關(guān)于桌面云在云南工商學(xué)院實(shí)訓機房的安全設計論文

　　引 言

　　桌面云把個(gè)人電腦的桌面環(huán)境通過(guò)云計算模式從物理機器上剝離出來(lái)，使其成為一種可以對外提供桌面服務(wù)的應用，同時(shí)個(gè)人電腦的桌面環(huán)境所需的計算、存儲等資源集中在后臺服務(wù)器上，這樣就可取代客戶(hù)端的本地計算以及存儲資源，且后臺服務(wù)器的計算、資源存儲也是共享、靈活的，可以讓不同個(gè)人電腦的桌面環(huán)境資源實(shí)現按需分配，從而達到提升計算機資源利用率，降低學(xué)校整體實(shí)訓機房擁有成本的目的。

　　桌面云最核心的技術(shù)是桌面虛擬化(Virtual DesktopInfrastructure，VDI)，即虛擬桌面基礎架構。它不僅僅是給學(xué)校每個(gè)客戶(hù)端都配置一臺運行擁有Windows 或Linux 操作系統的傳統PC，而是在學(xué)校的數據中心部署桌面虛擬化服務(wù)器來(lái)運行個(gè)人操作系統，無(wú)論是基于Linux 還是Windows 平臺，通過(guò)指定的傳輸協(xié)議把學(xué)生在終端輸入設備上(例如鍵盤(pán)、鼠標等)的操作傳輸給服務(wù)器，并且在服務(wù)器端接收指令后將運行結果回傳給瘦終端設備。

　　1 云南工商學(xué)院實(shí)訓機房面臨的安全問(wèn)題云南工商學(xué)院實(shí)訓機房一直使用功能相對全面的傳統PC。而且在大多數情況下，傳統PC 的性?xún)r(jià)比很高。但與此同時(shí)，在實(shí)際應用維護過(guò)程中，傳統PC 也暴露出其安全方面存在的諸多弊端。

　　1.1 難以防止設備的非法接入

　　實(shí)訓機房傳統PC上的 USB 口、串口、并口如果沒(méi)有做特殊設置，都可以外接設備，使用傳統的方法很難禁止非法設備的接入，使得病毒或木馬趁機入侵實(shí)訓機房的傳統PC，并迅速在校園網(wǎng)內部擴散，甚至導致校園網(wǎng)癱瘓。

　　1.2 學(xué)生數據安全難以保證

　　云南工商學(xué)院實(shí)訓機房的傳統PC 平時(shí)除了供學(xué)生上機實(shí)訓練習外，期末還可以提供在線(xiàn)考試功能，但若出現死機或硬件故障時(shí)將導致學(xué)生無(wú)法正�？荚�。這些考試數據如何能在傳統PC 出現故障時(shí)恢復數據是亟待解決的一個(gè)重要問(wèn)題。

　　1.3 學(xué)生上網(wǎng)的會(huì )話(huà)與流量難以控制

　　實(shí)訓機房在非正常上課時(shí)段還為學(xué)生提供自主上網(wǎng)、查詢(xún)資料等服務(wù)。但有的學(xué)生常常利用BT、迅雷等P2P 軟件下載電影而非學(xué)習資源，這些軟件在下載任務(wù)的同時(shí)也在上傳數據，而且是多任務(wù)、多線(xiàn)程，會(huì )對學(xué)校的網(wǎng)絡(luò )資源造成極大的浪費。此外，被木馬或病毒感染的計算機會(huì )和外網(wǎng)產(chǎn)生大量的連接會(huì )話(huà)，消耗校園網(wǎng)出口帶寬和并發(fā)連接會(huì )話(huà)資源，造成校園網(wǎng)絡(luò )出口擁堵。

　　1.4 學(xué)生的上網(wǎng)行為無(wú)法追蹤

　　由于實(shí)訓機房學(xué)生的流動(dòng)性，使用機房時(shí)很難進(jìn)行身份驗證，難以實(shí)現基于云桌面的計算基礎架構，而且如果學(xué)生使用實(shí)訓機房的計算機在網(wǎng)上發(fā)表違法言論也很難進(jìn)行跟蹤和定位。

　　針對上述問(wèn)題，云南工商學(xué)院將使用桌面云技術(shù)取代傳統PC 機房。將采用在服務(wù)器系統上安裝桌面映像或瘦客戶(hù)端運行服務(wù)器上的桌面映像，實(shí)現基于云桌面計算基礎架構的高校實(shí)訓機房，全面提升系統安全性。

　　2 基于桌面云的安全設計

　　為保障教師教學(xué)課件及學(xué)生考試數據中心的數據安全，云桌面采用了一套完整的安全架構，自下而上避免出現安全真空，并強化了虛擬化隔離技術(shù)和網(wǎng)絡(luò )隔離技術(shù)。主要采用了分層和縱深防御的.方法。分層防御(Layered Defense)指采用多種方法，在網(wǎng)絡(luò )中的多個(gè)不同區域執行不同的安全性策略，以避免發(fā)生網(wǎng)絡(luò )中的單點(diǎn)安全故障;縱深防御(Defensein Depth)指使用多重防御策略，降低管理風(fēng)險，其優(yōu)勢在于，當一層防御被攻破時(shí)，另一層防御將會(huì )自動(dòng)生效，以防止進(jìn)一步的破壞。

　　根據縱深防御和分層的思想，桌面云數據中心安全框架的網(wǎng)絡(luò )層次自下而上可分為物理、主機/ 虛擬化、網(wǎng)絡(luò )、業(yè)務(wù)和數據、管理維護等幾個(gè)層面。

　　2.1 桌面云終端安全設計

　　使用桌面云的瘦終端取代傳統PC，瘦終端系統采用固化的Linux 嵌入OS，且無(wú)本地存儲。在接入桌面云時(shí)中心服務(wù)器對瘦終端進(jìn)行合法性身份認證，把瘦終端/ 瘦終端組綁定到用戶(hù)/ 用戶(hù)組，開(kāi)啟USB 讀寫(xiě)禁用，也可以采用802.1X 認證防止非法終端接入等方式保證終端安全。

　　2.2 桌面云接入與認證管理安全設計

　　采用安全用戶(hù)身份認證可以使用的技術(shù)包括用戶(hù)名/ 密碼認證、USB KEY認證、動(dòng)態(tài)口令認證、動(dòng)態(tài)短信認證、指紋認證、指紋+ 密碼認證，這些技術(shù)可以確保接入用戶(hù)的合法性。

　　2.3 桌面云協(xié)議安全設計

　　安全協(xié)議采用華為自主研發(fā)的HDP 桌面協(xié)議，可用于多通道，且兼容性好。瘦終端的USB 存儲可控制禁用、只讀、讀寫(xiě)功能�？蛻�(hù)端和服務(wù)端進(jìn)行通訊時(shí)，數據認證采用Https加密傳輸;學(xué)生瘦終端通過(guò)HDP 協(xié)議連接虛擬桌面時(shí)，桌面訪(fǎng)問(wèn)采用傳輸加密(HDPover SSL)技術(shù)，保證了數據的安全;教師使用Web 管理系統時(shí)，均通過(guò)Https 方式實(shí)現，傳送通道統一采用SSL 技術(shù)實(shí)現加密。

　　2.4 桌面云系統安全設計

　　使用虛擬化平臺從數據完整性驗證、身份認證、數據訪(fǎng)問(wèn)控制隔離、數據加密多個(gè)方面保證學(xué)生數據的安全。系統資源釋放回收時(shí)，所有剩余數據將被清零。

　　Web 服務(wù)的安全保障加固包括系統自動(dòng)將客戶(hù)請求轉換成Https，以防止跨站點(diǎn)腳本攻擊，阻止SQL 注入式攻擊及跨站請求偽造，同時(shí)隱藏敏感信息、上傳和下載文件也受到限制，且登錄頁(yè)面圖片驗證碼的支持、帳號密碼設置至少八位，其中包括大小寫(xiě)和特殊字符。

　　操作系統加固也必不可少，首先關(guān)閉不必要的服務(wù)，其次控制文件和目錄的訪(fǎng)問(wèn)權限，采用數據庫加固、安裝安全補丁、防病毒等手段保障管理組件虛擬機的系統安全。具體的加固措施為關(guān)閉不必要的通信端口、關(guān)閉不需開(kāi)啟的服務(wù)進(jìn)程，且用戶(hù)對系統的訪(fǎng)問(wèn)權限、不同的賬號訪(fǎng)問(wèn)權限也必須有所限制，開(kāi)啟服務(wù)器的安全日志審計功能，以避免通過(guò)漏洞攻擊系統。

　　2.5 桌面云管理安全設計

　　學(xué)生一旦接入桌面云，在桌面云的接入網(wǎng)關(guān)、認證系統和虛擬機上都有詳細的日志記錄，便于追查責任事故。從帳號、密碼、管理員和用戶(hù)權限、日志等日常管理方面加強安全措施。教師采用Https 加密保證管理訪(fǎng)問(wèn)安全，通過(guò)分權分域管理方法，對不同教師的權限進(jìn)行制約，且所有教師的操作都有日志記錄，供事后審計。

　　2.6 桌面云用戶(hù)虛擬機安全設計

　　在學(xué)生虛擬機上部署安裝防病毒軟件，防止學(xué)生的虛擬桌面遭受病毒或木馬攻擊。虛擬機要求配置固定IP，便于審計。當虛擬機運行時(shí)，可采用TSM 安全系統提供網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、USB 讀寫(xiě)加密與管控、學(xué)生行為監控、補丁管理、軟件分發(fā)等功能，確保學(xué)生虛擬機的運行安全。

　　3 結 語(yǔ)

　　伴隨云計算的發(fā)展，桌面云也進(jìn)入了全國各大高校的實(shí)訓機房，與傳統PC 機房相比，其優(yōu)勢明顯，特別在安全方面有著(zhù)實(shí)現簡(jiǎn)單，使用靈活，維護方便的特點(diǎn)，但桌面云也不能取代所有實(shí)訓機房，例如網(wǎng)絡(luò )實(shí)訓機房需要運行模擬器及虛擬機等教學(xué)軟件，虛擬化服務(wù)器在這方面的硬件性能不夠強大，無(wú)法正常運行以上教學(xué)軟件，不能滿(mǎn)足常規教學(xué)需求，所以云南工商學(xué)院的實(shí)訓機房采用傳統PC 機實(shí)訓機房與桌面云實(shí)訓機房相結合的方式，以滿(mǎn)足學(xué)生的各類(lèi)需求。

【桌面云在云南工商學(xué)院實(shí)訓機房的安全設計論文】相關(guān)文章：

信息安全技術(shù)實(shí)訓論文04-26

實(shí)訓教學(xué)景觀(guān)設計論文07-27

設計實(shí)訓總結07-13

實(shí)訓實(shí)習教學(xué)論文05-09

鉗工實(shí)訓課的論文01-12

實(shí)訓在文字設計中的實(shí)用性論文04-19

項目導向實(shí)訓課程設計研究論文04-16

沖壓模具設計與制造實(shí)訓教學(xué)論文01-10

關(guān)于實(shí)訓教學(xué)廣告設計探析論文01-11