桌面虛擬化技術(shù)在高校中的設(shè)計(jì)與安全優(yōu)化

章丞

摘要：教學(xué)機(jī)房建設(shè)一直是校園信息化建設(shè)的關(guān)鍵點(diǎn)。當(dāng)前，桌面虛擬化技術(shù)不斷在這一領(lǐng)域滲透，解決了過去機(jī)房管理中的一些痛點(diǎn)。本文圍繞設(shè)計(jì)原則、技術(shù)線路、總體框架及安全優(yōu)化等方面對桌面虛擬化技術(shù)在高校中的應(yīng)用進(jìn)行了詳細(xì)設(shè)計(jì)，為高校實(shí)施桌面虛擬化項(xiàng)目提供了參考。

關(guān)鍵詞：桌面虛擬化技術(shù);校園信息化

中圖分類號：TP311? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）33-0134-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 引言

教學(xué)機(jī)房建設(shè)作為校園信息化建設(shè)重要的一環(huán)，日益成為整個高校教學(xué)信息化改革的重要支撐，關(guān)系到各項(xiàng)教改項(xiàng)目是否能夠順利落地。在一些高校，由于建設(shè)期較早，教學(xué)機(jī)房一直使用傳統(tǒng)PC并且采用人工管理方式。在實(shí)際使用過程中，PC的維護(hù)存在各種弊端和諸多不便，加之傳統(tǒng)的人工管理機(jī)房的方式也存在種種問題，從而影響了信息化建設(shè)的進(jìn)度與質(zhì)量[1]。

2 高校機(jī)房管理的弊病

高校機(jī)房管理面臨著運(yùn)維壓力大、安全威脅復(fù)雜、硬件性能無法滿足等諸多問題：

2.1 壓力風(fēng)險逐漸提高

在高校中，大部分的專業(yè)課都排在機(jī)房，利用各種教學(xué)軟件鍛煉學(xué)生的實(shí)操能力。每門專業(yè)課都有專屬使用的應(yīng)用軟件，同一軟件甚至需要安裝多種版本。導(dǎo)致該機(jī)房的PC需安裝的軟件種類、版本繁多，對機(jī)房的日常運(yùn)維造成了挑戰(zhàn)。同時教學(xué)機(jī)房的數(shù)量有限，經(jīng)常存在教學(xué)機(jī)房每周五天全負(fù)荷使用的狀態(tài)。一旦某個機(jī)房的PC出現(xiàn)故障，會影響后續(xù)課程的授課，甚至造成教學(xué)事故[2]。

2.2 安全威脅日益復(fù)雜

在傳統(tǒng)機(jī)房運(yùn)維環(huán)境中，常采用PC加硬件還原卡的方式對軟硬件環(huán)境進(jìn)行管理。當(dāng)需要新增教學(xué)軟件時，通過PC同傳軟件對該機(jī)房的所有PC進(jìn)行增量更新。當(dāng)無須進(jìn)行更新操作時，硬件還原卡會在每次PC重啟后，還原至最初的狀態(tài)。這種運(yùn)維方式存在局限性，其軟件增量更新功能對軟硬件環(huán)境有特定的要求。另外，出于教學(xué)的需要，PC往往會預(yù)留一個分區(qū)用于存儲學(xué)生的學(xué)習(xí)數(shù)據(jù)，不會對該分區(qū)進(jìn)行還原。而一旦發(fā)生病毒感染，未還原的分區(qū)成為病毒的中轉(zhuǎn)站，造成了嚴(yán)重的數(shù)據(jù)安全問題。

2.3 硬件性能無法滿足

隨著信息技術(shù)的不斷發(fā)展，以計(jì)算機(jī)類專業(yè)為例，教學(xué)過程中使用的各類仿真軟件、開發(fā)軟件版本更新頻繁，每個新版本都對計(jì)算機(jī)的CPU、內(nèi)存以及硬盤性能都有更高的要求。而教學(xué)機(jī)房PC，出于資產(chǎn)采購需求，要求其使用周期需達(dá)到五年以上，在前期能夠滿足教學(xué)的需要。但在中后期，其性能已經(jīng)跟不上軟件環(huán)境的變化了。而更新?lián)Q代所需要的采購和部署成本又非常高。

3 桌面虛擬化設(shè)計(jì)與優(yōu)化

3.1 桌面虛擬化技術(shù)帶來的改變

桌面虛擬化技術(shù)能夠很好地解決當(dāng)前高校機(jī)房運(yùn)維存在的問題。桌面云平臺服務(wù)是構(gòu)建在底層虛擬化基礎(chǔ)架構(gòu)之上的。在與具體硬件解耦合的背景下，桌面云系統(tǒng)能為用戶交付專屬虛擬桌面，而與具體的承載硬件及終端軟硬件無關(guān)，變更的速度非?？斐杀镜汀?yīng)用不再與具體的操作系統(tǒng)和硬件相關(guān)，多個版本的相同軟件可以共存且軟件管理的方式更為簡單。數(shù)據(jù)安全防護(hù)是整個桌面云的共同行為，有效降低整體硬件資源利用率。通過操作系統(tǒng)刷新與重構(gòu)功能，能夠高效快捷地將最新的操作系統(tǒng)補(bǔ)丁同步到所有的虛擬桌面，從而規(guī)避了安全風(fēng)險。由于桌面云平臺服務(wù)采用了統(tǒng)一的管理平臺，有利于運(yùn)維監(jiān)控、風(fēng)險評估及問題排查。

3.2 設(shè)計(jì)原則

1）綠色環(huán)保原則

實(shí)施桌面云項(xiàng)目后，必將帶來硬件大集中、數(shù)據(jù)大集中，軟硬件資源的集中以及虛擬化技術(shù)所帶來的新功能可能導(dǎo)致能耗的急劇攀升，因此在設(shè)計(jì)之初就必須從節(jié)能角度出發(fā)，采購低能耗的服務(wù)器及其他硬件產(chǎn)品，在機(jī)房合理設(shè)計(jì)冷熱風(fēng)道，利用虛擬化技術(shù)提高服務(wù)器硬件資源的利用率，通過精心優(yōu)化配置達(dá)到最佳能耗比。

2）技術(shù)先進(jìn)性原則

在設(shè)計(jì)之初，對行業(yè)的主流廠商和技術(shù)進(jìn)行調(diào)研，掌握當(dāng)前的主流解決方案。并與兄弟院校進(jìn)行橫向交流，探討在教育行業(yè)中主流解決方案的適用性。結(jié)合實(shí)際情況，在主流解決方案的基礎(chǔ)上，采用先進(jìn)思想和技術(shù)精心設(shè)計(jì)，所采用的產(chǎn)品和技術(shù)成熟穩(wěn)定，具有強(qiáng)大的生命力。

3）配置標(biāo)準(zhǔn)化原則

在方案設(shè)計(jì)、設(shè)備選型、系統(tǒng)配置、機(jī)房建設(shè)等方面上應(yīng)遵循相關(guān)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)規(guī)范，并按照具體的要求進(jìn)行設(shè)計(jì)及施工。

4）可擴(kuò)展性原則

信息技術(shù)發(fā)展日新月異，系統(tǒng)結(jié)構(gòu)必須具有較好的靈活性，以適應(yīng)將來技術(shù)升級所帶的迭代擴(kuò)展需求同時滿足不斷增長的業(yè)務(wù)需求。

5）安全性原則

由于桌面云環(huán)境帶來的大數(shù)據(jù)集中而產(chǎn)生的信息安全風(fēng)險，必須考慮信息安全要素，采取必要手段保護(hù)用戶安全、網(wǎng)絡(luò)安全及虛擬機(jī)安全。

3.3 技術(shù)線路

桌面虛擬化的部署首先需實(shí)現(xiàn)基礎(chǔ)架構(gòu)即服務(wù)功能，通過將計(jì)算資源、網(wǎng)絡(luò)資源、存儲資源進(jìn)行虛擬池化后，使得這些資源具備了動態(tài)分配的能力，從而為在其上構(gòu)建桌面虛擬化服務(wù)提供了支持。在底層資源池化的基礎(chǔ)上，構(gòu)建虛擬桌面服務(wù)、虛擬應(yīng)用服務(wù)及用戶層、網(wǎng)絡(luò)層、服務(wù)層安全服務(wù)，實(shí)現(xiàn)了隨時隨地的虛擬桌面訪問，應(yīng)用快速管理及共存，強(qiáng)化了虛擬桌面的信息安全。在實(shí)現(xiàn)了桌面云基礎(chǔ)功能后，對桌面云的高可用性等性能方面進(jìn)行了優(yōu)化，確保服務(wù)永續(xù)，同時讓桌面云的訪問更加方便快捷，讓系統(tǒng)的整體性能更符合綠色環(huán)保的要求[3]。

3.4 總體框架設(shè)計(jì)

由服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、存儲虛擬化組成的基礎(chǔ)架構(gòu)即服務(wù)，將計(jì)算資源、內(nèi)存資源、存儲資源、網(wǎng)絡(luò)資源整合成一個虛擬的資源池，各項(xiàng)業(yè)務(wù)可以根據(jù)自身的需求動態(tài)地分配資源，從而提供一種智能彈性架構(gòu)及快速部署的能力。

系統(tǒng)邏輯架構(gòu)將采用以服務(wù)器硬件、存儲硬件及服務(wù)器虛擬化軟件組成的虛擬化基礎(chǔ)架構(gòu)作為最底層的支撐平臺，在其上構(gòu)建虛擬化基礎(chǔ)架構(gòu)管理層與虛擬桌面會話層。虛擬化基礎(chǔ)架構(gòu)管理層統(tǒng)一管理虛擬服務(wù)池與虛擬桌面池。虛擬桌面會話層使用虛擬桌面池的服務(wù)，并通過網(wǎng)絡(luò)接入層提供對外服務(wù)。教師及學(xué)生可通過客戶端隨時隨地訪問桌面云[4]。

3.5 數(shù)據(jù)安全優(yōu)化設(shè)計(jì)

隨著桌面云的部署，數(shù)據(jù)安全的威脅已經(jīng)從傳統(tǒng)層面滲透到了虛擬層面。由于虛擬化帶來的硬件、服務(wù)和數(shù)據(jù)的大集中，假如發(fā)生安全問題，那么爆發(fā)的規(guī)模和危害性將更加巨大。因此必須在結(jié)合現(xiàn)狀和桌面虛擬化的特性，在傳統(tǒng)層面和虛擬層面分別進(jìn)行安全加固，保障用戶數(shù)據(jù)安全。

3.5.1 用戶層數(shù)據(jù)安全設(shè)計(jì)

用戶層由桌面云用戶、網(wǎng)絡(luò)管理員、桌面云管理員所組成。用戶層數(shù)據(jù)安全設(shè)計(jì)如下：

1） 桌面云用戶在域環(huán)境中設(shè)置為普通用戶角色，受到域環(huán)境統(tǒng)一管理用戶名和密碼，在桌面云環(huán)境中只能訪問屬于自己的虛擬桌面。

2） 網(wǎng)絡(luò)管理員、桌面云管理員在域環(huán)境中設(shè)置為高級用戶角色，受到域環(huán)境統(tǒng)一管理用戶名和密碼，能夠訪問桌面云管理平臺。

3.5.2 網(wǎng)絡(luò)層數(shù)據(jù)安全設(shè)計(jì)

網(wǎng)絡(luò)層包括連接互聯(lián)網(wǎng)的防火墻、路由器、核心交換機(jī)、旁路的IDS入侵檢測系統(tǒng)，與服務(wù)器區(qū)串行的IPS入侵防御系統(tǒng)等。主要防御從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的安全威脅[5]。

網(wǎng)絡(luò)層數(shù)據(jù)安全設(shè)計(jì)如下：

1） 防火墻具備包過濾及狀態(tài)檢測功能。禁止來自外部的非授權(quán)流量。對外只提供特定的幾個服務(wù)端口，以提高安全性。

2） 核心交換機(jī)作為網(wǎng)關(guān)設(shè)備，通過訪問控制列表嚴(yán)格限制客戶端IP地址段對桌面云的訪問以及桌面云對外部網(wǎng)絡(luò)包括內(nèi)部網(wǎng)絡(luò)的訪問。

3） 在核心交換機(jī)上將所有來自桌面云系統(tǒng)的流量都鏡像給IDS入侵檢測系統(tǒng)，收集整個網(wǎng)絡(luò)的信息，監(jiān)視全部通信并查找可能的惡意攻擊。

4） 具備ByPass功能的IPS串行在核心交換機(jī)與物理服務(wù)器之間，對所有流經(jīng)的流量進(jìn)行深度檢測，阻止惡意攻擊。

3.5.3 服務(wù)層數(shù)據(jù)安全設(shè)計(jì)

服務(wù)層主要由承載虛擬桌面的虛擬機(jī)和提供桌面云服務(wù)的虛擬機(jī)所組成。虛擬機(jī)之間的流量都在整個服務(wù)層之內(nèi)，如果借助于外部硬件設(shè)備對這部分流量進(jìn)行安全防護(hù)，勢必造成服務(wù)層與網(wǎng)絡(luò)層之間的性能瓶頸。因此虛擬機(jī)之間的信息安全由服務(wù)層內(nèi)部提供是最為有效的方式。因此服務(wù)層主要防御來自虛擬機(jī)內(nèi)部及虛擬機(jī)之間的數(shù)據(jù)安全威脅。

服務(wù)層數(shù)據(jù)安全如下：

（1）對虛擬機(jī)進(jìn)行防病毒檢測

桌面虛擬化環(huán)境下的防病毒通過某種手段實(shí)現(xiàn)桌面的安全防護(hù)，避免計(jì)算機(jī)病毒對系統(tǒng)及文件的破壞。當(dāng)前，在桌面虛擬化環(huán)境下的防病毒解決方案主要包括有代理和無代理兩種方式。從總體上來說，無代理方案需要重啟物理主機(jī)，但普通虛擬機(jī)是無法感知也無須安裝任何防病毒軟件的。而有代理方案則需要在每一臺虛擬機(jī)上安裝防病毒代理客戶端，且同樣需要有專門的防病毒虛擬機(jī)。在病毒檢測率、誤報率、性能測試、CPU利用率等方面，有代理方式的綜合素質(zhì)比無代理方式更高。橫向?qū)Ρ热绫?所示：

通過橫向?qū)Ρ?，本著具備安全防護(hù)能力的同時又不影響數(shù)據(jù)中心提供服務(wù)性能這一原則，有代理解決方案由于需要在每臺虛擬機(jī)安裝防病毒代理，其運(yùn)行痕跡從心理上將給用戶帶來安全信心保障，從而對桌面云的使用樹立信心，因此在桌面云防病毒設(shè)計(jì)中，采用有代理解決方案。將來隨著無代理解決方案的進(jìn)一步發(fā)展，其透明性、易用性、標(biāo)準(zhǔn)性、高性能將能為教學(xué)科研提供更加方便快捷的防病毒體驗(yàn)，可成為未來升級的方向。

（2）關(guān)閉無需的系統(tǒng)服務(wù)

桌面云服務(wù)都承載在Windows Server操作系統(tǒng)上。虛擬桌面也都采用Windows操作系統(tǒng)。而Windows系統(tǒng)受到的信息安全威脅是最多的，因此為了防止攻擊，增強(qiáng)操作系統(tǒng)的安全性，優(yōu)化性能，在服務(wù)層所有操作系統(tǒng)上都需關(guān)閉無需的系統(tǒng)服務(wù)。

（3）利用重構(gòu)技術(shù)實(shí)現(xiàn)虛擬桌面操作系統(tǒng)更新

在傳統(tǒng)機(jī)房中，要給每一臺PC更新操作系統(tǒng)補(bǔ)丁是非常困難的。而在桌面云環(huán)境中，通過更新模板主機(jī)操作系統(tǒng)的補(bǔ)丁，再利用重構(gòu)技術(shù)刷新所有的虛擬桌面，可以在很短的時間內(nèi)，實(shí)現(xiàn)所有虛擬桌面更新到最新的補(bǔ)丁，從而保障數(shù)據(jù)安全。

4 結(jié)語

高校教學(xué)機(jī)房建設(shè)一直以來是信息化建設(shè)的重點(diǎn)與難點(diǎn)。特別是隨著傳統(tǒng)機(jī)房管理的瓶頸不斷凸顯，桌面虛擬化技術(shù)向這一領(lǐng)域不斷滲透的背景下，通過設(shè)計(jì)好項(xiàng)目實(shí)施路徑圖，規(guī)避資源集中后帶來的信息安全問題，將有效提高高校機(jī)房建設(shè)運(yùn)維的效率，從而為教學(xué)實(shí)施與改革創(chuàng)造更好的基礎(chǔ)條件。

參考文獻(xiàn)：

[1] 劉永.虛擬化桌面在高校計(jì)算機(jī)實(shí)驗(yàn)教學(xué)中心的設(shè)計(jì)及應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（9）：95-96.

[2] 劉艾俠，符永衛(wèi)，王波.桌面虛擬技術(shù)在高校實(shí)驗(yàn)機(jī)房的應(yīng)用分析[J].電腦知識與技術(shù)，2018，14（7）：225，233.

[3] 周志成.基于虛擬化技術(shù)的桌面云在高校中的應(yīng)用研究[J].信息與電腦（理論版），2020，32（20）：4-6.

[4] 梁志榮.虛擬技術(shù)在多媒體教室管理中的應(yīng)用[J].福建電腦，2021，37（4）：82-86.

[5] 李輝強(qiáng)，姜正濤，林珊珊.虛擬化安全技術(shù)分析[J].保密科學(xué)技術(shù)，2020（10）：4-8.

【通聯(lián)編輯：李雅琪】