◆吳全才

（云南電網(wǎng)有限責(zé)任公司麗江供電局云南 674100）

1 前言

電力企業(yè)隨著自身業(yè)務(wù)的需求，正在大力建設(shè)信息系統(tǒng)，擴(kuò)大網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)的規(guī)模，以支撐實(shí)際業(yè)務(wù)需要。需要建立健全信息安全運(yùn)營(yíng)管理機(jī)制，才能有效提升系統(tǒng)安全網(wǎng)絡(luò)水平。網(wǎng)絡(luò)環(huán)境具有復(fù)雜性，面臨較多的威脅，因此對(duì)于電力企業(yè)信息系統(tǒng)安全性提出更高的標(biāo)準(zhǔn)。在電力企業(yè)信息運(yùn)維管理中，運(yùn)維人員主要依靠臺(tái)式機(jī)或者是筆記本電腦作為運(yùn)營(yíng)管理的終端系統(tǒng)，通過個(gè)人電腦來訪問信息網(wǎng)絡(luò)，設(shè)置相應(yīng)的安全外殼；利用虛擬網(wǎng)絡(luò)進(jìn)行計(jì)算以及控制遠(yuǎn)程桌面，對(duì)電力信息系統(tǒng)進(jìn)行運(yùn)營(yíng)和維護(hù)。經(jīng)過多年的實(shí)踐，這種模式在安全性以及可維護(hù)性方面暴露了較多的缺陷，需要進(jìn)一步進(jìn)行改進(jìn)，以滿足目前安全運(yùn)營(yíng)管理的需求。

2 傳統(tǒng)的信息系統(tǒng)運(yùn)維管理模型

2.1 模型簡(jiǎn)介

目前傳統(tǒng)的信息系統(tǒng)網(wǎng)絡(luò)運(yùn)維模型可以分為直接連接型以及非直接連接型。以運(yùn)維人員為核心，使用PC客戶端，可以利用ssh或者是 rdp等遠(yuǎn)程訪問的機(jī)制，對(duì)于數(shù)據(jù)庫(kù)以及其他應(yīng)用系統(tǒng)進(jìn)行操作。非直接連接型與直接連接型具有較大的差異性，可直接運(yùn)營(yíng)堡壘機(jī)對(duì)運(yùn)營(yíng)維護(hù)人員權(quán)限進(jìn)行審批以及授權(quán)，控制對(duì)于內(nèi)部數(shù)據(jù)庫(kù)資源的訪問，對(duì)操作記錄進(jìn)行審查以及系統(tǒng)進(jìn)行變更和維護(hù)。

2.2 利用PC端進(jìn)行運(yùn)營(yíng)用戶所出現(xiàn)的問題

利用PC端進(jìn)行信息的輸入輸出以及存儲(chǔ)整理等功能，在系統(tǒng)運(yùn)營(yíng)用戶中具有安全性以及可控性方面的缺陷，主要體現(xiàn)在以下幾個(gè)方面的內(nèi)容

第一，電腦文件一般儲(chǔ)存在內(nèi)部的磁盤中，磁盤具有網(wǎng)絡(luò)接口以及串并口及USB等多種信息的輸入和輸出接口，如果運(yùn)營(yíng)維護(hù)人員使用移動(dòng)電腦，在進(jìn)行系統(tǒng)運(yùn)營(yíng)和管理中，可能會(huì)存在非法復(fù)制數(shù)據(jù)，造成數(shù)據(jù)泄露的現(xiàn)象。

第二，由于個(gè)人電腦安裝位置不同，也就是說工位不同，無法實(shí)現(xiàn)運(yùn)營(yíng)維護(hù)管理人員對(duì)訪問權(quán)限的集中管理控制，也無法對(duì)訪問的實(shí)際行為進(jìn)行審計(jì)，無法做到對(duì)運(yùn)營(yíng)用戶管理過程進(jìn)行審計(jì)考量。

第三，由于個(gè)人電腦運(yùn)用維護(hù)管理終端工作時(shí)間較長(zhǎng)，個(gè)人電腦散熱部件以及其他硬盤部件在長(zhǎng)時(shí)間工作后容易發(fā)生故障，一旦發(fā)生較大的事故，會(huì)導(dǎo)致網(wǎng)絡(luò)硬盤以及軟件操作系統(tǒng)需要重新進(jìn)行安裝或者是升級(jí)，會(huì)帶來較多的運(yùn)營(yíng)管理維護(hù)的安全性問題。

第四，傳統(tǒng)桌面系統(tǒng)故障處理周期比較長(zhǎng)，維護(hù)的工作量比較大。傳統(tǒng)的桌面辦公形式，導(dǎo)致電腦分布位置較為分散，進(jìn)行勘察以及終端維護(hù)的人員工作量比較大，降低了工作效率。

除了面臨以上的幾種問題之外，電腦客戶端自身的使用壽命比較短，報(bào)廢周期一般為5～7年，同時(shí)每一臺(tái)電腦都只能獨(dú)立工作，對(duì)于計(jì)算資源無法進(jìn)行靈活的調(diào)配，故障率比較高。后期的運(yùn)營(yíng)和維護(hù)的成本也會(huì)逐年提升，并且個(gè)人客戶端電腦能耗較高，平均能耗達(dá)到300瓦以上，因此將其作為運(yùn)營(yíng)的終端維護(hù)系統(tǒng)有著較多的缺陷。

3 云桌面訪問控制模型

3.1 云桌面技術(shù)簡(jiǎn)要概述

云桌面技術(shù)又被稱為桌面的虛擬化技術(shù)，他可以在虛擬機(jī)中為用戶提供遠(yuǎn)程的桌面服務(wù)，采用遠(yuǎn)程桌面的形式將操作系統(tǒng)桌面以圖像化的形式傳輸?shù)阶罱K的終端設(shè)備中，但是運(yùn)營(yíng)期間所產(chǎn)生的數(shù)據(jù)則集中存儲(chǔ)于數(shù)據(jù)中心，利用存儲(chǔ)技術(shù)存儲(chǔ)于桌面虛擬機(jī)中。對(duì)于桌面終端系統(tǒng)的安全性以及可連接性是虛擬化管理中所面臨的重要問題。可以采用多通道的虛擬桌面安全接入機(jī)制，將終端連接與服務(wù)器之間虛擬機(jī)不直接進(jìn)行連接，可以采用SAT技術(shù)進(jìn)行動(dòng)態(tài)的映射，已實(shí)現(xiàn)安全性的接入。同時(shí)在桌面顯示可以自動(dòng)自主可控。將虛擬桌面與終端之間的各種視頻圖像以及鼠標(biāo)鍵盤操作劃分為不同的渠道進(jìn)行傳輸。同時(shí)也可以選擇不同的通道加密方法。利用SAT技術(shù)還可以實(shí)現(xiàn)終端以及虛擬桌面之間的訪問監(jiān)管。

3.2 云桌面安全運(yùn)營(yíng)維護(hù)系統(tǒng)的整體架構(gòu)

云桌面安全運(yùn)營(yíng)維護(hù)系統(tǒng)整體架構(gòu)主要包括桌面的客戶端、安全運(yùn)營(yíng)網(wǎng)絡(luò)的網(wǎng)關(guān)、安全桌面的運(yùn)營(yíng)和維護(hù)系統(tǒng)以及虛擬的子網(wǎng)資源等。

第一，在云桌面安全運(yùn)營(yíng)服務(wù)系統(tǒng)中，終端系統(tǒng)負(fù)責(zé)完成從子系統(tǒng)到操作系統(tǒng)再到虛擬桌面之間的傳輸協(xié)議過程，能夠?qū)崿F(xiàn)遠(yuǎn)程的交互訪問，可以實(shí)現(xiàn)高清彩色屏顯示效果，對(duì)于網(wǎng)絡(luò)質(zhì)量能夠自動(dòng)進(jìn)行研判，調(diào)整寬帶的速度，對(duì)數(shù)據(jù)調(diào)整的級(jí)別進(jìn)行優(yōu)化，已實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)圖像的動(dòng)態(tài)調(diào)整功能。

第二，對(duì)于訪問網(wǎng)址關(guān)系統(tǒng)，是云桌面終端系統(tǒng)以及虛擬系統(tǒng)之間形成的安全訪問網(wǎng)絡(luò)，提供統(tǒng)一的安全訪問管理。可以將云桌面IP地址動(dòng)態(tài)意識(shí)到相應(yīng)的網(wǎng)絡(luò)池資源中，在映射網(wǎng)絡(luò)中執(zhí)行相應(yīng)的控制策略。運(yùn)營(yíng)部人員可對(duì)內(nèi)部的運(yùn)行數(shù)據(jù)進(jìn)行判別分析，對(duì)于一些比較有攻擊特征的數(shù)據(jù)進(jìn)行篩選。對(duì)可能會(huì)隱藏病毒的數(shù)據(jù)進(jìn)行分析和調(diào)整，特定端口的通信要禁止使用。特別是對(duì)待一些遠(yuǎn)程訪問的賬號(hào)及時(shí)開展記錄，以實(shí)現(xiàn)信息入口的控制功能。安全運(yùn)營(yíng)管理人員可以對(duì)于應(yīng)用監(jiān)控桌面，虛擬網(wǎng)絡(luò)訪問系統(tǒng)連接狀態(tài)進(jìn)行實(shí)時(shí)的跟蹤檢測(cè)，以判別意外情況。

第三，云桌面運(yùn)營(yíng)管理系統(tǒng)含有較多的子系統(tǒng)，不同的子系統(tǒng)之間可以根據(jù)桌面環(huán)境的需求，為用戶分配相應(yīng)的桌面虛擬機(jī)，在桌面虛擬機(jī)中實(shí)現(xiàn)身份的管理以及云桌面的訪問控制，對(duì)于運(yùn)維管理系統(tǒng)實(shí)行審計(jì)以及警告，還負(fù)責(zé)對(duì)運(yùn)營(yíng)用戶數(shù)據(jù)進(jìn)行判別和分析。

第四，采用虛擬化的資源池管理系統(tǒng)能夠?qū)μ摂M化資源存儲(chǔ)進(jìn)行統(tǒng)一的虛擬化管理，加強(qiáng)的資源的調(diào)度以及運(yùn)行的監(jiān)控，可以為云桌面的運(yùn)營(yíng)維護(hù)管理系統(tǒng)提供相應(yīng)的虛擬機(jī)設(shè)備資源，以實(shí)現(xiàn)安全運(yùn)維管理的虛擬性以及可操作性。

終端與虛擬桌面之間進(jìn)行訪問的主要流程，首先是從發(fā)出終端的接入請(qǐng)求開始，桌面對(duì)接入請(qǐng)求進(jìn)行驗(yàn)證，并且查詢相應(yīng)的虛擬動(dòng)態(tài)訪問的地址，查詢成功后返回虛擬機(jī)，注冊(cè)相應(yīng)的虛擬動(dòng)態(tài)地址以及反射的端口，生成虛擬機(jī)的記錄和命令牌，回應(yīng)終端的接入請(qǐng)求，終端可以利用技術(shù)立牌建立相應(yīng)的虛擬桌面連接，實(shí)現(xiàn)虛擬的訪問，達(dá)到資源訪問的目的。

3.3 云桌面在電力企業(yè)系統(tǒng)安全運(yùn)營(yíng)維護(hù)中的優(yōu)勢(shì)體現(xiàn)

云桌面終端系統(tǒng)是基于云計(jì)算以及虛擬操作技術(shù)為基礎(chǔ)的創(chuàng)新性的辦公系統(tǒng)，可以使用虛擬桌面的技術(shù)，有效實(shí)現(xiàn)桌面的信息傳輸，實(shí)現(xiàn)從桌面到遠(yuǎn)端服務(wù)器之間信息的傳輸以及桌面系統(tǒng)的重新定向。它能夠?qū)⒃械淖烂鎽?yīng)用系統(tǒng)，包括管理、服務(wù)智能、計(jì)算資源智能以及存儲(chǔ)資源智能多種終端系統(tǒng)整合給相應(yīng)的用戶，同時(shí)數(shù)據(jù)存儲(chǔ)以及管理加工都集中在云端，使用者無須為數(shù)據(jù)的存儲(chǔ)和管理投入資源，因此非常高效以及綠色，能夠有效解決電力企業(yè)系統(tǒng)安全運(yùn)營(yíng)維護(hù)和管理的難題。

隨著電力企業(yè)集團(tuán)信息化水平的不斷提高，對(duì)電力企業(yè)自身關(guān)鍵信息系統(tǒng)的安全應(yīng)用維護(hù)以及可靠性提出了更高的要求。同時(shí)虛擬化技術(shù)以及分布云計(jì)算技術(shù)快速成熟，為云桌面在電力系系統(tǒng)中的安全運(yùn)營(yíng)維護(hù)應(yīng)用提供了技術(shù)性基礎(chǔ)。主要有以下幾種優(yōu)勢(shì)：

第一，云桌面系統(tǒng)成本較低。云桌面系統(tǒng)能夠有效降低客戶終端的數(shù)量，達(dá)到節(jié)約成本的作用。使用云桌面系統(tǒng)后，辦公及終端能耗降低到10w以內(nèi)，與傳統(tǒng)桌面相比，起到了節(jié)約能耗的作用，同時(shí)能夠使得辦公環(huán)境更加環(huán)保。

第二，云桌面系統(tǒng)部署比較靈活。可以根據(jù)電力企業(yè)信息系統(tǒng)的業(yè)務(wù)快速進(jìn)行開發(fā)，特別是針對(duì)經(jīng)常有遠(yuǎn)程業(yè)務(wù)以及出差的系統(tǒng)工作人員來說，具有十分重要的應(yīng)用價(jià)值。

第三，數(shù)據(jù)存儲(chǔ)更為安全可靠。在云桌面系統(tǒng)下，終端并不存放相應(yīng)的數(shù)據(jù)，所有的數(shù)據(jù)操作整理以及加工都在數(shù)據(jù)中心服務(wù)器中完成，因此能夠?qū)崿F(xiàn)數(shù)據(jù)利用的高效化以及安全性。將原有的被動(dòng)式的信息系統(tǒng)的安全維護(hù)轉(zhuǎn)變?yōu)橹鲃?dòng)式的信息系統(tǒng)安全維護(hù)，能夠有效管控外部進(jìn)入信息系統(tǒng)的途徑，增強(qiáng)信息系統(tǒng)的安全性。

第四，整個(gè)云桌面系統(tǒng)便于維護(hù)。云桌面系統(tǒng)對(duì)于原有終端鏈條進(jìn)行有效的整合，同時(shí)按照用戶需求進(jìn)行分配，能夠?qū)崿F(xiàn)資源利用的最大化。同時(shí)云裝備系統(tǒng)中對(duì)軟件標(biāo)準(zhǔn)進(jìn)行統(tǒng)一配置，系統(tǒng)更新更加完善，漏洞修復(fù)更為及時(shí)，能夠?qū)崿F(xiàn)服務(wù)器的主動(dòng)檢索，同時(shí)也能夠起到彈性擴(kuò)展的作用，具有較強(qiáng)的可維護(hù)性以及操作性。

云桌面在電力信息系統(tǒng)安全運(yùn)維中的應(yīng)用，能夠?qū)崿F(xiàn)電力企業(yè)的辦公資源統(tǒng)一的調(diào)度，并且對(duì)違反規(guī)定的外部聯(lián)絡(luò)途徑進(jìn)行有效的控制，實(shí)現(xiàn)計(jì)算機(jī)病毒的統(tǒng)一防范，能夠盡可能減少由于文件泄密或者是軟件漏洞而造成的病毒攻擊，因此在運(yùn)營(yíng)成本的維護(hù)以及信息安全的保障上具有非常重要的應(yīng)用。

4 結(jié)束語(yǔ)

目前云計(jì)算技術(shù)以及大數(shù)據(jù)處理方興未艾，對(duì)于電力企業(yè)信息系統(tǒng)的安全運(yùn)營(yíng)維護(hù)技術(shù)指明了新的方向，應(yīng)該進(jìn)行深入的思考。本文主要探討基于云計(jì)算的桌面技術(shù)應(yīng)用，提升電力企業(yè)信息系統(tǒng)的安全性以及可維護(hù)性，以桌面云系統(tǒng)作為支撐，對(duì)現(xiàn)有的安全運(yùn)營(yíng)服務(wù)系統(tǒng)進(jìn)行有效的改進(jìn)，能夠進(jìn)一步提升系統(tǒng)的可控性以及可維護(hù)性，對(duì)降低整體成本以及提升安全運(yùn)營(yíng)質(zhì)量奠定了良好的基礎(chǔ)。