桌面虛擬化在氣象業務中的應用

王洪祥 周麗麗 李永超

摘 要：為實現氣象內網與互聯網相互隔離，保障信息安全與良好的上網體驗，各單位在其電子政務建設的過程中，在滿足政務內網與政務外網之間物理方式隔離的同時，實現政務外網與互聯網之間邏輯方式隔離。aDesk單終端雙網隔離解決方案借助自身優勢將桌面系統、應用程序及用戶所產生的文檔數據，都運行或保存在云桌面服務器上，形成安全快捷的網絡管理與遠程桌面應用模式。

關鍵詞：氣象；雙網隔離；aDesk；云桌面

隨著氣象信息技術的發展，網絡傳輸與數據應用共享等方面也產生了諸多問題。為解決各單位業務人員在數據傳輸應用和網絡安全管理等方面遇到的問題，各地氣象或其他行業信息管理者都進行了較為廣泛和深入的而研究。為滿足政府行業客戶對電子政務的安全性需求，同時保障用戶多網使用的便捷性和易用性，通過在政府行業多年的積累，以及在應用虛擬化多年的技術積累，推出aDesk桌面云單終端雙網隔離解決方案。

1 桌面虛擬化

虛擬化是將計算機的各種實體資源，如服務器、網絡、內存及存儲等經過抽象、轉換加工后呈現出來重新實現資源管理的一種技術。桌面虛擬化是指用戶通過瘦客戶機和網絡遠程訪問云端的虛擬主機，所有運算和存儲都不在本地，與早期的無盤工作站類似。從根本上講，兩者都是虛擬機，且底層架構相同。虛擬桌面可以批量發布，而服務器一般單個創建。從應用上講，虛擬桌面的服務對象是終端用戶，而虛擬服務器的服務對象是上層應用。

2 設計與部署

2.1 需求分析

網絡隔離的模式在很大程度上解決了網絡攻擊問題，但同時卻帶來了信息交流的障礙。在此網絡架構下，大連市氣象局根據自身需求和特點，將日常上網用戶分為機關核心用戶、機關普通用戶和一般業務用戶。其中機關核心用戶采取一人雙機配置，即在雙網布線模式下以內網、外網使用不同的PC來對信息加以隔離；機關普通用戶采用在一臺PC上安裝隔離卡和獨立硬盤，并通過切換系統實現內、外網的訪問或信息共享；一般業務用戶則根據業務需要，無需進行內、外網隔離，但需要通過部署審計管理設備和路由策略對其上網行為進行限制。此種條件下，采用成本低、性能高、安全性好的PC顯得很有意義，桌面虛擬化技術對該問題給出了較好的解決方案。為了滿足手機、筆記本等移動互聯設備上網或辦公需要，避免重新敷設網線，可采用WLAN技術，在各辦公樓宇安裝AP節點，通過AC訪問控制，建立無線遠距離覆蓋、安全、穩定的網絡系統。

2.2 架構設計

內外網同時訪問架構。在大連至遼寧省局或縣局的內網環境中，通過劃分VLAN經聯通專線及路由器建立了互通互訪，實現了數據的傳輸。當內網用戶訪問外網地址時，經內網核心交換機和網絡審計系統、防火墻等安全防護設備連接至互聯網區域，并通過配置ACL策略確保上網用戶的信息安全。

在雙網獨立運行的模式下，其終端設備可以選擇利舊PC在主板上安裝隔離卡及硬盤的方式實現內外網的實時切換。此時的內外網模式具有獨立的存儲和系統，但是二者共用內存和其他硬件，是相對安全的物理隔離方法。部分用戶PC配置較差，可選擇虛擬桌面實現內外網訪問和隔離。采用深信服aDesk虛擬桌面技術，瘦客戶機通過網絡切換器（機械開關）訪問遠端服務器上的虛擬機，再分別接入內外網。該模式下用戶在同一時刻只能選擇其中一個網絡內網或外網使用。

內網桌面和外網桌面處于兩個相互物理隔離的網絡中，兩者通過網絡切換器與瘦終端aDesk相連接。網絡切換器是簡單的機械撥片開關，在任意時刻，只能接通一路網絡。瘦終端aDesk、內網桌面和外網桌面三者通過普通雙絞線連接于網絡切換器，內外網絡的切換，通過網絡切換器內部的撥片開關控制，在任意時刻，只有一路網絡能與瘦終端aDesk聯通，保障內網網的物理隔離。

雙網隔離方案的云桌面切換具體實現流程如下：（1）判斷當前網絡是否發生切換；（2）若網絡未發生切換，則繼續使用當前云桌面；（3）若網絡發生切換，則注銷當前云桌面；（4）擦除瘦終端aDesk當前內存數據，并結束云桌面程序；（5）重新啟動云桌面程序，連接切換后的新網絡；（6）接入新網絡的云桌面。

3 典型應用

在進行桌面虛擬化雙網隔離之前，局機關業務人員使用PC通過內網網絡連接至核心交換機，可同時訪問氣象內網和互聯網。內外網混用的模式下，機關人員業務系統及數據信息暴露在互聯網中，存在較大的安全隱患。在此模式下，內網PC及服務器產生了系統漏洞無法修復、病毒無法在線查殺等問題，形成了信息困惑。為了解決信息孤島的問題，信息中心購買了360系統漏洞修復工具，安裝在內網服務器中（該服務器可上外網）。內網PC用戶通過WEB方式登錄服務器端，下載安裝客戶端后即可定期完成系統漏洞修復或木馬查殺等功能。

4 小結與展望

氣象是技術密集型行業，其預報產品和統計數據關系國計民生。大連市氣象局的業務模式和網絡架構是地市級氣象部門的縮影。本次經過充分分析討論與規劃部署的雙網隔離方案綜合采用了行業內最新的雙網布線、隔離卡、虛擬桌面等技術優勢，實現了安全、高速、優質的隔離效果。大連市氣象局雙網隔離方案產生的良好效應和問題挑戰，也同樣會存在于其他地市級氣象部門。大連市氣象局在網絡建設方面的一些經驗對其他地市級氣象部門具有一定的借鑒意義。

參考文獻：

[1]劉國宏，余東昌，劉旭林，劉亞楠.虛擬化技術在氣象業務中的應用[J].計算技術與自動化，2013，4 （12）：111122.

[2]薛志文.基于信息安全管理的網絡隔離技術研究[J].石家莊學院學報，2014，11（6）：5458.

[3]錢崢，趙科科，許皓皓.虛擬化技術在氣象的應用[J].浙江氣象，2013，2（2）：2024.

[4]張凱，楊再明，宋慧寧.桌面虛擬化在多媒體教室管理中的應用[J].實驗技術與管理，2017，（6）：131134.

[5]李冬梅.運用雙網隔離技術打造內外網新模式[J].安全視窗，2011，6（5）：5051.

作者簡介：王洪祥（1985），男，工學碩士，工程師，主要從事氣象業務網絡支撐與管理工作。