關於桌面雲在雲南工商學院實訓機房的安全設計論文

引 言

桌面雲把個人電腦的桌面環境通過雲計算模式從物理機器上剝離出來，使其成為一種可以對外提供桌面服務的應用，同時個人電腦的桌面環境所需的計算、存儲等資源集中在後台服務器上，這樣就可取代客户端的本地計算以及存儲資源，且後台服務器的計算、資源存儲也是共享、靈活的，可以讓不同個人電腦的桌面環境資源實現按需分配，從而達到提升計算機資源利用率，降低學校整體實訓機房擁有成本的目的。

桌面雲最核心的技術是桌面虛擬化(Virtual DesktopInfrastructure，VDI)，即虛擬桌面基礎架構。它不僅僅是給學校每個客户端都配置一台運行擁有Windows 或Linux 操作系統的傳統PC，而是在學校的數據中心部署桌面虛擬化服務器來運行個人操作系統，無論是基於Linux 還是Windows 平台，通過指定的傳輸協議把學生在終端輸入設備上(例如鍵盤、鼠標等)的操作傳輸給服務器，並且在服務器端接收指令後將運行結果回傳給瘦終端設備。

1 雲南工商學院實訓機房面臨的安全問題雲南工商學院實訓機房一直使用功能相對全面的傳統PC。而且在大多數情況下，傳統PC 的性價比很高。但與此同時，在實際應用維護過程中，傳統PC 也暴露出其安全方面存在的諸多弊端。

1.1 難以防止設備的非法接入

實訓機房傳統PC上的 USB 口、串口、並口如果沒有做特殊設置，都可以外接設備，使用傳統的方法很難禁止非法設備的接入，使得病毒或木馬趁機入侵實訓機房的傳統PC，並迅速在校園網內部擴散，甚至導致校園網癱瘓。

1.2 學生數據安全難以保證

雲南工商學院實訓機房的傳統PC 平時除了供學生上機實訓練習外，期末還可以提供在線考試功能，但若出現死機或硬件故障時將導致學生無法正常考試。這些考試數據如何能在傳統PC 出現故障時恢復數據是亟待解決的一個重要問題。

1.3 學生上網的會話與流量難以控制

實訓機房在非正常上課時段還為學生提供自主上網、查詢資料等服務。但有的學生常常利用BT、迅雷等P2P 軟件下載電影而非學習資源，這些軟件在下載任務的同時也在上載數據，而且是多任務、多線程，會對學校的網絡資源造成極大的浪費。此外，被木馬或病毒感染的計算機會和外網產生大量的連接會話，消耗校園網出口帶寬和併發連接會話資源，造成校園網絡出口擁堵。

1.4 學生的上網行為無法追蹤

由於實訓機房學生的流動性，使用機房時很難進行身份驗證，難以實現基於雲桌面的計算基礎架構，而且如果學生使用實訓機房的計算機在網上發表違法言論也很難進行跟蹤和定位。

針對上述問題，雲南工商學院將使用桌面雲技術取代傳統PC 機房。將採用在服務器系統上安裝桌面映像或瘦客户端運行服務器上的桌面映像，實現基於雲桌面計算基礎架構的高校實訓機房，全面提升系統安全性。

2 基於桌面雲的安全設計

為保障教師教學課件及學生考試數據中心的數據安全，雲桌面採用了一套完整的安全架構，自下而上避免出現安全真空，並強化了虛擬化隔離技術和網絡隔離技術。主要採用了分層和縱深防禦的.方法。分層防禦(Layered Defense)指採用多種方法，在網絡中的多個不同區域執行不同的安全性策略，以避免發生網絡中的單點安全故障;縱深防禦(Defensein Depth)指使用多重防禦策略，降低管理風險，其優勢在於，當一層防禦被攻破時，另一層防禦將會自動生效，以防止進一步的破壞。

根據縱深防禦和分層的思想，桌面雲數據中心安全框架的網絡層次自下而上可分為物理、主機/ 虛擬化、網絡、業務和數據、管理維護等幾個層面。

2.1 桌面雲終端安全設計

使用桌面雲的瘦終端取代傳統PC，瘦終端系統採用固化的Linux 嵌入OS，且無本地存儲。在接入桌面雲時中心服務器對瘦終端進行合法性身份認證，把瘦終端/ 瘦終端組綁定到用户/ 用户組，開啟USB 讀寫禁用，也可以採用802.1X 認證防止非法終端接入等方式保證終端安全。

2.2 桌面雲接入與認證管理安全設計

採用安全用户身份認證可以使用的技術包括用户名/ 密碼認證、USB KEY認證、動態口令認證、動態短信認證、指紋認證、指紋+ 密碼認證，這些技術可以確保接入用户的合法性。

2.3 桌面雲協議安全設計

安全協議採用華為自主研發的HDP 桌面協議，可用於多通道，且兼容性好。瘦終端的USB 存儲可控制禁用、只讀、讀寫功能。客户端和服務端進行通訊時，數據認證採用Https加密傳輸;學生瘦終端通過HDP 協議連接虛擬桌面時，桌面訪問採用傳輸加密(HDPover SSL)技術，保證了數據的安全;教師使用Web 管理系統時，均通過Https 方式實現，傳送通道統一採用SSL 技術實現加密。

2.4 桌面雲系統安全設計

使用虛擬化平台從數據完整性驗證、身份認證、數據訪問控制隔離、數據加密多個方面保證學生數據的安全。系統資源釋放回收時，所有剩餘數據將被清零。

Web 服務的安全保障加固包括系統自動將客户請求轉換成Https，以防止跨站點腳本攻擊，阻止SQL 注入式攻擊及跨站請求偽造，同時隱藏敏感信息、上載和下載文件也受到限制，且登錄頁面圖片驗證碼的支持、帳號密碼設置至少八位，其中包括大小寫和特殊字符。

操作系統加固也必不可少，首先關閉不必要的服務，其次控制文件和目錄的訪問權限，採用數據庫加固、安裝安全補丁、防病毒等手段保障管理組件虛擬機的系統安全。具體的加固措施為關閉不必要的通信端口、關閉不需開啟的服務進程，且用户對系統的訪問權限、不同的賬號訪問權限也必須有所限制，開啟服務器的安全日誌審計功能，以避免通過漏洞攻擊系統。

2.5 桌面雲管理安全設計

學生一旦接入桌面雲，在桌面雲的接入網關、認證系統和虛擬機上都有詳細的日誌記錄，便於追查責任事故。從帳號、密碼、管理員和用户權限、日誌等日常管理方面加強安全措施。教師採用Https 加密保證管理訪問安全，通過分權分域管理方法，對不同教師的權限進行制約，且所有教師的操作都有日誌記錄，供事後審計。

2.6 桌面雲用户虛擬機安全設計

在學生虛擬機上部署安裝防病毒軟件，防止學生的虛擬桌面遭受病毒或木馬攻擊。虛擬機要求配置固定IP，便於審計。當虛擬機運行時，可採用TSM 安全系統提供網絡訪問控制、USB 讀寫加密與管控、學生行為監控、補丁管理、軟件分發等功能，確保學生虛擬機的運行安全。

3 結 語

伴隨雲計算的發展，桌面雲也進入了全國各大高校的實訓機房，與傳統PC 機房相比，其優勢明顯，特別在安全方面有着實現簡單，使用靈活，維護方便的特點，但桌面雲也不能取代所有實訓機房，例如網絡實訓機房需要運行模擬器及虛擬機等教學軟件，虛擬化服務器在這方面的硬件性能不夠強大，無法正常運行以上教學軟件，不能滿足常規教學需求，所以雲南工商學院的實訓機房採用傳統PC 機實訓機房與桌面雲實訓機房相結合的方式，以滿足學生的各類需求。