劉朋熙++杜炳++汪慧

摘 要 基于云桌面的智能多媒體教室采用最新的云技術(shù)，將運行在PC上的桌面、應(yīng)用和數(shù)據(jù)統(tǒng)一遷移到數(shù)據(jù)中心的服務(wù)器，這樣不僅可以有效解決桌面部署和管理的難題，而且還可為用戶提供工作所需的桌面靈活性和可訪問性，實現(xiàn)隨時隨地的訪問。

【關(guān)鍵詞】云桌面 安全性 多媒體教室

1 引言

隨著個性化學習、教育教學改革等新教學需求的提出，教育信息化面臨著新一輪的挑戰(zhàn)，與此同時信息技術(shù)的飛速發(fā)展也為教育信息化提供了新的建設(shè)機遇。教學中計算機教室、多媒體電教室的應(yīng)用是信息化教育的主場景，計算機桌面管理和IT環(huán)境的運維安全性，對企業(yè)至關(guān)重要。

2 基于云桌面的多媒體教室安全性

基于云桌面的多媒體教室部署運維效率高，可大幅減少桌面運維工作量，降低整體投資并保障桌面數(shù)據(jù)的安全性。

2.1 部署架構(gòu)

基于云桌面的多媒體教室建設(shè)方案主要包括三個重要部分：服務(wù)器端、網(wǎng)絡(luò)交換和瘦終端。

服務(wù)器端內(nèi)部集成有虛擬化軟件，提供存儲虛擬化、服務(wù)器虛擬化和桌面虛擬化。瘦終端，提供給操作者可實際操作的硬件，集成有普通PC常用接口如USB、串口和音頻等。

整個系統(tǒng)部署架構(gòu)如圖1。

2.2 安全性設(shè)計

虛擬桌面從防范非法用戶和惡意系統(tǒng)管理員的角度進行全方位的安全防范，保證接入虛擬桌面的用戶和數(shù)據(jù)高度安全性，針對各分層采用安全措施具體如下：

2.2.1 終端安全

采用精簡加固基于Android OS，瘦客戶機無本地存儲，數(shù)據(jù)總是存放在最安全的地方。用戶接入虛擬桌面資源時通過合法性認證、USB靈活可控策略、應(yīng)用策略化控制、還原模式等方式保證終端安全。

（1）集成本地認證、短信認證、動態(tài)令牌、數(shù)字證書、第三方認證等身份認證機制，而且多種身份認證方式可以自由組合，以確保接入用戶的身份唯一性；

（2）基于靈活策略設(shè)置USB端口使用權(quán)限，比如是否允許使用USB設(shè)備（包括打印機、掃描儀等）；

（3）基于策略的訪問控制：可以根據(jù)用戶、網(wǎng)絡(luò)、服務(wù)、設(shè)備、系統(tǒng)等，通過關(guān)聯(lián)的策略為他們分配合適的訪問權(quán)限；

（4）桌面注銷時還原至原始狀態(tài)，該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被還原。

2.2.2 傳輸安全

通過VLAN隔離，并內(nèi)置企業(yè)級防火墻模塊進行狀態(tài)化ACL訪問控制，管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段，保證業(yè)務(wù)運行和維護安全。

（1）終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實際數(shù)據(jù)，也即是說，“瘦終端+云桌面”讓數(shù)據(jù)不落地，保障傳輸安全性；

（2）可對傳輸加密通道進行基于IP、服務(wù)的訪問控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會話的隔離控制，包括存儲會話、虛擬打印會話、總線映射會話等等，從而提升傳輸通道的靈活度；

（3）通過對終端到虛擬桌面進行全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持擴展國密辦SCB2（SM1）等其他加密算法，確保通信的安全性；

（4）在桌面云接入平臺上內(nèi)置了企業(yè)級防火墻模塊，通過靈活的ACL訪問控制策略和DDoS設(shè)置，為整個平臺提供狀態(tài)包過濾和基本安全保護。

2.2.3 平臺安全

虛擬化基礎(chǔ)架構(gòu)（VMS）的安全性關(guān)系到整個虛擬桌面訪問的穩(wěn)定性和數(shù)據(jù)安全性，本方案首先通過高可用性設(shè)計滿足業(yè)務(wù)穩(wěn)定性需求，然后再通過虛擬機隔離、數(shù)據(jù)盤加密控制、管理員權(quán)限細化等安全機制保證用戶數(shù)據(jù)的安全。

（1）在獨享桌面的情況下，每用戶獨占一個虛擬機，通過VMS底層機制實現(xiàn)CPU調(diào)度、內(nèi)存、網(wǎng)絡(luò)訪問、磁盤IO、存儲空間的隔離，用戶虛擬機的故障和安全問題不會影響到其他用戶，保證虛擬機之間的隔離安全；

（2）每用戶都會分配個人數(shù)據(jù)盤來存放文檔，當用戶遷移至虛擬桌面的使用模式后，所有數(shù)據(jù)都集中存儲于數(shù)據(jù)中心。因此，通過為個人數(shù)據(jù)盤進行加密存儲，讓其他用戶包括管理員都無法訪問，可以保證用戶個人穩(wěn)私安全；

（3）不同管理員角色，授予合適的管轄權(quán)限范圍，并保存操作日志。支持分級管理權(quán)限，包括上級管理員有權(quán)操作下級管理員的配置行為，相反則無權(quán)；支持上級管理員將虛擬桌面資源授權(quán)給下級管理員。

3 總結(jié)與展望

針對一些數(shù)據(jù)安全性要求較高的企業(yè)多媒體教室，本文給出了基于云桌面的安全性解決方案，通過終端安全、傳輸安全、平臺安全三大層次的端到端、多方位安全機制，可以完善保障用戶接入安全、數(shù)據(jù)安全、管理安全、虛擬化安全、基礎(chǔ)設(shè)施安全等多個建設(shè)環(huán)節(jié)，輕松應(yīng)對虛擬桌面在建設(shè)過程中所面臨的安全威脅及挑戰(zhàn)。

在提高系統(tǒng)安全性的前提下，后期應(yīng)繼續(xù)考慮融入高清視頻處理和本地解碼技術(shù)，保障客戶最佳的視頻觀看體驗。

參考文獻

[1]樊昌秀.多媒體教室的桌面虛擬化探索[J].長沙大學學報，2012（05）.

[2]林飛躍，林先津.云桌面在教學管理中的應(yīng)用[J].實驗室研究與探索，2013（10）.

[3]林先津.桌面虛擬化技術(shù)在分布式設(shè)備管理中的研究與應(yīng)用[J].試驗技術(shù)與管理，2013（04）.

[4]葉新東.未來課堂軟件環(huán)境的設(shè)計與實現(xiàn)[J].現(xiàn)代教育技術(shù)，2013（10）.

作者單位

1.國網(wǎng)安徽省電力公司 安徽省合肥市 230061

2.國網(wǎng)蕪湖供電公司 安徽省蕪湖市 241000