虛擬化桌面在公安院校的應(yīng)用＊

郭頂龍

(貴州警察學(xué)院，貴州 貴陽 550005)

0 引言

目前某學(xué)院辦公終端一直使用功能全面的傳統(tǒng)PC，但是大多數(shù)PC 終端都是八年前采購的，目前存在很多問題。雖然在大多數(shù)情況下，PC單一采購價(jià)格相對(duì)實(shí)惠，PC 配置和性能發(fā)展迭代非?？欤阅軆?yōu)越。但在實(shí)際使用過程中，復(fù)用率非常低；每臺(tái)PC 上需要安裝相同的業(yè)務(wù)所需的軟件程序及客戶端；所有數(shù)據(jù)分散在各個(gè)PC 端上，無法對(duì)PC 進(jìn)行統(tǒng)一集中的維護(hù)和管理，對(duì)數(shù)據(jù)無法進(jìn)行統(tǒng)一集中存儲(chǔ)、備份和處理。主要表現(xiàn)為：辦公效率低；數(shù)據(jù)可以隨便拷貝，安全風(fēng)險(xiǎn)大；運(yùn)維人員工作復(fù)雜，終端運(yùn)維困難。近年來，服務(wù)器中的CPU、主板、內(nèi)存、磁盤等硬件設(shè)備的升級(jí)迭代，使服務(wù)器整體的運(yùn)算、控制、存儲(chǔ)和虛擬化的能力得到成倍的提升。虛擬化桌面是利用服務(wù)器資源，對(duì)計(jì)算機(jī)的終端系統(tǒng)進(jìn)行虛擬化，以此達(dá)到桌面使用的靈活性和安全性，最終通過任何設(shè)備都能在任意時(shí)間、地點(diǎn)訪問網(wǎng)絡(luò)上的個(gè)人專屬桌面系統(tǒng)。

1 問題應(yīng)對(duì)

1.1 信息安全問題

2013 年斯諾登曝光美國“棱鏡計(jì)劃”，美國政府可以隨意地調(diào)取科技IT 界八大巨頭的數(shù)據(jù)，監(jiān)控全球信息，全球正從IT（Information Technology）時(shí)代步入DT（Data Technology）時(shí)代。科技是第一生產(chǎn)力，發(fā)展底層國產(chǎn)自主可控芯片與基礎(chǔ)軟硬件，是保衛(wèi)中國信息安全和產(chǎn)業(yè)安全的根本保障。最早提出“大數(shù)據(jù)”時(shí)代到來的是全球知名咨詢公司麥肯錫，麥肯錫稱：“數(shù)據(jù)，已經(jīng)滲透到當(dāng)今每一個(gè)行業(yè)和業(yè)務(wù)職能領(lǐng)域，成為重要的生產(chǎn)因素。人們對(duì)于海量數(shù)據(jù)的挖掘和運(yùn)用，預(yù)示著新一波生產(chǎn)率增長和消費(fèi)者盈余浪潮的到來?！痹诖髷?shù)據(jù)發(fā)展的驅(qū)動(dòng)下，人工智能必將成為各行各業(yè)發(fā)展動(dòng)力。因此保衛(wèi)自主信息安全刻不容緩。

1.2 國產(chǎn)化進(jìn)展的偉大歷程

從早期“863”、“核高基”時(shí)代科技界先驅(qū)篳路藍(lán)縷的從0 到1 的突破，到一代代芯片、基礎(chǔ)軟硬件研發(fā)人員和企業(yè)家的長期堅(jiān)持，再到國家半導(dǎo)體產(chǎn)業(yè)大基金以資本方式聚集力量，驅(qū)動(dòng)產(chǎn)業(yè)加速發(fā)展。目前我國在國產(chǎn)化上已經(jīng)有了許多突破：國產(chǎn)操作系統(tǒng)中標(biāo)麒麟、銀河麒麟……；國產(chǎn)芯片龍芯、飛騰、兆芯……。無論是軟件還是硬件，都已經(jīng)研發(fā)出值得信賴的核心技術(shù)產(chǎn)品。國家自主可控的發(fā)展經(jīng)過了從實(shí)驗(yàn)室可用→勉強(qiáng)能用不好用→能用可用等階段，正在逐步進(jìn)入產(chǎn)業(yè)化，終端用戶體驗(yàn)得到極大的提升。

1.3 Windows停服問題

微軟于2020 年1 月14 日正式停止Win7 的更新，除額外支付費(fèi)用擴(kuò)展安全更新的政企用戶外，不再提供任何技術(shù)支持、軟件更新、安全更新及修復(fù)。2022年4 月9 日，微軟向仍在運(yùn)行Windows 10 版本1909或20H2 的用戶發(fā)出警告。這兩個(gè)版本都將隨著5 月10 日達(dá)到服務(wù)期結(jié)束。不再獲得技術(shù)支持后，這些Windows 系統(tǒng)將容易受到惡意攻擊，所以用戶及時(shí)升級(jí)系統(tǒng)非常重要，特別是那些連接到互聯(lián)網(wǎng)的系統(tǒng)。

針對(duì)上述問題，在本單位內(nèi)網(wǎng)電腦的建設(shè)上使用了桌面云技術(shù)來取代傳統(tǒng)PC，采用在服務(wù)器一體機(jī)上承載桌面映像的方法，以集中資源管理方式并提高其桌面計(jì)算基礎(chǔ)架構(gòu)的可管理性。

2 建設(shè)需求

2.1 桌面云

邁向云計(jì)算之旅的第一步就是利用桌面云切斷傳統(tǒng)硬件設(shè)備的局限性，將原先運(yùn)行在PC 端中的桌面、業(yè)務(wù)應(yīng)用和用戶數(shù)據(jù)統(tǒng)一遷移到將建設(shè)的數(shù)據(jù)中心服務(wù)器，這樣不但能有效解決桌面統(tǒng)一上線的管理和數(shù)據(jù)安全的傳統(tǒng)難題，而且還能為廣大教職工用戶提供多種工作環(huán)境所需的桌面靈活性和可訪問性，實(shí)現(xiàn)隨時(shí)隨地有效可控訪問[1]。

桌面云模式必須提供與傳統(tǒng)PC 端一致的用戶體驗(yàn)，讓用戶使用感知效果達(dá)到最佳狀態(tài)。保證流暢的桌面操作及視頻播放，并且良好兼容市面常見的打印機(jī)、掃描儀、多功能一體機(jī)、外置光驅(qū)等各類常見外圍設(shè)備。不僅要確保系統(tǒng)桌面、業(yè)務(wù)軟件的運(yùn)行可靠，而且也要求桌面云架構(gòu)必須具備平滑擴(kuò)容升級(jí)的潛力。

桌面云應(yīng)提供軟硬件一體化服務(wù)器平臺(tái)，不再使用軟、硬件分開的集成模式，以更少的管理組件、更易用的管理平臺(tái)，去實(shí)現(xiàn)簡單高效的安裝調(diào)試及運(yùn)維管理，提升系統(tǒng)部署速度、運(yùn)行效率。

2.2 桌面云架構(gòu)設(shè)計(jì)方案

建設(shè)一站式、高性價(jià)比桌面云方案，只需要終端（信創(chuàng)終端、瘦終端、舊終端）、信創(chuàng)服務(wù)器兩種硬件，及桌面云軟件（包括虛擬桌面控制器、服務(wù)器虛擬化、存儲(chǔ)虛擬化等軟件平臺(tái)）即可完成桌面云的快速搭建。如圖1所示。

圖1 桌面云超融合系統(tǒng)架構(gòu)

⑴硬件平臺(tái)

采用國產(chǎn)化服務(wù)器，每臺(tái)服務(wù)器預(yù)裝全套桌面云系統(tǒng)軟件，開箱上架開機(jī)就用，不需要繁瑣復(fù)雜的系統(tǒng)安裝運(yùn)行調(diào)試。部署時(shí)，將所有采購的服務(wù)器加入一個(gè)集群，形成統(tǒng)一運(yùn)算資源池，實(shí)現(xiàn)彈性調(diào)用、集中監(jiān)控。故障自動(dòng)切換，即一旦檢測到某臺(tái)服務(wù)器突然發(fā)生故障，管理平臺(tái)自動(dòng)調(diào)用集群內(nèi)的其他正常的服務(wù)器重啟出錯(cuò)服務(wù)器運(yùn)行的虛擬機(jī)，保證整個(gè)桌面云業(yè)務(wù)平穩(wěn)正常運(yùn)行。

采用分布式虛擬存儲(chǔ)的架構(gòu)，可以將服務(wù)器中指定的硬盤整合成虛擬的存儲(chǔ)池，同時(shí)通過緩存技術(shù)、虛擬存儲(chǔ)網(wǎng)絡(luò)、多副本冗余等磁盤管理技術(shù)，在沒有獨(dú)立存儲(chǔ)設(shè)備的方式下，完全實(shí)現(xiàn)高IO 性能、數(shù)據(jù)高可用、虛擬機(jī)遷移、故障自動(dòng)切換等管理[2]，統(tǒng)一為桌面云系統(tǒng)提供經(jīng)濟(jì)高效的存儲(chǔ)管理服務(wù)。每臺(tái)服務(wù)器配備的二塊高性能固態(tài)盤做冗余，用于安裝桌面云的底層管理系統(tǒng)，高性能的緩存固態(tài)盤用于熱點(diǎn)數(shù)據(jù)讀寫和緩存加速，普通的數(shù)據(jù)盤用于存放部署好的虛機(jī)模板和用戶產(chǎn)生的個(gè)人數(shù)據(jù)。

采用多種業(yè)務(wù)網(wǎng)絡(luò)傳輸架構(gòu)，分別傳輸不同的業(yè)務(wù)數(shù)據(jù)，按使用類型分為：業(yè)務(wù)網(wǎng)、存儲(chǔ)網(wǎng)、管理網(wǎng)。其中業(yè)務(wù)網(wǎng)主要傳輸圖像、視頻、外設(shè)等數(shù)據(jù)流量，存儲(chǔ)網(wǎng)主要傳輸IO 操作、副本、遷移等流量，管理網(wǎng)主要傳輸配置、心跳、檢測等數(shù)據(jù)流量。為達(dá)到三網(wǎng)分離使用，每臺(tái)服務(wù)器必須配備多個(gè)千兆網(wǎng)口和萬兆口，萬兆光口用于存儲(chǔ)網(wǎng)，三套網(wǎng)絡(luò)分別采用雙端口雙交換機(jī)聚合的方式來提升網(wǎng)絡(luò)可靠性和帶寬。

⑵軟件平臺(tái)

虛擬化桌面控制器，提供細(xì)粒度策略控制、用戶分級(jí)認(rèn)證管理、虛擬化桌面、瘦終端監(jiān)控及管理等多種功能；從而實(shí)現(xiàn)更安全、更便捷、更可靠地管理整個(gè)云桌面系統(tǒng)[4]。服務(wù)器虛擬化是直接在服務(wù)器硬件上面安裝相關(guān)虛擬化平臺(tái)，然后再在虛擬化平臺(tái)上安裝相關(guān)操作系統(tǒng)和業(yè)務(wù)應(yīng)用，依賴虛擬層內(nèi)核和服務(wù)器控制臺(tái)進(jìn)行統(tǒng)一的管理，可為云桌面提供高性能負(fù)載平臺(tái)和先進(jìn)管理功能[5]，包括虛擬機(jī)快速部署、資源管理及監(jiān)控、集群高可用、動(dòng)態(tài)遷移、數(shù)據(jù)備份及恢復(fù)等功能。

2.3 桌面云安全

IT 系統(tǒng)對(duì)安全性要求越來越高，云桌面平臺(tái)的每一個(gè)環(huán)節(jié)都要求體現(xiàn)安全控制的根本理念。使用通過可靠有效的安全控制方法和手段，來保證正在運(yùn)行的正常桌面業(yè)務(wù)系統(tǒng)的運(yùn)行，有效的規(guī)避所有安全風(fēng)險(xiǎn)，見圖2。使用的安全措施主要有：傳輸協(xié)議安全加密、身份認(rèn)證多級(jí)權(quán)限管理、業(yè)務(wù)區(qū)域分別安全隔離、業(yè)務(wù)數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

圖2 系統(tǒng)安全控制

⑴傳輸協(xié)議安全加密

利用云桌面平臺(tái)進(jìn)行辦公，用戶使用終端通過專有通信傳輸協(xié)議連接到數(shù)據(jù)中心，傳輸協(xié)議承載整個(gè)圖像傳輸、身份認(rèn)證等關(guān)鍵業(yè)務(wù)信息，桌面云專有通信傳輸協(xié)議僅傳輸客戶端圖像變化和鼠標(biāo)、鍵盤等操作數(shù)據(jù)，本身并不直接傳輸具體的應(yīng)用數(shù)據(jù)，避免用戶產(chǎn)生的數(shù)據(jù)在終端留存而泄露的發(fā)生。同時(shí)使用SSL 傳輸協(xié)議，保證所有信息數(shù)據(jù)都是在安全的通道內(nèi)進(jìn)行傳輸。

⑵身份認(rèn)多級(jí)證權(quán)限管理

為了建立針對(duì)不同用戶的訪問權(quán)限，實(shí)現(xiàn)細(xì)粒度的管理用戶平臺(tái)策略，必須建立統(tǒng)一的用戶身份認(rèn)證平臺(tái)，建立統(tǒng)一的用戶身份認(rèn)證將給云桌面平臺(tái)的統(tǒng)一管理提供絕對(duì)可靠的安全性和便捷性。云桌面管理平臺(tái)必須具備良好的密碼管理策略[1]，可強(qiáng)制密碼生存期、密碼生復(fù)雜度、密碼更改最短有效期、密碼長度等要求、帳號(hào)密碼輸入錯(cuò)誤達(dá)到一定次數(shù)就鎖定等多種密碼的安全策略，確保用戶密碼的安全性、唯一性。

⑶區(qū)域安全隔離

單位內(nèi)部有多個(gè)部門，每個(gè)部門都存在有各自的業(yè)務(wù)系統(tǒng)、應(yīng)用軟件和特殊應(yīng)用需求，而云桌面平臺(tái)將為會(huì)不同的業(yè)務(wù)部門提供定制的服務(wù)，部門之間的業(yè)務(wù)信息和數(shù)據(jù)信息都需要隔離保護(hù)，因此采用區(qū)域方式的隔離技術(shù)，不同部門的業(yè)務(wù)應(yīng)用可以根據(jù)不同的VLAN 進(jìn)行虛擬環(huán)境的網(wǎng)絡(luò)邏輯性隔離，保證不同教職工訪問的安全性。

⑷業(yè)務(wù)數(shù)據(jù)加密存儲(chǔ)

每個(gè)終端用戶的系統(tǒng)桌面上都會(huì)存放著各種業(yè)務(wù)數(shù)據(jù)，云桌面平臺(tái)使得數(shù)據(jù)統(tǒng)一集中化存儲(chǔ)，如果平臺(tái)受到惡意性攻擊，被惡意破壞，將會(huì)存在重大的數(shù)據(jù)丟失及泄密風(fēng)險(xiǎn)。因此，需要對(duì)個(gè)人盤業(yè)務(wù)數(shù)據(jù)采用統(tǒng)一加密存儲(chǔ)技術(shù)，以確保所有數(shù)據(jù)的安全性。

3 桌面云建設(shè)

3.1 全面保護(hù)核心數(shù)據(jù)

桌面云構(gòu)建了一套高性能和高可用的桌面架構(gòu)，使用自動(dòng)化備份和統(tǒng)一集中式運(yùn)維方式，最大化地簡化終端硬件管理。如果發(fā)生系統(tǒng)故障需要恢復(fù)時(shí)，從傳統(tǒng)PC的幾小時(shí)縮短至幾分鐘的桌面云恢復(fù)，提升學(xué)院教職工辦公的極致體驗(yàn)，教師不用擔(dān)心因客戶端故障、損壞或者丟失而造成工作中斷，因?yàn)榻搪毠さ乃袛?shù)據(jù)和業(yè)務(wù)應(yīng)用程序均存儲(chǔ)在虛擬化平臺(tái)的數(shù)據(jù)中心，即便設(shè)備發(fā)生故障、損壞或丟失，用戶可以從其他終端設(shè)備登錄，并快速銜接中斷的工作[6]?？梢苑旨?jí)分組的控制用戶是否能將文件從服務(wù)器數(shù)據(jù)中心的桌面拷貝到本地存儲(chǔ)設(shè)備，如光盤、U盤、移動(dòng)硬盤等。并可根據(jù)不同桌面用戶的安全系數(shù)及接入桌面的環(huán)境匹配不同用戶安全級(jí)別的策略，來實(shí)現(xiàn)保密性能，杜絕內(nèi)部資料的流失，做到數(shù)據(jù)可控可管[3]。

3.2 提高運(yùn)維工作效率

借助桌面云的模板部署、派生及更新等多種技術(shù)手段，管理員可以非常輕松、快速地按需求創(chuàng)建指定的多個(gè)桌面，并在很短的時(shí)間內(nèi)將各種業(yè)務(wù)應(yīng)用程序和配置文件推送至整個(gè)虛擬化平臺(tái)中的指定桌面云。在日常維護(hù)方面，管理人員也只需要維護(hù)虛擬化平臺(tái)的幾臺(tái)服務(wù)器、幾套常用的模板和一些業(yè)務(wù)應(yīng)用程序，提升桌面使用的效率及IT管理水平效率。

統(tǒng)一的運(yùn)維管理界面可對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)及虛擬機(jī)等桌面資源進(jìn)行全方位統(tǒng)一監(jiān)控和實(shí)時(shí)告警，提前識(shí)別存在的故障及風(fēng)險(xiǎn)。并能支持統(tǒng)一完成所有云桌面的開機(jī)、重啟、鎖定、關(guān)機(jī)等系統(tǒng)操作，從低碳環(huán)保的角度能為云桌面設(shè)置開關(guān)機(jī)計(jì)劃，實(shí)現(xiàn)上班前自動(dòng)開機(jī)、下班后自動(dòng)關(guān)機(jī)，節(jié)省資源占用。也能支持為云桌面設(shè)置為還原模式，在操作系統(tǒng)重啟后，C盤數(shù)據(jù)恢復(fù)為開機(jī)時(shí)狀態(tài)，除個(gè)人數(shù)據(jù)外，其他內(nèi)容均還原為初始狀態(tài)，始終為用戶呈現(xiàn)干凈可用的桌面環(huán)境，提供適用于多人使用的教學(xué)培訓(xùn)環(huán)境。

云桌面分組分級(jí)管理模式，支持批量系統(tǒng)設(shè)置，如為用戶云桌面快速分配IP地址，提升IT人員桌面維護(hù)效率。支持一鍵深度檢測，快速識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)，并自動(dòng)提供相應(yīng)的解決方案，助管理員輕松解決業(yè)務(wù)問題。軟件故障，可申請(qǐng)遠(yuǎn)程協(xié)助。系統(tǒng)故障、中毒或重要數(shù)據(jù)丟失，無須管理員介入，可利用快照恢復(fù)系統(tǒng)。支持分級(jí)分權(quán)，客戶的管理員可以根據(jù)其組織結(jié)構(gòu)的崗位分工，為不同管理員分配不同的管理權(quán)限，實(shí)現(xiàn)管理員之間管理界面、權(quán)限相互隔離，互不干擾。

4 結(jié)束語

本單位從事網(wǎng)絡(luò)維護(hù)與管理的部門為學(xué)院某中心（處級(jí)單位）下的網(wǎng)絡(luò)科，目前在編人員三名，其中一名為工勤人員，負(fù)責(zé)整個(gè)學(xué)院的網(wǎng)絡(luò)維護(hù)和實(shí)驗(yàn)中心的國家資產(chǎn)管理。所以專業(yè)技術(shù)人員的短缺、工作人員知識(shí)能力不夠。導(dǎo)致目前現(xiàn)有人員只能對(duì)疲憊應(yīng)對(duì)現(xiàn)有相關(guān)系統(tǒng)進(jìn)行維護(hù)，通過使用桌面云系統(tǒng)后，解決了許多平時(shí)難以解決的情況。管理部門可以通過設(shè)置集中化策略控制用戶對(duì)數(shù)據(jù)的分組分級(jí)訪問權(quán)限，例如控制用戶是否能將文件從數(shù)據(jù)中心的桌面拷貝到本地設(shè)備或U 盤，并可根據(jù)不同桌面的安全系數(shù)及接入桌面的環(huán)境匹配不同安全級(jí)別的策略，從而完全實(shí)現(xiàn)全面安全又提高了桌面生產(chǎn)力。