云桌面實現(xiàn)單位物理隔離

單位網(wǎng)絡與信息安全建設在近年來取得了較大進展，特別是業(yè)務專網(wǎng)的分離、網(wǎng)絡安全設備單點故障的解決、等級測評整改的實施等，為單位各類信息系統(tǒng)的穩(wěn)定安全高效運行提供了強有力的網(wǎng)絡與信息安全保障。隨著信息化建設步伐越來越快，網(wǎng)絡與信息安全的要求也越來越高，更是信息化建設永恒的話題。

本文依據(jù)2016年初單位網(wǎng)絡與信息安全建設的現(xiàn)狀，提出一些亟待解決的問題。如各單位辦公電腦未實施內(nèi)外網(wǎng)物理隔離，主要體現(xiàn)在大部分單位通過一臺電腦拔插網(wǎng)線同時接入內(nèi)網(wǎng)與外網(wǎng)、各分部電腦采用隔離卡雙系統(tǒng)形式進行邏輯隔離、內(nèi)外網(wǎng)切換使用簡易機械切換器等。本文主要從技術角度出發(fā)，就如何使單位網(wǎng)絡與信息安全建設跟上信息化建設的步伐，分析單位內(nèi)外網(wǎng)物理隔離建設總體現(xiàn)狀、存在問題、解決方法及意義等方面對云桌面建設進行思考。

項目建設前的現(xiàn)狀及存在的問題

在2015年相關部門對筆者單位網(wǎng)絡與信息安全進行檢查，檢查所需整改的主要問題是內(nèi)外網(wǎng)未全部物理隔離；并且根據(jù)等級保護相關規(guī)定，筆者單位網(wǎng)絡系統(tǒng)信息安全等級需達到三級?；谶@兩點，實施內(nèi)外網(wǎng)物理隔離目標是為了單位網(wǎng)絡與信息安全達到上級部門文件要求。

1.傳統(tǒng)PC模式面臨著挑戰(zhàn)

圖1 傳統(tǒng)的PC機應用的不足

一是復雜的桌面管理。對廣泛分布的 PC硬件，用戶日益要求能在任何地方訪問其桌面環(huán)境，因此集中式PC管理極難實現(xiàn)。同時PC桌面標準化也是一個難題。

二是軟硬件故障導致數(shù)據(jù)丟失、重建系統(tǒng)費時及能耗較大等問題，普通的PC機在應用時需要在每臺電腦上安裝業(yè)務軟件、程序客戶端，且所有數(shù)據(jù)均保存到各個PC上，很難實現(xiàn)對PC的集中維護與管理，無法對數(shù)據(jù)進行集中存儲與備份，導致數(shù)據(jù)容易丟失。傳統(tǒng)的PC機應用上存在不足如圖1所示。

2.安全意識有待提升

隨著新技術和新應用的興起，互聯(lián)網(wǎng)安全形勢正在發(fā)生前所未有的變化。而與此對應的卻是單位全體干部職工相對薄弱的安全意識。因此在提升單位安全設備的同時，更依賴于干部職工安全意識的提升。部分干部職工對賬號密碼設置方式、自覺安裝防病毒軟件、為操作系統(tǒng)打補丁等一些基本的互聯(lián)網(wǎng)安全仍不夠重視，存在隨意下載安裝激活不熟悉的應用程序、使用非主流的應用程序、對硬盤和U盤等存儲設備很少病毒查殺、隨意打開不明郵件附件、輕信免費無線連接等現(xiàn)象。

3.專業(yè)認證人員缺乏

由于工作人員網(wǎng)絡與信息安全意識與應用技術水平參差不齊，使網(wǎng)絡與安全產(chǎn)品的選型、推廣及應用產(chǎn)生了一定難度。這需要單位采取有效途徑加大網(wǎng)絡與信息安全全員培訓力度，鼓勵專業(yè)技術人員參加網(wǎng)絡與信息安全專業(yè)化認證考試，培養(yǎng)一批既懂網(wǎng)絡、又懂信息安全的高級信息技術人才，提高信息安全實際應對能力。

4.網(wǎng)絡布局受政策影響大

單位對應的上級部門對IT設施都有嚴格的規(guī)章制度，按照文件要求，單位要對網(wǎng)絡結構和安全設備的安全策略進行調整，牽一發(fā)而動全身，即使是小小的調整，也要對整個的配置進行修改。

5.終端內(nèi)外網(wǎng)未實現(xiàn)物理隔離

終端物理隔離是單位防止各類黑客攻擊，保護信息系統(tǒng)數(shù)據(jù)安全而采取的重要措施，通過終端物理隔離可以杜絕內(nèi)外網(wǎng)絡信息交換。目前筆者單位部分電腦使用隔離卡形式來實現(xiàn)終端內(nèi)外網(wǎng)物理隔離，但在使用過程中，內(nèi)外網(wǎng)切換時間長，影響工作效率。

采用云桌面實施物理隔離

針對以上問題，可以從以下四大方面來解決物理隔離面臨的相關問題。

1.加強方案梳理，為云桌面實施提供理論基礎

大量采購筆記本電腦與目前社會環(huán)境不融合，臺式機復雜的管理與運維，增加技術人員運維工作量，臺式機操作系統(tǒng)崩潰后重建系統(tǒng)費時，而且臺式機數(shù)據(jù)容易丟失、能耗大。

因此采用云桌面有很多優(yōu)勢：一是云桌面架構技術已經(jīng)成熟，逐漸在各個行業(yè)中興起；二是建設成本低、穩(wěn)定性、可用性和安全性高；三是易用性、可管理性、擴展性強；四是運行速度快，相當于都在用服務器上網(wǎng)；五是使用云桌面可減少PC運維工作量，便于統(tǒng)一管理維護，可解決技術人員不足的問題。

終端內(nèi)外隔離可以便于網(wǎng)絡安全管理，避免終端外網(wǎng)使用過程中感染的病毒在內(nèi)網(wǎng)絡廣泛傳播。運用虛擬桌面形式來部署外網(wǎng)更有利于節(jié)約成本、日常維護與信息安全。通過小型KVM轉換器就可實現(xiàn)內(nèi)網(wǎng)計算機、虛擬桌面共用一套顯示器、鍵盤和鼠標，節(jié)約成本開銷。虛擬桌面大部分維護工作都在服務器端完成，可以極大地減少計算機維護人員維護工作量。虛擬桌面沒有病毒感染的可能性，具備完美的防病毒特性，即使感染病毒也可直接刪除虛擬機重新分配虛擬桌面，避免病毒傳播。

2.理清硬件集成，為云桌面實施提供硬件基礎

桌面云系統(tǒng)采用國內(nèi)云桌面一體化解決方案，當前使用了6臺DELL R730物理服務器，每臺服務器配置了2顆Intel Xeon E5-2650v3處理器和256GB內(nèi)存，通過服務器虛擬化軟件融合作為計算資源池；存儲資源池采用了基于存儲陣列的雙活存儲解決方案，部署了2套高端多控存儲設備，每臺存儲設備配置了12塊1.2TB容量10000轉企業(yè)級6Gb SAS硬盤和2塊200GB容量SSD硬盤，部署了對稱雙活后分配給虛擬化平臺可用存儲容量約為11TB左右，桌面云后端基礎架構系統(tǒng)拓撲如圖2所示。

3.完善實施步驟，為云桌面實施理清思路

云桌面在2016年3月24日進行招標采購，5月4日到6日進行設備開箱、設備的安裝、存儲系統(tǒng)初始化、存儲系統(tǒng)雙活部署以及虛擬化集群部署，5月7日到29日進行桌面虛擬機發(fā)布、瘦終端安裝、IP-MAC統(tǒng)計、綁定等工作，在5月底完成整個云桌面的安裝及部署。實施步驟如圖3所示。

4.強化問題解決，為云桌面實施排除障礙

圖2 桌面云后端基礎架構系統(tǒng)拓撲

圖3 云桌面的安裝及部署實施步驟

圖4 辦公環(huán)境使用模式

在瘦客戶端安裝實施的過程中，也碰到了很多應用上的細節(jié)性問題，如原來定時開機關機，在定時關機的時候沒有提示，直接進行關機，如晚上10點定時關機，有的同事可能還在加班，按原先定時關機的方法是直接就把機器關掉了，這樣就會導致使用人員感覺電腦被強制關機了，缺乏使用體驗感，我們提出定時關機前有30秒提示，如需使用的就點擊取消關機。定時開機關機也解決了云桌面啟動風暴問題，比如上班時候統(tǒng)一開機，會導致啟動風暴，通過定時分批啟動虛擬機解決了該問題。還有顯示器分辨率在KVM內(nèi)外網(wǎng)切換及鍵盤數(shù)字鍵在KVM內(nèi)外網(wǎng)切換時會變化等問題在后續(xù)的使用過程中都加以解決，增加了云桌面使用的體驗感。而且內(nèi)外網(wǎng)通過KVM切換只需4到5秒時間，比原先使用一臺電腦上內(nèi)外網(wǎng)通過網(wǎng)絡切換器進行切換的速度還快。使用KVM切換器替代網(wǎng)絡切換器，共用鍵盤、鼠標、顯示器，減少投入，具體單位干部職工辦公環(huán)境使用模式如圖4所示。

單位內(nèi)外網(wǎng)物理隔離建設是一個關系本單位各業(yè)務建設安全運行與穩(wěn)定運行、信息化建設持續(xù)推進的重要問題。其重要性正隨著數(shù)字化、信息化步伐的加快而變的越來越重要。網(wǎng)絡與信息安全工作做好了，相應的網(wǎng)絡系統(tǒng)硬件運行就更可靠，軟件運行更穩(wěn)定，系統(tǒng)中數(shù)據(jù)就更安全，硬件、軟件與數(shù)據(jù)也不會受到偶然的或者惡意的原因而遭到破壞、更改、泄露。在單位信息化建設過程中，內(nèi)外網(wǎng)物理隔離建設任重而道遠。