1 引言

    桌面虛擬化是指將計算機的桌面進行虛擬化。以達到桌面使用的安全性和靈活性。用戶可以通過瘦客戶端、PC或者類似的設備在局域網(wǎng)或者遠程訪問獲得與傳統(tǒng)終端一致的用戶體驗。

    在政府部門、軍工企業(yè)等涉密網(wǎng)絡內。信息的安全保密是至關重要的，但涉密網(wǎng)絡內眾多的安全產(chǎn)品和軟件，加大了涉密信息系統(tǒng)的復雜性，制約了信息化應用水平。在虛擬化技術，尤其是桌面虛擬化技術的快速發(fā)展的形勢下。能否在涉密網(wǎng)絡內采用桌面虛擬化技術取代原有的終端桌面環(huán)境，提升信息化管理和維護水平，并保證信息的安全保密是很大的挑戰(zhàn)。

2 桌面虛擬化的優(yōu)勢

    2．1降低成本

    降低成本是很多人對桌面虛擬化所帶來好處的第一反應，不過這個成本需要具體的分析。如果片面地認為桌面虛擬化就是降低成本。則有可能產(chǎn)生一種誤解。不可否認桌面虛擬化有降低成本的功效，但是具體情況要具體分析，尤其是初始成本方面，虛擬軟件、服務器、存儲設備以及網(wǎng)絡改造等一次性投入價格不菲，但如果把眼光放長遠看，采用瘦客戶機或高性能PC配合無盤數(shù)據(jù)流模式進行VDI(虛擬桌面架構)，就能體會出虛擬桌面在管理成本上的巨大優(yōu)勢。但這是一個“長線投資”，非�？简炛鞴苋藛T在TCO(總體擁有成本)方面的關注能力。所以，在初期桌面虛擬化并不等于降低成本，它的成本優(yōu)勢需要逐步顯現(xiàn)。

    2．2便于企業(yè)IT對終端桌面的集中控管

    借助于虛擬桌面，IT部門將所有的桌面管理收到了后端 的數(shù)據(jù)中心。足不出戶即可對桌面鏡像和相關的應用進行管理和維護，而這種管理與維護對于前端用戶來講是透明的。比如上萬個員工都是用同一個桌面鏡像，管理人員只需為這個 桌面鏡像打一次補丁，那么上萬個終端的桌面系統(tǒng)也就全部更新了。因此，虛擬桌面為企業(yè)IT管理提供了一個極好的管 理手段，而這種集中管理的快捷性，是傳統(tǒng)的物理桌面所不能 性。桌面虛擬化在涉密網(wǎng)內的應用數(shù)量并不是很常見，處于叫比擬 。

    其實并不是桌面虛擬化之后就沒有個人桌面了，可以在本地桌面上再接收一個虛擬桌面或應用，或者使用性能強勁的系統(tǒng)網(wǎng)絡引導進入一個系統(tǒng)，或者通過硬盤引導進入另一個系統(tǒng)等多種方式獲得個人獨有的桌面，來實現(xiàn)虛擬桌面與 本地個人桌面的并存。

    2．3讓企業(yè)的數(shù)據(jù)與IT系統(tǒng)更為安全

    桌面虛擬化少不了應用虛擬化，而應用的執(zhí)行是在后臺的數(shù)據(jù)中心里，那么應用所產(chǎn)生的數(shù)據(jù)也就存儲在數(shù)據(jù)中心，而不是在用戶終端的存儲設備上，所以即使終端受損或是丟失，企業(yè)的應用數(shù)據(jù)也不會遺失，并且使原來分散在個人客戶機硬盤內的數(shù)據(jù)集中到數(shù)據(jù)中心的磁盤陣列上，得到了更高級別的性能和保護且便于集中備份管理，這也極大地提高了企業(yè)敏感數(shù)據(jù)的安全性。此外，即使你丟了電腦，也可以迅速的用另一臺電腦繼續(xù)辦公，因為數(shù)據(jù)都在后臺，并且由于桌面虛擬機在數(shù)據(jù)一側，可以享受到數(shù)據(jù)中心的災備支持，做到“永不停機”，從而也就更好地保證了業(yè)務的連續(xù)性。

    另一方面，由于企業(yè)IT管理員可以在后臺對桌面和應用進行集中的維護，在木馬、病毒的防護上肯定要比傳統(tǒng)分散的物理桌面要強得多，而傳統(tǒng)的物理桌面由于會接入內部網(wǎng)絡，所以一個終端出問題，就可能殃及整個IT系統(tǒng)。對此，桌面虛擬化顯然有良好的免疫能力，即便鏡像文件受到感染，影響的也是虛擬機，可以更快地清除和恢復。

    2.4提高商業(yè)合作效率與生產(chǎn)力

    對于企業(yè)協(xié)同，比如企業(yè)的一些外包服務、協(xié)同的資料處理、臨時的多公司人員集中辦公等，由于每個公司的IT架構與系統(tǒng)并不見得相同，所以也就為這種協(xié)同辦公帶來了諸多困難。而通過桌面虛擬化，企業(yè)可以為這些業(yè)務生成相應的虛擬計算機，部署相應的桌面和應用，而數(shù)據(jù)可以透明地向后臺集中，待協(xié)作結束后，只需關閉相應的虛擬機就可以了，無需為其再單獨購買IT終端，這也就意味著提高了企業(yè)的生產(chǎn)力。

    另一個提高生產(chǎn)力的要素在于，桌面虛擬化的平臺無關性，即人為屬性和物理屬性。人為屬性是指，你用的可以不是你自己的電腦.只需上網(wǎng)登錄你的賬號就可以訪問你的桌面和應用，從而實現(xiàn)“讓應用如影隨行”。而物理屬性上，整個網(wǎng)絡系統(tǒng)、應用系統(tǒng)是一個完整的整體，只要介入網(wǎng)絡就能訪問相應的數(shù)據(jù)，保證了接入設備的無關性。

3 涉密網(wǎng)內桌面虛擬化的部署難點

    雖然桌面虛擬化有如此之多的優(yōu)點但由于涉密網(wǎng)的特殊性，桌面虛擬化在涉密網(wǎng)內的應用數(shù)量并不是很常見，處于叫好不叫座的尷尬局面，而涉密企業(yè)的信息安全是其中的重中之重�，F(xiàn)有涉密網(wǎng)都是嚴格按照“等級保護和分級保護”等相關國家有關規(guī)定建立起來的。其中軟硬件方面主要為以下幾部分:

    (1)身份認證(主要為數(shù)字證書認證key，也有如指紋識別等其它認證方式)。

    (2)審計軟件(包括應用審計，端口審計等諸多功能)。

    (3)防火墻(構建服務器DMZ區(qū))。

    (4)入侵檢測系統(tǒng)(保護網(wǎng)絡資源的機密性、完整性、可用性)。

    (5)關鍵業(yè)務使用盤陣，并定期備份。

    以上幾個方面雖然可以實現(xiàn)一個相對安全的企業(yè)環(huán)境，但是卻無法規(guī)避對于用戶終端系統(tǒng)、軟件、數(shù)據(jù)的維護和配置問題。對于企業(yè)信息中心來說最重要的難題是，如何既能保證滿足現(xiàn)階段的數(shù)據(jù)安全保護要求，又能減少對終端用戶的維護量和工作量，并能提高終端數(shù)據(jù)安全性，使終端用戶也能擁有與數(shù)據(jù)中心服務器相同的安全等級。

    正是因為以上問題的普遍存在才出現(xiàn)了對桌面虛擬化產(chǎn)品的強烈需求，但由于涉密網(wǎng)內環(huán)境的特殊性，很多情況下商用網(wǎng)內的一些虛擬化桌面實施辦法又無法滿足涉密網(wǎng)內的嚴格要求。比如涉密網(wǎng)內的身份認證等必備軟件，由于部署時間較早，軟件在研發(fā)過程中沒有考慮到虛擬化桌面的發(fā)展需要，且部分軟件公司為了保持自己軟件在用戶系統(tǒng)內的主導地位，封閉了一些非通用的技術綁定關鍵應用。這些都導致了桌面虛擬化應用產(chǎn)品無法與其它軟件的兼容。正是由于以上原因的存在才導致了桌面虛擬化在涉密網(wǎng)內推廣的舉步維艱。網(wǎng)

    另外同一公司內不同部門所處的職能不同，如果一味地選擇廠家推薦的部署方案:“統(tǒng)一將原有PC更換為瘦客戶機”，第一無法滿足研發(fā)人員對使用環(huán)境的要求，第二無法滿足研發(fā)人員對桌面環(huán)境性能的要求(VDI環(huán)境下圖形的處理性能低下，如3D設計等)。

    所以說如果想使涉密網(wǎng)在滿足數(shù)據(jù)安全要求的前提下，想做一些改變，部署桌面虛擬化并能受益于其所帶來的好處，那么就不能局限于已有的商業(yè)案例或廠家推廣的那些來照搬到涉密網(wǎng)內，而必須結合涉密網(wǎng)內自身應用情況，在信息系統(tǒng)中因地制宜地進行桌面虛擬化的選擇和建設。

4 涉密網(wǎng)內桌面虛擬化部署方法

    找到一種最適合于企業(yè)本身業(yè)務模式的桌面虛擬化產(chǎn)品，不要只局限于品牌知名度和市場占有率，要從整體的投資和能力以及自身業(yè)務特點考慮。

    (1)對現(xiàn)有身份認證或審計軟件進行二次開發(fā)或升級。有的軟件已經(jīng)同我們企業(yè)的核心應用綁定，在選定產(chǎn)品之后遇到兼容性問題的時候，二次開發(fā)和軟件升級是最好的選擇。

    (2)模擬生產(chǎn)環(huán)境業(yè)務模式和需求對桌面虛擬化產(chǎn)品進行全面測試，找到適合企業(yè)自身的部署方式。因為商業(yè)企業(yè)在安全性方面要求不高且使用的軟件比較開放，而且也無需用一種產(chǎn)品一種模式貫穿全局，完全可以根據(jù)不同的用戶需求使用不同的部署模式。

    (3)當初步測試完成后，可以進一步在生產(chǎn)環(huán)境下進行完全測試。由于不同方案對于防火墻、入侵檢測等安全產(chǎn)品的配置要求有所不同。如VDI模式和無盤數(shù)據(jù)流模式對防火墻和入侵檢測的配置以及帶寬要求是完全不同的，根據(jù)不同的部署方式，防火墻和入侵檢測也可能需要升級。

    (4)桌面虛擬化對網(wǎng)絡依賴性更強，所以需要更大的帶寬來承載虛擬化傳輸?shù)臄?shù)據(jù)量，尤其是企業(yè)存在CAD等大數(shù)據(jù)量應用情況下，才能夠保證穩(wěn)定的數(shù)據(jù)傳輸。

    (S)桌面虛擬化對數(shù)據(jù)中心存儲設備的IOps要求比較高，需要配備性能更強的磁盤陣列存儲設備，來保護終端用戶系統(tǒng)和數(shù)據(jù)的高可靠性及安全性。

    (6)由于桌面虛擬化后所有數(shù)據(jù)都在文件服務器進行存儲，這樣對服務器及存儲的安全性要求就非常的高，文件服務器使用故障轉移群集技術，保證當一臺服務器發(fā)生故障時，另一合服務器自動接管所有功能，繼續(xù)實施對外提供服務，不影響終端任何使用。

    (7)桌面虛擬化模式必須在域環(huán)境下工作，通過在網(wǎng)絡內配置DNS服務器、域控制器、DHCP服務器等網(wǎng)絡服務，滿足桌面虛擬化的應用需求。因為域網(wǎng)絡的全局用戶賬戶和安全策略都是集中在一臺或者少數(shù)幾臺DC上進行配置與管理的，所以相對工作組網(wǎng)絡來說，這些配置的安全性就更高，更不容易被人攻擊和破解。

    (8)桌面虛擬化模式下，所有的終端主機系統(tǒng)均模版化管理，包括主機的操作系統(tǒng)，驅動程序以及一些常用軟件等。只需要制作一個模版后，所有相同型號主機都可以通過此模版創(chuàng)建其他主機的系統(tǒng)文件，方便快捷地完成多臺終端主機系統(tǒng)的部署。

    (9)桌面虛擬化可以按照終端機器的不同品牌型號制作不同的模版，每個型號只需要制作一個模版即可，然后復制多份，給其他主機來使用，無需給每一臺終端手動安裝，大大減少了管理員的工作量及錯誤出現(xiàn)的機率。

    (10)虛擬化技術實施系統(tǒng)桌面重定向，將所有終端用戶的桌面文件都重新指向在另外一個安全的文件夾中，即使系統(tǒng)發(fā)生故障，必須重新安裝操作系統(tǒng)才可以解決，也不怕數(shù)據(jù)丟失了，因為所有的桌面文件已經(jīng)不存在系統(tǒng)盤符中，這樣用戶的桌面文件仍然存在安全的地方。

5 案例分析

    以國內某研究所部署桌面虛擬化為例，由于該研究所為涉密單位，所以所內辦公網(wǎng)絡建設是完全按照保密規(guī)定建立的，與互聯(lián)網(wǎng)物理隔離。

    用戶登陸計算機終端需要經(jīng)過身份認證Key認證，對應用的訪問需要經(jīng)過審計軟件的監(jiān)控和審計，對于前端計算機端口和應用，需經(jīng)過專門的審計軟件進行監(jiān)控。由于該所是一個設計單位，大量的研發(fā)人員對桌面終端的處理能力有很高的要求:各個部門工作方向不同對終端的使用方式也有不同。有的部門需要并口或串口調試設備，有的部門需要高性能顯卡進行設計等等;并且軟件和硬件丟失數(shù)據(jù)時有發(fā)生，嚴重干擾了研究所內的辦公環(huán)境，有時還會因為數(shù)據(jù)丟失等問題造成項目推遲等狀況。但是上千臺終端的維護重任都壓在了幾個IT維護人員頭上。通過多方調研了解，研究所希望能通過部署虛擬化桌面，提高桌面的維護效率和終端數(shù)據(jù)的安全性，但前提是不能更改和替換現(xiàn)有的軟件和拓撲架構，并要符合涉密網(wǎng)的相關規(guī)定。通過綜合考慮，決定選用無盤數(shù)據(jù)流模式，構建虛擬桌面系統(tǒng)。

    具體說來就是前端的終端設備還是使用原有PC機，只需要將硬盤去掉，系統(tǒng)盤是儲存在數(shù)據(jù)中心的磁盤陣列上，開機后通過網(wǎng)絡引導直接加載磁盤陣列上的系統(tǒng)盤到內存。整個過程對于用戶來說與使用原有PC機完全相同，軟硬件兼容性也完全相同，所以順利通過了初步測試。但由于此種方式比傳統(tǒng)VDI方式有更高的帶寬需求，所以所內將原有百兆網(wǎng)改為千兆網(wǎng)絡，改進防火墻和入侵檢測系統(tǒng)的數(shù)據(jù)訪問策略，增加了吞吐量，在入侵檢測上對此應用產(chǎn)生的超大包進行了識別，增加了數(shù)據(jù)包檢測速度。

    實施完成后用戶本地無磁盤，在數(shù)據(jù)中心搭建文件服務器，并搭建域控制器制定相關用戶策略。當用戶登錄系統(tǒng)后將數(shù)據(jù)中心的網(wǎng)絡空間直接掛載到本地，由于此存儲空間動態(tài)增長，可以靈活設定最大值。通過設置桌面重定向也規(guī)避了部分用戶因系統(tǒng)崩潰而導致系統(tǒng)桌面放置數(shù)據(jù)丟失的問題。

    這樣的實施方法實現(xiàn)了用戶系統(tǒng)和用戶數(shù)據(jù)的大集中。

    為了保證系統(tǒng)和數(shù)據(jù)的安全性，通過部署持續(xù)數(shù)據(jù)保護系統(tǒng)，利用快照保護虛擬桌面系統(tǒng)和數(shù)據(jù)，支持系統(tǒng)或數(shù)據(jù)快速回復到指定備份時間點。

6 總結

    顯然，桌面虛擬化有效地降低了涉密企業(yè)的桌面管理成本，提升了數(shù)據(jù)安全和業(yè)務持續(xù)性。但由于涉密網(wǎng)的特殊性。在現(xiàn)階段部署桌面虛擬化免不了會有這樣那樣的一些問題。但如果根據(jù)企業(yè)自身的業(yè)務特點進行全面考量，以我為主，合理選擇，完全可以找到并應用一個合適的解決方案。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：桌面虛擬化在涉密網(wǎng)內的應用研究

本文網(wǎng)址：http://www.oesoe.com/html/support/1112188327.html