遠(yuǎn)程控制技術(shù)在縣級廣電運(yùn)維中的應(yīng)用

摘#8195;要 當(dāng)今縣級廣電企業(yè)面臨著業(yè)務(wù)系統(tǒng)維護(hù)工作不斷加重，同時又受到資金和體制方面的約束。本文探討了計(jì)算機(jī)遠(yuǎn)程控制的基本原理和各軟件的性能，并重點(diǎn)介紹了利用RDP和VNC相結(jié)合實(shí)現(xiàn)縣級廣電業(yè)務(wù)系統(tǒng)的集中運(yùn)維管理。

關(guān)鍵詞 運(yùn)營維護(hù)；計(jì)算機(jī)遠(yuǎn)程控制；RDP；VNC

中圖分類號 TP 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-(2012)012-0116-02

隨著各項(xiàng)業(yè)務(wù)的發(fā)展，廣電系統(tǒng)業(yè)務(wù)計(jì)算機(jī)終端、服務(wù)器的數(shù)量在不斷的增加，業(yè)務(wù)數(shù)據(jù)種類繁多。技術(shù)部門在進(jìn)行信息系統(tǒng)運(yùn)維過程中面臨著諸多困難，以昆山廣電為例，主要表現(xiàn)在：①計(jì)算機(jī)數(shù)量較多，昆山廣電的業(yè)務(wù)計(jì)算機(jī)數(shù)量近200臺；②各維護(hù)點(diǎn)分散，全縣包括11個鄉(xiāng)鎮(zhèn)分公司，25個營業(yè)點(diǎn)，最遠(yuǎn)的周莊鄉(xiāng)鎮(zhèn)機(jī)房距離市中心40多公里；③中心數(shù)據(jù)機(jī)房資源有限，半數(shù)以上機(jī)架上無KVM設(shè)備，配置服務(wù)器時往往需自帶顯示器、鍵盤和鼠標(biāo)；④部分重要設(shè)備的查詢服務(wù)器放置在機(jī)房，而機(jī)房高電壓、高噪聲、高輻射環(huán)境，并不適合長時間在其中駐足；⑤技術(shù)部門的專職管理人員僅有2名，且無專用工程車輛，需借用其他部門車輛進(jìn)行遠(yuǎn)距離維護(hù)。

比較中國移動、中國電信這類國家級的運(yùn)營商，IT的運(yùn)維工作外包給了專業(yè)的IT服務(wù)公司，這需要充足的資金和成熟IT系統(tǒng)管理體制。而縣一級的廣電行業(yè)仍然處在由事業(yè)體制向企業(yè)轉(zhuǎn)化的過程中，不具備這方面的優(yōu)勢。面對這些問題，采用計(jì)算機(jī)遠(yuǎn)程控制技術(shù)實(shí)現(xiàn)信息系統(tǒng)的集中式遠(yuǎn)程維護(hù)是一個行之有效的方法。

1 遠(yuǎn)程桌面控制介紹

遠(yuǎn)程控制是基于C/S模式，對于桌面操作系統(tǒng)的控制機(jī)制如圖1所示：客戶端通過登陸服務(wù)端，將鍵盤、鼠標(biāo)的控制信息發(fā)送到服務(wù)端；服務(wù)端接收控制信息，并按照控制指令操作被控計(jì)算機(jī)；最后按照主動、被動等機(jī)制將更新后系統(tǒng)桌面圖像經(jīng)處理后傳輸給客戶端。面向桌面的遠(yuǎn)程控制軟件種類較多，比較常見的有Windows系統(tǒng)自帶的遠(yuǎn)程桌面工具RDP（Remote Desktop Protocol）、虛擬網(wǎng)絡(luò)計(jì)算軟件VNC（Virtual Network Computing）、Symantec公司的pcAnywhere遠(yuǎn)程控制軟件，其他的軟件或是類似黑客工具留有后門，或是使用并不廣泛，不具有代表性在此不作介紹。

RDP起源于Citrix公司的MultiWinTM技術(shù)，后由微軟將其集成至Windows操作系統(tǒng)，支持多用戶并行會話。RDP基于國際電信聯(lián)盟ITU定義的T.120系列協(xié)議族，現(xiàn)更新至RDP6.0版本。RDP采用RSA非對稱加密算法進(jìn)行用戶身份認(rèn)證，并提供40、56和128位三種密鑰強(qiáng)度的RC4數(shù)據(jù)加密傳輸機(jī)制，支持音頻、文件傳輸和日志管理。RDP可以很好的應(yīng)用在Windows系列操作系統(tǒng)上，但不支持其他操作系統(tǒng)。RDP登錄遠(yuǎn)程計(jì)算機(jī)是獨(dú)占性的，需注銷操作系統(tǒng)。

VNC是由ATT實(shí)驗(yàn)室所開發(fā)的計(jì)算機(jī)遠(yuǎn)程控制軟件，采用了GPL授權(quán)條款，可免費(fèi)取得，其小巧靈便、跨平臺支持及低帶寬需要，得到了廣泛應(yīng)用。VNC采用遠(yuǎn)程幀緩沖RFB（Remote Frame Buffers）傳輸協(xié)議，利用Hextile、ZRLE等算法進(jìn)行圖像編碼。VNC利用隨機(jī)挑戰(zhàn)響應(yīng)（Random Challenge-Response）進(jìn)行身份驗(yàn)證，但無文件傳輸和日志管理功能，也無數(shù)據(jù)加密傳輸機(jī)制，安全問題是該軟件最大的問題。

pcAnywhere工具實(shí)現(xiàn)了基于DES-256加密數(shù)據(jù)傳輸、符合FIPS 140-2認(rèn)證體系，具有跨平臺性，同時帶有文件傳輸、文本聊天及日志管理等功能，從功能上講該軟件較健全。但該款軟件是商業(yè)性的，單個授權(quán)的基本費(fèi)用最低是139.9美元，按200個點(diǎn)部署規(guī)模，一年的基礎(chǔ)技術(shù)支持費(fèi)用是38#8198;538美元，這是一個縣級廣電單位無法承受的。以上三款軟件的功能比較如表1所示。

2 實(shí)施方案

考慮到實(shí)際的工作需求和經(jīng)濟(jì)性，昆山廣電采用了RDP和VNC相結(jié)合的遠(yuǎn)程控制架構(gòu)。在整個實(shí)施過程中實(shí)現(xiàn)了分類控制、代理機(jī)制和安全應(yīng)用，其架構(gòu)如圖2所示。

2.1 分類控制

昆山廣電的計(jì)算機(jī)信息系統(tǒng)中主要由業(yè)務(wù)終端和服務(wù)器兩大類，

業(yè)務(wù)終端全部安裝Windows XP系統(tǒng)，而服務(wù)器操作系統(tǒng)包括了Windows 2003和Linux。業(yè)務(wù)終端和服務(wù)器的維護(hù)需求不同。

業(yè)務(wù)終端的維護(hù)一方面是及時排除因誤操作產(chǎn)生的系統(tǒng)故障，另一方面也有教學(xué)示范的作用，讓業(yè)務(wù)員能夠清楚看到正確的操作步驟，以避免再次犯錯。RDP對XP系統(tǒng)的登錄會使得系統(tǒng)注銷，無法滿足教學(xué)示范的作用，而VNC可以滿足要求。對于業(yè)務(wù)終端的遠(yuǎn)程桌面控制采用VNC，在所有的業(yè)務(wù)終端上全部安裝VNC Server軟件，同時配備預(yù)設(shè)的登錄密碼和設(shè)置VNC服務(wù)為開機(jī)即啟動。

服務(wù)器的維護(hù)主要涉及到對工業(yè)控制機(jī)的狀況監(jiān)控、對數(shù)據(jù)庫的查詢管理、對報表服務(wù)器的文件管理和對Web應(yīng)用服務(wù)器的配置文件管理等。服務(wù)器的操控一般由網(wǎng)管人員進(jìn)行操作，Windows 2003操作系統(tǒng)允許多用戶并行操作，支持小容量文件的上傳和下載，對于Windows 2003服務(wù)器選用RDP進(jìn)行遠(yuǎn)程控制，在所有的服務(wù)器上開啟RDP服務(wù)。對于Linux系統(tǒng)的服務(wù)器，采用了Linux自帶的VNC軟件，啟動VNC服務(wù)進(jìn)程，控制端是基于Windows系統(tǒng)的VNC Client軟件，通過VNC來實(shí)現(xiàn)對Linux服務(wù)器的遠(yuǎn)程桌面控制。

2.2 代理機(jī)制

昆山廣電業(yè)務(wù)網(wǎng)絡(luò)是一個獨(dú)立的城域網(wǎng)，無法同Internet互聯(lián)，這使得普通辦公計(jì)算機(jī)無法直接同業(yè)務(wù)網(wǎng)絡(luò)相連進(jìn)行遠(yuǎn)程控制。為了解決以上的問題，在業(yè)務(wù)網(wǎng)中部署代理服務(wù)器的方法實(shí)現(xiàn)從辦公網(wǎng)絡(luò)對整個業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行訪問控制。

工業(yè)控制機(jī)和數(shù)據(jù)庫服務(wù)器都配備了查詢服務(wù)器，查詢服務(wù)器安裝了查詢客戶端并不存儲重要數(shù)據(jù)。在此選用工控機(jī)的查詢服務(wù)器作為遠(yuǎn)程控制的中轉(zhuǎn)代理，將其一閑置的網(wǎng)口配置固定IP，并使其通過VPN能夠從外網(wǎng)訪問。在代理服務(wù)器上開啟了RDP服務(wù)，同時安裝了VNC的客戶端軟件。這樣通過RDP登錄到代理服務(wù)器的外網(wǎng)用戶可以嵌套利用RDP遠(yuǎn)程訪問控制其他Windows服務(wù)器，同時也可以通過VNC遠(yuǎn)程訪問Linux應(yīng)用服務(wù)器和遍布全縣的業(yè)務(wù)終端。

單個代理服務(wù)器的使用存在一定脆弱性，當(dāng)該機(jī)網(wǎng)口鏈路中斷或是機(jī)器宕機(jī)后便無法進(jìn)行外網(wǎng)的遠(yuǎn)程訪問，因此代理中轉(zhuǎn)服務(wù)器的設(shè)置應(yīng)該是具有備用機(jī)制，在此利用數(shù)據(jù)庫查詢服務(wù)器作為備用的中轉(zhuǎn)代理，將其IP地址同樣納入VPN的訪問范圍，并開啟RDP服務(wù)和安裝VNC客戶端。通過主備代理的機(jī)制可以增強(qiáng)遠(yuǎn)程控制的穩(wěn)定性。

2.3 安全設(shè)置

如何確保遠(yuǎn)程控制的合法性和信息系統(tǒng)的安全性是業(yè)界一直在討論的問題。信息系統(tǒng)的安全性主要體現(xiàn)在業(yè)務(wù)數(shù)據(jù)的保護(hù)，在此僅討論服務(wù)器在遠(yuǎn)程控制方面的安全問題，可以從下面幾個方面加強(qiáng)遠(yuǎn)程桌面控制的安全性。

1）端口設(shè)置。在默認(rèn)狀態(tài)下RDP服務(wù)使用的默認(rèn)端口為3389，VNC的默認(rèn)端口是5900，默認(rèn)的端口容易遭到黑客的利用來進(jìn)行攻擊和竊聽，應(yīng)該及時將默認(rèn)端口改成一個私有的值。TCP/IP協(xié)議中規(guī)定了可用的端口為65#8198;535個，其中小于1024的端口值為協(xié)議已分配，大于1024的值為應(yīng)用系統(tǒng)所用，在此可以設(shè)立一個5位數(shù)值的端口號如“15890”，為了進(jìn)一步加強(qiáng)端口的不可猜測性，可以使不同服務(wù)器設(shè)置不同的監(jiān)控端口。RDP服務(wù)端口的修改需要在被控計(jì)算機(jī)的注冊表中將相應(yīng)的子鍵值重新設(shè)定，而VNC軟件只需將VNC服務(wù)端程序的配置中進(jìn)行設(shè)置。

2）安全策略。Windows 2003的服務(wù)器版本提供了“組策略”管理功能，在“組策略”管理中通過設(shè)置客戶端加密級別來進(jìn)行安全加密策略調(diào)整。有兩種方式，一種是客戶兼容模式，可以實(shí)現(xiàn)強(qiáng)制遠(yuǎn)程控制雙方使用客戶端最高加密級別進(jìn)行連接；另一種是高級別模式，當(dāng)客戶端系統(tǒng)不支持128為密鑰強(qiáng)度的數(shù)據(jù)加密時無法同服務(wù)器相連接。同時在“組策略”管理中可以根據(jù)需要禁用文件、打印機(jī)和剪貼板等資源重定向功能。

3）安全通道。RDP的認(rèn)證模式存在著“中間人”攻擊危險，而VNC的明文數(shù)據(jù)傳輸極不安全?？梢酝ㄟ^采用第三方軟件提供的加密功能來構(gòu)建安全通道。SSH 是建立在應(yīng)用層和傳輸層上的專為文件傳輸和遠(yuǎn)程登錄會話提供安全性的協(xié)議。SSH在使用過程中需要進(jìn)行端口關(guān)聯(lián)，如將VNC的5900端口同SSH的22端口建立監(jiān)聽綁定。當(dāng)VNC通過5900端口傳送數(shù)據(jù)時，SSH會將數(shù)據(jù)捕獲然后調(diào)用自身的加密算法庫進(jìn)行加密，加密后的數(shù)據(jù)通過22端口發(fā)向遠(yuǎn)端；SSH服務(wù)端接受到對方發(fā)送的數(shù)據(jù)后進(jìn)行解密，再將數(shù)據(jù)映射到上層的VNC軟件。SSH提供了基于口令和基于密鑰的安全認(rèn)證，采用后者的安全認(rèn)證因不涉及口令傳輸而避免了“中間人”攻擊。SSH的跨平臺性能夠很好的配合VNC軟件在各種操作系統(tǒng)上的部署。

3 結(jié)束語

本文介紹了利用計(jì)算機(jī)遠(yuǎn)程控制，實(shí)現(xiàn)縣級廣電企業(yè)的業(yè)務(wù)系統(tǒng)的集中運(yùn)維管理。通過將RDP和VNC結(jié)合使用，大大降低了系統(tǒng)管理人員的工作量和勞動強(qiáng)度，提高了整個業(yè)務(wù)系統(tǒng)的工作效率，也節(jié)約了企業(yè)運(yùn)維成本開銷。通過昆山廣電的實(shí)踐證明，遠(yuǎn)程控制模式是中小企業(yè)實(shí)現(xiàn)現(xiàn)代化管理的有效方式。

參考文獻(xiàn)

[1]Remote Desktop Protocol(RDP)Features and Performance White Pager[EB/OL].http://www.microsoft.com.

[2]梁飛蝶，李錦濤，史紅周.虛擬網(wǎng)絡(luò)計(jì)算(VNC)協(xié)議中的編碼方法[J].計(jì)算機(jī)應(yīng)用，2004，24(6):93-95.

[3]梁錦銳.遠(yuǎn)程桌面的應(yīng)用及安全設(shè)置[J].南寧職業(yè)技術(shù)學(xué)院學(xué)報，2009，14(2):94-96.

[4]王悅.RDP協(xié)議的安全性分析與中間人攻擊[D].北京:北京郵電大學(xué)，2008.

[5]OpenSSH [EB/OL].http://www.openssh.com/.