1 引言
桌面虛擬化是指將計算機的桌面進行虛擬化。以達到桌面使用的安全性和靈活性。用戶可以通過瘦客戶端、PC或者類似的設備在局域網(wǎng)或者遠程訪問獲得與傳統(tǒng)終端一致的用戶體驗。
在政府部門、軍工企業(yè)等涉密網(wǎng)絡內。信息的安全保密是至關重要的,但涉密網(wǎng)絡內眾多的安全產(chǎn)品和軟件,加大了涉密信息系統(tǒng)的復雜性,制約了信息化應用水平。在虛擬化技術,尤其是桌面虛擬化技術的快速發(fā)展的形勢下。能否在涉密網(wǎng)絡內采用桌面虛擬化技術取代原有的終端桌面環(huán)境,提升信息化管理和維護水平,并保證信息的安全保密是很大的挑戰(zhàn)。
2 桌面虛擬化的優(yōu)勢
2.1降低成本
降低成本是很多人對桌面虛擬化所帶來好處的第一反應,不過這個成本需要具體的分析。如果片面地認為桌面虛擬化就是降低成本。則有可能產(chǎn)生一種誤解。不可否認桌面虛擬化有降低成本的功效,但是具體情況要具體分析,尤其是初始成本方面,虛擬軟件、服務器、存儲設備以及網(wǎng)絡改造等一次性投入價格不菲,但如果把眼光放長遠看,采用瘦客戶機或高性能PC配合無盤數(shù)據(jù)流模式進行VDI(虛擬桌面架構),就能體會出虛擬桌面在管理成本上的巨大優(yōu)勢。但這是一個“長線投資”,非?简炛鞴苋藛T在TCO(總體擁有成本)方面的關注能力。所以,在初期桌面虛擬化并不等于降低成本,它的成本優(yōu)勢需要逐步顯現(xiàn)。
2.2便于企業(yè)IT對終端桌面的集中控管
借助于虛擬桌面,IT部門將所有的桌面管理收到了后端 的數(shù)據(jù)中心。足不出戶即可對桌面鏡像和相關的應用進行管理和維護,而這種管理與維護對于前端用戶來講是透明的。比如上萬個員工都是用同一個桌面鏡像,管理人員只需為這個 桌面鏡像打一次補丁,那么上萬個終端的桌面系統(tǒng)也就全部更新了。因此,虛擬桌面為企業(yè)IT管理提供了一個極好的管 理手段,而這種集中管理的快捷性,是傳統(tǒng)的物理桌面所不能 性。桌面虛擬化在涉密網(wǎng)內的應用數(shù)量并不是很常見,處于叫比擬 。
其實并不是桌面虛擬化之后就沒有個人桌面了,可以在本地桌面上再接收一個虛擬桌面或應用,或者使用性能強勁的系統(tǒng)網(wǎng)絡引導進入一個系統(tǒng),或者通過硬盤引導進入另一個系統(tǒng)等多種方式獲得個人獨有的桌面,來實現(xiàn)虛擬桌面與 本地個人桌面的并存。
2.3讓企業(yè)的數(shù)據(jù)與IT系統(tǒng)更為安全
桌面虛擬化少不了應用虛擬化,而應用的執(zhí)行是在后臺的數(shù)據(jù)中心里,那么應用所產(chǎn)生的數(shù)據(jù)也就存儲在數(shù)據(jù)中心,而不是在用戶終端的存儲設備上,所以即使終端受損或是丟失,企業(yè)的應用數(shù)據(jù)也不會遺失,并且使原來分散在個人客戶機硬盤內的數(shù)據(jù)集中到數(shù)據(jù)中心的磁盤陣列上,得到了更高級別的性能和保護且便于集中備份管理,這也極大地提高了企業(yè)敏感數(shù)據(jù)的安全性。此外,即使你丟了電腦,也可以迅速的用另一臺電腦繼續(xù)辦公,因為數(shù)據(jù)都在后臺,并且由于桌面虛擬機在數(shù)據(jù)一側,可以享受到數(shù)據(jù)中心的災備支持,做到“永不停機”,從而也就更好地保證了業(yè)務的連續(xù)性。
另一方面,由于企業(yè)IT管理員可以在后臺對桌面和應用進行集中的維護,在木馬、病毒的防護上肯定要比傳統(tǒng)分散的物理桌面要強得多,而傳統(tǒng)的物理桌面由于會接入內部網(wǎng)絡,所以一個終端出問題,就可能殃及整個IT系統(tǒng)。對此,桌面虛擬化顯然有良好的免疫能力,即便鏡像文件受到感染,影響的也是虛擬機,可以更快地清除和恢復。
2.4提高商業(yè)合作效率與生產(chǎn)力
對于企業(yè)協(xié)同,比如企業(yè)的一些外包服務、協(xié)同的資料處理、臨時的多公司人員集中辦公等,由于每個公司的IT架構與系統(tǒng)并不見得相同,所以也就為這種協(xié)同辦公帶來了諸多困難。而通過桌面虛擬化,企業(yè)可以為這些業(yè)務生成相應的虛擬計算機,部署相應的桌面和應用,而數(shù)據(jù)可以透明地向后臺集中,待協(xié)作結束后,只需關閉相應的虛擬機就可以了,無需為其再單獨購買IT終端,這也就意味著提高了企業(yè)的生產(chǎn)力。
另一個提高生產(chǎn)力的要素在于,桌面虛擬化的平臺無關性,即人為屬性和物理屬性。人為屬性是指,你用的可以不是你自己的電腦.只需上網(wǎng)登錄你的賬號就可以訪問你的桌面和應用,從而實現(xiàn)“讓應用如影隨行”。而物理屬性上,整個網(wǎng)絡系統(tǒng)、應用系統(tǒng)是一個完整的整體,只要介入網(wǎng)絡就能訪問相應的數(shù)據(jù),保證了接入設備的無關性。
3 涉密網(wǎng)內桌面虛擬化的部署難點
雖然桌面虛擬化有如此之多的優(yōu)點但由于涉密網(wǎng)的特殊性,桌面虛擬化在涉密網(wǎng)內的應用數(shù)量并不是很常見,處于叫好不叫座的尷尬局面,而涉密企業(yè)的信息安全是其中的重中之重,F(xiàn)有涉密網(wǎng)都是嚴格按照“等級保護和分級保護”等相關國家有關規(guī)定建立起來的。其中軟硬件方面主要為以下幾部分:
(1)身份認證(主要為數(shù)字證書認證key,也有如指紋識別等其它認證方式)。
(2)審計軟件(包括應用審計,端口審計等諸多功能)。
(3)防火墻(構建服務器DMZ區(qū))。
(4)入侵檢測系統(tǒng)(保護網(wǎng)絡資源的機密性、完整性、可用性)。
(5)關鍵業(yè)務使用盤陣,并定期備份。
以上幾個方面雖然可以實現(xiàn)一個相對安全的企業(yè)環(huán)境,但是卻無法規(guī)避對于用戶終端系統(tǒng)、軟件、數(shù)據(jù)的維護和配置問題。對于企業(yè)信息中心來說最重要的難題是,如何既能保證滿足現(xiàn)階段的數(shù)據(jù)安全保護要求,又能減少對終端用戶的維護量和工作量,并能提高終端數(shù)據(jù)安全性,使終端用戶也能擁有與數(shù)據(jù)中心服務器相同的安全等級。
正是因為以上問題的普遍存在才出現(xiàn)了對桌面虛擬化產(chǎn)品的強烈需求,但由于涉密網(wǎng)內環(huán)境的特殊性,很多情況下商用網(wǎng)內的一些虛擬化桌面實施辦法又無法滿足涉密網(wǎng)內的嚴格要求。比如涉密網(wǎng)內的身份認證等必備軟件,由于部署時間較早,軟件在研發(fā)過程中沒有考慮到虛擬化桌面的發(fā)展需要,且部分軟件公司為了保持自己軟件在用戶系統(tǒng)內的主導地位,封閉了一些非通用的技術綁定關鍵應用。這些都導致了桌面虛擬化應用產(chǎn)品無法與其它軟件的兼容。正是由于以上原因的存在才導致了桌面虛擬化在涉密網(wǎng)內推廣的舉步維艱。網(wǎng)
另外同一公司內不同部門所處的職能不同,如果一味地選擇廠家推薦的部署方案:“統(tǒng)一將原有PC更換為瘦客戶機”,第一無法滿足研發(fā)人員對使用環(huán)境的要求,第二無法滿足研發(fā)人員對桌面環(huán)境性能的要求(VDI環(huán)境下圖形的處理性能低下,如3D設計等)。
所以說如果想使涉密網(wǎng)在滿足數(shù)據(jù)安全要求的前提下,想做一些改變,部署桌面虛擬化并能受益于其所帶來的好處,那么就不能局限于已有的商業(yè)案例或廠家推廣的那些來照搬到涉密網(wǎng)內,而必須結合涉密網(wǎng)內自身應用情況,在信息系統(tǒng)中因地制宜地進行桌面虛擬化的選擇和建設。
4 涉密網(wǎng)內桌面虛擬化部署方法
找到一種最適合于企業(yè)本身業(yè)務模式的桌面虛擬化產(chǎn)品,不要只局限于品牌知名度和市場占有率,要從整體的投資和能力以及自身業(yè)務特點考慮。
(1)對現(xiàn)有身份認證或審計軟件進行二次開發(fā)或升級。有的軟件已經(jīng)同我們企業(yè)的核心應用綁定,在選定產(chǎn)品之后遇到兼容性問題的時候,二次開發(fā)和軟件升級是最好的選擇。
(2)模擬生產(chǎn)環(huán)境業(yè)務模式和需求對桌面虛擬化產(chǎn)品進行全面測試,找到適合企業(yè)自身的部署方式。因為商業(yè)企業(yè)在安全性方面要求不高且使用的軟件比較開放,而且也無需用一種產(chǎn)品一種模式貫穿全局,完全可以根據(jù)不同的用戶需求使用不同的部署模式。
(3)當初步測試完成后,可以進一步在生產(chǎn)環(huán)境下進行完全測試。由于不同方案對于防火墻、入侵檢測等安全產(chǎn)品的配置要求有所不同。如VDI模式和無盤數(shù)據(jù)流模式對防火墻和入侵檢測的配置以及帶寬要求是完全不同的,根據(jù)不同的部署方式,防火墻和入侵檢測也可能需要升級。
(4)桌面虛擬化對網(wǎng)絡依賴性更強,所以需要更大的帶寬來承載虛擬化傳輸?shù)臄?shù)據(jù)量,尤其是企業(yè)存在CAD等大數(shù)據(jù)量應用情況下,才能夠保證穩(wěn)定的數(shù)據(jù)傳輸。
(S)桌面虛擬化對數(shù)據(jù)中心存儲設備的IOps要求比較高,需要配備性能更強的磁盤陣列存儲設備,來保護終端用戶系統(tǒng)和數(shù)據(jù)的高可靠性及安全性。
(6)由于桌面虛擬化后所有數(shù)據(jù)都在文件服務器進行存儲,這樣對服務器及存儲的安全性要求就非常的高,文件服務器使用故障轉移群集技術,保證當一臺服務器發(fā)生故障時,另一合服務器自動接管所有功能,繼續(xù)實施對外提供服務,不影響終端任何使用。
(7)桌面虛擬化模式必須在域環(huán)境下工作,通過在網(wǎng)絡內配置DNS服務器、域控制器、DHCP服務器等網(wǎng)絡服務,滿足桌面虛擬化的應用需求。因為域網(wǎng)絡的全局用戶賬戶和安全策略都是集中在一臺或者少數(shù)幾臺DC上進行配置與管理的,所以相對工作組網(wǎng)絡來說,這些配置的安全性就更高,更不容易被人攻擊和破解。
(8)桌面虛擬化模式下,所有的終端主機系統(tǒng)均模版化管理,包括主機的操作系統(tǒng),驅動程序以及一些常用軟件等。只需要制作一個模版后,所有相同型號主機都可以通過此模版創(chuàng)建其他主機的系統(tǒng)文件,方便快捷地完成多臺終端主機系統(tǒng)的部署。
(9)桌面虛擬化可以按照終端機器的不同品牌型號制作不同的模版,每個型號只需要制作一個模版即可,然后復制多份,給其他主機來使用,無需給每一臺終端手動安裝,大大減少了管理員的工作量及錯誤出現(xiàn)的機率。
(10)虛擬化技術實施系統(tǒng)桌面重定向,將所有終端用戶的桌面文件都重新指向在另外一個安全的文件夾中,即使系統(tǒng)發(fā)生故障,必須重新安裝操作系統(tǒng)才可以解決,也不怕數(shù)據(jù)丟失了,因為所有的桌面文件已經(jīng)不存在系統(tǒng)盤符中,這樣用戶的桌面文件仍然存在安全的地方。
5 案例分析
以國內某研究所部署桌面虛擬化為例,由于該研究所為涉密單位,所以所內辦公網(wǎng)絡建設是完全按照保密規(guī)定建立的,與互聯(lián)網(wǎng)物理隔離。
用戶登陸計算機終端需要經(jīng)過身份認證Key認證,對應用的訪問需要經(jīng)過審計軟件的監(jiān)控和審計,對于前端計算機端口和應用,需經(jīng)過專門的審計軟件進行監(jiān)控。由于該所是一個設計單位,大量的研發(fā)人員對桌面終端的處理能力有很高的要求:各個部門工作方向不同對終端的使用方式也有不同。有的部門需要并口或串口調試設備,有的部門需要高性能顯卡進行設計等等;并且軟件和硬件丟失數(shù)據(jù)時有發(fā)生,嚴重干擾了研究所內的辦公環(huán)境,有時還會因為數(shù)據(jù)丟失等問題造成項目推遲等狀況。但是上千臺終端的維護重任都壓在了幾個IT維護人員頭上。通過多方調研了解,研究所希望能通過部署虛擬化桌面,提高桌面的維護效率和終端數(shù)據(jù)的安全性,但前提是不能更改和替換現(xiàn)有的軟件和拓撲架構,并要符合涉密網(wǎng)的相關規(guī)定。通過綜合考慮,決定選用無盤數(shù)據(jù)流模式,構建虛擬桌面系統(tǒng)。
具體說來就是前端的終端設備還是使用原有PC機,只需要將硬盤去掉,系統(tǒng)盤是儲存在數(shù)據(jù)中心的磁盤陣列上,開機后通過網(wǎng)絡引導直接加載磁盤陣列上的系統(tǒng)盤到內存。整個過程對于用戶來說與使用原有PC機完全相同,軟硬件兼容性也完全相同,所以順利通過了初步測試。但由于此種方式比傳統(tǒng)VDI方式有更高的帶寬需求,所以所內將原有百兆網(wǎng)改為千兆網(wǎng)絡,改進防火墻和入侵檢測系統(tǒng)的數(shù)據(jù)訪問策略,增加了吞吐量,在入侵檢測上對此應用產(chǎn)生的超大包進行了識別,增加了數(shù)據(jù)包檢測速度。
實施完成后用戶本地無磁盤,在數(shù)據(jù)中心搭建文件服務器,并搭建域控制器制定相關用戶策略。當用戶登錄系統(tǒng)后將數(shù)據(jù)中心的網(wǎng)絡空間直接掛載到本地,由于此存儲空間動態(tài)增長,可以靈活設定最大值。通過設置桌面重定向也規(guī)避了部分用戶因系統(tǒng)崩潰而導致系統(tǒng)桌面放置數(shù)據(jù)丟失的問題。
這樣的實施方法實現(xiàn)了用戶系統(tǒng)和用戶數(shù)據(jù)的大集中。
為了保證系統(tǒng)和數(shù)據(jù)的安全性,通過部署持續(xù)數(shù)據(jù)保護系統(tǒng),利用快照保護虛擬桌面系統(tǒng)和數(shù)據(jù),支持系統(tǒng)或數(shù)據(jù)快速回復到指定備份時間點。
6 總結
顯然,桌面虛擬化有效地降低了涉密企業(yè)的桌面管理成本,提升了數(shù)據(jù)安全和業(yè)務持續(xù)性。但由于涉密網(wǎng)的特殊性。在現(xiàn)階段部署桌面虛擬化免不了會有這樣那樣的一些問題。但如果根據(jù)企業(yè)自身的業(yè)務特點進行全面考量,以我為主,合理選擇,完全可以找到并應用一個合適的解決方案。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.oesoe.com/
本文網(wǎng)址:http://www.oesoe.com/html/support/1112188327.html