擬桌面服務(wù)器端與終端用戶桌面端之間，存在連接管理中間間組件，起到橋梁的作用，進(jìn)而實(shí)現(xiàn)用戶連接與調(diào)度功能。在桌面虛擬架構(gòu)中，能夠?qū)崿F(xiàn)對(duì)桌面客戶端的管理調(diào)度，進(jìn)而實(shí)現(xiàn)桌面虛擬化，其中中間組件包括Broker，能夠?qū)Y源進(jìn)行認(rèn)證管理協(xié)調(diào)，進(jìn)而使得虛擬桌面功能得以全面啟動(dòng)。

1.3 桌面顯示協(xié)議

桌面顯示協(xié)議能夠?qū)⒎?wù)器端虛擬機(jī)所形成的虛擬桌面帶到客戶端，這一功能直接影響著用戶對(duì)虛擬桌面使用的感受，優(yōu)秀的顯示協(xié)議能夠使得中端用戶操作感受良好，仿佛在操作終端桌面，同時(shí)也關(guān)乎著桌面虛擬化的實(shí)際效果。當(dāng)前桌面顯示協(xié)議主要包括SPICE、ICA、PCoIP、RDP等等。其中ICA為數(shù)據(jù)壓縮功能，對(duì)傳輸帶寬的要求較低。圖像顯示直接影響用戶的實(shí)際體驗(yàn)效果，PCoIP能夠通過分層遞進(jìn)的方式顯示出圖片，也就是先傳輸較為模糊的圖像，而后逐步清晰，SPICE的圖像傳輸體驗(yàn)也較為優(yōu)異。

1.4 桌面虛擬化的應(yīng)用

桌面虛擬化與傳統(tǒng)PC端相比，能耗更低，更利于對(duì)其進(jìn)行管理，在前期投入的成本較少，數(shù)據(jù)的安全性能更高，受到企業(yè)、酒店與學(xué)校等多個(gè)單位的歡迎。在企業(yè)辦公中最常見的系統(tǒng)為OA、ERP以及CRM，一般使用瀏覽器登錄的方式，常用的Office辦公軟件，對(duì)硬件的要求并不高，可以使用瘦客戶機(jī)。桌面虛擬化能夠?qū)崿F(xiàn)以點(diǎn)帶面的方式，利用終端機(jī)來代替臺(tái)式機(jī)，尤其是對(duì)于企業(yè)集中管理的公共機(jī)房而言，操作起來更加便捷。桌面虛擬化能夠使得節(jié)能效率達(dá)到80%，終端并不需要對(duì)其進(jìn)行維護(hù)，使得IT工作人員的效率明顯提升。而在酒店管理系統(tǒng)中，在應(yīng)用桌面虛擬化技術(shù)時(shí)，主要是滿足網(wǎng)頁瀏覽、視頻對(duì)話、視頻播放等功能需求，通過對(duì)終端數(shù)據(jù)的統(tǒng)一管理，能夠?qū)崿F(xiàn)系統(tǒng)安全性能的有效提高，IT工作人員能夠遠(yuǎn)程維護(hù)相關(guān)設(shè)備，節(jié)約工作時(shí)間。

2 桌面虛擬化的優(yōu)勢

2.1 內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)信息不落地

終端用戶在處理虛擬桌面上的相關(guān)信息時(shí)，數(shù)據(jù)會(huì)處在網(wǎng)絡(luò)中心中，用戶所應(yīng)用的辦公計(jì)算機(jī)并不會(huì)存儲(chǔ)與內(nèi)網(wǎng)數(shù)據(jù)相關(guān)的信息內(nèi)容。而敏感數(shù)據(jù)在生成、傳輸與消費(fèi)過程中都在內(nèi)網(wǎng)的控制范圍內(nèi)，能夠有效防控因個(gè)人原因?qū)е聰?shù)據(jù)信息泄露情況的發(fā)生。

2.2 桌面配置更靈活

管理人員在配置虛擬化桌面時(shí)，可以根據(jù)不同部門的需求，業(yè)務(wù)的類型，為不同用戶部署不同的桌面硬件環(huán)境，并為其匹配相應(yīng)的數(shù)據(jù)訪問權(quán)限。

2.3 滿足移動(dòng)接入端需求

用戶在訪問虛擬桌面時(shí)，一般會(huì)通過VPN的方式連接辦公網(wǎng)絡(luò)，使得移動(dòng)終端與固定終端應(yīng)用辦公網(wǎng)絡(luò)與內(nèi)網(wǎng)相同，所制定的大多為安全管理策略，使得移動(dòng)終端能夠?qū)崿F(xiàn)接入內(nèi)網(wǎng)。

2.4 可拓展性優(yōu)異

內(nèi)網(wǎng)用戶數(shù)量持續(xù)增長，屬于漸進(jìn)過程，在初期階段只需要配置滿足虛擬桌面運(yùn)行的服務(wù)器及硬件存儲(chǔ)功能即可。隨著后期用戶數(shù)量的不斷上漲，可以拓展后端服務(wù)器的存儲(chǔ)資源，無需對(duì)前端虛擬桌面加以改動(dòng)。

2.5 降低運(yùn)維工作量

虛擬桌面的系統(tǒng)與軟件都是經(jīng)過統(tǒng)一部署，而在后期調(diào)整升級(jí)以及安裝固定時(shí)，都可在后臺(tái)進(jìn)行統(tǒng)一操作，這時(shí)數(shù)據(jù)中心就可以實(shí)現(xiàn)管理維護(hù)工作的全面落實(shí)，避免在傳統(tǒng)管理模式中，需要大量維護(hù)工作在終端進(jìn)行，使得管理人員的工作量明顯減少，工作效率有效提升。即使在運(yùn)行過程中出現(xiàn)故障，也可以通過備份功能對(duì)數(shù)據(jù)進(jìn)行快速恢復(fù)[5]。

3 桌面虛擬化在內(nèi)網(wǎng)安全訪問上的保障

3.1 用戶接入控制

在辦公網(wǎng)絡(luò)邊界處，一般會(huì)部署VPN設(shè)備，通過使用L2TPVPN技術(shù)，使得身份認(rèn)證方式更加完整，確保接入用戶的合法性。用戶在登錄VPN系統(tǒng)后所使用USB Key可重復(fù)使用內(nèi)網(wǎng)終端登錄系統(tǒng)的寫入數(shù)字證書，能夠有效避免雙USB Key帶來的各項(xiàng)困擾。

3.2 攻擊防御和防控病毒

IPS入侵防御系統(tǒng)一般在VPN網(wǎng)關(guān)后端部署，實(shí)現(xiàn)對(duì)接入用戶攻擊與病毒的防御，同時(shí)也能夠支持緩沖溢出攻擊、木馬、網(wǎng)頁篡改、網(wǎng)絡(luò)釣魚、SQL注入、間諜軟件、流量異常等多個(gè)攻擊的防御[6]。而對(duì)于虛擬用戶終端而言，可以將其納入到內(nèi)網(wǎng)殺毒系統(tǒng)進(jìn)行統(tǒng)一管理，在升級(jí)病毒服務(wù)系統(tǒng)的同時(shí)，也能夠從服務(wù)器終端下發(fā)相應(yīng)管理策略。

3.3 區(qū)域安全隔離

在控制不同區(qū)域用戶訪問權(quán)限時(shí)，一般會(huì)使用高性能防火墻，針對(duì)不同的用戶需求設(shè)計(jì)相應(yīng)的訪問權(quán)限，禁止用戶訪問后臺(tái)系統(tǒng)。

3.4 安全審計(jì)

一般情況下，主機(jī)監(jiān)控以及審計(jì)系統(tǒng)在內(nèi)網(wǎng)中的部署較為常見，同時(shí)也會(huì)在虛擬終端上安裝客戶端，并進(jìn)行打印審計(jì)、光盤審計(jì)，以及存儲(chǔ)介質(zhì)管理、補(bǔ)丁更新管理，在用戶操作業(yè)務(wù)系統(tǒng)時(shí)，一般會(huì)進(jìn)行后臺(tái)審計(jì)，使其行為能夠被記錄。