1 引言
桌面虛擬化是指將計(jì)算機(jī)的桌面進(jìn)行虛擬化。以達(dá)到桌面使用的安全性和靈活性。用戶可以通過(guò)瘦客戶端、PC或者類似的設(shè)備在局域網(wǎng)或者遠(yuǎn)程訪問(wèn)獲得與傳統(tǒng)終端一致的用戶體驗(yàn)。
在政府部門、軍工企業(yè)等涉密網(wǎng)絡(luò)內(nèi)。信息的安全保密是至關(guān)重要的,但涉密網(wǎng)絡(luò)內(nèi)眾多的安全產(chǎn)品和軟件,加大了涉密信息系統(tǒng)的復(fù)雜性,制約了信息化應(yīng)用水平。在虛擬化技術(shù),尤其是桌面虛擬化技術(shù)的快速發(fā)展的形勢(shì)下。能否在涉密網(wǎng)絡(luò)內(nèi)采用桌面虛擬化技術(shù)取代原有的終端桌面環(huán)境,提升信息化管理和維護(hù)水平,并保證信息的安全保密是很大的挑戰(zhàn)。
2 桌面虛擬化的優(yōu)勢(shì)
2.1降低成本
降低成本是很多人對(duì)桌面虛擬化所帶來(lái)好處的第一反應(yīng),不過(guò)這個(gè)成本需要具體的分析。如果片面地認(rèn)為桌面虛擬化就是降低成本。則有可能產(chǎn)生一種誤解。不可否認(rèn)桌面虛擬化有降低成本的功效,但是具體情況要具體分析,尤其是初始成本方面,虛擬軟件、服務(wù)器、存儲(chǔ)設(shè)備以及網(wǎng)絡(luò)改造等一次性投入價(jià)格不菲,但如果把眼光放長(zhǎng)遠(yuǎn)看,采用瘦客戶機(jī)或高性能PC配合無(wú)盤數(shù)據(jù)流模式進(jìn)行VDI(虛擬桌面架構(gòu)),就能體會(huì)出虛擬桌面在管理成本上的巨大優(yōu)勢(shì)。但這是一個(gè)“長(zhǎng)線投資”,非?简(yàn)主管人員在TCO(總體擁有成本)方面的關(guān)注能力。所以,在初期桌面虛擬化并不等于降低成本,它的成本優(yōu)勢(shì)需要逐步顯現(xiàn)。
2.2便于企業(yè)IT對(duì)終端桌面的集中控管
借助于虛擬桌面,IT部門將所有的桌面管理收到了后端 的數(shù)據(jù)中心。足不出戶即可對(duì)桌面鏡像和相關(guān)的應(yīng)用進(jìn)行管理和維護(hù),而這種管理與維護(hù)對(duì)于前端用戶來(lái)講是透明的。比如上萬(wàn)個(gè)員工都是用同一個(gè)桌面鏡像,管理人員只需為這個(gè) 桌面鏡像打一次補(bǔ)丁,那么上萬(wàn)個(gè)終端的桌面系統(tǒng)也就全部更新了。因此,虛擬桌面為企業(yè)IT管理提供了一個(gè)極好的管 理手段,而這種集中管理的快捷性,是傳統(tǒng)的物理桌面所不能 性。桌面虛擬化在涉密網(wǎng)內(nèi)的應(yīng)用數(shù)量并不是很常見(jiàn),處于叫比擬 。
其實(shí)并不是桌面虛擬化之后就沒(méi)有個(gè)人桌面了,可以在本地桌面上再接收一個(gè)虛擬桌面或應(yīng)用,或者使用性能強(qiáng)勁的系統(tǒng)網(wǎng)絡(luò)引導(dǎo)進(jìn)入一個(gè)系統(tǒng),或者通過(guò)硬盤引導(dǎo)進(jìn)入另一個(gè)系統(tǒng)等多種方式獲得個(gè)人獨(dú)有的桌面,來(lái)實(shí)現(xiàn)虛擬桌面與 本地個(gè)人桌面的并存。
2.3讓企業(yè)的數(shù)據(jù)與IT系統(tǒng)更為安全
桌面虛擬化少不了應(yīng)用虛擬化,而應(yīng)用的執(zhí)行是在后臺(tái)的數(shù)據(jù)中心里,那么應(yīng)用所產(chǎn)生的數(shù)據(jù)也就存儲(chǔ)在數(shù)據(jù)中心,而不是在用戶終端的存儲(chǔ)設(shè)備上,所以即使終端受損或是丟失,企業(yè)的應(yīng)用數(shù)據(jù)也不會(huì)遺失,并且使原來(lái)分散在個(gè)人客戶機(jī)硬盤內(nèi)的數(shù)據(jù)集中到數(shù)據(jù)中心的磁盤陣列上,得到了更高級(jí)別的性能和保護(hù)且便于集中備份管理,這也極大地提高了企業(yè)敏感數(shù)據(jù)的安全性。此外,即使你丟了電腦,也可以迅速的用另一臺(tái)電腦繼續(xù)辦公,因?yàn)閿?shù)據(jù)都在后臺(tái),并且由于桌面虛擬機(jī)在數(shù)據(jù)一側(cè),可以享受到數(shù)據(jù)中心的災(zāi)備支持,做到“永不停機(jī)”,從而也就更好地保證了業(yè)務(wù)的連續(xù)性。
另一方面,由于企業(yè)IT管理員可以在后臺(tái)對(duì)桌面和應(yīng)用進(jìn)行集中的維護(hù),在木馬、病毒的防護(hù)上肯定要比傳統(tǒng)分散的物理桌面要強(qiáng)得多,而傳統(tǒng)的物理桌面由于會(huì)接入內(nèi)部網(wǎng)絡(luò),所以一個(gè)終端出問(wèn)題,就可能殃及整個(gè)IT系統(tǒng)。對(duì)此,桌面虛擬化顯然有良好的免疫能力,即便鏡像文件受到感染,影響的也是虛擬機(jī),可以更快地清除和恢復(fù)。
2.4提高商業(yè)合作效率與生產(chǎn)力
對(duì)于企業(yè)協(xié)同,比如企業(yè)的一些外包服務(wù)、協(xié)同的資料處理、臨時(shí)的多公司人員集中辦公等,由于每個(gè)公司的IT架構(gòu)與系統(tǒng)并不見(jiàn)得相同,所以也就為這種協(xié)同辦公帶來(lái)了諸多困難。而通過(guò)桌面虛擬化,企業(yè)可以為這些業(yè)務(wù)生成相應(yīng)的虛擬計(jì)算機(jī),部署相應(yīng)的桌面和應(yīng)用,而數(shù)據(jù)可以透明地向后臺(tái)集中,待協(xié)作結(jié)束后,只需關(guān)閉相應(yīng)的虛擬機(jī)就可以了,無(wú)需為其再單獨(dú)購(gòu)買IT終端,這也就意味著提高了企業(yè)的生產(chǎn)力。
另一個(gè)提高生產(chǎn)力的要素在于,桌面虛擬化的平臺(tái)無(wú)關(guān)性,即人為屬性和物理屬性。人為屬性是指,你用的可以不是你自己的電腦.只需上網(wǎng)登錄你的賬號(hào)就可以訪問(wèn)你的桌面和應(yīng)用,從而實(shí)現(xiàn)“讓?xiě)?yīng)用如影隨行”。而物理屬性上,整個(gè)網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)是一個(gè)完整的整體,只要介入網(wǎng)絡(luò)就能訪問(wèn)相應(yīng)的數(shù)據(jù),保證了接入設(shè)備的無(wú)關(guān)性。
3 涉密網(wǎng)內(nèi)桌面虛擬化的部署難點(diǎn)
雖然桌面虛擬化有如此之多的優(yōu)點(diǎn)但由于涉密網(wǎng)的特殊性,桌面虛擬化在涉密網(wǎng)內(nèi)的應(yīng)用數(shù)量并不是很常見(jiàn),處于叫好不叫座的尷尬局面,而涉密企業(yè)的信息安全是其中的重中之重,F(xiàn)有涉密網(wǎng)都是嚴(yán)格按照“等級(jí)保護(hù)和分級(jí)保護(hù)”等相關(guān)國(guó)家有關(guān)規(guī)定建立起來(lái)的。其中軟硬件方面主要為以下幾部分:
(1)身份認(rèn)證(主要為數(shù)字證書(shū)認(rèn)證key,也有如指紋識(shí)別等其它認(rèn)證方式)。
(2)審計(jì)軟件(包括應(yīng)用審計(jì),端口審計(jì)等諸多功能)。
(3)防火墻(構(gòu)建服務(wù)器DMZ區(qū))。
(4)入侵檢測(cè)系統(tǒng)(保護(hù)網(wǎng)絡(luò)資源的機(jī)密性、完整性、可用性)。
(5)關(guān)鍵業(yè)務(wù)使用盤陣,并定期備份。
以上幾個(gè)方面雖然可以實(shí)現(xiàn)一個(gè)相對(duì)安全的企業(yè)環(huán)境,但是卻無(wú)法規(guī)避對(duì)于用戶終端系統(tǒng)、軟件、數(shù)據(jù)的維護(hù)和配置問(wèn)題。對(duì)于企業(yè)信息中心來(lái)說(shuō)最重要的難題是,如何既能保證滿足現(xiàn)階段的數(shù)據(jù)安全保護(hù)要求,又能減少對(duì)終端用戶的維護(hù)量和工作量,并能提高終端數(shù)據(jù)安全性,使終端用戶也能擁有與數(shù)據(jù)中心服務(wù)器相同的安全等級(jí)。
正是因?yàn)橐陨蠁?wèn)題的普遍存在才出現(xiàn)了對(duì)桌面虛擬化產(chǎn)品的強(qiáng)烈需求,但由于涉密網(wǎng)內(nèi)環(huán)境的特殊性,很多情況下商用網(wǎng)內(nèi)的一些虛擬化桌面實(shí)施辦法又無(wú)法滿足涉密網(wǎng)內(nèi)的嚴(yán)格要求。比如涉密網(wǎng)內(nèi)的身份認(rèn)證等必備軟件,由于部署時(shí)間較早,軟件在研發(fā)過(guò)程中沒(méi)有考慮到虛擬化桌面的發(fā)展需要,且部分軟件公司為了保持自己軟件在用戶系統(tǒng)內(nèi)的主導(dǎo)地位,封閉了一些非通用的技術(shù)綁定關(guān)鍵應(yīng)用。這些都導(dǎo)致了桌面虛擬化應(yīng)用產(chǎn)品無(wú)法與其它軟件的兼容。正是由于以上原因的存在才導(dǎo)致了桌面虛擬化在涉密網(wǎng)內(nèi)推廣的舉步維艱。網(wǎng)
另外同一公司內(nèi)不同部門所處的職能不同,如果一味地選擇廠家推薦的部署方案:“統(tǒng)一將原有PC更換為瘦客戶機(jī)”,第一無(wú)法滿足研發(fā)人員對(duì)使用環(huán)境的要求,第二無(wú)法滿足研發(fā)人員對(duì)桌面環(huán)境性能的要求(VDI環(huán)境下圖形的處理性能低下,如3D設(shè)計(jì)等)。
所以說(shuō)如果想使涉密網(wǎng)在滿足數(shù)據(jù)安全要求的前提下,想做一些改變,部署桌面虛擬化并能受益于其所帶來(lái)的好處,那么就不能局限于已有的商業(yè)案例或廠家推廣的那些來(lái)照搬到涉密網(wǎng)內(nèi),而必須結(jié)合涉密網(wǎng)內(nèi)自身應(yīng)用情況,在信息系統(tǒng)中因地制宜地進(jìn)行桌面虛擬化的選擇和建設(shè)。
4 涉密網(wǎng)內(nèi)桌面虛擬化部署方法
找到一種最適合于企業(yè)本身業(yè)務(wù)模式的桌面虛擬化產(chǎn)品,不要只局限于品牌知名度和市場(chǎng)占有率,要從整體的投資和能力以及自身業(yè)務(wù)特點(diǎn)考慮。
(1)對(duì)現(xiàn)有身份認(rèn)證或?qū)徲?jì)軟件進(jìn)行二次開(kāi)發(fā)或升級(jí)。有的軟件已經(jīng)同我們企業(yè)的核心應(yīng)用綁定,在選定產(chǎn)品之后遇到兼容性問(wèn)題的時(shí)候,二次開(kāi)發(fā)和軟件升級(jí)是最好的選擇。
(2)模擬生產(chǎn)環(huán)境業(yè)務(wù)模式和需求對(duì)桌面虛擬化產(chǎn)品進(jìn)行全面測(cè)試,找到適合企業(yè)自身的部署方式。因?yàn)樯虡I(yè)企業(yè)在安全性方面要求不高且使用的軟件比較開(kāi)放,而且也無(wú)需用一種產(chǎn)品一種模式貫穿全局,完全可以根據(jù)不同的用戶需求使用不同的部署模式。
(3)當(dāng)初步測(cè)試完成后,可以進(jìn)一步在生產(chǎn)環(huán)境下進(jìn)行完全測(cè)試。由于不同方案對(duì)于防火墻、入侵檢測(cè)等安全產(chǎn)品的配置要求有所不同。如VDI模式和無(wú)盤數(shù)據(jù)流模式對(duì)防火墻和入侵檢測(cè)的配置以及帶寬要求是完全不同的,根據(jù)不同的部署方式,防火墻和入侵檢測(cè)也可能需要升級(jí)。
(4)桌面虛擬化對(duì)網(wǎng)絡(luò)依賴性更強(qiáng),所以需要更大的帶寬來(lái)承載虛擬化傳輸?shù)臄?shù)據(jù)量,尤其是企業(yè)存在CAD等大數(shù)據(jù)量應(yīng)用情況下,才能夠保證穩(wěn)定的數(shù)據(jù)傳輸。
(S)桌面虛擬化對(duì)數(shù)據(jù)中心存儲(chǔ)設(shè)備的IOps要求比較高,需要配備性能更強(qiáng)的磁盤陣列存儲(chǔ)設(shè)備,來(lái)保護(hù)終端用戶系統(tǒng)和數(shù)據(jù)的高可靠性及安全性。
(6)由于桌面虛擬化后所有數(shù)據(jù)都在文件服務(wù)器進(jìn)行存儲(chǔ),這樣對(duì)服務(wù)器及存儲(chǔ)的安全性要求就非常的高,文件服務(wù)器使用故障轉(zhuǎn)移群集技術(shù),保證當(dāng)一臺(tái)服務(wù)器發(fā)生故障時(shí),另一合服務(wù)器自動(dòng)接管所有功能,繼續(xù)實(shí)施對(duì)外提供服務(wù),不影響終端任何使用。
(7)桌面虛擬化模式必須在域環(huán)境下工作,通過(guò)在網(wǎng)絡(luò)內(nèi)配置DNS服務(wù)器、域控制器、DHCP服務(wù)器等網(wǎng)絡(luò)服務(wù),滿足桌面虛擬化的應(yīng)用需求。因?yàn)橛蚓W(wǎng)絡(luò)的全局用戶賬戶和安全策略都是集中在一臺(tái)或者少數(shù)幾臺(tái)DC上進(jìn)行配置與管理的,所以相對(duì)工作組網(wǎng)絡(luò)來(lái)說(shuō),這些配置的安全性就更高,更不容易被人攻擊和破解。
(8)桌面虛擬化模式下,所有的終端主機(jī)系統(tǒng)均模版化管理,包括主機(jī)的操作系統(tǒng),驅(qū)動(dòng)程序以及一些常用軟件等。只需要制作一個(gè)模版后,所有相同型號(hào)主機(jī)都可以通過(guò)此模版創(chuàng)建其他主機(jī)的系統(tǒng)文件,方便快捷地完成多臺(tái)終端主機(jī)系統(tǒng)的部署。
(9)桌面虛擬化可以按照終端機(jī)器的不同品牌型號(hào)制作不同的模版,每個(gè)型號(hào)只需要制作一個(gè)模版即可,然后復(fù)制多份,給其他主機(jī)來(lái)使用,無(wú)需給每一臺(tái)終端手動(dòng)安裝,大大減少了管理員的工作量及錯(cuò)誤出現(xiàn)的機(jī)率。
(10)虛擬化技術(shù)實(shí)施系統(tǒng)桌面重定向,將所有終端用戶的桌面文件都重新指向在另外一個(gè)安全的文件夾中,即使系統(tǒng)發(fā)生故障,必須重新安裝操作系統(tǒng)才可以解決,也不怕數(shù)據(jù)丟失了,因?yàn)樗械淖烂嫖募呀?jīng)不存在系統(tǒng)盤符中,這樣用戶的桌面文件仍然存在安全的地方。
5 案例分析
以國(guó)內(nèi)某研究所部署桌面虛擬化為例,由于該研究所為涉密單位,所以所內(nèi)辦公網(wǎng)絡(luò)建設(shè)是完全按照保密規(guī)定建立的,與互聯(lián)網(wǎng)物理隔離。
用戶登陸計(jì)算機(jī)終端需要經(jīng)過(guò)身份認(rèn)證Key認(rèn)證,對(duì)應(yīng)用的訪問(wèn)需要經(jīng)過(guò)審計(jì)軟件的監(jiān)控和審計(jì),對(duì)于前端計(jì)算機(jī)端口和應(yīng)用,需經(jīng)過(guò)專門的審計(jì)軟件進(jìn)行監(jiān)控。由于該所是一個(gè)設(shè)計(jì)單位,大量的研發(fā)人員對(duì)桌面終端的處理能力有很高的要求:各個(gè)部門工作方向不同對(duì)終端的使用方式也有不同。有的部門需要并口或串口調(diào)試設(shè)備,有的部門需要高性能顯卡進(jìn)行設(shè)計(jì)等等;并且軟件和硬件丟失數(shù)據(jù)時(shí)有發(fā)生,嚴(yán)重干擾了研究所內(nèi)的辦公環(huán)境,有時(shí)還會(huì)因?yàn)閿?shù)據(jù)丟失等問(wèn)題造成項(xiàng)目推遲等狀況。但是上千臺(tái)終端的維護(hù)重任都?jí)涸诹藥讉(gè)IT維護(hù)人員頭上。通過(guò)多方調(diào)研了解,研究所希望能通過(guò)部署虛擬化桌面,提高桌面的維護(hù)效率和終端數(shù)據(jù)的安全性,但前提是不能更改和替換現(xiàn)有的軟件和拓?fù)浼軜?gòu),并要符合涉密網(wǎng)的相關(guān)規(guī)定。通過(guò)綜合考慮,決定選用無(wú)盤數(shù)據(jù)流模式,構(gòu)建虛擬桌面系統(tǒng)。
具體說(shuō)來(lái)就是前端的終端設(shè)備還是使用原有PC機(jī),只需要將硬盤去掉,系統(tǒng)盤是儲(chǔ)存在數(shù)據(jù)中心的磁盤陣列上,開(kāi)機(jī)后通過(guò)網(wǎng)絡(luò)引導(dǎo)直接加載磁盤陣列上的系統(tǒng)盤到內(nèi)存。整個(gè)過(guò)程對(duì)于用戶來(lái)說(shuō)與使用原有PC機(jī)完全相同,軟硬件兼容性也完全相同,所以順利通過(guò)了初步測(cè)試。但由于此種方式比傳統(tǒng)VDI方式有更高的帶寬需求,所以所內(nèi)將原有百兆網(wǎng)改為千兆網(wǎng)絡(luò),改進(jìn)防火墻和入侵檢測(cè)系統(tǒng)的數(shù)據(jù)訪問(wèn)策略,增加了吞吐量,在入侵檢測(cè)上對(duì)此應(yīng)用產(chǎn)生的超大包進(jìn)行了識(shí)別,增加了數(shù)據(jù)包檢測(cè)速度。
實(shí)施完成后用戶本地?zé)o磁盤,在數(shù)據(jù)中心搭建文件服務(wù)器,并搭建域控制器制定相關(guān)用戶策略。當(dāng)用戶登錄系統(tǒng)后將數(shù)據(jù)中心的網(wǎng)絡(luò)空間直接掛載到本地,由于此存儲(chǔ)空間動(dòng)態(tài)增長(zhǎng),可以靈活設(shè)定最大值。通過(guò)設(shè)置桌面重定向也規(guī)避了部分用戶因系統(tǒng)崩潰而導(dǎo)致系統(tǒng)桌面放置數(shù)據(jù)丟失的問(wèn)題。
這樣的實(shí)施方法實(shí)現(xiàn)了用戶系統(tǒng)和用戶數(shù)據(jù)的大集中。
為了保證系統(tǒng)和數(shù)據(jù)的安全性,通過(guò)部署持續(xù)數(shù)據(jù)保護(hù)系統(tǒng),利用快照保護(hù)虛擬桌面系統(tǒng)和數(shù)據(jù),支持系統(tǒng)或數(shù)據(jù)快速回復(fù)到指定備份時(shí)間點(diǎn)。
6 總結(jié)
顯然,桌面虛擬化有效地降低了涉密企業(yè)的桌面管理成本,提升了數(shù)據(jù)安全和業(yè)務(wù)持續(xù)性。但由于涉密網(wǎng)的特殊性。在現(xiàn)階段部署桌面虛擬化免不了會(huì)有這樣那樣的一些問(wèn)題。但如果根據(jù)企業(yè)自身的業(yè)務(wù)特點(diǎn)進(jìn)行全面考量,以我為主,合理選擇,完全可以找到并應(yīng)用一個(gè)合適的解決方案。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:桌面虛擬化在涉密網(wǎng)內(nèi)的應(yīng)用研究
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112188327.html