虛擬化桌面在公安院校的應用＊

郭頂龍

(貴州警察學院，貴州 貴陽 550005)

0 引言

目前某學院辦公終端一直使用功能全面的傳統PC，但是大多數PC 終端都是八年前采購的，目前存在很多問題。雖然在大多數情況下，PC單一采購價格相對實惠，PC 配置和性能發展迭代非常快，性能優越。但在實際使用過程中，復用率非常低；每臺PC 上需要安裝相同的業務所需的軟件程序及客戶端；所有數據分散在各個PC 端上，無法對PC 進行統一集中的維護和管理，對數據無法進行統一集中存儲、備份和處理。主要表現為：辦公效率低；數據可以隨便拷貝，安全風險大；運維人員工作復雜，終端運維困難。近年來，服務器中的CPU、主板、內存、磁盤等硬件設備的升級迭代，使服務器整體的運算、控制、存儲和虛擬化的能力得到成倍的提升。虛擬化桌面是利用服務器資源，對計算機的終端系統進行虛擬化，以此達到桌面使用的靈活性和安全性，最終通過任何設備都能在任意時間、地點訪問網絡上的個人專屬桌面系統。

1 問題應對

1.1 信息安全問題

2013 年斯諾登曝光美國“棱鏡計劃”，美國政府可以隨意地調取科技IT 界八大巨頭的數據，監控全球信息，全球正從IT（Information Technology）時代步入DT（Data Technology）時代。科技是第一生產力，發展底層國產自主可控芯片與基礎軟硬件，是保衛中國信息安全和產業安全的根本保障。最早提出“大數據”時代到來的是全球知名咨詢公司麥肯錫，麥肯錫稱：“數據，已經滲透到當今每一個行業和業務職能領域，成為重要的生產因素。人們對于海量數據的挖掘和運用，預示著新一波生產率增長和消費者盈余浪潮的到來。”在大數據發展的驅動下，人工智能必將成為各行各業發展動力。因此保衛自主信息安全刻不容緩。

1.2 國產化進展的偉大歷程

從早期“863”、“核高基”時代科技界先驅篳路藍縷的從0 到1 的突破，到一代代芯片、基礎軟硬件研發人員和企業家的長期堅持，再到國家半導體產業大基金以資本方式聚集力量，驅動產業加速發展。目前我國在國產化上已經有了許多突破：國產操作系統中標麒麟、銀河麒麟……；國產芯片龍芯、飛騰、兆芯……。無論是軟件還是硬件，都已經研發出值得信賴的核心技術產品。國家自主可控的發展經過了從實驗室可用→勉強能用不好用→能用可用等階段，正在逐步進入產業化，終端用戶體驗得到極大的提升。

1.3 Windows停服問題

微軟于2020 年1 月14 日正式停止Win7 的更新，除額外支付費用擴展安全更新的政企用戶外，不再提供任何技術支持、軟件更新、安全更新及修復。2022年4 月9 日，微軟向仍在運行Windows 10 版本1909或20H2 的用戶發出警告。這兩個版本都將隨著5 月10 日達到服務期結束。不再獲得技術支持后，這些Windows 系統將容易受到惡意攻擊，所以用戶及時升級系統非常重要，特別是那些連接到互聯網的系統。

針對上述問題，在本單位內網電腦的建設上使用了桌面云技術來取代傳統PC，采用在服務器一體機上承載桌面映像的方法，以集中資源管理方式并提高其桌面計算基礎架構的可管理性。

2 建設需求

2.1 桌面云

邁向云計算之旅的第一步就是利用桌面云切斷傳統硬件設備的局限性，將原先運行在PC 端中的桌面、業務應用和用戶數據統一遷移到將建設的數據中心服務器，這樣不但能有效解決桌面統一上線的管理和數據安全的傳統難題，而且還能為廣大教職工用戶提供多種工作環境所需的桌面靈活性和可訪問性，實現隨時隨地有效可控訪問[1]。

桌面云模式必須提供與傳統PC 端一致的用戶體驗，讓用戶使用感知效果達到最佳狀態。保證流暢的桌面操作及視頻播放，并且良好兼容市面常見的打印機、掃描儀、多功能一體機、外置光驅等各類常見外圍設備。不僅要確保系統桌面、業務軟件的運行可靠，而且也要求桌面云架構必須具備平滑擴容升級的潛力。

桌面云應提供軟硬件一體化服務器平臺，不再使用軟、硬件分開的集成模式，以更少的管理組件、更易用的管理平臺，去實現簡單高效的安裝調試及運維管理，提升系統部署速度、運行效率。

2.2 桌面云架構設計方案

建設一站式、高性價比桌面云方案，只需要終端（信創終端、瘦終端、舊終端）、信創服務器兩種硬件，及桌面云軟件（包括虛擬桌面控制器、服務器虛擬化、存儲虛擬化等軟件平臺）即可完成桌面云的快速搭建。如圖1所示。

圖1 桌面云超融合系統架構

⑴硬件平臺

采用國產化服務器，每臺服務器預裝全套桌面云系統軟件，開箱上架開機就用，不需要繁瑣復雜的系統安裝運行調試。部署時，將所有采購的服務器加入一個集群，形成統一運算資源池，實現彈性調用、集中監控。故障自動切換，即一旦檢測到某臺服務器突然發生故障，管理平臺自動調用集群內的其他正常的服務器重啟出錯服務器運行的虛擬機，保證整個桌面云業務平穩正常運行。

采用分布式虛擬存儲的架構，可以將服務器中指定的硬盤整合成虛擬的存儲池，同時通過緩存技術、虛擬存儲網絡、多副本冗余等磁盤管理技術，在沒有獨立存儲設備的方式下，完全實現高IO 性能、數據高可用、虛擬機遷移、故障自動切換等管理[2]，統一為桌面云系統提供經濟高效的存儲管理服務。每臺服務器配備的二塊高性能固態盤做冗余，用于安裝桌面云的底層管理系統，高性能的緩存固態盤用于熱點數據讀寫和緩存加速，普通的數據盤用于存放部署好的虛機模板和用戶產生的個人數據。

采用多種業務網絡傳輸架構，分別傳輸不同的業務數據，按使用類型分為：業務網、存儲網、管理網。其中業務網主要傳輸圖像、視頻、外設等數據流量，存儲網主要傳輸IO 操作、副本、遷移等流量，管理網主要傳輸配置、心跳、檢測等數據流量。為達到三網分離使用，每臺服務器必須配備多個千兆網口和萬兆口，萬兆光口用于存儲網，三套網絡分別采用雙端口雙交換機聚合的方式來提升網絡可靠性和帶寬。

⑵軟件平臺

虛擬化桌面控制器，提供細粒度策略控制、用戶分級認證管理、虛擬化桌面、瘦終端監控及管理等多種功能；從而實現更安全、更便捷、更可靠地管理整個云桌面系統[4]。服務器虛擬化是直接在服務器硬件上面安裝相關虛擬化平臺，然后再在虛擬化平臺上安裝相關操作系統和業務應用，依賴虛擬層內核和服務器控制臺進行統一的管理，可為云桌面提供高性能負載平臺和先進管理功能[5]，包括虛擬機快速部署、資源管理及監控、集群高可用、動態遷移、數據備份及恢復等功能。

2.3 桌面云安全

IT 系統對安全性要求越來越高，云桌面平臺的每一個環節都要求體現安全控制的根本理念。使用通過可靠有效的安全控制方法和手段，來保證正在運行的正常桌面業務系統的運行，有效的規避所有安全風險，見圖2。使用的安全措施主要有：傳輸協議安全加密、身份認證多級權限管理、業務區域分別安全隔離、業務數據進行加密存儲。

圖2 系統安全控制

⑴傳輸協議安全加密

利用云桌面平臺進行辦公，用戶使用終端通過專有通信傳輸協議連接到數據中心，傳輸協議承載整個圖像傳輸、身份認證等關鍵業務信息，桌面云專有通信傳輸協議僅傳輸客戶端圖像變化和鼠標、鍵盤等操作數據，本身并不直接傳輸具體的應用數據，避免用戶產生的數據在終端留存而泄露的發生。同時使用SSL 傳輸協議，保證所有信息數據都是在安全的通道內進行傳輸。

⑵身份認多級證權限管理

為了建立針對不同用戶的訪問權限，實現細粒度的管理用戶平臺策略，必須建立統一的用戶身份認證平臺，建立統一的用戶身份認證將給云桌面平臺的統一管理提供絕對可靠的安全性和便捷性。云桌面管理平臺必須具備良好的密碼管理策略[1]，可強制密碼生存期、密碼生復雜度、密碼更改最短有效期、密碼長度等要求、帳號密碼輸入錯誤達到一定次數就鎖定等多種密碼的安全策略，確保用戶密碼的安全性、唯一性。

⑶區域安全隔離

單位內部有多個部門，每個部門都存在有各自的業務系統、應用軟件和特殊應用需求，而云桌面平臺將為會不同的業務部門提供定制的服務，部門之間的業務信息和數據信息都需要隔離保護，因此采用區域方式的隔離技術，不同部門的業務應用可以根據不同的VLAN 進行虛擬環境的網絡邏輯性隔離，保證不同教職工訪問的安全性。

⑷業務數據加密存儲

每個終端用戶的系統桌面上都會存放著各種業務數據，云桌面平臺使得數據統一集中化存儲，如果平臺受到惡意性攻擊，被惡意破壞，將會存在重大的數據丟失及泄密風險。因此，需要對個人盤業務數據采用統一加密存儲技術，以確保所有數據的安全性。

3 桌面云建設

3.1 全面保護核心數據

桌面云構建了一套高性能和高可用的桌面架構，使用自動化備份和統一集中式運維方式，最大化地簡化終端硬件管理。如果發生系統故障需要恢復時，從傳統PC的幾小時縮短至幾分鐘的桌面云恢復，提升學院教職工辦公的極致體驗，教師不用擔心因客戶端故障、損壞或者丟失而造成工作中斷，因為教職工的所有數據和業務應用程序均存儲在虛擬化平臺的數據中心，即便設備發生故障、損壞或丟失，用戶可以從其他終端設備登錄，并快速銜接中斷的工作[6]。可以分級分組的控制用戶是否能將文件從服務器數據中心的桌面拷貝到本地存儲設備，如光盤、U盤、移動硬盤等。并可根據不同桌面用戶的安全系數及接入桌面的環境匹配不同用戶安全級別的策略，來實現保密性能，杜絕內部資料的流失，做到數據可控可管[3]。

3.2 提高運維工作效率

借助桌面云的模板部署、派生及更新等多種技術手段，管理員可以非常輕松、快速地按需求創建指定的多個桌面，并在很短的時間內將各種業務應用程序和配置文件推送至整個虛擬化平臺中的指定桌面云。在日常維護方面，管理人員也只需要維護虛擬化平臺的幾臺服務器、幾套常用的模板和一些業務應用程序，提升桌面使用的效率及IT管理水平效率。

統一的運維管理界面可對計算、存儲、網絡及虛擬機等桌面資源進行全方位統一監控和實時告警，提前識別存在的故障及風險。并能支持統一完成所有云桌面的開機、重啟、鎖定、關機等系統操作，從低碳環保的角度能為云桌面設置開關機計劃，實現上班前自動開機、下班后自動關機，節省資源占用。也能支持為云桌面設置為還原模式，在操作系統重啟后，C盤數據恢復為開機時狀態，除個人數據外，其他內容均還原為初始狀態，始終為用戶呈現干凈可用的桌面環境，提供適用于多人使用的教學培訓環境。

云桌面分組分級管理模式，支持批量系統設置，如為用戶云桌面快速分配IP地址，提升IT人員桌面維護效率。支持一鍵深度檢測，快速識別業務風險，并自動提供相應的解決方案，助管理員輕松解決業務問題。軟件故障，可申請遠程協助。系統故障、中毒或重要數據丟失，無須管理員介入，可利用快照恢復系統。支持分級分權，客戶的管理員可以根據其組織結構的崗位分工，為不同管理員分配不同的管理權限，實現管理員之間管理界面、權限相互隔離，互不干擾。

4 結束語

本單位從事網絡維護與管理的部門為學院某中心（處級單位）下的網絡科，目前在編人員三名，其中一名為工勤人員，負責整個學院的網絡維護和實驗中心的國家資產管理。所以專業技術人員的短缺、工作人員知識能力不夠。導致目前現有人員只能對疲憊應對現有相關系統進行維護，通過使用桌面云系統后，解決了許多平時難以解決的情況。管理部門可以通過設置集中化策略控制用戶對數據的分組分級訪問權限，例如控制用戶是否能將文件從數據中心的桌面拷貝到本地設備或U 盤，并可根據不同桌面的安全系數及接入桌面的環境匹配不同安全級別的策略，從而完全實現全面安全又提高了桌面生產力。