刘朋熙++杜炳++汪慧
摘 要 基于云桌面的智能多媒体教室采用最新的云技术,将运行在PC上的桌面、应用和数据统一迁移到数据中心的服务器,这样不仅可以有效解决桌面部署和管理的难题,而且还可为用户提供工作所需的桌面灵活性和可访问性,实现随时随地的访问。
【关键词】云桌面 安全性 多媒体教室
1 引言
随着个性化学习、教育教学改革等新教学需求的提出,教育信息化面临着新一轮的挑战,与此同时信息技术的飞速发展也为教育信息化提供了新的建设机遇。教学中计算机教室、多媒体电教室的应用是信息化教育的主场景,计算机桌面管理和IT环境的运维安全性,对企业至关重要。
2 基于云桌面的多媒体教室安全性
基于云桌面的多媒体教室部署运维效率高,可大幅减少桌面运维工作量,降低整体投资并保障桌面数据的安全性。
2.1 部署架构
基于云桌面的多媒体教室建设方案主要包括三个重要部分:服务器端、网络交换和瘦终端。
服务器端内部集成有虚拟化软件,提供存储虚拟化、服务器虚拟化和桌面虚拟化。瘦终端,提供给操作者可实际操作的硬件,集成有普通PC常用接口如USB、串口和音频等。
整个系统部署架构如图1。
2.2 安全性设计
虚拟桌面从防范非法用户和恶意系统管理员的角度进行全方位的安全防范,保证接入虚拟桌面的用户和数据高度安全性,针对各分层采用安全措施具体如下:
2.2.1 终端安全
采用精简加固基于Android OS,瘦客户机无本地存储,数据总是存放在最安全的地方。用户接入虚拟桌面资源时通过合法性认证、USB灵活可控策略、应用策略化控制、还原模式等方式保证终端安全。
(1)集成本地认证、短信认证、动态令牌、数字证书、第三方认证等身份认证机制,而且多种身份认证方式可以自由组合,以确保接入用户的身份唯一性;
(2)基于灵活策略设置USB端口使用权限,比如是否允许使用USB设备(包括打印机、扫描仪等);
(3)基于策略的访问控制:可以根据用户、网络、服务、设备、系统等,通过关联的策略为他们分配合适的访问权限;
(4)桌面注销时还原至原始状态,该模式下,除了指定的一些目录外,用户所做的操作都会在重启后被还原。
2.2.2 传输安全
通过VLAN隔离,并内置企业级防火墙模块进行状态化ACL访问控制,管理员登录时采用HTTPS加密传输、用户访问虚拟桌面采用传输加密等手段,保证业务运行和维护安全。
(1)终端到虚拟桌面之间仅传输图像变化和指令信息,不直接传输实际数据,也即是说,“瘦终端+云桌面”让数据不落地,保障传输安全性;
(2)可对传输加密通道进行基于IP、服务的访问控制策略,减少异常流量的传输,且支持同一传输通道不同会话的隔离控制,包括存储会话、虚拟打印会话、总线映射会话等等,从而提升传输通道的灵活度;
(3)通过对终端到虚拟桌面进行全程流量加密,杜绝中间人攻击行为,目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法,并且支持扩展国密办SCB2(SM1)等其他加密算法,确保通信的安全性;
(4)在桌面云接入平台上内置了企业级防火墙模块,通过灵活的ACL访问控制策略和DDoS设置,为整个平台提供状态包过滤和基本安全保护。
2.2.3 平台安全
虚拟化基础架构(VMS)的安全性关系到整个虚拟桌面访问的稳定性和数据安全性,本方案首先通过高可用性设计满足业务稳定性需求,然后再通过虚拟机隔离、数据盘加密控制、管理员权限细化等安全机制保证用户数据的安全。
(1)在独享桌面的情况下,每用户独占一个虚拟机,通过VMS底层机制实现CPU调度、内存、网络访问、磁盘IO、存储空间的隔离,用户虚拟机的故障和安全问题不会影响到其他用户,保证虚拟机之间的隔离安全;
(2)每用户都会分配个人数据盘来存放文档,当用户迁移至虚拟桌面的使用模式后,所有数据都集中存储于数据中心。因此,通过为个人数据盘进行加密存储,让其他用户包括管理员都无法访问,可以保证用户个人稳私安全;
(3)不同管理员角色,授予合适的管辖权限范围,并保存操作日志。支持分级管理权限,包括上级管理员有权操作下级管理员的配置行为,相反则无权;支持上级管理员将虚拟桌面资源授权给下级管理员。
3 总结与展望
针对一些数据安全性要求较高的企业多媒体教室,本文给出了基于云桌面的安全性解决方案,通过终端安全、传输安全、平台安全三大层次的端到端、多方位安全机制,可以完善保障用户接入安全、数据安全、管理安全、虚拟化安全、基础设施安全等多个建设环节,轻松应对虚拟桌面在建设过程中所面临的安全威胁及挑战。
在提高系统安全性的前提下,后期应继续考虑融入高清视频处理和本地解码技术,保障客户最佳的视频观看体验。
参考文献
[1]樊昌秀.多媒体教室的桌面虚拟化探索[J].长沙大学学报,2012(05).
[2]林飞跃,林先津.云桌面在教学管理中的应用[J].实验室研究与探索,2013(10).
[3]林先津.桌面虚拟化技术在分布式设备管理中的研究与应用[J].试验技术与管理,2013(04).
[4]叶新东.未来课堂软件环境的设计与实现[J].现代教育技术,2013(10).
作者单位
1.国网安徽省电力公司 安徽省合肥市 230061
2.国网芜湖供电公司 安徽省芜湖市 241000